روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ دریای مواج اینترنت اشیاء (IoT) بزودی به لطف استاندارد تازه اتخاذشده‌ی  ISO/IEC 30141 که معماری ارجاعی برای راهکارهای اینرنت اشیاء تعریف می‌کند، قابل کشتی‌رانی خواهد بود. کسپرسکی به نوبه خود فعالانه در توسعه اصول اعتماد برای دستگاه‌های اینترنت اشیاء که توسط مشخصات ISO/IEC TS 30149:2024 ارائه شده است مشارکت داشته. بیایید در ادامه توضیح دهیم چرا اصلاً به استانداردها نیاز است و در اینترنت اشیاء چه چیزی می‌تواند استانداردیزه شود و چرا دستگاه‌های اینترنت اشیاء و تولیدکنندگانشان باید ثات کنند ارزش اعتماد مشتری را دارند.

چرا به استانداردها نیاز داریم؟

اگر از قبل با اصول پایه استانداردسازی در وسایل برقی آشنا هستید راحت می‌توانید این بخش را رد کنید و به بخش بعدی سر بزنید. وقتی موقع سفر شارژر اسمارت‌فون خود را به برق می‌زنید، کلی استاندارد بین‌المللی به طور نامرئی به کار گرفته می‌شوند. شارژرها بر طبق IEC 60335-1:2020 تولید می‌شوند که کارشان ایمنی برقی وسایل خانه است؛ شکل پلاگ‌ها توسط  IEC 60906-1:2009 و مشتقات آن (نظیر CEE 7/16) نظارت می‌شود و خود ولتاژ تأمینی توسط IEC 60038:2009+A1:2021 تنظیم می‌شود. استانداردسازی گسترده تا حد زیادی زندگی ما را ساده کرده است: بیشتر کشورها از انواع یکسان وسایل برقی، بارکدهای روی بسته‌بندی محصول و واحدهای وزن، طول و سرعت استفاده می‌کند. در عوض، رویکردهای جامعِ کنترل مواد مضر در محصولات، وسایل خانگی عایق‌‌شده و اتصال به زمین[1]، دوز داروها و رنگ‌آمیزی تابلوهای راهنمایی رانندگی تا حدی ایمنی را بالا برده‌اند و گواهی دادن و آزمایش کالا را ساده‌تر کرده‌اند.

کمیسیون بین المللی الکتروتکنیکی IEC) ) مزایای استانداردسازی را به شرح زیر خلاصه می‌کند. استانداردها:

•         محصولات مختلف را برای همکاری با همدیگر پشتیبانی کرده،
•         در آزمایش و صدور گواهینامه برای تأیید اینکه سازندگان به وعده‌های خود عمل می‌کنند استفاده می‌شوند
•         حاوی جزئیات فنی برای درج در مقررات خاص کشور هستند
•         تجارت بین المللی را ساده می‌کنند

استانداردهای معدودی وجود دارند؛ برخی منطقه‌ای هستند و برخی صنعتی و برخی مختص فیلد تخصصی. جدا از IEC که بدان اشاره شد، برای مثال IETF[2] نیز وجود دارد که مسئول توسعه استانداردهای اینترنتی است؛ همینطور ANSI[3] که استانداردهایی برای بازار آمریکا صادر می‌کند و از همه جهانی‌ترشان ایزو[4] است. جایی که این حوزه‌های مسئولیت‌مندی هم‌پوشانی می‌کنند، بدنه‌های استاندارد نیز اغلب در کنار هم توصیه‌هایی رایج را شکل می دهند. برای مثال، استانداردهای مهندسی برق معمولاً با پیشوند ISO/IEC می‌آیند. توجه داشته باشید که مطابقت سازنده با هر استانداردی، داوطلبانه است. با این حال هر کشوری ممکن است فروش فرضاً لوازم خانگی که با استانداردهای بین‌المللی یا لوکال تطابق ندارد را ممنوع کند.

استانداردهایی برای فناوری هوشمند

استانداردها می‌توانند نه تنها ویژگی‌های یک محصول نهایی را شرح دهند که همچنین اینکه چطور آن را می‌شود تولید کرد را نیز توصیف کنند- پرداختن هم به ابعاد نرم‌افزاری و هم سخت‌افزاری. از این رو، ISO/IEC 30141:2024 تازه اتخاذشده که ساختار دستگاه‌ها و سرویس‌های مرتبط با اینترنت اشیاء را شرح می‌دهد، افزونه‌ای است منطقی و مدت‌دار برای پورتفولیوی استانداردها. استانداردسازی بر اساس این مشخصات به چند معضل می‌پردازد:

•         حسگرهای بی‌سیم و هاب‌هایی که با آن‌ها تعامل دارند از پروتکل‌های یکسانی استفاده می‌کنند تا تجهیزات تولیدکنندگان مختلف بتوانند در خانه‌ها و درون شرکت‌ها با هم کار کنند.
•         ارتباطات اینترنتی استاندارد شده برای دستگاه‌های IoT وابستگی کاربر به سازنده را کاهش می‌دهد (قفل کردن فروشنده) و موقعیت‌هایی را که در آن خاموش شدن سرور خانه هوشمند عملاً قدرت و اختیار شما را می‌گیرد حذف می‌کند.
•         یک رویکرد استاندارد برای توسعه راهکارهای اینترنت اشیا، استفاده از پیاده‌سازی کامل‌تر پروتکل‌های ارتباطی را ممکن می‌سازد. علاوه بر این، استاندارد اقدامات امنیتی اجباری و اجرای آنها در هر دو جنبه سخت افزاری و نرم افزاری دستگاه ها را ترسیم می‌کند. همه این موارد باعث کاهش تعداد دستگاه‌های اینترنت اشیا می‌شود که دارای مشکلات امنیتی آشکار هستند (1، 2، 3، 4).

