השגת ציות לאבטחת סייבר

התחום של IoT/IIoT ממשיך להתפתח

עליית ה-IoT והגרסה התעשייתית שלו אינם מראים סימני האטה. חיישנים, בקרים וצמתים חכמים אחרים המחוברים ל‑IoT נפוצים בבתים, במשרדים ובמפעלים שלנו. מגוון היישומים הללו הוא מדהים, החל מחיישנים סביבתיים פשוטים ועד לפריסה בקנה מידה גדול של מנעולי דלתות לחדרים בבתי מלון. בבתים שלנו, האימוץ של ה־IoT מתרחב מדי יום, כשהבית הממוצע משתמש בבקרות חימום ואוורור חכמות, פעמוני דלת עם שליטה מרחוק, רמקולים חכמים ומערכות שמע אימרסיביות.

ללא ספק, כל פריסת IoT/IIoT, גדולה כקטנה, מניבה רווחים משמעותיים, החל ממתן נוחות למשתמש ועד להגברת היעילות התפעולית של הייצור. עם זאת, הארכיטקטורה התפעולית של ה-IoT מורכבת בדרך כלל, עם שכבות רבות, ספקי שירות וסביבות חומרה. בנוסף לחששות האבטחה הגוברים ולנוף הרגולטורי הגובר, יצרני המכשירים וספקי השירותים מתמודדים עם אתגרים רבים.

לאבטחת סייבר יש שיקולים רבים, במיוחד משום שמכשירי IoT עלולים להיות פגיעים לגורמים זדוניים שינסו לגנוב נתונים אישיים רגישים, כולל סיסמאות, או להשתלט על תהליך תעשייתי ולנעול משתמשים מחוץ למערכות. כל היבט של פריסת IoT/IIoT דורש תשומת לב קפדנית לאבטחה בכל שלב: חומרה, תוכנה ותקשורת.

החקיקה האחרונה, כגון חוק החוסן הקיברנטי של האיחוד האירופי (CRA), מטילה על יצרן מכשיר ה-IoT את האחריות להסמיך את אישורי האבטחה של המכשיר ולספק מנגנון למשתמשים לעדכן ולנהל מכשיר לאורך כל מחזור החיים שלו, מהייצור ועד סוף החיים. ה-CRA מתואם עם תקנים בין-לאומיים מוכרים אחרים כגון תקן EN 303 645 של מכון התקנים האירופי לטלקומוניקציה (ETSI), תקני אבטחה 62443 למערכות אוטומציה ובקרה תעשייתיות של החברה הבינלאומית לאוטומציה (ISA)/הנציבות הבין-לאומית לאלקטרוטכניקה (IEC).

איור 1 – הכנה ל-CRA

אתגרי פריסה

חקיקת אבטחת סייבר חדשה מבשרת עידן חדש לחובת ה‑IoT/IIoT, הדורשת גישה מקיפה לניהול מחזור החיים, הגנה על משתמשים, על נתונים ועל תשתיות מחשוב. בעבר, מכשירים מחוברים, בין אם נעשה בהם שימוש בבית או למטרות תעשייתיות, נטו להיות מותקנים ולהישכח לאחר מכן. תיקוני קושחה למכשירים היו נדירים, וגם אם היו זמינים, ביצוע העדכון עלול היה לגזול זמן רב או אפילו גרוע מכך, ארכיטקטורת המיקרו־בקר לא תמכה במנגנוני אבטחה כדי לתקן את הפגיעה שזוהתה. כתוצאה מכך, חברות הפסיקו להציע או לתמוך במוצרים שגורמים לתסכול בקרב הלקוחות. יישום תיקוני אבטחה כדי להגן על המכשיר ועל סביבת הרשת המשויכת אליו מפני שיטות חדשות להתקפות סייבר ותוכנות זדוניות היה די מאתגר. כמו כן, הפצת מוצרים עם אותה סיסמה היה דבר שבשגרה, מה שהוביל למספר פרצות אבטחה בולטות. התקפות כאלה חשפו נתוני משתמשים רגישים ופגעו במוניטין המותג של יצרן המכשיר.

ההזדמנות לספק ניהול לאורך החיים של מכשיר IoT מאפשרת יתרונות תפעוליים משמעותיים עבור יצרני מכשירים וספקי שירות. לדוגמה, ניתן להוסיף תכונות חדשות של תוכנה בכל שלב, החל מתיקוני באגים חיוניים בתוכנה ועד לפונקציונליות נוספת בתשלום. עבור משתמשים, היכולת לבצע עדכוני אבטחת תוכנה בעת הצורך מביאה גמישות תפעולית ועלות-תועלת משופרת. עבור פריסות בקנה מידה גדול, היכולת להציע משלוח מסיבי של תיקוני אבטחה למכשירים ללא צורך בהוצאה מייגעת, יקרה וגוזלת זמן של טכנאים, מספקת כעת רמה יוצאת דופן של שירות לקוחות, שעד לא מזמן הייתה בלתי אפשרית.

