در سال 2016، یکی از شدیدترین حملات DDoS تاریخ (محروم سازی از سرویس) در اینترنت اتفاق افتاد. تعداد بسیار زیادی از کمپانی ها از جمله Spotify، توییتر، Etsy، Visa و غیره، قربانی حمله ای شدند که امروزه آن را به نام Mirai botnet می شناسیم؛ یک بدافزار بسیار قدرتمند که از دستگاه های IoT ناامن سوء استفاده کرد و تنها در 20 ساعت اول، 65 هزار مورد از این دستگاه ها را آلوده ساخت. یکی از تکان دهنده ترین بخش های این حمله آن بود که مجرمینِ این حادثه، تروریست یا حتی مجرمین پیشرفته جنگ های سایبری نبودند. در عوض، آنان سه دانشجوی باهوش بودند که قصد داشتند در یک بازی ویدئویی رایج به نام Minecraft پیروز شوند، اما کارشان هرج و مرج زیادی را در پی داشت.
این حادثه، یکی از رویدادهای اصلی بود که باعث شد چشمان جهان بر این حقیقت باز شود که این دستگاه های هوشمند چقدر آسیب پذیر هستند و به چه آسانی می توان به آنها حمله کرد. این آسیب پذیری، دلیل کافی برای آسیب رساندن به مصرف کنندگان، مشاغل و سازمان های متعددی است.
حال بعد از گذشت تقریباً چهار سال، هنوز هم استانداردهای حفاظت IoT در سطح جهانی وجود ندارد که از خطرات آینده تا حد چشمگیری بکاهد و افراد و مؤسسات دولتی و اغلب تولیدکنندگان را وادار کرده تا هر کدام رویکرد حفاظت سایبری خود را مستقل از دیگران تبیین و اجرا کنند. با این عدم انسجام شدید، برای تولیدکنندگان، کاربران و ارائه دهندگان راهکارها، تضمین امنیت محصولات و در کل زنجیره تولیدشان بسیار دشوار شده است؛ در حالی که اگر این فرآیند، یکپارچه و در ابعاد بزرگتر بود، از هزینه های هنگفت جلوگیری می کرد. در این مطلب به وضعیت قوانین و استانداردهای سایبری وضع شده در نقاط مختلف جهان می پردازیم.
نگاهی به وضعیت استانداردهای حفاظت سایبری
کشور ایالات متحده هر دو نوع مقررات دولتی و فدرال را دارد که برخی به تصویب رسیده اند و برخی دیگر در دست بررسی هستند. برای مثال، کالیفرنیا یکی از اولین ایالت هایی بود که قانون State Bill 327 را به اجرا درآورد، اما در مورد این قانون سؤالاتی مطرح شد که بی پاسخ ماند. به عنوان مثال، حذف پسوردهای پیش فرض از جمله اقدامات کلیدی بود، اما این سؤال مطرح شد: «چه رمزی را باید جایگزین آن کرد که معقول و مطمئن باشد»؟
قانون Oregon House Bill 2395 نیز شامل «حفاظت معقول» و مسئله «پسورد پیش فرض» می شود؛ اما با افزودن مقررات در مورد احراز هویت پیش از دسترسی یافتن کاربران به دستگاه های متصل برای اولین بار، این قانون کمی منطقی تر به نظر می رسد.
در سطح فدرال نیز دو قانون مختلف مطرح گردید: قانون سایبر شیلد و قانون ارتقای IoT، که هیچکدام تا کنون به صورت رسمی، تصویب نشده اند. قانون مربوط به IoT از دستورالعمل های استاندارد NIST (مؤسسه ملی استانداردها و فناوری) پیروی می کند که در مورد شناسایی دستگاه، محافظت از داده ها، آپدیت های نرم افزاری و پیکربندی دستگاه، راهکارهایی را ارائه نموده است.
رویکرد اروپا در حفاظت سایبری
در اروپا، قوانین کمی شفاف تر هستند. قانون EN 303 645 که می تواند به قانون IoT نسبت داده شود، توسط دولت انگلیس تصویب شد و در ابتدا 13 سیاست اصلی را ارائه می کرد. سپس به 60 مورد مختلف گسترش یافت، اما سه دستورالعمل اصلی دارد: سیاست های افشای آسیب پذیری ها، ممنوعیت استفاده از پسوردهای پیش فرض و قابلیت به روزرسانی مداوم نرم افزارها، که هر سه در حفاظت سایبری بسیار مهم هستند. قوانین دیگری نیز در مورد افشای جزئیات دستگاه ها وجود دارد؛ همچون سنسورهای داخل هر دستگاه یا داده های ابتدایی.
نمونه ای از قوانین سایبری در آسیا
در سال 2019، ژاپن پروژه اجرای ملی در راستای پاکسازی محیط اینترنت اشیا (NOTICE) را راه اندازی کرد که بر اساس آن دولت ژاپن تصمیم گرفت تا رویکردی را برای حفاظت IoT اتخاذ کند. وزارت امور داخلی و ارتباطات (MIC) و مؤسسه ملی فناوری اطلاعات و ارتباطات (NICT) با مشارکت ارائه دهندگان خدمات اینترنتی (ISPها)، مجوز اسکن شبکه های مصرف کننده را صادر کردند تا تعیین کنند آیا منازل مصرف کنندگان تحت خطر حملات سایبری هست یا خیر. سپس ISP آنان را از ناامن بودن محصولاتشان مطلع می کند. در طی شش ماه اولِ این پروژه، ده ها میلیون دستگاه اسکن شد و حدود 150 هشدار در هر روز برای کاربران و ارائه دهندگان ارسال گردید.
اگرچه مشخص شد که این شیوه، نسبت به استانداردهای اروپا و ایالات متحده امنیتIoT بیشتری را در پی دارد، اما ممکن است بسیاری از افراد نیز از ناامن بودن دستگاه هایشان بی اطلاع بمانند. در حقیقت این پروژه نمی تواند در سطحی گسترده، مشکلات حفاظت IoT را برطرف سازد.
اگرچه می توان گفت که هر یک از این روش ها در نوع خود روش هایی کارآمد برای حفاظت IoT هستند، اما نکته مهم تر آن است که عدم یکپارچگی قوانین، مانع پیشرفت آنها در سطحی گسترده می شود و در نتیجه تولیدکنندگان محصولاتی برای استفاده در سطح جهانی را با مشکلاتی مواجه می کند. درواقع، با وجود این تلاش ها، هک های مداوم و حملات متعدد، امروزه مدرکی محکم دال بر نیاز به استانداردهای جهانی و قابل گسترش هستند. برای دستیابی به چنین استانداردهایی، مشارکت استراتژیک بین رهبران صنایع و قانون گذاران ضروری خواهد بود.
