تطلق وكالة الفضاء الكندية برنامجًا لمواصفات أمان أجهزة إنترنت الأشياء وإصدار الشهادات للأجهزة المنزلية الذكية


على الرغم من فائدة الأجهزة المتصلة مثل أجراس الباب بالفيديو والأضواء الذكية، فمن الحكمة توخي الحذر عند استخدام التكنولوجيا المتصلة في منزلك، خاصة بعد سنوات من القراءة عن اختراقات كاميرات المراقبة، وهجمات الروبوتات على الثلاجات، والمواقد الذكية التي تعمل من تلقاء نفسها. ولكن حتى الآن، لا توجد طريقة سهلة لتقييم العناصر الأمنية للمنتج. يريد برنامج جديد من تحالف معايير الاتصال (CSA)، المجموعة التي تقف وراء معيار المنزل الذكي Matter، إصلاح ذلك.

تم الإعلان عن مواصفات أمان أجهزة إنترنت الأشياء الخاصة بـ CSA هذا الأسبوع، وهي معيار أساسي للأمن السيبراني وبرنامج اعتماد يهدف إلى توفير شهادة أمان واحدة معترف بها عالميًا لأجهزة إنترنت الأشياء الاستهلاكية.

يمكن لصانعي الأجهزة الذين يلتزمون بالمواصفات ويخضعون لعملية الاعتماد أن يحملوا علامة التحقق من أمان المنتج (PSV) الجديدة الخاصة بـ CSA. إذا كانت كاميرا الأمان أو المصباح الذكي الذي تشتريه يحمل العلامة، فستعرف أنها قد استوفت المتطلبات للمساعدة في تأمينها من محاولات القرصنة الضارة وغيرها من التدخلات التي قد تؤثر على خصوصيتك.

“إنها خطوة كبيرة للأمام أن نحصل على شهادة عالمية لأمن إنترنت الأشياء للمستهلك. إنه أفضل بكثير من عدم وجود واحدة،” ستيف هانا، إنفينيون

“تظهر الأبحاث باستمرار أن المستهلكين يعتبرون الأمان عاملاً مهمًا في شراء الأجهزة، لكنهم لا يعرفون ما الذي يجب البحث عنه من منظور أمني لاتخاذ قرار شراء مستنير،” كما يقول يوجين ليدرمان، مدير استراتيجية أمان الأجهزة المحمولة في Google، الحافة. “إن برامج مثل هذه ستوفر للمستهلكين مؤشرًا بسيطًا يسهل التعرف عليه للبحث عنه.”

ليدرمان هو جزء من مجموعة عمل CSA التي حددت مواصفات الإصدار 1.0 للبرنامج، والتي تم تطويره من قبل أكثر من 200 شركة عضو في CSA. وتشمل هذه الشركات (إلى جانب Google) Amazon وComcast وSignify (Philips Hue) والعديد من صانعي الرقائق مثل Arm وInfineon وNXP.

وفقًا لتوبين ريتشاردسون، الرئيس التنفيذي لشركة CSA، يمكن أن تبدأ المنتجات التي تحمل علامة PSV في الظهور بمجرد موسم التسوق في العطلات.

علامة التحقق من أمان المنتج الجديد الخاصة بـ CSA.
الصورة: وكالة الفضاء الكندية

علامة واحدة للأمن السيبراني تحكمهم جميعًا

يأتي إعلان وكالة الفضاء الكندية في 18 مارس في أعقاب أخبار الأسبوع الماضي التي تفيد بأن لجنة الاتصالات الفيدرالية (FCC) وافقت على تنفيذ برنامجها الجديد لتصنيف الأمن السيبراني لأجهزة إنترنت الأشياء الاستهلاكية في الولايات المتحدة. كلا البرنامجين طوعيان، ولا تتنافس علامة CSA مع علامة Cyber ​​Trust Mark الأمريكية. وبدلاً من ذلك، فإنه يذهب إلى أبعد من ذلك، حيث يأخذ جميع المتطلبات الأمريكية ويضيف خطوط أساس للأمن السيبراني من برامج مماثلة في سنغافورة وأوروبا. والنتيجة النهائية هي برنامج واحد للمواصفات والاعتمادات يمكنه العمل في بلدان متعددة (انظر الشريط الجانبي).

