IoT Alliance Australia เผยแพร่แนวทางด้านความปลอดภัยสำหรับการพัฒนา IoT

  • Sep 04, 2023

IoT Alliance Australia ได้เผยแพร่แนวปฏิบัติด้านความปลอดภัย IoT ซึ่งเป็นก้าวแรกในการสร้างมาตรฐานความปลอดภัยทั่วทั้งอุตสาหกรรม

IoT Alliance Australia (IoTAA) ได้เปิดตัว แนวทางการรักษาความปลอดภัยของอินเทอร์เน็ตของสรรพสิ่ง [ไฟล์ PDF] ในการเสนอราคาเพื่อส่งเสริมแนวทาง "ความปลอดภัยโดยการออกแบบ" ในการพัฒนา IoT ในออสเตรเลีย เป็นเอกสารฉบับแรกในชุดเอกสารเกี่ยวกับความปลอดภัยของ IoT และความยืดหยุ่นของเครือข่ายที่ IoTAA จะเผยแพร่ในอีกไม่กี่เดือนข้างหน้า

IoTAA เชื่อว่า Internet of Things จะช่วยสนับสนุนเศรษฐกิจของออสเตรเลียมากกว่า 120,000 ล้านดอลลาร์ออสเตรเลียภายในปี 2568 อย่างไรก็ตาม จากข้อมูลของ IoTAA การแพร่กระจายของ IoT หมายความว่าอาชญากรไซเบอร์มีรูปแบบการโจมตีและลักษณะนิสัยที่พวกเขาสามารถจัดการได้มากขึ้น

ข่าวออสเตรเลียล่าสุด

  • รัฐบาลออสเตรเลียประกาศสมาชิกคณะทำงาน 5G
  • ความประมาทของรัฐบาลออสเตรเลียกับข้อมูลทางการแพทย์เป็นสัญญาณของปัญหาที่ลึกซึ้งยิ่งขึ้น
  • Turnbull เปิดตัวรัฐมนตรีกระทรวงเทคโนโลยีคนใหม่ในการปรับคณะรัฐมนตรี
  • ACCC เริ่มการสอบถามระดับบริการขายส่งของ NBN
  • การระบุตัวตนซ้ำเป็นไปได้ด้วยข้อมูลเปิดของ Medicare และ PBS ที่ไม่ระบุตัวตนของออสเตรเลีย

รายงานที่เพิ่มขึ้นของการโจมตี DDoS และความถูกต้องของข้อมูล -- หนึ่งในตัวอย่างที่ฉาวโฉ่ที่สุดคือ มิไรบอทเน็ต -- จำเป็นต้องมีการพัฒนาและปรับใช้มาตรฐานความปลอดภัยและความเป็นส่วนตัวทั่วทั้งอุตสาหกรรม IoTAA กล่าว

“IoT มีอยู่ทุกหนทุกแห่ง และเรามองเห็นความไม่มั่นคงที่เกิดขึ้นแล้ว เราต้องการแนวทางปฏิบัติเพื่อช่วยให้ผู้เล่นในอุตสาหกรรมเข้าใจวิธีนำความปลอดภัยและความเป็นส่วนตัวไปใช้ในทางปฏิบัติ สำหรับอุปกรณ์ IoT" มัลคอล์ม ชอร์ ประธาน IoTAA Workstream on Cyber ​​Security and Network กล่าว ความยืดหยุ่น

แนวทางดังกล่าวเน้นย้ำถึงความสำคัญของการผสมผสานการรักษาความปลอดภัยเข้ากับการออกแบบหลักของโซลูชัน IoT แต่ไม่ใช่แค่ที่ส่วนท้ายของอุปกรณ์เท่านั้น อุปกรณ์ดังกล่าวจำเป็นต้องได้รับการสนับสนุนจากสถาปัตยกรรมแบบ end-to-end ที่ดี เนื่องจากสภาพแวดล้อมการพัฒนาสำหรับ IoT ครอบคลุมหลายภาษา ระบบปฏิบัติการ และเครือข่าย IoTAA กล่าว

นอกจากนี้ยังมีหลายฝ่ายที่เกี่ยวข้องกับอุปกรณ์ IoT เครื่องเดียว เช่น ผู้ใช้ ผู้ผลิต ผู้จำหน่ายระบบคลาวด์ที่โฮสต์โครงสร้างพื้นฐานด้านไอที และบุคคลที่สามที่เข้าถึงอุปกรณ์ผ่าน API

ด้วยเหตุนี้ การทำความเข้าใจว่าอุปกรณ์ IoT จัดระเบียบและแบ่งปันข้อมูลด้วยตนเองอย่างไรจึงเป็นสิ่งจำเป็นในการพัฒนากรอบการทำงานที่เชื่อถือได้ตามแนวทางดังกล่าว

