رویکرد امنیت طراحیمحور
امنیت طراحیمحور رویکردی فعال در زمینه امنیت سایبری است که در آن شیوههای ایمن در کل چرخه توسعه نرمافزار و سختافزار تعبیه شده است و امنیت در خلال توسعه ایجاد میشود.
توسط نجمه نوذر، دانشجوی دکتری حرفهای بانکداری دیجیتال دانشگاه تربیت مدرس و کارشناس طراحی شرکت بهسازان ملت
امنیت طراحیمحور رویکردی برای توسعه نرمافزار و سختافزار است که میکوشد از طریق اقداماتی مانند آزمایش مداوم، حفاظت از احراز هویت و پایبندی به بهترین شیوههای برنامهنویسی، سیستمها را در مقابل عیوب، آسیبپذیری و حمله، مقاوم و غیرقابل نفوذ کند. امنیت طراحیمحور یک رویکرد جدید برای امنیت سایبری است که از ابتدا با تفکر وجود خطر شکل میگیرد و باعث میشود نوآوری با اطمینان انجام شود. یافتههای اولیه بررسی امنیت اطلاعات جهانی EY 2020 که تقریباً با 1300 مدیر امنیت سایبری انجام شد، نشان میدهد که 65٪ از مشاغل بعد از اینکه حادثه رخ میدهد به امنیت سایبری توجه میکنند.
سازمانها تنها کسانی نیستند که مورد هجوم جرایم سایبری قرار میگیرند. بخش زیادی از زیرساختهای تحت نظارت دولت در ایالتهای مدرن امروزه بهصورت آنلاین و بههم پیوسته اداره میشود. حمله به این سیستمها توانایی ایجاد اختلال در کل مناطق کشور و ایجاد هرج و مرج غیرقابل توصیفی را دارند و حتی ممکن است منجر به آسیبهای جسمی به افراد شود. در سال 2016 هکرها توانستند شبکه برق یک منطقه اوکراین را بهطور کامل تعطیل کنند و 230 هزار نفر را برای ساعتها بدون برق بگذارند.
از دیگر نمونههای این آسیب، آسیبهای اجتماعی است. حالتیکه هکرها یک خبر جعلی فاجعه را از یک کانال معتبر با میلیونها مخاطب پخش میکنند و سرانجام بیشترین اثر مخرب و پایدار این حوادث از بین رفتن اعتماد بین مردم و سازمانها یا مؤسساتی است که به آنها وابسته هستند. ذینفعان، کارمندان، اشخاص ثالث و مصرفکنندگان از یک طرف، مالیاتدهندگان و رأیدهندگان از سوی دیگر. هنگامیکه محرمانه بودن، تمامیت یا در دسترس بودن دادهها به خطر بیفتد، یا محصولات و خدمات خلاف آنچه انتظار میرود متوقف شوند، اعتمادی که طی سالها ایجاد شده است، یک روزه از دست میرود.
امنیت طراحیمحور بهجای جلوگیری از ریسک کلی، امکان اعتماد به سیستمها، طرحها و دادهها را در پی دارد و بهکمک آن سازمانها میتوانند ریسک بیشتری را بهعهده بگیرند، تغییر و تحولات را راحتتر بپذیرند و با اطمینان بیشتری نوآوری کنند.(لاو جوی، 2020) قبل از توسعه و از ابتدای طراحی باید به امنیت توجه داشت نه اینکه پس از توسعه دنبال سوراخ امنیتی و راهکار برطرف کردن آن بود. سیستمهایی که برای محیط عمومی توسعه داده میشوند باید ایمنتر از یک محیط داخلی با پیکربندی دستی باشند.
برخی از فروشندگان مفاهیم مرتبطی را تحت عناوین Secure DevOps، Security-as-Code، SecOps و DevSecOps مطرح نمودهاند. مشخصات مورد نیاز میتواند در الگو کد شود و اطمینان حاصل کنند که همیشه این تنظیمات اجرا میشود. امنیت طراحیمحور رویکردی فعال در زمینه امنیت سایبری است که در آن شیوههای ایمن در کل چرخه توسعه نرمافزار تعبیه شده است. این ایده بیانگر یک فلسفه اساسی است که در آن امنیت بهجای اینکه صرفاً پس از وقوع مصادیق شکست آن بهکار گرفته شود، در بافت توسعه ایجاد میشود.
این مانیفست همچنین خواستار نظارت امنیتی 24×7 است بهطوریکه منتظر نیست یک حادثه رخ دهد و سپس نسبت به آن واکنش نشان دهد؛ در عوض، قبل از اینکه مهاجمان سایبری فرصت سوءاستفاده از آنها را داشته باشند، آگاهانه بهدنبال حفاظت در برابر آسیبپذیری است. در این راستا، اعضای تیم اساساً پای خود را در کفشهای دشمن قرار میدهند و مانند او فکر میکنند.(کریشنان، 2018)
یکی از روشهای امنیت طراحیمحور، بهکارگیری روشهای یادگیری ماشین بدون ناظر یا نظارت است. اگر داده جدیدی وارد شود که ناسازگار باشد، الگوریتمها آن را شناسایی و از نفوذ آن به سیستم جلوگیری میکنند.