איור 2 – דוגמאות ליישומים הדורשים אבטחה וניהול דינמי לאורך מחזור החיים (מקור Microchip)

אתגר נוסף בפריסה בקנה מידה גדול נוגע לשינויי בעלות במחזור החיים של מכשירי IoT. כדוגמה לכך אפשר לחשוב על מלון בן 500 חדרים שבו מנעולי מפתחות החדרים דורשים אישור אבטחה וחתימה דיגיטלית כדי לעדכן כל אורח חדש. אתגר דומה עשוי להתקיים בבניין משרדים, במיוחד במתקן מרובה-דיירים שבו כל מנעולי הדלתות זקוקים לסודות אבטחה מעודכנים של צוות אבטחת הסייבר של כל אחד מהבעלים. לעדכן כל מנעול בנפרד – או, גרוע מכך, להצטרך להחליף כל אחד – זו משימה עצומה. עם זאת, אם כל מנעול מצויד בפונקציית ניהול מרחוק, הקצאת אישורי אבטחה ואפשרויות ספציפיות למשתמש בשטח – ניהול הבעלות על צי המנעולים ושליטה על מי יכול לפתוח כל מנעול הופכים למציאות הגיונית.

אתגר דומה קיים בחללי עבודה להשכרה, בהם ללקוחות יש גישה לקומות, לחדרים ולמתקנים מסוימים על סמך חבילת ההשכרה שנבחרה. שוב, היכולת לשנות מרחוק ובמהירות את אישורי האבטחה הנדרשים לכל מתקן מבטיחה רמות גבוהות של שביעות רצון של הלקוחות ויעילות תפעולית.

הקצאת תמיכה לפריסה לאורך החיים

עם היכולת לספק אישורי אבטחה בשטח, עדכוני קושחה באוויר (FOTA) וניהול מחזור חיי מכשיר דינמי, Microchip TrustMANAGER יחד עם פלטפורמת Kudelski keySTREAM software-as-a-service (SaaS) מציעות גישה מלאה ויעילה להשגת ציות לאבטחת סייבר עם יוזמות כמו ה-CRA.

שימוש ב-Microchip ECC608 Cryptoauthentication™ TrustMANAGER IC יחד עם
keySTREAM SaaS מאפשר שרשרת דיגיטלית של אמון עבור פריסות IoT/IIoT לאורך מחזור חיי המוצר, החל מרעיון התכנון הראשוני, דרך ייצור ופריסה ועד לסוף החיים. רשות אישורי שורש (CA) היא ישות חיונית מן המעלה הראשונה בכל תשתית מפתחות ציבוריים (PKI), והנפקת אישור בחתימה עצמית יוצרת את עוגן האמון הראשוני.

איור 3 – TrustMANAGER יחד עם Kudelski keySTREAM SaaS (מקור Microchip)

ECC608-TMNGTLS הוא גרסה של שבב האימות הקריפטוגרפי 608ECC שמגיעה מראש עם מפתחות קריפטוגרפיים כדי להתחבר ל-keySTREAM SaaS. בעת הפריסה, מכשיר ה-IoT המכיל את ה-ECC608-TMNGTLS יתחבר ל-keySTREAM SaaS, ויעניק את הבעלות על מכשיר ה-IoT לבעליו המיועד באמצעות הקצאה בשטח עם PKI מותאם אישית. אפשרות זו מספקת גישה אלגנטית וללא מגע ידני, ללא צורך בהגדרה ידנית של החלפת המפתחות. ניתן לנהל אותם מרחוק בתוך הגבול הפיזי של ה-IC של האימות המאובטח לאורך מחזור החיים שלו.

איור 4 – אבטחה לאורך מחזור חיי המוצר (מקור Microchip)

פלטפורמת TrustMANAGER כוללת תכונות לעדכון קושחה אלחוטי של המכשיר, לחתימת קוד מאובטחת ולניהול מרחוק של מפתחות קריפטוגרפיים. הטמעת יכולת ניהול מכשירים מרחוק לצד דרישות לעדכון האבטחה נמצאות גבוה יותר ויותר ברשימת העדיפויות של היצרנים, ומציעה זריזות וגמישות בשירות.

רגולציה מחייבת הגברת תשומת הלב לאבטחה

תחום ה-IoT משתנה. התמקדות מוגברת בתקנות אבטחת סייבר ואחריות רבה יותר המוטלת על יצרני המכשירים דוחפת לשינוי. ה-CRA האירופי, דוגמה ליוזמה אזורית לאבטחת סייבר, קובע שעל היצרנים לשמר מאפייני אבטחה במשך חמש השנים הראשונות לחיי המוצר. למרות שה-CRA מופנה כרגע למכשירי IoT לצרכנים, סביר שהרגולציה האירופית תהיה רק קצה הקרחון, ככל שיותר מדינות ריבוניות יעקבו אחר האיחוד האירופי ויתחילו לפרסם ולנהל את אסטרטגיית אבטחת הסייבר שלהן. סביר מאוד להניח כי ה-CRA יהווה גם את הבסיס לתקני אבטחת סייבר בענפי שוק ובתעשיות אחרות.

לרגולציה של אבטחת הסייבר יש השפעה מרחיקת לכת. לא רק שהיא מחזקת את אמון הצרכנים במערך המוצרים של היצרן, אלא גם את מוניטין היצרן בשוק — גורם בעל חשיבות מכרעת לבניית קשרים מסחריים, יצירת שותפויות והפגנת מנהיגות בשוק.

אודות המחבר:
קסאווייר ביגנליי הוא מנהל שיווק מוצר בקבוצת אבטחת המחשוב של Microchip Technology, עם 20 שנות ניסיון בתעשיית המוליכים למחצה, המתמחה בטכנולוגיות IoT ובטכנולוגיות אבטחה משובצות. לפני שהצטרף ל-Microchip, ביגנליי עבד כמעט עשור ב-ON Semiconductor כמהנדס יישומים ומנהל שיווק של קו מוצרים. לביגנליי יש תואר שני בהנדסת אלקטרוניקה מבית הספר להנדסה של CESI בטולוז, צרפת.