متطلبات معايير الأمن السيبراني لإنترنت الأشياء الخاصة بـ CSA

تعد معايير ولوائح الأمن السيبراني لأجهزة إنترنت الأشياء التالية هي المتطلبات الأساسية لمعيار برنامج المواصفات وإصدار الشهادات الخاص بوكالة الفضاء الكندية (CSA) لعلامة التحقق من أمن المنتج الخاصة بها:

  • متطلبات NIST الأمريكية – NIST 8259، MIST IR 8425، NIST SP 800-213، وقوانين مختلفة
  • متطلبات الاتحاد الأوروبي ETSI – مثل IEC 62443 وETSI EN 303 645
  • مخطط وضع العلامات على إنترنت الأشياء التابع لوكالة الأمن السيبراني في سنغافورة

وفقًا لتوبين ريتشاردسون من وكالة الفضاء الكندية، فهذه مجموعة شاملة من المتطلبات التي يجب أن تغطي معظم المتطلبات الحكومية الأخرى، إن لم يكن كلها. ومع ذلك، يمكن تحديث المواصفات بأي متطلبات إضافية مع مشاركة المزيد من البلدان.

يقول ريتشاردسون إن الهدف هو أن يتم الاعتراف بعلامة PSV الخاصة بـ CSA من قبل الحكومات، بحيث يمكن للمصنعين المرور عبر عملية اعتماد واحدة فقط لبيعها في جميع الأسواق الرئيسية. وهذا يمكن أن يقلل التكلفة والتعقيد بالنسبة للمصنعين وربما يوفر المزيد من الخيارات للمستهلكين.

تم الاعتراف بعلامة PSV من قبل وكالة الأمن السيبراني في سنغافورة، وتقول CSA إنها تعمل على الاعتراف المتبادل مع برامج مماثلة في الولايات المتحدة والاتحاد الأوروبي والمملكة المتحدة. “من المحتمل جدًا، ومع البعض [countries]يقول ريتشاردسون: “إنه أمر مؤكد”. “إنها في الأساس مسألة ربط بعض الأوراق.”

للحصول على علامة PSV، يجب أن تمتثل الأجهزة لمواصفات أمان جهاز IoT 1.0 وتخضع لبرنامج اعتماد يتضمن الإجابة على استبيان وتقديم الأدلة المصاحبة إلى مختبر اختبار معتمد. ومن أبرز المتطلبات ما يلي:

  • هوية فريدة لكل جهاز إنترنت الأشياء
  • لا توجد كلمات مرور افتراضية مضمنة
  • تخزين آمن للبيانات الحساسة على الجهاز
  • الاتصالات الآمنة للمعلومات ذات الصلة بالأمن
  • تأمين تحديثات البرامج طوال فترة الدعم
  • عملية تطوير آمنة، بما في ذلك إدارة الثغرات الأمنية
  • الوثائق العامة المتعلقة بالأمن، بما في ذلك فترة الدعم

وفقًا لوكالة الفضاء الكندية، ينطبق البرنامج التطوعي على معظم الأجهزة المنزلية الذكية المتصلة – بما في ذلك المصابيح الكهربائية والمفاتيح وأجهزة تنظيم الحرارة والكاميرات الأمنية – ويمكن تطبيقه بأثر رجعي على المنتجات الموجودة في السوق. إلى جانب علامة PSV، “يمنح عنوان URL المطبوع أو الارتباط التشعبي أو رمز الاستجابة السريعة الموجود على العلامة المستهلكين إمكانية الوصول إلى مزيد من المعلومات حول ميزات أمان الجهاز”، كما تقول وكالة الفضاء الكندية في بيانها الصحفي.

يركز البرنامج بشكل خاص على أمان الجهاز — التأكد من عدم إمكانية الوصول إلى الجهاز الفعلي نفسه — بدلاً من الخصوصية. يقول ريتشاردسون: “لكن هناك علاقة وثيقة تتمثل في أنه لا يمكنك التمتع بالخصوصية دون الأمان”. على الرغم من أن الأمان يؤثر على الخصوصية، إلا أن هذا البرنامج لا يقدم العديد من المتطلبات حول كيفية استخدام الشركة المصنعة للبيانات التي يجمعها الجهاز. لدى وكالة الفضاء الكندية (CSA) مجموعة عمل منفصلة لخصوصية البيانات تتعامل مع تلك العلبة من الفيروسات المتنقلة.

