نقش استانداردISO27001 در اینترنت اشیاء (قسمت اول)

  • نویسنده: سعید ترکمانی
  • تاریخ انتشار: چهارشنبه ، ۲۲ مرداد ماه ۹۹
  • تعداد بازدید: 329
  • تعداد نظرها: 0
  • دسته بندی: سیستم مدیریت امنیت اطلاعات

1-مقدمه

یکی از مفاهیم و ترندهای مهم دنیای فناوری امروز، اینترنت اشیاء است. این موضوع جامعه بشری را با خود درگیر ساخته و از طرفی با گسترش این مفهوم نیاز به رعایت برخی از ملاحظات بویژه در حوزه امنیت اطلاعات در آن ضروری است. توسعه اینترنت اشیاء و ضرورت رعایت الزامات امنیت اطلاعات، نیاز به یک الگوی امنیتی را آشکار می سازد. بنظر می رسد مهم ترین الگو در این حوزه، بهره گیری از استانداردهای مرجع و بین المللی نظیر مدل سیستم مدیریت امنیت اطلاعات بر اساس استاندارد ISO 27001 است. در این مقاله به بررسی استاندارد مذکور در حوزه اینترنت اشیاء پرداخته خواهد شد.

در ابتدا به تعریف اینترنت اشیاء یا IOT پرداخته خواهد شد و سپس الزامات مورد نیاز استاندارد ISO27001 برای این مفهوم بررسی خواهیم کرد.

ارتباطات یک عنصر کلیدی است که باید در فناوری اطلاعات و ارتباطات (ICT) در نظر گرفته شود. یکی از نگرانی های متخصصان ICT در این حوزه دارند، اتصال بیشتر مردم به شبکه های پهن باند است که منجر به گسترش دستگاه های قابل حمل هوشمند می­شود و شرایط مناسبی را برای ارائه اینترنت اشیاء فراهم می نماید. اینترنت اشیاء در جهان امروز حکمرانی می کند و از اشیاء مختلفی تشکیل شده است که می توان به ساختمان ها، اتومبیل ها، لوازم خانگی اشاره کرد که به جریان های رایج دنیای وب که از میلیون ها کامپیوتر قابل حمل و تبلت و تلفن های هوشمند تشکیل شده اضافه شده است. بنابراین امنیت و حریم خصوصی یکی از چالش های جدید در این دنیا خواهد بود که بیشتر کسب و کارها را در بر خواهد گرفت.

2-مدل لایه ای اینترنت اشیاء

اینترنت اشیاء از سه لایه تشکیل شده که عبارتند از :

  • perceptual layer or sensing layer
  • Network and Transport layer
  • application layer

که هر کدام از این لایه ها وظایف متفاوتی دارند که در ادامه تشریح خواهد شد.

1-2 Perceptual layer or sensing layer یا لایه حسی

استفاده از سنسورهای هوشمند برای ارتباط بین اشیاء در این لایه مطرح است که تبادل اطلاعات را در میان آنها آسان می کند. این لایه از سنسورهای مختلف شامل سنسور دما، سنسور حرارت، سنسور GPS ، برچسب های RFID و.. تشکیل شده است. همچنین این لایه وظیفه جمع آوری داده های مختلف از ترمینال ها را به عهده دارد که می توانیم به ترمینال های اندازه گیری دما و رطوبت و GPS اشاره کرد. دو فناوری کلیدی که در این لایه می توانیم به آن ها اشاره کنیم RFID وWSN هستند.

2-2 Network and Transport layer

این لایه مرکزیت شبکه را تشکیل می دهد که از انواع شبکه شامل: اینترنت، شبکه های ارتباطی 4G , 5G، پلتفرم های محاسبات ابری تشکیل شده است. در واقع کار اصلی این لایه انتقال اطلاعات از لایه perception  به لایه application است. فناوری های کلیدی این لایه شامل موارد زیر است:

پروتکل های ارتباطی بی سیم و با سیم، فناوری یک پارچه سازی شبکه و تکنولوژی پردازش داده های هوشمند

3-2 Application layer

لایه Application در واقع بین IOT و کاربر قرار گرفته تا با استفاده از فناوری های داده کاوی، محاسبات ابری، و دیگر فناوری های محاسباتی هوشمند به پردازش داده های بزرگ و ارائه اطلاعات موثر بپردازد. این لایه ترکیبی از IOT و نرم افزار های حرفه ای است تا یک نرم افزار هوشمند را ارائه دهد. این نرم افزار ها بخش وسیعی از صنایع را مانند کشاورزی، آب، شهر، ترافیک و همچنین خانه های هوشمند را در بر می گیرند.

