あたり モノのインターネット (IoT)とは、インテリジェントオブジェクトの使用を可能にするすべてのテクノロジーを意味します。つまり、インターネットに接続され、携帯電話のアプリケーションやコンピューターのプログラムなどを介してリモートでプログラムまたは使用できるセンサーやアクチュエーターです。オペレーションセンター。 これは、たとえば、ペットが家から離れているときにペットを監視するカメラや、メーターではなく車のナンバープレートの写真を地元の警察に自動的に送信する市営スピードカメラにサービスを提供するセンサーの場合です。コントロールセンターに警報を送る原子炉。 明らかに、家庭菜園の灌漑システムをオンにするインテリジェントリレー、自動地下のドアを開くサーボ手段、またはダムのオーバーフローバルブの制御システムの場合です。山の村を見下ろす。
これらのインテリジェントオブジェクトは、人々の生活の質、産業プロセスの有効性と収益性、国家の安全性をますます向上させます。 しかし、今日、それらが新たなリスクをもたらし、その発生確率は、コンピューター、タブレット、およびスマートフォンが受ける対応するセキュリティリスクよりも一般的に高いのは事実です。
そして、その理由は単純です。政府、学界、コンピューターおよびソフトウェア業界には、何十年にもわたる情報技術サイバーセキュリティの研究開発がありますが、スマートオブジェクトのメーカーや産業用制御システムの開発者は、むしろ新しく開発されたデバイスです。従来のモデルの適応バージョンよりも- ITの世界で取得および開発されたサイバー保護に関する豊富な知識の経験がありません。.
さらに、低コストの「インテリジェンス」を導入することで、計算能力が低下したシステムが使用され、大容量バッテリーの使用を回避するためにエネルギー消費が制限されるため、サーバー用に開発されたソリューションは多くの場合使用できなくなります。 PCやスマートフォン、コストの壁がないオブジェクト。
その結果、今日のIoTデバイスは、体系的な方法で発生するものとは異なり、 サプライチェーン ITデバイスとソフトウェアの-一般的に、関連するリスクを軽減するために必要なサイバーセキュリティ機能を組み込んで製造されておらず、インストールと運用の段階でユーザーをサポートできる広く類似した機能もありません。
そして、素因となる危険因子として、これらのセンサーとアクチュエーターが考案されていることも考慮してください インターネット対応、多くの場合、機能もあります プラグ&プレイつまり、ネットワークに接続して、事前のインストールや構成アクティビティを必要とせずに作業を開始します。また、その性質上、非アクティブな期間の後にセッションをブロックする機能(ITの世界では一般的)もありません。 ごく最近の研究では、 封鎖、一般に公開されていないオフィスの沈黙の中で、IoTは制御されずに動作し続け、企業ネットワークと 施設.
このギャップをできるだけ早く埋める必要があり、科学界は業界や規制当局とともに、ITセクターですでに実施されているものの例に従って一連の要件と推奨事項を開発しています。特定のリスクの仮定を検討し、緩和の明確な領域を監督することを目指します。
考慮すべきリスクの仮定は基本的に21つあります。 まず第一に、インテリジェントオブジェクトは、具体的な効果を伴う協調攻撃を実行するためにますます悪用され、DDoS攻撃に参加します(分散型サービス拒否:素人にとっては、防止するために「フラッディング」を目的としたサーバーへの攻撃です。他の組織に対するサービスの提供、ネットワークトラフィックの傍受、または同じネットワークセグメント上の他のデバイスの侵害から。 2016年XNUMX月XNUMX日のイベントは、最大規模のイベントのXNUMXつが作成された後、すべての場合に例として適用されます。 ボットネット IoT、つまり正当な所有者の知らないうちに秘密裏に制御されるインテリジェントオブジェクトの秘密のネットワークによって形成されたDDoSは、DNSサービスで作成されました(ドメインネームシステム:初心者の場合、インターネットが使用する電話帳やストリートディレクトリに少し似ています数値アドレスをWebサイトまたは電子メールドメインの名前に関連付けるため)。 この攻撃により、ユーザーはTwitter、Spotify、PayPalなどの米国最大のWebリソースにアクセスできなくなりました。
他のXNUMXつの評価は、次の事実に関係しています。データを含むIoTデバイスは、CIA攻撃(機密性、整合性、可用性)の対象となり、そこに保存または送信された情報を盗んだり、侵害したり、利用できなくなったりします。 そして、モノのインターネットへの攻撃は、個人のプライバシーを侵害するために開始される可能性があります。
したがって、デバイスの物理的保護、データの論理的セキュリティ、および個人データが処理される場合はプライバシーの権利の保護を確保する必要があります。
この観点から、製造業者は、次のXNUMXつの緩和領域で技術的管理を確保する必要があります。すべてのIoTデバイスとそれらに関連する特性の更新されたタイムリーな在庫を維持する(資産管理)。 たとえば、パッチをインストールし、設定を変更および構成することにより、デバイスソフトウェアの既知の脆弱性を特定して軽減します(脆弱性管理)。 不正で不適切な物理的および論理的アクセスを回避します(アクセス管理)。 機密情報を公開したり、デバイス操作の操作や中断を許可したりする可能性のある、デバイスに保存されたデータや転送中のデータへのアクセスや改ざんを防止します(データ保護)。 最後に、IoTデバイスのアクティビティを監視および分析して、デバイスとデータの侵害の兆候を強調するインシデント検出アクティビティ。
質問は非常に深刻で、二次的なものではありません。 アメリカの大統領が数日前に署名したほどです 「重要なインフラストラクチャ制御システムのサイバーセキュリティの改善に関する覚書」 彼はそれを使って産業用制御システムのサイバーセキュリティのための大統領のイニシアチブ (OT)。 そして、すべてを体系的に投資します サプライチェーン IoTテクノロジーの概要:製造業者と設置業者は、サイバーセキュリティの特性と機能を確保することを目的とした正しい技術活動とともに、研究、開発、販売前の生産段階から始まるテクノロジーのライフサイクル全体でそれに直面する必要があります。 また、エンドユーザーに必要な技術支援を保証するために、情報および販売後のサポート活動を継続する必要があります。これは、今日すでに提案されているクラウドプラットフォームの使用にも関連しています。 サプライチェーン インテリジェントオブジェクト間の通信を暗号化するためのIT。
最後に、これらすべてが必然的に生産コストと、運用、保守、およびサービス品質を確保するために必要なリソースの両方の増加をもたらすことを見逃してはなりません。これらの繰り返しコストにより、IoTデバイスは多くの状況で魅力的でなくなる可能性があります。
オラツィオ・ダニーロ・ルッソ、ジョルジオ・ジャシント、アレッサンドロ・ルゴロ
もっと知ることができます。
https://blog.osservatori.net/it_it/iot-sicurezza-privacy
https://nvlpubs.nist.gov/nistpubs/ir/2019/NIST.IR.8228.pdf
https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8259.pdf
https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8259B-draft.pdf
https://www.securityweek.com/life-lockdown-offices-are-empty-people-full-risky-iot-devices
