لماذا تُصدر شركات "إنترنت الأشياء" أجهزة ذات ثغرات أمنية؟

في العام الماضي، أحدثت إحدى قصص القرصنة الإلكترونية ضجة إعلامية واسعة، عندما استولى أحد القراصنة على النظام الإلكتروني الرئيسي لفندق فخم في النمسا، ما دفع بالنزلاء إلى الخروج من غرفهم، ودفع الفندق فدية لهؤلاء القراصنة. ومنذ ذلك الحين أعلن الفندق أنه سيعود لاستخدام المفاتيح المادية. بالتأكيد، كانت هذه القصة مخيفة للنزلاء ولأي شخص يسكن يوماً في أي فندق كان. إلا أنها لم تكن ذلك الخبر المفاجئ بالنسبة لخبراء الأمن الإلكتروني، الذين ينصب جل اهتمامهم على طرق القرصنة أو التلاعب بالأجهزة المتصلة بالإنترنت، والتي تُعرف مجتمعة باسم إنترنت الأشياء (IoT).

من غير الصعب أن نتخيل سيناريو وقوع أحد ما رهينة سواء لإحدى عمليات قرصنة أجهزة إنترنت الأشياء، أو لأية طريقة يمكن للقراصنة أن يعيثون من خلالها فساداً في جميع العناصر المتصلة بالشبكة والتي نستخدمها كل يوم. إذ تتغلغل الأجهزة الذكية في منازلنا ومكاتبنا، فأجهزة كشف الدخان وتنظيم الحرارة ومفاتيح الوصول المادي جميعها يمكن تشغيلها عن بُعد. ويتم هذا عندما تقوم المساعدات الافتراضية وأجهزة التلفاز وأجهزة مراقبة الأطفال وألعابهم بجمع البيانات وإرسالها إلى السحابة. وتخضع اليوم إحدى أحدث خروقات الألعاب، والتي تشمل دمى الدببة (CloudPets)، للتحقيق في الكونغرس. وفي الوقت نفسه يمكن لبعض التقنيات الذكية أن تنقذ الأرواح، مثل الأجهزة الطبية التي تتحكم بجرعات الدواء الوريدية أو مراقبة الإشارات الحيوية عن بعد.

وتكمن المشكلة هنا، في أنّ معظم أجهزة إنترنت الأشياء لم يتم تصميمها أو صيانتها مع الحفاظ على الأمن كأولوية فيها. فوفقاً لدراسة أجرتها شركة أي بي إم  (IBM) للأمن بالتعاون مع معهد بونيمون مؤخراً (IBM Security and the Ponemon Institute)، تبين أنّ نسبة 80 في المئة من المؤسسات لا تقوم بإجراء اختبار روتيني للتأكد من خلو تطبيقات إنترنت الأشياء من الثغرات الأمنية، ما يُسهّل الأمر على المجرمين لاستخدام أجهزة إنترنت الأشياء لأغراض التجسس والسرقة وحتى إحداث ضرر مادي.

يعزو بعض المراقبين فشل تقنيات إنترنت الأشياء إلى اندفاع الناس الحاد وراءها، ويطالبون الحكومات بالتدخل لتنظيم استخدام الأجهزة الذكية. وعندما يتعلق الأمر بالأمن الإلكتروني، يمكن لعملية التنظيم أن تكون جيدة بحد ذاتها، ولكن مضللة في الوقت نفسه. فالقوائم الأمنية المصاغة من قبل هيئات حكومية بطيئة التحرك لا يمكنها مواكبة التطور التقني وتقنيات القراصنة، وبالتالي، يمكن لأنظمة الامتثال أن تحوّل الموارد وتُعطي إحساساً زائفاً بالأمن. ضف إلى ذلك جميع الوكالات الفيدرالية والولائية والدولية التي تطالب بالمشاركة في العملية التنظيمية، وبالنتيجة نحصل على مجموعة من المطالبات المتداخلة التي يمكن أن تشوش الشركات وتقيدها، ولكن تترك مجالاً كبيراً لمناورة القراصنة.

وكانت إدارة الرئيس السابق للولايات المتحدة باراك أوباما (منذ أعوامها الأولى) تقبّلت مقترحات تنظيمية للبنية التحتية للأمن الإلكتروني، إلا أنها تمحورت في النهاية حول نهج أكثر فعالية لإدارة المخاطر. وتم تجسيد هذا من خلال المعهد الوطني للمعايير والتكنولوجيا (نست) (NIST) للأمن الإلكتروني الشهير عالمياً، والذي تم تطويره من قبل أصحاب المجال، ويقدّم التوجيه القائم على المخاطر وأفضل الممارسات التي يمكن تكييفها مع مؤسسة من أي حجم أو نوع. وهناك إشارات أولية تدل على أنّ إدارة ترامب تخطط لاستكمال النهج المتبع من قبل المعهد الوطني للمعايير والتكنولوجيا.