امروز با تحول دیجیتال بخشهای بزرگ و حساسی از مشاغل، خودکار و دیجیتال شدهاند و امکان حملات سایبری افزایش پیدا کرده است. تصور کنید سیستم ترافیک پروازها یا سیستمهای تشخیص پزشکی مورد حمله قرار گیرند. جلوی چنین فاجعههایی را میتوان با پروتکلهای حاکمیت داده، هویت و مدیریت دسترسی کافی در هسته سیستمهای هوشمند سد کرد.
اهداف کلی آن بهصورت زیر است:
- فرایند توسعه و بهروزرسانی استاندارد
- زیرساخت خودکار و تست امنیت کد بهعنوان بخشی از خط تولید
- اجباری کردن پیکربندی امنیت در تولید
- ابزارهای نظارت بالغ امنیت با دادههایی که در معرض ارزیابی هوشمند و انسانی قرار گرفتهاند (لاجیکورک، 2017)
بازیگران تهدید امروز تنها به سرقت دادهها توجه نمیکنند بلکه انگیزههای سیاسی در حملات حتی در سطح ایالت، بهشدت افزایش یافته است. ما همچنین شاهد ظهور "هکتیویسم"[1] و تروریسم سایبری بهعنوان تهدیدهای اساسی برای امنیت سایبری در سراسر جهان هستیم.
دغدغه امنیت در اینترنت اشیاء
یکی از موارد کاربرد رویکردهای امنیت طراحیمحور در حوزه اینترنت اشیاء است. در اینترنت اشیاء هر وسیله قابل تصور میتواند یک شناسه منحصربهفرد (UID) داشته باشد تا بتواند از طریق اینترنت مخاطب قرار گیرد. در حقیقت اینترنت اشیاء نیاز به امنیت طراحیمحور دارد. در اینترنت اشیاء هر کدام از وسایل از قبیل لوازم خانگی دادههایی جمعآوری و از طریق اینترنت منتقل میکنند. برای این دادهها لازم است حفظ حریم خصوصی رعایت شود. تولیدکنندگان باید کاربران را متوجه کنند و به آنها اجازه انتخاب معنیدار در مورد نحوه استفاده از اطلاعاتشان را بدهند. شکی نیست که اینترنت اشیاء پتانسیل تغییر زندگی روزمره و مزایای عظیمی دارد اما در کنار آن دارای پیامدهای نقض حریم خصوصی و امنیتی هم هست. (تکتارگت، 2015) نیاز به امنیت در یک اتومبیل هوشمند که با فناوری اینترنت اشیاء توسعه داده شده است مشهود است.
دغدغه امنیت در فناوری ابری
هنگامیکه یک کمپانی به سمت فناوری ابری پیش میرود، این دغدغه بهوجود میآید که چه کسی(کسانی) مسئول برقراری امنیت هستند. لازم است فرایندهای امنیتی در خط تولید یکپارچه شده و تنظیمات امنیتی طوری در نظر گرفته شوند که با تغییرات هم مشکلی پیدا نکنند.
اجرای برنامههای کاربردی در ابر نیاز به یک رویکرد جدید برای انطباق دارد. در حالت ایدهآل، ما به سیستمی نیاز داریم که توسعهدهندگان و مهندسین را قادر سازد که ضمن حفظ استانداردهای امنیتی و انطباق، به شیوهای چابک عمل کنند. (لاجیکورک، 2017)
در بخش زیر به نکاتی در خصوص امنیت طراحیمحور اینترنت اشیاء اشاره شده است.
در حال حاضر اینترنت اشیاء مجموعهای از نوآوریهای تجاری و فناوری است. دستگاهها و ابزارهایی که در اینترنت اشیاء از آنها استفاده میشود هوشمند و متصل هستند. دادهها را بدون نیاز به دخالت انسان جمعآوری میکنند و به اشتراک میگذارند. چون این دادهها در بستر اینترنت منتقل میشوند و دستگاهها متصل هستند، آسیبپذیری بالا است. همانطور که در مجمع جهانی اقتصاد ذکر شده است، "هک کردن دادههای مکانی بر روی یک خودرو صرفاً حمله به حریم خصوصی است، در حالی که هک کردن سیستم کنترل اتومبیل میتواند تهدیدی برای زندگی باشد."
پلتفرمهای اینترنت اشیاء توسعه و استقرار را سادهتر میکند. در شکل (1) پلتفرمی از اینترنت اشیاء نمایش داده شده است. (دیلویت، 2018)
شکل (1) پلتفرم اینترنت اشیاء
منابع:
Kris Lovejoy, 2020, “How to manage cyber risk with a Security by Design approach”
Delloite, 2018, “Secure IoT by design Cybersecurity capabilities to look for when choosing an IoT platform”
Muralee Krishnan , 2018, “DevSecOps – The Approach to Security by Design"
Logic Work, 2017, “What is Security by Design?”
TechTarget, 2015, “security by design”