• โฮมเพจ
  • บทความ
  • ทั่วไป
  • เรากำลังสร้าง Internet of Things (IoT) ที่ไม่ปลอดภัยหรือไม่? ความท้าทายและข้อกังวลด้านความปลอดภัย

เรากำลังสร้าง Internet of Things (IoT) ที่ไม่ปลอดภัยหรือไม่? ความท้าทายและข้อกังวลด้านความปลอดภัย

เผยแพร่แล้ว: 2022-03-11

Internet of Things (IoT) เป็นคำศัพท์ของอุตสาหกรรมมาหลายปีแล้ว แต่การพัฒนาที่ซบเซาและการค้าที่จำกัด ทำให้ผู้เฝ้าดูอุตสาหกรรมบางคนเริ่มเรียกมันว่า "Internet of NoThings"

พูดสองแง่สองง่าม การพัฒนา IoT กำลังมีปัญหา นอกเหนือจากการวางไข่มุขตลกที่ไม่เหมาะกับโอกาสทางสังคมส่วนใหญ่แล้วการโฆษณาชวนเชื่อไม่ได้ช่วย และที่จริงแล้ว ฉันเชื่อว่ามันก่อให้เกิดอันตรายมากกว่าผลดี IoT มีปัญหาเล็กน้อย แต่ความครอบคลุมในเชิงบวกและโฆษณาที่ไร้เหตุผลทั้งหมดเป็นปัญหาที่เราสามารถทำได้โดยปราศจาก ข้อดีของการดึงดูดความสนใจมากขึ้นนั้นชัดเจน: การลงทุนมากขึ้น, เงินทุน VC มากขึ้น, ความสนใจของผู้บริโภคมากขึ้น

ความปลอดภัยและอินเทอร์เน็ตของสิ่งต่าง ๆ

อย่างไรก็ตาม สิ่งเหล่านี้มาพร้อมกับระดับการตรวจสอบเพิ่มเติม ซึ่งทำให้เห็นข้อบกพร่องหลายประการอย่างชัดเจน หลังจากสองปีของการคาดการณ์เชิงบวกและสัญญาขนาดใหญ่ ความปลอดภัยของ IoT ดูเหมือนจะเป็นปัญหาที่ใหญ่ที่สุด ในช่วงสองสามสัปดาห์แรกของปี 2015 นั้นไม่เอื้ออำนวยต่ออุตสาหกรรมที่กำลังเกิดขึ้นใหม่นี้ และข่าวเชิงลบส่วนใหญ่เกี่ยวกับความปลอดภัย

มันสมเหตุสมผลหรือไม่? เป็นเพียง "ความกลัว ความไม่แน่นอน และความสงสัย" (FUD) ที่เกิดจากโฆษณาชวนเชื่อมานานหลายปีใช่หรือไม่? มันเป็นบิตของทั้งสอง; แม้ว่าปัญหาบางอย่างอาจล้นเกิน แต่ปัญหาก็จริงมาก

จาก “ปีแห่ง IoT” สู่ Annus Horribilis สำหรับ IoT

นักวิจารณ์หลายคนอธิบายว่าปี 2015 เป็น "ปีแห่ง IoT" แต่จนถึงขณะนี้ เป็นปีแห่งข่าวร้าย จริงอยู่ที่ยังเหลือเวลาอีกสิบเดือน แต่รายงานเชิงลบยังคงซ้อนอยู่ เมื่อเร็วๆ นี้ บริษัทด้านความปลอดภัย Kaspersky ได้วิจารณ์ความท้าทายด้านความปลอดภัยของ IoT โดยพาดหัวข่าวที่ไม่ประจบประแจงว่า " Internet of Crappy Things "

Kaspersky ไม่ใช่คนแปลกหน้าสำหรับการวิพากษ์วิจารณ์และการโต้เถียงเกี่ยวกับ IoT บริษัทได้ส่งเสียงเตือนมาระยะหนึ่งแล้ว โดยสำรองข้อมูลด้วยตัวอย่างบ้านอัจฉริยะที่ถูกแฮ็ก ล้างรถ และแม้แต่ระบบเฝ้าระวังของตำรวจ ไม่ว่าแฮ็กเกอร์ต้องการล้างรถโดยไม่เสียค่าใช้จ่าย หรือสะกดรอยตามใครโดยใช้เครื่องติดตามฟิตเนส ข้อบกพร่องด้านความปลอดภัยของ IoT อาจทำให้เป็นไปได้

Wind River เผยแพร่เอกสารไวท์เปเปอร์เกี่ยวกับความปลอดภัยของ IoT ในเดือนมกราคม 2015 และรายงานเริ่มต้นด้วยการแนะนำอย่างมีสติ หัวข้อ Searching For The Silver Bullet สรุปปัญหาในสามย่อหน้า ซึ่งผมจะย่อเป็นสองสามประเด็น:

