تفتح NIST إرشادات محدثة لأمن إنترنت الأشياء للمراجعة العامة
تهدف المراجعة إلى تحديد متطلبات الأمن السيبراني للمنتجات الخاصة بأجهزة إنترنت الأشياء المستخدمة في شبكات الوكالات الفيدرالية.
المقدمة
غالبا ما يصبح أمن إنترنت الأشياء مرئيا فقط بعد حدوث خطأ ما. هذه المرة، الإشارة أهدأ ولكنها لا تقل أهمية: لقد طرحت NIST إرشادات محدثة لأمن إنترنت الأشياء للمراجعة العامة. وهذا مهم لأن إرشادات من هذا النوع يمكن أن تشكل ما يتوقعه المشترون الحكوميون من الأجهزة المتصلة قبل أن تصل هذه المنتجات أصلا إلى الشبكة.
حقائق سريعة
- فتحت NIST إرشادات محدثة لأمن إنترنت الأشياء للمراجعة العامة.
- تهدف الإرشادات إلى وضع متطلبات الأمن السيبراني للمنتجات.
- تستهدف المتطلبات أجهزة إنترنت الأشياء المستخدمة في شبكات الوكالات الفيدرالية.
- تعني المراجعة العامة أن الوثيقة لا تزال مفتوحة لتلقي الملاحظات قبل اعتماد أي صيغة نهائية.
المتن
الحدث المؤكد مباشر، لكن دلالته الأمنية واسعة. يمكن لمنتجات إنترنت الأشياء أن تصل إلى البيئات الحكومية عبر الشراء والتكامل والاستخدام التشغيلي طويل الأمد. وعندما تحدد الإرشادات متطلبات المنتج، فإنها قد تؤثر في كيفية قيام المصنّعين ببناء هذه الأجهزة وتوثيقها ودعمها قبل وقت طويل من بدء النشر.
ومن منظور دفاعي، تكمن القيمة هنا. غالبا ما تكون متطلبات الأمان للأجهزة المتصلة أقوى عندما تدفع نحو وضوح كيفية مصادقة المنتج وتحديثه وصيانته عبر دورة حياته. وحتى من دون النص الدقيق للإرشادات المحدثة، فإن الاتجاه السياسي يشير إلى تحد مألوف: تحتاج الوكالات إلى أجهزة يمكن إدارتها بأمان، لا مجرد أجهزة تعمل في اليوم الأول.
هذا التحدي مهم بشكل خاص لإنترنت الأشياء لأن هذه الأنظمة تكون عادة مدمجة في بيئات أوسع بدلا من أن تكون معزولة بذاتها. ويمكن للجهاز الضعيف أن يتحول إلى مشكلة في الجرد، أو مشكلة في الترقيع، أو مشكلة ثقة إذا لم يتمكن المشترون من التحقق من سلوكه بمرور الوقت. ولهذا السبب، فإن المراجعة العامة ليست مجرد هامش بيروقراطي. إنها جزء من الطريقة التي يتم بها اختبار خطوط الأساس الأمنية قبل أن تتصلب لتصبح قواعد للشراء.
حتى وقت كتابة هذا التقرير، تدعم المعلومات المتاحة تحليلا للسياسة والمخاطر، لا سردا لحادثة. لم يتم وصف أي خرق أو مسار استغلال أو تعطيل تشغيلي في الحدث الأساسي. النقطة المهمة أكثر عملية: عندما لا تزال متطلبات الأمان قيد التشكل، فإن لدى المدافعين والموردين والمشترين نافذة قصيرة للدفع نحو ضوابط تقلل الغموض بدلا من توريثه.
الخلاصة
الدرس الأوسع هو أن أمن إنترنت الأشياء يُعامل بشكل متزايد على أنه مسألة شراء، وليس مسألة تقنية فقط. وإذا كان من المقرر أن تعيش الأجهزة المتصلة داخل شبكات حساسة، فيجب تحديد وضعها الأمني قبل النشر، لا بعد أول علامة تحذير. وبهذا المعنى، تذكّر المراجعة بأن السياسة يمكن أن تكون واحدة من أقوى الضوابط في المنظومة.
WIKICROOK
- إنترنت الأشياء: شبكة من الأجهزة المادية المتصلة التي تتواصل عبر شبكة.
- البرمجيات الثابتة: برمجيات منخفضة المستوى مدمجة في العتاد وتتحكم في سلوك الجهاز.
- الشراء: عملية شراء التكنولوجيا، وتستخدم غالبا لفرض متطلبات الأمان قبل النشر.
- دورة الحياة: الفترة الكاملة التي يتم فيها تصنيع الجهاز ونشره وصيانته ثم إخراجه من الخدمة في النهاية.
- خط الأساس الأمني: مجموعة دنيا من الحمايات المتوقعة لنظام أو منتج.