در شکل زیر معماری کلی اینترنت اشیاء نشان داده شده است.

                

3- الزامات مورد نیاز استانداردISO27001 در اینترنت اشیاء

در این قسمت لزوم پیاده سازی استاندارد ISO27001 را در سازمان­های هوشمند دارای اینترنت اشیاء بررسی خواهد شد. در اینجا یک بیمارستان هوشمند را در نظر می گیریم که مجهز به تجهیزات اینترنت اشیاء است و می خواهد استاندارد ISO27001 را پیاده سازی کند. در بخش­های مختلف این مقاله الزامات استاندارد برای به کار بردن در حوزه IOT در یک بیمارستان تشریح خواهد شد.

1-3 حوزه A5 خط مشی های امنیت اطلاعات

در این بخش حوزه A5 بررسی خواهد شد. به عنوان نمونه یک بیمارستان باید برای حفاظت از تجهیزات IOT خود خط مشی مشخصی داشته باشد؛ برای مثال چگونه می تواند از سنسورها در برابر حملات سایبری محافظت کند و آیا سندی برای خط مشی سازمان دارد؟ این سند در واقع برای مدیریت کنترل دسترسی، طبقه بندی اطلاعات، تهیه نسخه پشتیبان، محافظت در برابر بدافزار تدوین شده است. و باید شخصی این سند را تدوین کرده باشد که مقام اجرایی بالایی را داشته باشد و بتواند آن را پس از تدوین اطلاع رسانی کند. چرا سند راهبردی مهم است؟ به دلیل اینکه بیمارستان برای بهبود عملکرد خود از تجهیزات IOT  استفاده می کند و باید یک سند راهبردی امنیت اطلاعات داشته باشد چرا که فناوری IOT همانطور که مزایای خود را دارد می تواند خطرات سایبری جبران ناپذیری را به همراه داشته باشد؛ برای مثال تصور کنید که مهاجم بخواهد به سنسور ضربان ساز قلب یک بیمار حمله کند، اگر این حمله صورت بگیرد ممکن است جان بیمار به خطر افتد.  به عبارت دیگر این خط مشی باید هر سه لایه IOT را که در قسمت قبل به آنها اشاره کردیم پوشش دهد.

2-3 حوزه A6 سازماندهی امنیت اطلاعات

در این بخش حوزه A6 استاندارد در خصوص سازمان دهی امنیت بررسی خواهد شد. در مثال قبل؛ اگر بیمارستان سند راهبردی و خط مشی امنیتی سازمان را تعریف کرد؛ حال باید نقش ها و مسئولیت ها را تعریف کند. سوالی که در اینجا مطرح است این است که آیا کمیته راهبردی امنیت اطلاعات در بیمارستان تعیین شده است؟ اعضا آن چه کسانی هستند؟ واگر این کمیته سندی را تصویب کرد اعتبار لازم را دارد؟

 برای مثال کمیته راهبردی لزوم رمزگذاری اطلاعات را برای کارکنان بیمارستان اجبار می کند آیا آنها این رویه را اجرا می کنند؟در اینجا باید سمتی به عنوان مدیریت امنیت اطلاعات تعریف شود و این فرد باید در برابر حملات سایبری که در حوزه IOT می شود؛ پاسخگو باشد و نسبت به حملاتی که در هر سه لایه رخ می دهد آگاه باشد.

 نکته ای که باید به آن اشاره کنیم این است که بیمارستان باید تفکیک وظایف را به درستی انجام بدهد به صورتی که تداخل کاری بین کارکنان فناوری اطلاعات و امنیت اطلاعات به وجود نیاید. در صورت وقوع حمله سایبری به تجهیزات IOT برای مثال حمله یه سنسورهای سلامتی، آیا امکان ارتباط موثر با مراجع ذیصلاح وجود دارد برای مثال اورژانس یا پلیس فتا و همینطور بیمارستان ارتباط موثری با مراکز امنیتی نظیر مرکز مدیریت راهبردی افتا و یا مرکز گوهر دارد و الزام خاصی را از این مراکز درباره موضوع IOT دریافت کرده است. برای مثال چه رویکرد دفاعی را باید در برابر این حملات داشته باشد؟