  • ความปลอดภัยจะต้องเป็นตัวเปิดใช้งานพื้นฐานสำหรับ IoT
  • ขณะนี้ยังไม่มีความเห็นเป็นเอกฉันท์เกี่ยวกับวิธีการใช้ความปลอดภัยใน IoT บนอุปกรณ์
  • ความคาดหวังที่แพร่หลายและไม่สมจริงก็คือว่ามันเป็นไปได้ที่จะบีบอัดวิวัฒนาการด้านความปลอดภัย 25 ปีลงในอุปกรณ์ IoT ใหม่
  • ไม่มีกระสุนเงินที่สามารถบรรเทาภัยคุกคามได้อย่างมีประสิทธิภาพ

อย่างไรก็ตาม มีข่าวดีอยู่บ้าง ความรู้และประสบการณ์มีอยู่แล้ว แต่ต้องปรับให้เข้ากับข้อจำกัดเฉพาะของอุปกรณ์ IoT

น่าเสียดาย นี่คือจุดที่นักพัฒนาความปลอดภัยของระบบเราสะดุดกับปัญหาอื่น นั่นคือปัญหาฮาร์ดแวร์

อีดิธ รามิเรซ ประธานคณะกรรมาธิการการค้าแห่งสหพันธรัฐสหรัฐฯ กล่าวถึงงาน Consumer Electronics Show ในลาสเวกัสเมื่อต้นปีนี้ โดยเตือนว่าการฝังเซ็นเซอร์ลงในอุปกรณ์ประจำวัน และปล่อยให้พวกเขาบันทึกสิ่งที่เราทำ อาจก่อให้เกิดความเสี่ยงด้านความปลอดภัยอย่างใหญ่หลวง

Ramirez ได้สรุปความท้าทายหลักสามประการสำหรับอนาคตของ IoT:

  • การเก็บรวบรวมข้อมูลอย่างทั่วถึง
  • ศักยภาพในการใช้ข้อมูลผู้บริโภคโดยไม่คาดคิด
  • เพิ่มความเสี่ยงด้านความปลอดภัย

เธอกระตุ้นให้บริษัทต่างๆ ปรับปรุงความเป็นส่วนตัวและสร้างอุปกรณ์ IoT ที่ปลอดภัยโดยใช้แนวทางที่เน้นความปลอดภัย ลดปริมาณข้อมูลที่รวบรวมโดยอุปกรณ์ IoT เพิ่มความโปร่งใส และให้ทางเลือกแก่ผู้บริโภคในการเลือกไม่รับการรวบรวมข้อมูล

รามิเรซกล่าวต่อไปว่านักพัฒนาอุปกรณ์ IoT ไม่ได้ใช้เวลาคิดเกี่ยวกับวิธีรักษาความปลอดภัยอุปกรณ์และบริการของตนจากการโจมตีทางอินเทอร์เน็ต

“ขนาดที่เล็กและกำลังในการประมวลผลที่จำกัดของอุปกรณ์ที่เชื่อมต่อจำนวนมากสามารถยับยั้งการเข้ารหัสและมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพอื่นๆ” รามิเรซกล่าว “นอกจากนี้ อุปกรณ์ที่เชื่อมต่อบางตัวยังมีราคาถูกและจำเป็นสำหรับใช้แล้วทิ้ง หากพบช่องโหว่ในอุปกรณ์ประเภทนั้น อาจเป็นเรื่องยากที่จะอัปเดตซอฟต์แวร์หรือใช้โปรแกรมแก้ไข หรือแม้แต่รับข่าวสารเกี่ยวกับการแก้ไขไปยังผู้บริโภค”

แม้ว่ารามิเรซจะได้รับความสนใจในหลายๆ ด้าน แต่ฉันควรสังเกตว่าอินเทอร์เน็ตได้ผ่านช่วงที่คล้ายกันเมื่อสองทศวรรษที่แล้ว มีข้อกังวลด้านความปลอดภัยมากมาย และยุค 90 ได้เห็นการเกิดขึ้นของมัลแวร์ที่เกิดจากอินเทอร์เน็ต การโจมตี DDoS ฟิชชิ่งที่ซับซ้อน และอื่นๆ แม้ว่าฮอลลีวูดจะวาดภาพอนาคตที่เลวร้ายในภาพยนตร์บางเรื่อง แต่เราก็จบลงด้วยลูกแมวบนโซเชียลเน็ตเวิร์กและการละเมิดความปลอดภัยระดับสูงที่นี่และที่นั่น

อินเทอร์เน็ตยังไม่ปลอดภัย ดังนั้นเราจึงคาดไม่ถึงว่า IoT จะปลอดภัยเช่นกัน อย่างไรก็ตาม การรักษาความปลอดภัยมีการพัฒนาอย่างต่อเนื่องเพื่อตอบสนองความท้าทายใหม่ ๆ เราเคยเห็นมาก่อน และเราจะเห็นมันอีกครั้งด้วย IoT และเทคโนโลยีที่เชื่อมต่อที่ตามมา

