مبادئ توجيهية جديدة لصانعي إنترنت الأشياء
يهدف المخطط المدعوم من قبل الحكومة إلى معالجة مسألة ضعف الأمن في إنترنت الأشياء (IoT) من خلال تشجيع المصنعين على إنتاج أجهزة متصلة آمنة حسب التصميم وسهلة التحديث.
أطلقت وزارة الثقافة والإعلام والرياضة (DCMS) مدونة الأمان الآمنة حسب التصميم من أجل إدارة إنترنت الأشياء (NCMS) وهي تستند إلى مشورة من خبراء الصناعة والأمان والأوساط الأكاديمية والمستهلكين. المنظمات.
تتضمن الإرشادات إخبار صانعي الأجهزة بإزالة أسماء المستخدمين الافتراضية وكلمات المرور الافتراضية لأجهزة IoT ، وذلك لضمان عدم بيع المنتجات باستخدام بيانات اعتماد تسجيل الدخول الأساسية التي يمكن اختراقها بسهولة من قبل المهاجمين. كان سوء أمان كلمة المرور سببًا لعدد من الانتهاكات الأمنية المتعلقة بإنترنت الأشياء.
وهناك توصيات أخرى موجهة إلى مصنّعي منتجات إنترنت الأشياء هي أنه ينبغي عليهم تنفيذ سياسة الكشف عن الثغرات الأمنية ، بحيث يمكن الإبلاغ عن أي ثغرات أمنية ، والتصرف بناءً عليها ، كما يجب توفير تحديثات برامج الأمان بانتظام. يجب أن تكون التصحيحات سهلة التطبيق بطريقة لا تؤثر على وظيفة الجهاز.
يجب أيضًا بناء أجهزة إنترنت الأشياء بطريقة تجعل من السهل على المستخدمين تثبيت الأجهزة وصيانتها دون المخاطرة بأمنهم ، كما تنص الإرشادات على أن أي بيانات مخزنة على الجهاز يجب تخزينها بأمان – مع وسيلة سهلة المستهلكين حذف بياناتهم إذا اختاروا القيام بذلك
إجمالاً ، تشتمل مدونة الممارسة الآمنة حسب التصميم على 13 توصية لمصنعي أجهزة إنترنت الأشياء للمستهلكين لتنفيذها للحفاظ على سلامة المستخدمين – ومتوافقة مع إجمالي الناتج المحلي.
ومن المأمول أن يحيط تجار التجزئة أيضًا بالرمز وأجهز الأسهم التي تتبع توصياته فقط.
وقال الدكتور إيان ليفي ، المدير الفني في NCSC: “نظرًا لكمية الأجهزة المتصلة التي نستخدمها جميعًا في التوسع ، فإن مدونة الممارسات الرائدة هذه لا يمكن أن تأتي في وقت أكثر أهمية”.
“تلتزم NCSC بتمكين المستهلكين من اتخاذ قرارات مستنيرة حول الأمن سواء كانوا يشترون ساعة ذكية أو غلاية أو دمية. نريد من تجار التجزئة تخزين الأجهزة المتصلة بالإنترنت التي تلبي هذه المبادئ فقط ، حتى يمكن للمستهلكين في المملكة المتحدة الوثوق في أن وأضاف أن التكنولوجيا التي يقدمونها إلى منازلهم ستدعم بشكل مناسب طوال فترة بقائها.
وفي الوقت الحالي ، تعهدت شركتا تكنولوجيا بالتعهد علناً بإتباع قواعد الممارسة الطوعية – Centrica Hive و HP. ولكن هذا اثنان فقط في بحر ضخم من شركات تصنيع منتجات إنترنت الأشياء – وكثير منها يمكن أن يختار فقط تجاهل التوصيات.
“على الرغم من أنها بالتأكيد خطوة في الاتجاه الصحيح حيث أصدرت حكومة المملكة المتحدة مدونة جديدة للممارسات لمساعدة الشركات المصنعة على تحسين أمن الأجهزة المتصلة بالإنترنت ، فمن غير المحتمل أن تعمل الصناعة على ذلك ، بالنظر إلى أنها طوعية”. قال جون شيهي ، نائب رئيس الاستراتيجية في شركة الأمن الإلكتروني IOActive.
وأضاف: “لسوء الحظ ، فإن العديد من الشركات المصنعة لهذه الأجهزة مهتمون أكثر بالحصول على منتج قابل للتطبيق إلى السوق أكثر من كونه آمنًا أم لا. ونتيجة لذلك ، تعرض العديد من أجهزة إنترنت الأشياء لمالكيها مخاطر كبيرة”.
في حين أن المنظمات يمكن أن تختار تجاهل المبادئ التوجيهية ، هناك تلميح قوي في جميع الوثائق أنه إذا اختاروا عدم تطبيق Secure by Design من الألف إلى الياء ، فإن صانعي منتجات إنترنت الأشياء يقومون فقط بوضع أنفسهم – ومستخدميهم – في خطر من المتسللين.
وكانت الحكومة قد اقترحت في السابق أن “تتطلع لجعل هذه المبادئ التوجيهية إلزامية من خلال القانون” إذا لم تأخذ الشركات المصنعة المبادئ التوجيهية.
إن المملكة المتحدة ليست وحدها في محاولة لتأمين إنترنت الأشياء – إنسا ، وهي وكالة الأمن السيبراني التابعة للاتحاد الأوروبي ، تعمل أيضاً من أجل إصدار تشريع في هذا المجال ، بينما تتطلع حكومة الولايات المتحدة أيضًا إلى تنظيم إنترنت الأشياء في محاولة للحماية ضد الإنترنت الهجمات.
يمكن أن تلعب مدونة الممارسات دوراً في تشكيل جهد دولي لتحسين أمن إنترنت الأشياء. تعمل المملكة المتحدة بالفعل على اتخاذ مدونة الممارسات والمساعدة في بناء معيار دولي يمكن الاعتراف به واعتماده في جميع أنحاء العالم.
للمساعدة في ذلك ، تم أيضًا نشر قواعد الممارسة باللغة الفرنسية والألمانية واليابانية والكورية والماندرين والبرتغالية والإسبانية.