اگر بیمارستان پروژه هوشمند سازی را اجرا می کند، باید امنیت اطلاعات را در مدیریت پروژه را در نظر بگیرد. نکته ای که باید به آن اشاره کنیم این است که بیمارستان در قبال تجهیزات سیار و دورکاری چه سیاستی را در پیش گرفته است برای مثال کارکنان بیمارستان دارای تبلت هستند که قابلیت اتصال به سنسورها را دارد آیا بیمارستان لیست کارکنانی که تبلت دارند را تهیه کرده است؟ آیا از امن بودن اطلاعات بیماران که بر روی این ابزارها سیار قرار دارد اطمینان دارد؟ درمورد دورکاری بیمارستان باید اطمینان حاصل کند که پزشکانی که ساکن شهرهای دیگری هستند و می خواهند به بیمارستان متصل شوند الزامات امنیتی را رعایت می کنند و از سیستم های ایمن استفاده می نمایند. در این قسمت می توان به حملات MIM یا man in the middle اشاره کرد که در آن مهاجم می تواند اطلاعات در حال تبادل بین سیستم پزشک و بیمارستان را سرقت کند و محرمانگی اطلاعات را تحت تاثیر قرار دهد و حتی از این اطلاعات برای حملات بعدی به تجهیزات IOT استفاده کند و این حمله در لایه دوم IOT اتفاق می افتد.

3-3 حوزهA7 امنیت منابع انسانی

در این بخش حوزه A7 بررسی خواهد شد که مربوط به امنیت منابع انسانی است. بیمارستان باید سیاستی را در پیش گیرد که پیش از استخدام، حین خدمت، خاتمه و یا قطع همکاری بتواند از لحاظ امنیتی کارکنان خود را بررسی نماید؛ برای مثال در مرحله گزینش باید سابقه افراد را بررسی کند و از آنها گواهی سوء پیشینه درخواست کند چرا که ممکن است فرد در سمت قبلی خود اطلاعات شرکت را فروخته باشد و محیط IOT برای آن جذابتر باشد.

 زمانی که فرد استخدام شود بیمارستان باید توافق نامه عدم افشا اطلاعات با فرد گزینش شده امضا کند، چرا که ممکن است به اطلاعات سنسورها و بیماران دسترسی داشته باشد و این خود باعث افزایش ریسک می شود. البته مدیریت باید الزامات امنیت اطلاعات را به افراد ابلاغ کند و از آن اطمینان حاصل کند و اگر تخطی در این زمینه صورت پذیرفت، باید با آن برخورد شود.

 در بیمارستان باید برنامه آموزشی منظم برای کارکان در زمینه IOT و امنیت تجهیزات آگاهی رسانی شود و سنجش اثر بخشی آن انجام شود برای مثال کارکنان باید آموزش لازم در استفاده از سنسورها را ببینند و بداند که اطلاعات بیماران از همه چیز مهمتر است و به هیچ وجه نباید افشاء شود.

کارکنان باید آموزش ببینند که چگونه با ابزارهای IOT کار کنند و نسبت به تهدیدها و حملاتی که در این زمینه انجام می شود آگاهی کسب کنند برای مثال باید سیاستی در بیمارستان تدوین شود که حملات جدید در حوزه IOT اطلاع رسانی شود که برای نمونه می توان به بد افزار Mirai اشاره کرد که از تجهیزات IOT برای حملات DDOS استفاده می کند.

 اگر کارکنان بیمارستان در استفاده از تجهیزات IOT و یا افشاء اطلاعات دچار نقض امنیتی شوند، آیا فرآیند انضباطی در بیمارستان وجود دارد که آن ها را توبیخ کند. اگر کارکنان بیمارستان به هر دلیلی بخواهند که با بیمارستان قطع همکاری کنند، باید فرآیندی وجود داشته باشد تا دسترسی کارکنان به تجهیزات IOT به سرعت قطع شود. در واقع واحد فناوری اطلاعات باید سریع از این موضوع آگاه شده و اقدامات لازم را انجام دهد. در این قسمت مهاجم می تواند از مهندسی اجتماعی یا social engineering استفاده کند و کارکنان بیمارستان را تخلیه اطلاعاتی کند.