ฮาร์ดแวร์ IoT ยังคงเป็นปัญหาอยู่

บางท่านอาจคิดว่าปัญหาฮาร์ดแวร์ที่เจ้านาย FTC กล่าวถึงจะได้รับการแก้ไข ใช่บางคนอาจจะ

เมื่อตลาด IoT เติบโตขึ้น เราจะเห็นการลงทุนมากขึ้น และเมื่อฮาร์ดแวร์เติบโตขึ้น เราก็จะได้รับการรักษาความปลอดภัยที่ดีขึ้น ผู้ผลิตชิปอย่าง Intel และ ARM จะกระตือรือร้นที่จะนำเสนอการรักษาความปลอดภัยที่ดีขึ้นสำหรับรุ่นใหม่แต่ละรุ่น เนื่องจากการรักษาความปลอดภัยอาจเป็นตัวสร้างความแตกต่างของตลาด ทำให้พวกเขาได้รับชัยชนะในการออกแบบมากขึ้นและได้รับส่วนแบ่งที่มากขึ้น

เทคโนโลยีมีความก้าวหน้าอยู่เสมอ ทำไมไม่? กระบวนการผลิตใหม่โดยทั่วไปส่งผลให้โปรเซสเซอร์เร็วขึ้นและมีประสิทธิภาพมากขึ้น และไม่ช้าก็เร็ว ช่องว่างจะปิดลง ทำให้นักพัฒนามีกำลังในการประมวลผลมากพอที่จะปรับใช้คุณลักษณะด้านความปลอดภัยที่ดีขึ้น อย่างไรก็ตาม ฉันไม่ค่อยแน่ใจว่านี่เป็นสถานการณ์จริง

ไม่ปลอดภัย iot

อย่างแรกเลย ชิป IoT จะไม่ใช่ผู้ทำเงินรายใหญ่ เนื่องจากมีขนาดเล็กและมักใช้สถาปัตยกรรมที่ล้าสมัย ตัวอย่างเช่น แพลตฟอร์ม Intel Edison รุ่นแรกใช้โปรเซสเซอร์ Quark ซึ่งโดยพื้นฐานแล้วจะใช้ชุดคำสั่ง CPU เดียวกันและการออกแบบส่วนใหญ่ของ Pentium P54C แบบโบราณ อย่างไรก็ตาม ไมโครคอมพิวเตอร์ Edison รุ่นต่อไปนั้นใช้โปรเซสเซอร์ที่เร็วกว่ามาก ซึ่งใช้แกน Atom Silvermont ซึ่งอยู่ในแท็บเล็ต Windows และ Android หลายรุ่นในปัจจุบัน (Intel จัดส่ง SoCs Bay Trail ประมาณ 46 ล้านครั้งในปี 2014)

ในทางกลับกัน เราอาจจบลงด้วยคอร์ CPU แบบ 64 บิต x86 ที่ค่อนข้างทันสมัยในอุปกรณ์ IoT แต่พวกมันจะไม่มีราคาถูก พวกมันจะยังคงซับซ้อนกว่าคอร์ ARM ที่เล็กที่สุดอย่างมาก ดังนั้นจึงต้องมีแบตเตอรี่มากขึ้น พลัง.

อุปกรณ์สวมใส่ราคาถูกและแบบใช้แล้วทิ้งซึ่งดูเหมือนจะเป็นปัญหาที่ใหญ่ที่สุดของ FTC จะไม่ถูกขับเคลื่อนโดยชิปดังกล่าว อย่างน้อย ก็ไม่ใช่ในเร็วๆ นี้ ผู้บริโภคอาจลงเอยด้วยโปรเซสเซอร์ที่ทรงพลังกว่า เช่น ชิป Intel Atoms หรือ ARMv8 ในผลิตภัณฑ์อัจฉริยะบางอย่าง เช่น ตู้เย็นอัจฉริยะ หรือเครื่องซักผ้าที่มีหน้าจอสัมผัส แต่ไม่เหมาะสำหรับอุปกรณ์แบบใช้แล้วทิ้งที่ไม่มีจอแสดงผลและมีความจุแบตเตอรี่จำกัด

การขายแพลตฟอร์มที่สมบูรณ์หรือการออกแบบอ้างอิงสำหรับอุปกรณ์ IoT ต่างๆ สามารถช่วยให้ผู้ผลิตชิปสร้างรายได้มากขึ้น ในขณะเดียวกันก็แนะนำมาตรฐานและความปลอดภัยที่มากขึ้น สิ่งสุดท้ายที่อุตสาหกรรมต้องการคืออุปกรณ์ที่ไม่ได้มาตรฐานและมีการแตกแฟรกเมนต์มากขึ้น นี่อาจฟังดูเป็นแนวทางที่สมเหตุสมผลและสมเหตุสมผล เนื่องจากนักพัฒนาซอฟต์แวร์จะลงเอยด้วยแพลตฟอร์มน้อยลงและจัดสรรทรัพยากรมากขึ้นเพื่อความปลอดภัย อย่างไรก็ตาม การละเมิดความปลอดภัยจะส่งผลกระทบต่ออุปกรณ์จำนวนมากขึ้นเช่นกัน

เงินไหลเข้า นักวิเคราะห์ยังคงรั้น อะไรจะผิดพลาดได้?