مکمل مهمی برای IEC 30141، مشخصات ISO/IEC TS 30149:2024 بود که در ماه می منتشر شد، که اصول قابل اعتماد بودن اینترنت اشیا را بیان می‌کند. این سند به این سوال پاسخ می‌دهد که چگونه می توان ثابت کرد یک دستگاه اینترنت اشیا ایمن است (به جای تکیه بر ادعاهای فروشنده) - و کسپرسکی به توسعه آن کمک کرد.

5 جنبه امنیتی تأییدشده

مفهوم‌های کلیدی اعتماد و اعتماد به صداقت کمی با هم فرق دارند. اعتماد بر اساس فرضیات است که برخی‌شان شاید حقیقت داشته باشند و بر اساس خصوصیاتی قابل‌مشاهده باشند (ساخته‌شده از فلز) و برخی شاید یافت‌نشده باشند (حاوی پسوردهای بک‌آپ رمزی نیست).  طبق مشخصات، اعتماد به صداقت، توانایی قابل‌تأییدی است برای برآورده کردن انتظارات. ISO/IEC TS 30149:2024 اینکه چطور اعتماد و اعتماد به صداقت و مؤلفه‌ی ریسک با هم در ارتباطند را با جزئیات شرح داده و 5 جنبه‌ای را که در آن اعتماد به صداقت راهکار اینترنت اشیاء را می‌شود نشان داد ارائه می‌دهد. اینها عبارتند از:

ایمنی

امنیت

حریم خصوصی

تاب آوری

قابلیت اطمینان

برای هر یک از این جنبه‌ها، اعتماد از طریق رویکردهای خاص طراحی و ساخت سیستم تضمین می‌شود. این سند الگوهای تمرین‌شده به بهترین شکل را برای ایجاد سیستم‌های اینترنت اشیا و اطمینان از اعتماد به آنها ارائه می‌کند - از روش‌های ارزیابی تهدید برای نقض‌های مربوط به اعتماد، تا راهکارهای معماری برای سیستم‌های مورد اعتماد (برای مثال MILS).

آینده جهان اینترنت اشیاء چگونه خواهد بود؟

اتخاذ استانداردها به تنهایی به طور جادویی، یک‌شبه امنیت اینترنت اشیاء را بهبود نمی‌بخشد. محصولات قدیمی از قبل پشتیبانی‌شان را از دست دادند و این درحالیست که جدیدترها که با استانداردها در تطابقند باید از سوی گولاتورهای بین‌المللی و بومی یک نیاز تلقی شوند. تولیدکنندگان سپس نیاز دارند کلی زمان صرف کنند تا محصولات جدیدی را قادر به تطابق با این استانداردها توسعه دهند. با در نظر گرفتن همه این موارد می‌توان انتظار داشت که امنیت دستگاه‌های IoT هم در بخش صنعتی و هم در بخش مصرف‌کننده تا حد قابل‌توجهی بالا خواهد رفت. اینها باید شامل اقداماتی ساده اما مؤثر شود- مانند تنظیمات امن پیش فرض و دوره‌های بلندمدت از پیش‌تعریف‌شده برای تحویل آپدیت. راهکارهای بهبودی‌بخش پیچیده‌تر اما مهم نیز باید در اتخاذ گسترده رویکردهایی که از زمان طراحی امن هستند گنجانده شوند؛ همینطور باید به فکر پروتکل‌های استاندارد و تأییدشده‌ی عموم از لحاظ ارتباطی برای کمتر آسیب‌پذیر بودن محصولات بود. به لطف معماری پروتکل و سیستم بهتر داکیومنت‌شده، متخصصین می‌توانند راحت‌تر به تحلیل امنیت محصولات خاص بپردازند. و هدف نهایی: مشتریان بدانند که دستگاه‌های اینترنت اشیاءیی که می‌خرند در طول چرخه حیات‌شان امن، مطمئن و مقاوم به تهدید (هم فیزیکی و هم سایبری) هستند.

[1]در وسایل الکتریکی نیاز است که پتانسیل بعضی قسمت‌های دستگاه با زمین یکی شود، برای این منظور از اتصال به زمین استفاده می‌شود. اساس زمین کردن بر این است که جرم بزرگ زمین به عنوان پتانسیل صفر-به خصوص در مهندسی برق- در نظر گرفته می‌شود و تمام قسمت‌هایی که به زمین وصل شده‌اند هم پتانسیل زمین شوند، به عبارت دیگر پتانسیل صفر زمین را بگیرند. 

[2]  Internet Engineering Task Force

[3] National Standards Institute

[4] International Organization for Standardization

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.