4-3 حوزه A8 مدیریت دارایی

در این بخش حوزه A8 بررسی خواهد شد که مربوط به مدیریت دارایی های سازمان است. در اینجا بیمارستان باید لیستی از تجهیزات هوشمند را تهیه کند و این لیست را به روز رسانی کند و مالکیت آنها را مشخص کند و وضعیت محرمانگی آنها را تعیین کند برای مثال تبلت شماره x2563 متعلق به کدام یک از کارکنان است. بیمارستان باید سیاست های استفاده مناسب از تجهیزات هوشمند را برای کارکنان تعریف کند برای مثال مسئولیت سنسورهای WSN به عهده چه کسی است؟ و آیا این فرد از مسئولیت های خود در برابر این سنسورها آگاه شده است و می داند که چگونه باید از آن ها استفاده کند. آیا از تهدیدهایی که سنسورهای WSN را تحت پوشش قرار می دهد آگاهی دارد؟

 نکته مهمی که در این قسمت وجود دارد، بازگشت تجهیزات است که باید سیاستی برای آن تنظیم شده باشد برای مثال اگر یکی از پرستاران دارای تبلت است و از آن برای مانیتور کردن بیماران استفاده می کند و این تبلت حاوی اطلاعات مهمی است و می خواهد با بیمارستان قطع همکاری کند آیا سازمان سیاستی برای بازگرداندن تبلت یا هر تجهیزات دیگر را ایجاد کرده است؟ آیا اطلاعات تبلت مورد بررسی قرار می گیرد و در جای امن ذخیره می شود؟ بیمارستان باید کلیه فرآیندهای انتقال را به صورت امن انجام دهد.

واحد فناوری اطلاعات بیمارستان باید طبقه بندی خاصی را در خصوص محرمانگی تعریف کند و آنها را مستند کند و آن را اطلاع رسانی کند و اطمینان حاصل کند که کارکنان به آن اهمیت می دهند، برای مثال پیکربندی سنسورهای حرارتی و یا سنسورهای WSN باید به شخصی سپرده شود که از دسترسی محرمانه برخوردار باشد و اگر تخلفی در این زمینه صورت گرفت با آن برخورد شود. در واقع طبقه بندی اطلاعات بیشتر در لایه Application  اتفاق می افتدکه مربوط به برنامه های کاربردی IOT است؛ اما تنظیمات سخت افزاری که مربوط به لایه Perceptual است هم نیاز به طبقه بندی اطلاعات دارد.

 در مواقعی بیمارستان نیاز دارد که بعضی از سنسورها را امحاء کند و باید سیاست مناسبی را برای آن­ها داشته باشد. اگر نیاز باشد که تجهیزات IOT در بیمارستان جا به جا شوند باید افرادی این تجهیزات را جا به جا کنند که دسترسی های لازم را داشته باشند و نکات ایمنی و امنیتی را رعایت کرده باشند و این جا بجایی باید ثبت شوند.

5-3 حوزه A9 کنترل دسترسی

در این بخش الزامات حوزه A9 در خصوص کنترل دسترسی بررسی خواهد شد. اطلاعات بیماران می تواند به عنوان یکی از با ارزش ترین دارایی های بیمارستان ها در نظر گرفته شود که باید به آن توجه نمود. در واقع باید سیاستی وجود داشته باشد که میزان دسترسی به اطلاعات در آن تدوین شده باشد و باید در راستای آن تمامی الزامات امنیتی شناسایی شود؛ در واقع باید بر اساس نیاز کاربران سطح دسترسی به اطلاعات و تجهیزات IOT را تعریف کنیم و سطح محرمانگی اطلاعات و حقوق دسترسی کاربران با هم باید تناسب داشته باشد.

 دسترسی ها باید در زمان های متعدد مورد بازنگری قرار گیرد و دسترسی به اطلاعات به درستی ثبت شود. موضوع بعدی که بسیار مهم است دسترسی به شبکه است که ستون فقرات IOT است و باید دسترسی به شبکه و سرویس های آن محدود باشد. تصور کنید که پزشکی بخواهد از دفتر خود به بیمارستان متصل شود؛ در این صورت باید دسترسی آن به سرویس های شبکه ایمن شده باشد که برای مثال می توان از VPN , Proxy استفاده کرد.

 سرویس های شبکه باید به صورت مرتب پیمایش شوند. باید دستورالعمل مشخصی برای تعریف دسترسی به اطلاعات تعریف شده و وضعیت دسترسی کاربر به سیستم مستند شده باشد.

اگر کاربری در بیمارستان تغییر پست دهد، بلافاصله باید دسترسی آن تغییر کند و به صورت دوره ای وضعیت دسترسی کارکنان مورد بازنگری قرار گیرد. نکته ای که باید به آن اشاره کرد این است که اگر کاربری به مدت طولانی غیبت کرد باید دسترسی آن غیر فعال شود.