أمان أفضل، لكنه لا يزال غير مثالي

لا يعد التكرار الحالي للبرنامج حلاً سحريًا لحل المخاوف الأمنية الخاصة بأجهزة إنترنت الأشياء. قال ستيف هانا من شركة Infineon Technologies، وهو باحث في مجال الأمن السيبراني لمدة 25 عامًا ورئيس مجموعة عمل CSA للبرنامج، الحافة لا يزال هناك المزيد الذي يود رؤيته مدمجًا. يقول: “لكن علينا أن نزحف، ونمشي، ثم نركض”. “إنها خطوة كبيرة للأمام أن نحصل على شهادة عالمية لأمن إنترنت الأشياء للمستهلك. إنه أفضل بكثير من عدم وجود واحدة.”

ويشير ليدرمان من Google أيضًا إلى أن استيفاء الحد الأدنى من معايير الأمان لا يضمن خلو الجهاز من الثغرات الأمنية. ويقول: “نحن نؤمن إيمانًا راسخًا بأن الصناعة بحاجة إلى رفع المستوى بمرور الوقت، خاصة بالنسبة لفئات المنتجات الحساسة”.

وتخطط وكالة الفضاء الكندية (CSA) للحفاظ على تحديث المواصفات، مما يتطلب من الشركات إعادة الاعتماد كل ثلاث سنوات على الأقل. بالإضافة إلى ذلك، يقول ريتشاردسون إنه ستكون هناك حاجة لعملية الاستجابة للحوادث، لذلك إذا واجهت الشركة مشكلة أمنية – مثل مشكلات Wyze الأخيرة – فيجب عليها إصلاحها قبل أن تتمكن من إعادة الاعتماد.

يمكن أن تسمح واجهة برمجة التطبيقات (API) لتطبيق النظام الأساسي للمنزل الذكي بتنبيهك بحالة أمان الجهاز قبل أن يتمكن من الانضمام إلى شبكتك

ولمعالجة المخاوف بشأن إساءة استخدام الملصق، يقول هانا إن وكالة الفضاء الكندية سيكون لديها قاعدة بيانات لجميع المنتجات المعتمدة على موقعها الإلكتروني حتى تتمكن من التحقق من مطالبات الشركة. ويقول أيضًا إن هناك خططًا لإتاحة المعلومات في واجهة برمجة التطبيقات (API)، والتي قد تسمح لتطبيق النظام الأساسي للمنزل الذكي الخاص بك بتنبيهك بحالة أمان الجهاز قبل أن يتمكن من الانضمام إلى شبكتك.

تحذر هانا من وضع توقعات عالية جدًا. ويقول: “بعض الشركات متحمسة لتقدير العمل الذي أنجزته بالفعل، ولكن لا ينبغي لنا أن نتوقع أن يتمتع كل منتج بهذا الأمر”. ويضيف أن البعض قد يجد أن لديهم مشاكل تمنعهم من الحصول على الشهادة. “إذا أو عندما تصبح هذه الأمور مطلوبة من قبل الحكومات، فهذا هو المكان الذي يضرب فيه المطاط الطريق”.

قد يبدو البرنامج التطوعي وكأنه أصبع في السد، ولكنه يحل مشكلتين أساسيتين. بالنسبة للمصنعين، فإنه يجعل من السهل الامتثال للوائح من بلدان متعددة في خطوة واحدة، بينما بالنسبة للمستهلكين، فإنه يفتح وسيلة للحصول على معلومات حول نوع الممارسات الأمنية التي تلتزم بها الشركة.

تقول هولي هينيسي، خبيرة الأمن السيبراني لإنترنت الأشياء في شركة Omdia لتحليل التكنولوجيا: “بدون علامة أو علامة، قد يكون من الصعب كمستهلك اتخاذ قرار الشراء بناءً على الأمان”. في حين أن كون البرنامج طوعيًا يمكن أن يكون عائقًا أمام التبني، تقول هينيسي إن أبحاث شركتها تشير إلى أن الأشخاص أكثر عرضة لشراء جهاز يحمل علامة الخصوصية والأمان.

في النهاية، تعتقد هينيسي أن هناك حاجة إلى مجموعة من المعايير والشهادات مثل هذه، إلى جانب اللوائح والتشريعات لحل مخاوف المستهلكين بشأن الخصوصية والأمان في الأجهزة المتصلة. لكن هذه الخطوة تعتبر خطوة كبيرة في الاتجاه الصحيح.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *