מומלץ לצנן את ההתלהבות מהאינטרנט של הדברים

רבים מכם ודאי שמעתם את האמרה שלפיה כשמדברים בתחנת האוטובוס, ברחוב או בשיחות חולין על שוק המניות הרותח, זה הזמן לקחת צעד אחורה, בעיקר מטעמי זהירות. סיבה נוספת לדאגה היא שהמדברים על הנושא בדרך כלל לא מבינים את הסיכונים.

הוא הדין לגבי האינטרנט של הדברים. נכון, אני לא מפנה את הקריאה הזאת לעמיתיי, אנשי הבקרה, כי אנחנו בנינו והפעלנו פרויקטים המיוחסים לאינטרנט של הדברים כבר לפני שני עשורים (גם אם המושג עוד לא היה קיים), אבל זה בהחלט רלוונטי לציבור הרחב.

רבים מאלה שנלהבים מהמושג החם עסוקים בפעילות יומיומית ולא מתפנים להקשיב לדברי המומחים. הם לא בקיאים בנושא וקוראים "אינטרנט של הדברים" לרכיבים שלא תמיד קשורים. למשל, כאלה שנקראו בעבר SCADA ,PLC ,RTU, חיישנים חכמים ועוד. זה נחמד ומפשט את החיים, אבל אף אחד לא שואל שאלות, כי האינטרנט של הדברים הוא מושג "ברור", שכולם מדברים עליו בפשטות. המצב הזה לא מוצדק.

השבוע פורסמה ידיעה שלא הפתיעה את העוסקים בתחום הבקרה, לפיה יותר ממיליון מצלמות מסחריות ומערכות הקלטת DVR נפרצו על ידי נוזקה בשם Bashlite, באמצעות מתקפה דומה ל-DDoS. זאת לא התקיפה הראשונה על התקני אינטרנט של הדברים, היו כבר תקיפות דומות ועוד יהיו רבות, כולל ברמה גבוהה יותר, באמצעים ובשיטות שאנחנו לא מכירים ולא יודעים להתמודד איתם.

למה זה קורה?

ראשית, התקנים תעשייתיים, רכיבי בקרה, חיישנים, מכשירי חשמל ביתיים, התקנים לאיסוף מידע ובקרים לתהליכים תוכננו בעיקר כדי לבצע פעולות מוגדרות ולדווח דרך מגוון אמצעי תקשורת. אבטחת סייבר, שימוש בפרוטוקולים מאובטחים ומניעת השתלטות דיגיטלית על רכיבים ומכשירים אלה לא נכללו בין הדרישות, ותמיד המחיר לצרכן היה הגורם החשוב בשיקולי פיתוח מוצרים. הואיל שאין הגדרה של המושג שמקובלת על כל המשתמשים והחברות שבונות מערכות אינטרנט של הדברים, קשה מאוד לייצר מוצרים עם בידול מנצח, כי סביר שהמחיר שלהם יחרוג מהמטרה וכי סביר שיהיה קושי לשלב רכיבים אלה במערכות. כמו כן, ההתקנים, הבקרים והחיישנים שכבר מותקנים לא ניתנים לשדרוג ולכן, כדי להוסיף להם תכונות אינטרנט של הדברים, צריך להוסיף רכיבים חיצוניים יקרים ומסורבלים או להמתין עד שיצאו מוצרים עם פתרונות מובנים.

אם אכן זה המצב, מהי ההתייחסות הנכונה לאינטרנט של הדברים?

ההתייחסות הנכונה אליו היא כאל רשת של התקנים אלקטרוניים-דיגיטליים עם יכולות מחשוב, שמותקנים בכלי רכב, בניינים, בתים פרטיים, מפעלים תעשייתיים ועוד, ומחוברים לרשת תקשורת נתונים שמאפשרת להם לאסוף נתונים ולשדר את התוצאות. תפיסת IOT מאפשרת להם להיות נשלטים מרחוק על פני תשתית תקשורת ולתקשר עם מערכות מחשוב שמטפלות בנתונים רבים (Big Data). כך ניתן לאפשר התייעלות בביצועים, הקטנת עלויות תפעוליות ועוד.

רכיבי אינטרנט של הדברים גם משולבים עם הטכנולוגיה שמטפלת ברשתות חשמל חכמות, בתים חכמים, תחבורה אינטליגנטית וערים חכמות. אלה בנויים לתפקד באמצעות מחשוב מזערי משובץ ולפעול באופן משולב דרך תשתית האינטרנט. IOT יכול להיות גם התקן בגוף שנועד לפקח על קצב פעימות הלב, כזה שמטרתו לספק לנהג התרעה על לחץ נמוך בצמיגים או כל רכיב אחר שניתן להקצות לו כתובת IP עם היכולת להעביר נתונים על גבי רשת.

לסיום, אני חייב לציין בזהירות שלמרות הפרסומים מדברי מומחים שלפיהם האינטרנט של הדברים יכלול כ-50 מיליארד התקנים כבר ב-2020, ספק אם מספרים אלה יתממשו ללא זמינות של פתרון פשוט, זול, חזק וסטנדרטי, שיבטיח פעולה אמינה, בטוחה וחסינה בפני תקיפות סייבר. הואיל שאינטרנט של הדברים חייב להשתלב במערכות מחשוב קיימות, נצטרך להמתין כנראה לסבבים שבהם מערכות אלה יוחלפו ויאפשרו תקשורת עם ההתקנים הללו.

כנס ICS-Cybersec 2016 של אנשים ומחשבים הוא הכנס המרכזי הראשון שיתמקד באיומי הסייבר על התשתיות הקריטיות של מדינת ישראל באמצעות תקיפת מערכות שו"ב לא מאובטחות הכנס. יפגיש בין מקצועני מערכות השו"ב בארגונים הממשלתיים והעסקיים לנציגי החברות הטכנולוגיות ומומחי התשתיות. הוא מהווה מקום מפגש לבעלי תפקידים, להחלפת דעות ולחשיפה לפתרונות חדשים, שיגנו על המערכות הקריטיות ביותר במדינה. הכנס יכלול מסלולים מקצועיים.

להרשמה לאירוע לחצו כאן.

הכותב הינו יועץ למערכות הגנה ובקרת סייבר.