"สำหรับเส้นทางที่จะกำหนด ข้อมูลเส้นทางจะถูกส่งจากโหนดหนึ่งไปยังอีกโหนด (หลายกระโดด) จนกระทั่งพบจุดหมายปลายทางที่ต้องการ ตลอดขั้นตอนการบำรุงรักษาเส้นทาง โหนดสามารถเพิ่ม ลบ หรือชะลอการส่งข้อมูลการควบคุมโดยไม่จำเป็น (โหนดที่เห็นแก่ตัวหรือทำงานผิดปกติ) ในระหว่างการค้นหาเส้นทางหรือการส่งต่อโหนดที่เป็นอันตรายสามารถโจมตีได้” แนวทางระบุ

นอกจากนี้ยังระบุด้วยว่าความปลอดภัยจำเป็นต้องได้รับการพิจารณาในบริบทของวิธีการใช้งานอุปกรณ์ ซึ่งหมายความว่าอุตสาหกรรมที่แตกต่างกันจะต้องใช้แนวทางที่แตกต่างกัน การค้นหาโซลูชันสากลที่ใช้ได้กับการโจมตีแบบกำหนดเส้นทางทั้งหมดก็เป็นเรื่องยากเช่นกัน ตามแนวทาง

“ผู้ออกแบบโปรโตคอลต้องมั่นใจในการป้องกันจากการโจมตีที่ทราบ ในขณะเดียวกันก็ลดผลกระทบต่อประสิทธิภาพของเซ็นเซอร์และเครือข่ายให้เหลือน้อยที่สุด” แนวทางระบุ "มีประเด็นสำคัญ 5 ประการที่ต้องจัดการ ได้แก่ การสร้างเส้นทางที่ปลอดภัย การกู้คืนความปลอดภัยโดยอัตโนมัติ และ ความเสถียร การตรวจจับโหนดที่เป็นอันตราย การคำนวณแบบไลท์เวทหรือฮาร์ดแวร์ที่รองรับ และตำแหน่งของโหนด ความเป็นส่วนตัว."

John MacLeod ผู้เชี่ยวชาญด้าน Watson Internet of Things ของ IBM กล่าวกับ ZDNet ว่าในขณะที่วิศวกรจำเป็นต้องรับผิดชอบต่อ ความปลอดภัยของอุปกรณ์ สิ่งสำคัญคือต้องคำนึงถึงความปลอดภัยเมื่อเขียนแอปพลิเคชันที่ทำงานภายในอุปกรณ์ IoT และเกตเวย์

“มีเหตุการณ์หนึ่งที่มีคนเจาะเข้าไปในกล้องวงจรปิดนับแสนตัวทั่วโลกและทำการปฏิเสธการให้บริการครั้งใหญ่เพราะว่า ซอฟต์แวร์ที่โหลดลงในกล้องรักษาความปลอดภัยเหล่านี้ไม่ปลอดภัยเพียงพอและยอมให้ซอฟต์แวร์ที่เป็นอันตรายเข้ามาแทนที่ตัวเอง" MacLeod กล่าว "การเชื่อมต่อกับแพลตฟอร์มที่ปลอดภัยถือเป็นส่วนสำคัญของการรักษาความปลอดภัย แต่ในตัวมันเองยังไม่เพียงพอที่จะรับประกันความปลอดภัยของอุปกรณ์"

Arron Patterson แผนก CTO APJ Commercial ของ Dell EMC อธิบายกับ ZDNet ก่อนหน้านี้ว่าการรักษาความปลอดภัย "ยากที่จะดำเนินการในภายหลัง"

“คุณต้องคิดถึงเรื่องนี้ตั้งแต่เริ่มต้น และตรวจสอบให้แน่ใจว่าคุณกำลังใช้นโยบายและโครงสร้างพื้นฐานที่สามารถเคารพนโยบายเหล่านั้นตั้งแต่เริ่มต้น” แพตเตอร์สันกล่าว

"เราได้เห็นหลายกรณีที่ชุดข้อมูลถูกขโมยหรือเข้าถึงและใช้งาน เมื่อคุณได้ทำลายความเป็นส่วนตัวของใครบางคนและสูญเสียความไว้วางใจไปแล้ว เป็นเรื่องยากมากที่จะเอาสิ่งนั้นกลับคืนมา ชุดข้อมูลเหล่านี้มีคุณค่ามาก มีความชาญฉลาดมากมายที่สามารถดึงมาจากพฤติกรรมของผู้ใช้และอื่นๆ ได้ ดังนั้นจึงคุ้มค่าที่จะปกป้อง

“คุณต้องแน่ใจจริงๆ ว่าทุกครั้งที่คุณรวบรวมข้อมูล คุณเข้าใจว่าคุณรวบรวมข้อมูลอย่างไร คุณมีสิทธิอะไรบ้างในข้อมูลนั้น และผู้บริโภคคาดหวังให้คุณทำอะไรกับข้อมูลนั้น”

แนวทางฉบับที่สองจะเผยแพร่หลังจากการปรึกษาหารือกับ Communications Alliance และผู้มีส่วนได้ส่วนเสียอื่นๆ

"กระบวนการปรึกษาหารือสาธารณะจะเปิดโอกาสให้ผู้มีส่วนได้ส่วนเสียในวงกว้างตรวจสอบและเพิ่มมูลค่าให้กับเอกสารก่อนที่จะเผยแพร่เป็นแนวทางอุตสาหกรรม -- ซึ่งสามารถอัปเดตได้ตลอดเวลาเมื่อมีการพัฒนาใหม่ๆ และความเสี่ยงที่อาจเกิดขึ้นชัดเจน" จอห์น สแตนตัน ประธานสภาบริหาร IoTAA และพันธมิตรการสื่อสาร กล่าว ผู้บริหารสูงสุด.