วิธีหนึ่งที่ใช้กันทั่วไปในการแก้ปัญหาในอุตสาหกรรมเทคโนโลยีคือการทุ่มเงินให้กับมัน มาดูกันว่าเรายืนอยู่ตรงไหนในแง่ของเงินทุนมากกว่าเทคโนโลยี

จากข้อมูลของบริษัทวิจัย IDC และ Gartner ระบุว่า IoT จะเติบโตจนสามารถเปลี่ยนแปลงอุตสาหกรรมศูนย์ข้อมูลได้ภายในสิ้นทศวรรษนี้ Gartner คาดว่าตลาด IoT จะมียูนิตติดตั้ง 26 พันล้านเครื่องภายในปี 2020 ซึ่งสร้างโอกาสมหาศาลให้กับทุกฝ่าย ตั้งแต่ศูนย์ข้อมูลและผู้ผลิตฮาร์ดแวร์ ไปจนถึงนักพัฒนาและนักออกแบบ IDC ยังคาดว่าอุตสาหกรรม IoT จะจบลงด้วย "อุปกรณ์หลายพันล้านเครื่องและเงินหลายล้านเหรียญ" ภายในสิ้นทศวรรษนี้

การคาดการณ์ตลาด IoT ล่าสุดของ Gartner ที่เผยแพร่ในเดือนพฤษภาคม 2014 ยังรวมถึงรายการของความท้าทายที่อาจเกิดขึ้น ซึ่งฉันได้กล่าวถึงไปแล้วบางส่วน:

  • ความปลอดภัย: ระบบอัตโนมัติและการแปลงเป็นดิจิทัลที่เพิ่มขึ้นทำให้เกิดปัญหาด้านความปลอดภัยใหม่
  • องค์กร: ปัญหาด้านความปลอดภัยอาจก่อให้เกิดความเสี่ยงด้านความปลอดภัย
  • ความเป็นส่วนตัวของผู้บริโภค: ศักยภาพของการละเมิดความเป็นส่วนตัว
  • ข้อมูล: ข้อมูล จำนวนมากจะถูกสร้างขึ้น ทั้งสำหรับข้อมูลขนาดใหญ่และข้อมูลส่วนบุคคล
  • การจัดการพื้นที่เก็บข้อมูล: อุตสาหกรรมจำเป็นต้องค้นหาว่าจะทำอย่างไรกับข้อมูลในลักษณะที่คุ้มทุน
  • เทคโนโลยีเซิร์ฟเวอร์: จำเป็นต้องมีการลงทุนเพิ่มเติมในเซิร์ฟเวอร์
  • เครือข่ายศูนย์ข้อมูล: ลิงก์ WAN ได้รับการปรับให้เหมาะสมสำหรับแอปพลิเคชันอินเทอร์เฟซของมนุษย์ IoT คาดว่าจะเปลี่ยนรูปแบบอย่างมากโดยการส่งข้อมูลโดยอัตโนมัติ

ประเด็นทั้งหมดเหล่านี้ (และอื่น ๆ ) จะต้องได้รับการแก้ไขไม่ช้าก็เร็ว มักจะมีค่าใช้จ่ายจำนวนมาก เราไม่ได้พูดถึงชิป IoT ขนาดเล็กและของเล่นราคาถูกที่ใช้ชิปดังกล่าวอีกต่อไป นี่คือโครงสร้างพื้นฐาน นี่เป็นซิลิกอนจำนวนมากในซีพียูเซิร์ฟเวอร์, DDR4 ECC RAM ราคาแพง และ SSD ที่ใหญ่กว่า ซึ่งทั้งหมดนี้อยู่ในเซิร์ฟเวอร์ราคาแพง ในศูนย์ข้อมูลที่ใหญ่กว่า

นั่นเป็นเพียงส่วนปลายของภูเขาน้ำแข็ง อุตสาหกรรมต้องจัดการกับปัญหาแบนด์วิธ การจัดการข้อมูลและนโยบายความเป็นส่วนตัว และความปลอดภัย ดังนั้นเงินจำนวนเท่าไรจึงทำให้เกิดความปลอดภัย ซึ่งอยู่เหนือรายการความท้าทาย IoT ของ Gartner?

