طبق گفته محققان، سیستمهای داخلی از جمله قفلهای درب و لامپهای مبتنی بر اینترنت اشیا (IoT) در ساختمان اداری شرکتها، و نیز سیستمهای خارجی، به طور معمول به این شکل است که از راه دور در یک جایی مستقر میشوند و با کمک یک VPN به شبکه محلی سازمانی (LAN) یا شبکه گسترده (WAN) میتوانند ورود پیدا کنند.
دستگاهها از طرق مختلف در معرض خطر قرار میگیرند: اول اینکه در کداصلی تولیدکننده در زمان ارسال امکان دارد باگ یا بدافزاری وجود داشته باشد. که سازنده میتواند از آن مطلع یا بیاطلاع باشد. و طریق دیگر اینکه امکان هک یک واحد با بدافزار توسط مهاجمان مخرب در ماههای بعد فراهم است.
زمانی که دسترسی به آدرس IP یا شبکه برای اینترنت اشیا فراهم شود، تمام کابوسهای امنیتی پدیدار میگردند. و بدتر از آن این است که زمانی که زیرساختهای امنیتی تحت تأثیر قرار می گیرند، کد مخرب قادر است اقدامات مخرب دستگاها را ترویج دهد که با هدف تولید آن در تناقض است. به عنوان مثال تغییر درصد شیمیایی در خط مونتاژ دارو. ضمن آنکه امکان استفاده کد مخرب از یک دستگاه فقط به عنوان یک کانال شبکه به راحتی فراهم است، در نتیجه اهمیتی ندارد که هدف رسمی آن خطرناک است، با توجه به این مورد که هدف آن دستیابی به شبکه و آسیبرسانی به آن از راه دور است.
در چنین موقعیتی، یک مدیر ارشد اطلاعات یا IT چه عملکردی میبایست داشته باشد؟
به اعتقاد کارشناسان اگر یک تیم هک یا آزمایشکننده نفوذ وجود داشته باشد که کد هر دستگاه اینترنت اشیا را به طور پیوسته و مکرر برای دستورالعملهای شیطانی مورد بررسی قرار دهد، در این صورت هزینه زیادی تحمیل میشود. افزون بر آن از آنجایی که دسترسی کامل برای تیم امنیتی معمولاً وجود ندارد ، نمیتواند به تعداد زیادی دستگاه اینترنت اشیای درجه مصرفکننده که شبکه محلی سازمانی خانگی کارکنان شما را به اشتراک میگذارند، کمک کند.
آزمایش نفوذ دستگاههای اینترنت اشیا کمک میکند؟
به اعتقاد بسیاری از کارشناسان، تست نفوذ برای دستگاههای اینترنت اشیا، در سازمان بسیار حائز اهمیت است. اما سؤال مهم این است که آیا مقرون به صرفه است؟ یا جانب احتیاط رعایت میشود؟ لازم است بدانید که در شرکتهای مختلف پاسخ این سؤال نیز متفاوت است.
استیو زالوسکی (Steve Zalewski)، معاون مدیر ارشد فناوری اطلاعات «Levi Strauss & Co»، شرکت پوشاک جهانی 6 میلیارد دلاری اعتقاد دارد که آزمایش نفوذ اینترنت اشیا عاری از مشکل است. زالوسکی یادآور شده است که اینها دستگاههای تأیید نشده با اعتبار در شبکه مورداعتماد وی نیستند و این یک تکنولوژی به بلوغ نرسیده و بدون کنترلهای امنیتی بالغ است. که میبایست سختگیر باشیم . مشکلی که در ارتباط با دستگاههای اینترنت اشیا وجود دارد این است که در قابلیتهای عملکردی دستگاهها، به امنیت توجه نمیشود.