ที่การประชุมสุดยอด IoT ทุกอย่างในเดือนตุลาคม 2016 ศาสตราจารย์ Jill Slay ผู้อำนวยการของ Australian Centre for ความปลอดภัยทางไซเบอร์ที่มหาวิทยาลัยนิวเซาธ์เวลส์ในแคนเบอร์ราชี้ให้เห็นถึงความสำคัญของการจัดการ ที่ ปัญหาการขาดแคลนทักษะด้านความปลอดภัยทางไซเบอร์ ก่อนที่จะแยกตัวออกไปสู่โลกที่เชื่อมต่อกันมากขึ้น โดยเฉพาะอย่างยิ่งเมื่อพิจารณาถึงอัตรา "ทวีคูณ" ที่อาชญากรรมทางไซเบอร์ในออสเตรเลียกำลังเติบโต

เจ้าหน้าที่รักษาความปลอดภัยเครือข่ายที่มีอยู่จำเป็นต้องได้รับการฝึกฝน ในขณะที่ผู้เชี่ยวชาญด้านความปลอดภัยรุ่นใหม่จำเป็นต้องได้รับการฝึกอบรมตั้งแต่เริ่มต้น ตามข้อมูลของ Slay

"เช่นเดียวกับที่เราขาดแคลนนักวิทยาศาสตร์ข้อมูลอย่างมาก เราก็ขาดแคลนความปลอดภัยทางไซเบอร์เช่นเดียวกัน มืออาชีพและยังขาดแคลนผู้ที่จัดการกับข้อมูลขนาดใหญ่และความปลอดภัยทางไซเบอร์อีกด้วย” Slay กล่าวที่ การประชุมสุดยอด

“ตอนนี้เราอยู่ในขั้นที่เราพยายามฝึกคนรุ่นใหม่ที่อาจมีคุณสมบัติเทียบเท่าวิชาชีพให้ ทำความเข้าใจว่า Internet of Things มีลักษณะอย่างไร การละเมิด Internet of Things มีลักษณะอย่างไร และพวกเขาสามารถทำงานประจำวันได้อย่างไร จัดการกับมัน แต่ทันทีที่เราทำอย่างนั้น เราก็จะมีแฮกเกอร์ทั้งรุ่นที่ทำอย่างนั้นเช่นกัน”

ในเดือนกันยายน สำนักงานกรรมาธิการข้อมูลแห่งออสเตรเลีย (OAIC) ​​พบว่า 71 เปอร์เซ็นต์ของอุปกรณ์และบริการ IoT ที่ชาวออสเตรเลียใช้ อธิบายไม่ถูกเลย ข้อมูลส่วนบุคคลถูกรวบรวม ใช้ และเปิดเผยอย่างไร

OAIC ดำเนินการตรวจสอบตั้งแต่วันที่ 11-15 เมษายนปีนี้ โดยร่วมมือกับหน่วยงานกำกับดูแลระหว่างประเทศอื่นๆ ผ่าน Global Privacy Enforcement Network (GPEN) ซึ่งประกอบด้วยการคุ้มครองข้อมูลที่เข้าร่วม 25 แห่ง เจ้าหน้าที่.

เมื่อพูดถึงการรวบรวม การใช้ และการเปิดเผยข้อมูล OAIC ยังเปิดเผยในการกวาดล้างอีกด้วย 27 เปอร์เซ็นต์ของธุรกิจไม่ได้ระบุว่าข้อมูลส่วนบุคคลจะถูกแบ่งปันกับบุคคลที่สามหรือไม่ ฝ่าย

OAIC พบว่าบางองค์กรไม่ได้ระบุชัดเจนว่าข้อมูลใดบ้างที่จะถูกเก็บรวบรวม โดยรายงานว่าไม่ชัดเจนว่าชื่อผู้ใช้ ที่อยู่ หมายเลขโทรศัพท์ วันเกิด โทรศัพท์ หรือประวัติการเข้าชมถูกจัดเก็บโดยธุรกิจมากกว่าหนึ่งในสามที่มีการดูการสื่อสารความเป็นส่วนตัว เข้าไปข้างใน.

โดยรวมแล้ว การสำรวจทั่วโลกพบว่าประมาณร้อยละ 72 ของธุรกิจไม่ได้อธิบายอย่างชัดเจนว่าผู้ใช้สามารถลบข้อมูลส่วนบุคคลของตนออกจากระบบได้อย่างไร อุปกรณ์หรือแอป โดย 38 เปอร์เซ็นต์ของอุปกรณ์ยังไม่สามารถให้รายละเอียดการติดต่อที่สามารถระบุตัวตนได้ง่ายซึ่งลูกค้าสามารถใช้ได้หากมีความเป็นส่วนตัว ข้อกังวล