เงินจำนวนมากไหลเข้าสู่อุตสาหกรรมแล้ว VCs เริ่มเข้ามาแล้ว และจังหวะของการลงทุนดูเหมือนจะเพิ่มขึ้น นอกจากนี้ยังมีการเข้าซื้อกิจการจำนวนมาก ซึ่งมักเกี่ยวข้องกับผู้เล่นรายใหญ่ เช่น Google, Qualcomm, Samsung, Gemalto, Intel และอื่นๆ มีรายการการลงทุนที่เกี่ยวข้องกับ IoT บน Postscapes ปัญหาของการลงทุนจำนวนมาก โดยเฉพาะอย่างยิ่งการลงทุนที่มาจาก VCs คือพวกเขามักจะมุ่งเน้นไปที่สิ่งที่ "แวววาว" ซึ่งเป็นอุปกรณ์ที่สามารถออกสู่ตลาดได้ในเร็วๆ นี้ โดยอาจมี ROI ที่น่าทึ่ง การลงทุนเหล่านี้ไม่ได้ช่วยเรื่องความปลอดภัยหรือโครงสร้างพื้นฐานมากนัก ซึ่งโดยพื้นฐานแล้วจะต้องตอบสนองความต้องการ IoT

ผู้เล่นรายใหญ่จะต้องทำงานหนัก ไม่ใช่สตาร์ทอัพและผู้ผลิตของเล่นที่ได้รับการสนับสนุนจาก VC การเริ่มต้นใช้งานที่คล่องตัวและสร้างสรรค์จะมีบทบาทสำคัญอย่างแน่นอนโดยการส่งเสริมการนำไปใช้และการสร้างความต้องการ แต่พวกเขาไม่สามารถทำทุกอย่างได้

ลองคิดดูสิ แม้แต่บริษัทเล็กๆ ก็สามารถสร้างรถยนต์ได้ หรือรถยนต์หลายหมื่นคัน แต่ก็ไม่สามารถสร้างทางหลวง ถนน ปั๊มน้ำมัน และโรงกลั่นได้ บริษัทเล็กๆ เดียวกันนั้นสามารถสร้างรถที่ปลอดภัยโดยใช้เทคโนโลยีนอกชั้นวางเพื่อให้เป็นไปตามมาตรฐานความปลอดภัยทางถนนขั้นพื้นฐาน แต่ไม่สามารถสร้างรถที่มีลักษณะคล้าย Segway ที่จะเป็นไปตามมาตรฐานความปลอดภัยเดียวกันและไม่มีใครสามารถทำได้ มาตรฐานความปลอดภัยยานยนต์ไม่สามารถนำไปใช้กับยานพาหนะดังกล่าวได้ เราไม่เห็นผู้คนเดินทางไปทำงานบน Segways ดังนั้นเราจึงไม่สามารถคาดหวังให้มาตรฐานความปลอดภัยทางเทคนิคแบบเดิมนำไปใช้กับอุปกรณ์ IoT ที่ใช้พลังงานต่ำได้เช่นกัน

การให้ผู้โดยสารตรวจสอบอีเมลหรือเล่น Candy Crush ขณะขี่ Segways ผ่านการจราจรในชั่วโมงเร่งด่วนนั้นฟังดูไม่ปลอดภัยนักใช่ไหม เหตุใดเราจึงควรคาดหวังว่าอุปกรณ์ IoT จะปลอดภัยเท่ากับอุปกรณ์ที่เชื่อมต่ออื่นๆ ด้วยฮาร์ดแวร์ที่ทรงพลังกว่าและระบบปฏิบัติการที่พัฒนาเต็มที่ อาจเป็นการเปรียบเทียบที่แปลก แต่สิ่งที่สำคัญที่สุดคืออุปกรณ์ IoT ไม่สามารถคาดหวังให้เป็นไปตามมาตรฐานความปลอดภัยเดียวกันกับคอมพิวเตอร์ที่มีคุณสมบัติครบถ้วน

แต่เดี๋ยวก่อน ไม่มี IoT Security Debacles จำนวนมาก...

จริงอยู่ เราไม่เห็นพาดหัวข่าวมากมายเกี่ยวกับการละเมิดความปลอดภัย IoT ที่น่าทึ่ง แต่ให้ฉันพูดแบบนี้: คุณเห็นหัวข้อที่เกี่ยวข้องกับความปลอดภัยเกี่ยวกับ Android Wear กี่รายการ หนึ่ง? สอง? ไม่มี? คาดว่ามีอุปกรณ์ Android Wear น้อยกว่าหนึ่งล้านเครื่อง ดังนั้นจึงไม่ใช่เป้าหมายหลักสำหรับแฮ็กเกอร์หรือเป็นหัวข้อสำหรับนักวิจัยด้านความปลอดภัย

