"ה-IoT הוא הטכנולוגיה המשבשת ביותר והגנת הסייבר עליו – קריטית"

"האינטרנט של הדברים הוא הטכנולוגיה המשבשת הגדולה ביותר והגנת הסייבר עליו היא סופר קריטית", כך אמר אילן אלתר, מנכ"ל אלתרנט.

אלתר דיבר במפגש של פורום CSC–CISO מבית אנשים ומחשבים, שנערך אתמול (ג') ב-yes Planet בראשון לציון ועסק באתגרי אבטחת המידע והסייבר בעולם האינטרנט של הדברים.

לדבריו, "עולם ה-IoT משנה את הדרך שבה אנחנו צורכים, עובדים, חיים, מייצרים קשרים, מבלים ומטיילים. כל המהפכות הגדולות האחרונות – הענן, המובייל, ה-Big Data, הרשתות החברתיות והמדפסות התלת ממדיות – הן רק התשתית של מהפכה זו".

"כיום, כל דבר מתחבר לאינטרנט בעלי חיים, מנעולים, מכולות אשפה, עציצים, דלתות, שקעי חשמל… כל חפץ כזה הופך לחכם. למשל, מכולות שמובלות בקירור בספינות משא יכולות לדווח בכל רגע נתון מה הטמפרטורה והאם הדלת נפתחה", אמר.

אלתר הזכיר גם את ה-M2M – האינטרנט התעשייתי של הדברים, שמאפשר חיבור של רצפת ייצור שלמה לאינטרנט. "ניתן להשבית באמצעותו מפעל שלם ולשנות תהליכים בתוך המפעל. המידע הזה מחובר לרשת הארגונית וזו מחוברת לאינטרנט. לפיכך, פותחו אמצעי אבטחת סייבר שונים להגנתו", ציין.

לדבריו, "הפריצה של האינטרנט של הדברים נובעת בין היתר מצניחת מחירי החיישנים מאלפי דולרים לסנטים בודדים. הבעיה היא שכדי שהחיישנים יהיו זולים, צריך להוריד דברים מתוכם, בהם אנרגיה, זיכרון ועיבוד. ואולם, לכל הדברים הללו יש מחיר – נקודות חולשה, כי כדי להוריד אותם מפחיתים ביכולת אבטחת המידע".

ארז מטולה, מומחה אבטחת אפליקציות ב-AppSec. צילום: ניב קנטור

לסיכום אמר אלתר כי "האינטרנט של הדברים משנה את חיינו ויעשה זאת עוד יותר בעתיד, וחשוב להבטיח שהוא יותקן בצורה מאובטחת".

האינטרנט של הדברים מנקודת המבט של ההאקר

ארז מטולה, מומחה אבטחת אפליקציות ב-AppSec, תיאר את הבעיה מנקודת המבט של ההאקר (גם אם במקרה שלו מדובר בהאקר שנמצא בצד הנכון – צד ההגנה). "התקני אינטרנט של הדברים הם נקודות חדירה. מדובר במחשבים, אבל הם הרבה יותר חלשים מבחינת אבטחה מאשר מחשבים רגילים", אמר.

לדבריו, נוצרת בעיה נוספת בכל הנוגע למוצרי אינטרנט של הדברים: "הם מורכבים הן מתוכנה והן מחומרה, כשחברה אחת בונה את השבב, אחרת את הלוח ושלישית את התוכנה, ותמיד בפינות האלה יש בעיות אבטחה. אם מישהו ישתלט על מכשיר האינטרנט של הדברים, הוא יוכל לגרום לבית חכם לשרוף את עצמו על ידי הפעלה של התנור, או לכבות משאבת מים או קוצב לב".

"פעם קראו לזה Embedded security, אבל זה לא מספיק על מנת לשפר את אבטחת המכשיר. קיים צורך לדאוג לאבטחת מידע לכל האקו-סיסטם ומי שעושה זאת חייב להבין בתחומים שונים שכיום אין קשר מקצועי ביניהם", אמר מטולה.

בהמשך הוא מנה טעויות אבטחה נפוצות. הראשונה היא קידוד סיסמאות בתוך הקוד של התוכנה. "הדבר מציב סכנה לחדירה, לדוגמה לאסלה חכמה באמצעות הטלפון השולט על הבקר, לבקר עצמו או למכשיר הרדיו של הבקר. אפשר, למשל, לפתוח את האפליקציה בנייד ולמצוא את הקוד בתוכה", ציין.

"בעיה נוספת", ציין, "היא שימוש בספריות ישנות גם במערכות המפותחות כיום, כשהחולשות שלהן ידועות. יש ברשת מאגר של מערכות IoT פרוצות, ואפשר לצפות במצלמות מכל העולם שלא שינו להן את הסיסמה הראשונית".

עוד גורם, אמר מטולה, הוא "תהליך עדכון תוכנה לא מאובטח, שדרכו אפשר להשתלט על המכשיר, או מקרים שבהם אין עדכון תוכנה כלל. דרך נוספת להשבית חיישנים היא לגרום להם לבצע פעולות שצריכת החשמל שלהן גבוהה על מנת לרוקן את הסוללה. הבעלים חושב שהסוללה מספיקה לשנה וברגע האמת, כשיש פריצה לארגון – החיישן לא פועל".

טיפים להימנעות מבעיות אבטחה וסייבר ב-IoT

דובר נוסף במפגש היה אורן גולדברג, חוקר אבטחה, מנהל מחקר ופיתוח בפלטפורמת אנדרואיד (Android) ומפתח מערכות. הוא הציג דוגמאות רבות של פריצות למערכות אינטרנט של הדברים.

"בטלפון הסלולרי אנחנו מוודאים שיש מערכת הגנה, אבל אף אחד לא בודק זאת בשעונים חכמים, קוצבי לב ועוד. זה כמו לראות את האינטרנט נוצר מחדש. לא יכולים למדוד מה פריץ ומה לא. יש כל כך הרבה מערכות ופרוטוקולים", אמר.

גיא מזרחי, סגן נשיא לסייבר ב-Rayzone Group

גולדברג סיפק מספר עצות על מנת להימנע מראש מבעיות אבטחה וסייבר שכאלה: "שנו סיסמת ברירת מחדל; קנו מכשירים של ספקים גדולים, כי הם בודקים יותר דברים; תבדקו האם יש במכשיר שאתם רוצים לקנות אופציה לעדכון גרסה; ואף פעם אל תהיו אדישים לתקיפות סייבר – התייחסו אליהן ברצינות".

מנחה האירוע, גיא מזרחי, סגן נשיא לסייבר ב-Rayzone Group, סיכם באמרו כי "האינטרנט של הדברים הביא להתממשות כל התסריטים לפיהם ניתן לבצע פעולה כלשהי במרחב הסייבר שתהיה לה השפעה בעולם האמיתי. אפשר, למשל, לעקוב אחרי אנשים באמצעות טלוויזיות חכמות, לחבר לאינטרנט קוצבי לב והתקנים רפואיים אחרים ועוד. זה מביא לאיומים שיש להתייחס אליהם ברצינות ולפעול כדי למזער את הסיכון".