وقد يكون من الحكمة أن تبني الشركات على النجاحات السابقة وتطوّر نهجاً مشابهاً لإدارة إنترنت الأشياء. وبدلاً من محاولة إملاء ضوابط محددة لمجموعة متنوعة ومتنامية من التقنيات، يتّفق هذا الإطار مع أفضل الممارسات الدولية لإنترنت الأشياء ويساعد الشركات على إعطاء الأولوية لأهم استراتيجيات الأمن في الشركة. وهذا ما اقترحته اللجنة ثنائية الحزب لتحسين الأمن الإلكتروني الوطني للإدارة الجديدة في شهر ديسمبر/كانون الأول. كما يمكن لهذا الإطار أن يكون بمثابة نقطة تنسيق ضرورية جداً لعدد من الجهود المجزأة المتعلقة بإنترنت الأشياء والمطبقة حالياً من قبل وكالات فيدرالية.

ومع ذلك، من الخطأ أن تنتظر الشركات تدخّل الحكومات في صناعة إنترنت الأشياء، إذ أنّها مشكلة طارئة وقد تتفاقم أكثر إذا ما ظهرت هجمات جديدة، الأمر الذي سيحدث بالتأكيد. كما يمكن لمقدمي إنترنت الأشياء أن يثبتوا أنهم جادون بشأن الأمن من خلال اتخاذ بعض الخطوات الأساسية.

أولاً، أن يتمّ دمج الأمن والخصوصية في عمليتي البناء والتصميم. عادة تتم اختبارات الأمن لأجهزة إنترنت الأشياء في مرحلة الإنتاج، عندما يكون الوقت متأخراً لإجراء تغييرات كبيرة. لذا يمكن للتخطيط والاستثمار المبكر أن يختصر كثيراً من الوقت. على سبيل المثال، تتشارك العديد من أجهزة إنترنت الأشياء أسماء مستخدمين وكلمات مرور افتراضية معروفة جداً ويمكن إيجادها سريعاً عن طريق بحث على موقع جوجل. ولأنّ العديد من المستهلكين لا يقومون بتغيير هذه الإعدادات الافتراضية، يجب أن يتم تصميم هذه المنتجات بحيث تشحن باستخدام بيانات اعتماد فريدة أو أن تطلب من المستخدمين تعيين بيانات جديدة عند الاستخدام الأول. هذا الأمر يعرقل الطريقة الأسهل والأكثر انتشاراً للتخلي عن أجهزة إنترنت الأشياء. ففي العام الماضي، استخدمت مجموعة قراصنة بيانات الاعتماد الخاصة بمصنع معروف لإصابة الآلاف من مسجلات الفيديو الرقمية وكاميرات الويب باستخدام شبكة روبوت (Mirai)، وذلك لإحداث انقطاع كبير في الإنترنت.
ثانياً، أن تكون أجهزة إنترنت الأشياء قادرة على تلقّي التحديثات البرمجية طوال فترة حياتها. إذ غالباً ما تُكتشف نقاط الضعف البرمجية الجديدة بعد إطلاق المنتج، وهو ما يجعل عملية التصحيح الأمني كمهمة دفاع ضد هذه التهديدات. وإذا كانت هناك حدود لطول الفترة الزمنية التي يمكن خلالها تقديم التحديثات، يجب أن تتم تسمية المنتج بوضوح مرفقاً مع "تاريخ انتهاء الصلاحية" الذي لن يتم بعده إجراء أي إصلاحات أمنية.

ثالثاً، أن يتم تحسين الشفافية مع المستهلكين. خلافاً للهواتف المحمولة وأجهزة الكومبيوتر، غالباً ما تعمل أجهزة إنترنت الأشياء دون رقابة أو رؤية بشرية. وتفتقر العديد من هذه الأجهزة إلى وجود شاشات لعرض الرسائل الضرورية، وكما هو الحال مع أنواع أخرى من عمليات مراقبة المنتج، يجب إعلام المالكين عندما توجد مشكلة أمنية في الجهاز وإخبارهم عن كيفية تطبيق التحديثات الأمنية. وعندما تتم إعادة بيع أجهزة إنترنت الأشياء يجب أن تكون هناك طريقة سهلة لإعادة ضبط الإعدادات ومسح البيانات العامة وبيانات الاعتماد. على سبيل المثال، أظهرت شركة أي بي إم (IBM) للأمن مؤخراً كيف يمكن لبائعي السيارات المستعملة أن يحتفظوا بإمكانية الوصول إلى وظائف التحكم بالسيارات (مثل تحديد الموقع الجغرافي) دون أن يكون المشترون على دراية.

لا نزال في الأيام الأولى لعالم إنترنت الأشياء، ولكنه عالم سريع التحرك بوجود مليارات من الأجهزة المتصلة سنوياً. بالإضافة إلى أنّ فرصة بناء نظام بيئي تتجه نحو الانغلاق. هل سيتبع الآخرون طريقة الفندق النمساوي بالانسحاب عندما تُخترق الأجهزة والثقة أيضاً؟ لا ينبغي لصناعة إنترنت الأشياء أن تنتظر اكتشاف مثل هذه الأمور. يمكننا إما أن نستثمر في حماية تلك الثقة وأن نستمتع بفوائد هذه التقنية الرائعة، أو أن نتوقع أن يتسبب القراصنة بالمزيد من الفوضى وأن تقوم الحكومات بالتدخل بطريقة غير مناسبة.