نام کاربری و رمز عبور کارکانان باید به صورت امن به آن ها تحویل داده شود و زمانی که بخواهند برای اولین بار از تجهیزات IOT استفاده کنند باید رمز عبور خود را عوض کنند و از رمز پیش فرض Admin استفاده نکنند.

کارکنان باید از رمز عبور خود در استفاده از تجهیزات IOT مراقبت کنند و به آنها آموزش های لازم داده شود برای مثال آن ها نباید رمز عبور خود را در معرض دید همکاران خود قرار دهند و اگر رمز عبور آنها افشا شد در اولین فرصت آنها را تغییر دهند و رمز عبوری که انتخاب می کنند باید مطابق با سیاست های امنیتی بیمارستان باشد. اگر مهاجم بتواند به رمز عبور کارکنان دسترسی داشته باشد می تواند به راحتی تنظیمات تجهیزات IOT را تغییر دهد که برای مثال می توان به سنسورهای ضربان ساز قلب اشاره کرد.

 باید سطوح دسترسی به سرویس ها و نرم افزارهای اطلاعاتی مدیریت شود؛ برای مثال مدیران و کاربران سطوح مختلف و....بعد از آن باید نوع دسترسی نیز مشخص شود برای مثال کاربر اجازه خواندن اطلاعات از تجهیزاتIOT  بیمارستان را داشته باشد و حق تغییر دادن آن را نداشته باشد و همچنین باید محدودیت دسترسی فیزیکی یا مجازی به آن ها نیز فراهم شود.

بیمارستان برای ورود کاربران به سیستم ها باید رویه های امن را در نظر بگیرد. برای مثال برای شناسایی کاربران از ابزارهای captcha و token استفاده کند و برای تعداد تلاش های مجاز کاربر برای اینکه به سیستم متصل شود، آستانه تعیین کند. سیستم کنترل تجهیزات هوشمند باید به گونه ای طراحی شده باشد تا ورود های موفق و ناموفق را ثبت نماید.

باید سیستم مدیریت کلمه عبور تعریف شود وکاربران باید از کلمه عبور پیچیده استفاده کنند و کیفیت کلمه عبور برای آن ها به نمایش درآید. کاربران باید در اولین ورود خود(Login) کلمه عبور خود را تغییر دهند و باید سیاستی را تعیین نمود که در انتخاب کلمات عبور قبلی توسط کاربران محدودیت ایجاد شود. نکته بسیار مهم در این قسمت این است که نگهداری و ارسال کلمه عبور باید به صورت امن صورت پذیرد.

اگر بیمارستان نرم افزار مخصوص به خود را نوشته باشد که مخصوص کنترل تجهیزات IOT و یا بیماران باشد باید سورس کدهای آن را در جای امن نگه داری کند و دسترسی به آنها را محدود کرده و هر یک از راهبران که می خواهند به آن دسترسی داشته باشند باید در سیستم ثبت شود.

نکته ای که باید به آن توجه کرد این حوزه هر سه لایه IOT که عبارتند از لایه حسی، شبکه و برنامه را پوشش می دهد.

6-3 حوزه A10 رمزنگاری

در این بخش حوزه A10 بررسی خواهد شد که هدف آن رمزنگاری است و از محرمانگی، اعتبار و یکپارچگی اطلاعات اطمینان حاصل می کند. در این قسمت بیمارستان باید نرم افزارهای حیاتی که نیاز به رمزنگاری دارند را مشخص کند. برای مثال نرم افزارهای کنترل تجهیزات IOT که در لایه Application  قرار دارند باید رمزگذاری شوند تا از دسترسی های غیر مجاز به آنها اطمینان حاصل کنیم و محرمانگی  و اعتبار و یکپارچگی اطلاعات نرم افزار به خطر نیافتد. باید سیاست مدیریت و تولید کلید در بیمارستان وجود داشته باشد؛ برای مثال کلیدهای تولید شده باید در بازه مشخصی به روز رسانی شوند و فرآیند مشخصی برای پشتیبانی از آن ها تعریف شود. نکته ای که باید به آن اشاره کرد این است که دسترسی به کلیدها باید مدیریت شود.

در این قسمت با اینترنت اشیاء یا IOT آشنا شدید و مدل لایه ای آن به شما معرفی گردید و کنترل های استاندارد ISO27001 را در IOT با مثال بررسی کردیم در بخش بعدی مقاله سایر کنترل ها را بررسی خواهیم کرد.