คุณเป็นเจ้าของและใช้งานอุปกรณ์ IoT กี่เครื่องในตอนนี้ ธุรกิจของคุณใช้จำนวนเท่าใด นั่นคือที่มาของเรื่องตลก "Internet of NoThings" คนส่วนใหญ่ไม่มี ตัวเลขยังคงเพิ่มขึ้น แต่ผู้บริโภคโดยเฉลี่ยไม่ได้ซื้อจำนวนมาก แล้วการเติบโตนั้นมาจากไหน? อุปกรณ์ IoT มีวางจำหน่ายแล้วและตัวเลขกำลังเฟื่องฟู โดยได้รับแรงหนุนจากองค์กรมากกว่าตลาดผู้บริโภค

Verizon และ ABI Research ประมาณการว่ามีอุปกรณ์ต่างๆ ที่เชื่อมต่ออินเทอร์เน็ต 1.2 พันล้านเครื่องในปีที่แล้ว แต่ภายในปี 2020 พวกเขาคาดว่าจะมีการเชื่อมต่อ B2B IoT มากถึง 5.4 พันล้านเครื่อง

สายรัดข้อมืออัจฉริยะ เครื่องปิ้งขนมปัง และปลอกคอสุนัขไม่ใช่ปัญหาใหญ่ในแง่ของความปลอดภัย แต่รายงาน IoT ล่าสุดของ Verizon มุ่งเน้นไปที่สิ่งที่น่าสนใจกว่าเล็กน้อย นั่นคือ องค์กร

จำนวนการเชื่อมต่อระหว่างเครื่องกับเครื่อง (M2M) ของ Verizon ในภาคการผลิตเพิ่มขึ้น 204% จากปี 2556 ถึง 2557 รองลงมาคือการเงินและการประกันภัย สื่อและความบันเทิง การดูแลสุขภาพ การค้าปลีกและการขนส่ง รายงานของ Verizon มีรายละเอียดเกี่ยวกับแนวโน้มของ IoT ในอุตสาหกรรมต่างๆ ดังนั้นจึงนำเสนอข้อมูลเชิงลึกในด้านธุรกิจของสิ่งต่างๆ

ภาพรวมของรายงานมีความกระตือรือร้น แต่ยังระบุข้อกังวลด้านความปลอดภัยจำนวนหนึ่งด้วย Verizon อธิบายการละเมิดความปลอดภัยในอุตสาหกรรมพลังงานว่า "คิดไม่ถึง" อธิบายความปลอดภัยของ IoT ว่า "สำคัญยิ่ง" ในการผลิต และอย่านำมาซึ่งความเสี่ยงที่อาจเกิดขึ้นในการดูแลสุขภาพและการขนส่ง

เราจะได้รับอินเทอร์เน็ตที่ปลอดภัยของสิ่งต่าง ๆ ได้อย่างไรและเมื่อไหร่?

ฉันจะไม่พยายามเสนอคำตอบที่ชัดเจนว่าจะแก้ไขความท้าทายด้านความปลอดภัย IoT ได้อย่างไร หรือเมื่อใด อุตสาหกรรมยังคงค้นหาคำตอบและหนทางยังอีกยาวไกล การศึกษาล่าสุดระบุว่าอุปกรณ์ IoT ที่มีอยู่ในปัจจุบันส่วนใหญ่มีช่องโหว่ด้านความปลอดภัย HP พบว่า 70% ของอุปกรณ์ IoT มีความเสี่ยงที่จะถูกโจมตี

แม้ว่าการเติบโตจะมีโอกาสมากมาย แต่ IoT นั้นยังไม่เติบโตเต็มที่หรือมีความปลอดภัย การเพิ่มอุปกรณ์ใหม่นับล้าน เอ็นด์พอยท์ของฮาร์ดแวร์ โค้ดหลายพันล้านบรรทัด พร้อมด้วยโครงสร้างพื้นฐานที่มากขึ้นเพื่อรับมือกับโหลด ทำให้เกิดความท้าทายมากมาย ซึ่งไม่มีใครเทียบได้กับสิ่งที่เราเคยประสบมาในช่วงสองทศวรรษที่ผ่านมา

นั่นคือเหตุผลที่ฉันไม่ใช่คนมองโลกในแง่ดี

ฉันไม่เชื่อว่าอุตสาหกรรมนี้สามารถนำบทเรียนด้านความปลอดภัยมากมายไปใช้กับ IoT ได้ อย่างน้อยก็ยังไม่เร็วพอ ไม่เกินสองสามปีข้างหน้า ในใจของฉัน การเปรียบเทียบทางอินเทอร์เน็ตเป็นเรื่องเข้าใจผิด เพียงเพราะอินเทอร์เน็ตในยุคนั้นไม่จำเป็นต้องจัดการกับฮาร์ดแวร์ประเภทต่างๆ มากมายขนาดนั้น การใช้การเข้ารหัสและการสูญเสียวงจรสัญญาณนาฬิกาในการรักษาความปลอดภัยไม่ใช่ปัญหาสำหรับซีพียู x86 ขนาดใหญ่หรือ ARM SoC แต่จะไม่ทำงานในลักษณะเดียวกันกับอุปกรณ์ IoT ขนาดเล็กที่มีกำลังประมวลผลเพียงเล็กน้อยและใช้พลังงานต่างกันมาก

