עולם 'האינטרנט של הדברים' החדש מאופיין במיליונים על מיליונים של מכשירים מחוברים. עם מכשירים לא מאובטחים ונקודות גישה לרשת יותר מאי פעם, עקרונות 'אבטחה לפי תכנון' חיוניים להגנה מפני איומי אבטחת סייבר הולכים וגדלים.
במהלך השנים האחרונות, הטכנולוגיות הדיגיטליות שינו את העולם, והשפיעו על כל מגזרי הפעילות העסקית וחיי היומיום. התוצאה היא עולם האינטרנט של הדברים (IoT), שבו הכל מכשיר ומקושר.
עד סוף 2018, היו בשימוש כ-22 מיליארד מכשירים המחוברים ל-IoT ברחבי העולם. התחזיות מצביעות על כך שהנתון הזה יגדל ל-50 מיליארד עד 2030 - יצירת רשת ענקית של מכשירים מחוברים. [1]
כדי לתמוך בעתיד המחובר מאוד הזה, אלפי מכשירי אינטרנט של הדברים (IoT) מחוברים לרשתות מדי יום. בנוסף, התיאבון לתכונות ופונקציונליות חדשות יצר "צורך במהירות" במונחים של פיתוח ופריסה של סוגים חדשים של מכשירים.c
הצמיחה המהירה של מכשירים מורכבים ומחוברים
מכשירי IoT רבים המחוברים כיום מורכבים ביותר, ומשלבים אלגוריתמים מתקדמים של AI ותכונות אחרות מהדור הבא.
מצלמות אבטחת וידאו מבוססות IP הן דוגמה טובה לכך. במהלך 15 השנים האחרונות, הם התפתחו ממצלמות וידאו אנלוגיות פשוטות, למכשירי IoT מורכבים ודיגיטליים לחלוטין המונעים על ידי למידת מכונה (ML) ובינה מלאכותית.
כמו סוגים אחרים של מכשירים, האבולוציה מונעת על ידי דרישות הלקוחות לשיפור הפונקציונליות והקישוריות. דרישה זו יצרה גם דחיפות בתהליך הפיתוח, כאשר ספקים מתחרים על מנת להציע את התכונות המתקדמות ביותר במהירות האפשרית כדי לזכות בלקוחות ובנתח שוק.
איזון בין מהירות הפיתוח לשיקולי אבטחה
המירוץ לפיתוח מכשירי IoT עשירים יותר ומחוברים יותר מילא את הצרכים התפעוליים של הלקוחות, אך לעתים קרובות היו פשרות במונחים של אבטחה.
אחרי הכל, בניית אבטחה בכל ההיבטים של תהליך הייצור לוקחת זמן - משאב יקר שלא תמיד זמין. בגלל לחצי זמן, כמה יצרני מכשירים בחרו במהירות פיתוח וייצור על פני אבטחה.
ההשלכות: זינוק עולמי באירועי אבטחת סייבר
ההשלכות של מהירות על אבטחה היו עלייה עצומה באירועי אבטחת סייבר IoT חמורים. פושעי סייבר הצליחו לגשת למיליוני מכשירי IoT בקלות יחסית, פשוט בגלל שהמכשירים הללו לא פותחו ויוצרו מתוך מחשבה על אבטחה.
עד סוף 2016, למשל, Mirai Botnet הפך לחדשות עולמיות ואבטחת IoT התחילה לקבל תשומת לב רצינית. זוהי דוגמה ברורה למה שיכול להשתבש כאשר מכשירי IoT לא מאובטחים כמו צגי תינוקות, נתבי רשת, מכשירים חקלאיים, מכשירים רפואיים, מכשירי חשמל ביתיים, מכשירי DVR, מצלמות או גלאי עשן מחוברים לאינטרנט ללא אבטחה מתאימה.
במקרה של מיראי, התוקפים הצליחו לפרוץ למיליוני מכשירי IoT לא מאובטחים - במקרה הזה, מצלמות. לאחר מכן הם השתמשו בכוח המחשב המשולב של המכשירים כדי להשיק התקפות אינטרנט ממוקדות DDoS (Distributed Denial of Service).
והלקח עדיין לא נלמד
לרוע המזל, תקריות סייבר רבות נוספות עם מכשירי IoT קרו מאז 2016 - וממשיכות לקרות מדי יום. חוקרי אבטחה מ-F-Secure פרסמו אזהרה ב-2019, כי התקפות סייבר על מכשירי IoT צומחות בקצב חסר תקדים. הם מדדו "עלייה של פי שלושה בתעבורת ההתקפה ליותר מ-2.9 מיליארד אירועים".
במחקר, האיום הגובר הזה יוחס, בין השאר, ל"חוסר בסיסי של הגנות בהתיישנות הקושחה או הארכיטקטורות, וחלקו בגלל היעדר ניהול אבטחת מידע. לעתים קרובות מחלקות IT אפילו לא מודעות לכל המכשירים האלה ברשתות שלהם." [2]
החשיבות הקריטית של ייצור 'אבטחה לפי תכנון'
אחת הדרכים העיקריות למנוע התקפות מזיקות על מכשירי IoT היא לשפר את ההגנה של מכשירים אלו. לרוע המזל, קשה מאוד להוסיף אבטחה יעילה לאחר ייצור ו/או התקנת מכשיר ה-IoT. במקום זאת, הדרך היעילה ביותר למנוע הפרות היא ליישם אבטחה במהלך ייצור המכשיר - המכונה לעתים קרובות ייצור 'אבטחה לפי תכנון'.
Secure-by-Design עוסק בבניית אבטחה בכל שלב בתהליך הייצור, מהשלב הרעיוני ועד לשלב האספקה הסופי - כפי שמוצג בגרפיקה למטה:
HiTools Designer
New Products
Hikvision App Store