โปรเซสเซอร์ที่ซับซ้อนยิ่งขึ้นด้วยดายที่ใหญ่กว่า ต้องการบรรจุภัณฑ์ที่ใหญ่กว่าและต้องกระจายความร้อนมากขึ้น พวกเขายังต้องการพลังงานมากขึ้น ซึ่งหมายความว่าแบตเตอรี่ที่ใหญ่กว่า หนักกว่า และมีราคาแพงกว่า เพื่อลดน้ำหนักและลดความเทอะทะ ผู้ผลิตจะต้องหันไปใช้วัสดุและเทคนิคการผลิตที่แปลกใหม่ จากทั้งหมดที่กล่าวมาจะทำให้เกิดการใช้จ่ายด้านการวิจัยและพัฒนา เวลาในการออกสู่ตลาดนานขึ้น และรายการวัสดุที่ใหญ่ขึ้น ด้วยราคาที่สูงกว่ามากและโครงสร้างระดับพรีเมียม อุปกรณ์ดังกล่าวแทบจะเรียกได้ว่าใช้แล้วทิ้งไม่ได้

อินเทอร์เน็ตของสิ่งต่าง ๆ - iot

จะต้องทำอะไรเพื่อให้ IoT ปลอดภัย? มาก. และทุกคนต่างก็มีบทบาทในการเล่น ตั้งแต่ยักษ์ใหญ่ด้านเทคโนโลยีไปจนถึงนักพัฒนาแต่ละราย

มาดูประเด็นพื้นฐานสองสามข้อกัน เช่น สิ่งที่สามารถทำได้และสิ่งที่กำลังทำอยู่ เพื่อปรับปรุงความปลอดภัยของ IoT ในตอนนี้:

  • เน้นความปลอดภัยตั้งแต่วันแรก
  • วงจรชีวิต พิสูจน์อนาคต อัปเดต
  • การควบคุมการเข้าถึงและการตรวจสอบอุปกรณ์
  • รู้จักศัตรูของคุณ
  • เตรียมพร้อมสำหรับการละเมิดความปลอดภัย

การเน้นย้ำเรื่องความปลอดภัยอย่างชัดเจนตั้งแต่วันแรกนั้นเป็นสิ่งที่ดีเสมอ โดยเฉพาะอย่างยิ่งเมื่อต้องรับมือกับเทคโนโลยีที่ยังไม่บรรลุนิติภาวะและตลาดที่ด้อยพัฒนา หากคุณกำลังวางแผนที่จะพัฒนาโครงสร้างพื้นฐาน IoT ของคุณเอง หรือปรับใช้โซลูชันที่มีอยู่ ทำวิจัยของคุณและรับทราบข้อมูลมากที่สุด สิ่งนี้อาจเกี่ยวข้องกับการแลกเปลี่ยน เนื่องจากคุณอาจมีตัวเลือกในการเพิ่มความปลอดภัยด้วยค่าใช้จ่ายในการประนีประนอมประสบการณ์ของผู้ใช้ แต่มันก็คุ้มค่าตราบใดที่คุณมีความสมดุลที่เหมาะสม สิ่งนี้ไม่สามารถทำได้ในทันที คุณต้องวางแผนล่วงหน้าและวางแผนให้ดี

ในการเร่งนำผลิตภัณฑ์และบริการใหม่ออกสู่ตลาด หลายบริษัทมักจะมองข้ามการสนับสนุนระยะยาว มันเกิดขึ้นตลอดเวลา แม้แต่ในลีกใหญ่ๆ ดังนั้นเราจึงลงเอยด้วยคอมพิวเตอร์และอุปกรณ์มือถือที่ไม่ได้รับการแก้ไขและไม่ปลอดภัยนับล้านเครื่อง สิ่งเหล่านี้แก่เกินไปสำหรับบริษัทส่วนใหญ่ที่จะต้องใส่ใจ และอุปกรณ์ IoT แบบใช้แล้วทิ้งจะยิ่งแย่ลงไปอีก ผู้จำหน่ายโทรศัพท์รายใหญ่ไม่อัปเดตซอฟต์แวร์ของตนในโทรศัพท์อายุ 2-3 ปี ดังนั้นลองนึกภาพว่าจะเกิดอะไรขึ้นกับอุปกรณ์ IoT มูลค่า 20 ดอลลาร์ที่อาจอยู่ในเครือข่ายของคุณเป็นเวลาหลายปี ความล้าสมัยตามแผนอาจเป็นส่วนหนึ่งของสิ่งนี้ แต่ความจริงก็คือการอัปเดตอุปกรณ์เก่าไม่สมเหตุสมผลทางการเงินมากนักสำหรับผู้ผลิต เนื่องจากมีสิ่งที่ดีกว่าเกี่ยวกับทรัพยากรของพวกเขา อุปกรณ์ IoT ที่ปลอดภัยจะต้องปลอดภัยด้วยการออกแบบและไม่อนุญาตตั้งแต่เริ่มต้น หรือรับการอัปเดตที่สำคัญตลอดวงจรชีวิต และฉันแน่ใจว่าคุณจะไม่เห็นตัวเลือกใดที่ฟังดูสมจริง อย่างน้อย ก็ยังไม่ใช่

การใช้การควบคุมการเข้าถึงที่ปลอดภัยและการตรวจสอบอุปกรณ์ดูเหมือนจะเป็นสิ่งที่ชัดเจน แต่เราไม่ได้จัดการกับอุปกรณ์ที่เชื่อมต่อโดยเฉลี่ยของคุณที่นี่ การสร้างการควบคุมการเข้าถึงและวิธีการรับรองความถูกต้องที่สามารถนำไปใช้กับอุปกรณ์ IoT ที่มีราคาถูกและกะทัดรัดโดยไม่กระทบต่อประสบการณ์ของผู้ใช้หรือเพิ่มฮาร์ดแวร์ที่ไม่จำเป็นนั้นยากกว่าที่คิด ดังที่ฉันได้กล่าวไว้ก่อนหน้านี้ การขาดพลังในการประมวลผลเป็นอีกปัญหาหนึ่ง เนื่องจากเทคนิคการเข้ารหัสขั้นสูงส่วนใหญ่จะทำงานได้ไม่ดีนัก ในโพสต์ที่แล้ว ฉันได้ดูทางเลือกหนึ่ง การเข้ารหัสเอาท์ซอร์สผ่านเทคโนโลยีบล็อกเชน ฉันไม่ได้หมายถึง Bitcoin blockchain แต่เป็นเทคโนโลยีการเข้ารหัสลับที่คล้ายกันซึ่งได้รับการศึกษาโดยผู้นำในอุตสาหกรรมหลายคนแล้ว

Si vis pacem, para bellum – หากคุณต้องการความสงบ ให้เตรียมพร้อมสำหรับการทำสงคราม เป็นสิ่งสำคัญในการศึกษาภัยคุกคามและผู้โจมตีที่อาจเกิดขึ้นก่อนที่จะจัดการกับความปลอดภัยของ IoT ระดับภัยคุกคามไม่เหมือนกันสำหรับอุปกรณ์ทั้งหมด และมีข้อควรพิจารณามากมายที่ต้องคำนึงถึง จะมีคนแฮ็กตุ๊กตาหมีของลูกสาวคุณหรืออะไรที่จริงจังกว่านี้อีกไหม จำเป็นต้องลดความเสี่ยงของข้อมูล รักษาข้อมูลส่วนบุคคลจากอุปกรณ์ IoT ให้มากที่สุด รักษาความปลอดภัยในการถ่ายโอนข้อมูลที่จำเป็นอย่างเหมาะสม และอื่นๆ อย่างไรก็ตาม ในการดำเนินการทั้งหมดนี้ คุณต้องศึกษาภัยคุกคามก่อน

หากสิ่งอื่นล้มเหลว อย่างน้อยก็เตรียมพร้อมสำหรับการละเมิดความปลอดภัยที่อาจเกิดขึ้น ไม่ช้าก็เร็วสิ่งนี้จะเกิดขึ้นกับคุณหรือคนอื่น (ควรเป็นคู่แข่ง) มีกลยุทธ์ทางออกเสมอ วิธีการรักษาความปลอดภัยข้อมูลให้ได้มากที่สุดและแสดงข้อมูลที่ถูกบุกรุกโดยไร้ประโยชน์โดยไม่ทำลายโครงสร้างพื้นฐาน IoT ของคุณ นอกจากนี้ยังจำเป็นต้องให้ความรู้แก่ลูกค้า พนักงาน และทุกคนที่เกี่ยวข้องในกระบวนการเกี่ยวกับความเสี่ยงของการละเมิดดังกล่าว สอนพวกเขาถึงสิ่งที่ควรทำในกรณีที่เกิดการฝ่าฝืนและสิ่งที่ควรทำเพื่อหลีกเลี่ยง

แน่นอนว่าข้อจำกัดความรับผิดชอบที่ดีและ TOS ก็จะช่วยคุณได้เช่นกัน หากคุณต้องรับมือกับสถานการณ์ที่เลวร้ายที่สุด