الثغرات الأمنية تبين الحاجة الملحة إلى تنظيم إنترنت الأشياء

حذر الخبراء طويلًا من المشكلات الأمنية الكامنة في إنترنت الأشياء، وتحولت التحذيرات والمخاوف إلى واقع مُرعب يوم الجمعة الماضية، الحادي والعشرين من أكتوبر/تشرين الأول، مع هجمات واسعة تسببت في تعطل مواقع إنترنت رئيسية واسُتخدمت فيها كاميرات المراقبة المنزلية والطابعات المُتصلة بالإنترنت بعد تعرضها للاختراق.

وقبل ذلك بُنيت التحذيرات من مخاطر إنترنت الأشياء على تقديرات وافتراضات لأسوأ الاحتمالات مثل سيطرة القراصنة على السيارات، أو تسبب برمجيات خبيثة في إيقاف محطات الطاقة النووية. لكن الهجوم الأخير أظهر خطورة الثغرات الأمنية في إنترنت الأشياء وواقعيتها.

واستهدف هجوم من نوع “الحرمان من الخدمة” أو “حجب الخدمة” شركة “دين” Dyn لاستضافة أسماء نطاقات الإنترنت والمسؤولة عن توجيه المستخدمين لعناوين المواقع على الإنترنت. واستخدم برنامج “ميراي” Mirai لاستغلال آلاف الأجهزة المُخترقة وإغراق هذه المواقع بسيل من الطلبات الوهمية عجزت عن التعامل معه.

وينتشر هذا النوع من الهجمات منذ سنوات، لكن ارتباط مزيد من الأجهزة بالإنترنت وضعف الحماية الأمنية لكثيرٍ منها يُتيح أدوات جديدة أمام القراصنة. وحتى الآن لم تتكشف هوية المسؤول عن الهجوم وما إذا كانت دول أو فريق من القراصنة، لكن من المُرجح وقوعه مجددًا.

وتستدعي ثغرات إنترنت الأشياء المُقارنة مع رسائل البريد الإلكتروني المُزعجة ومحاولات معالجتها بالتشريعات، وفي مطلع الألفية الجديدة اعتبرتها “لجنة التجارة الاتحادية” الأمريكية مشكلة مستعصية تمامًا. وأقرت الحكومة الأمريكية قانون CAN-SPAM في عام 2003 الذي ألزم المُسوقين عبر البريد الإلكتروني بإتاحة خيار إلغاء الاشتراك من القوائم البريدية للمستخدمين، وأشرفت اللجنة على قواعد التنفيذ.

لكن القانون تلقى انتقادات كثيرة، وثبت بالفعل صواب رأي المعارضين؛ نظرًا لإخفاق القانون في الحد من الرسائل الإلكترونية المُزعجة التي تُشكل حاليًا أكثر من 90% من إجمالي البريد الإلكتروني. وبالنسبة لإنترنت الأشياء، ربما ستُلزم التشريعات المُصنعين بتوفير ضمانات تُصعّب اختراق منتجاتهم.

وفي الوقت الراهن لا ترغب الأطراف المُهتمة بإنترنت الأشياء في صدور تشريعات مُتعجلة تتحكم في منتجاتهم، ولذلك يتعاون بعضها كمحاولة لاستباق القوانين المُرتقبة ومنها “مؤسسة أمن إنترنت الأشياء” التي تسعى لوضع إطار عمل لتلبية الأجهزة لأفضل المعايير الأمنية. وقال المُدير الإداري للمؤسسة، جون مور: “في هذه المرحلة يُعد التنظيم خيارًا مًمكنًا، لكنه مُعقد وسيستغرق وقتًا، وهو شيء يتوجب تحققه سريعًا لتغيير السلوكيات”.

وكثيرًا ما تنجح الشركات والمؤسسات العاملة في قطاعٍ بعينه في تقديم ابتكارات تُعالج مشكلاتها، بينما تُخفق اللوائح الرسمية في ذلك. وهو ما حدث مع البريد الإلكتروني غير المرغوب فيه من خلال تحسين أدوات ترشيح الرسائل. وتقول “جوجل” أن البريد المُزعج يُمثل حاليًا 0.1% من متوسط حجم الرسائل لمستخدمي “جيميل”.

ولا يخضع منتجو أجهزة إنترنت الأشياء لأية متطلبات للتوثيق والمعايير، كما هو الحال مع الأجهزة الإلكترونية الأخرى، وإن كانت الحكومات تستخدم القوانين الحالية في الملاحقة القضائية لهجمات القرصنة ومنها “الحرمان من الخدمة”.

ويُتوقع تنامي مخاطر إنترنت الأشياء بمضي الوقت وانضمام المزيد من الأجهزة مع تطبيق تكنولوجيا “الجيل الخامس” للاتصالات اللاسلكية، وتراجع الإشراف على الأجهزة وتوافر فرص أكبر للقرصنة وإساءة الاستعمال. وأوضح باحثون في شركة “أربور نتووركس” للبرمجيات أن نوع هجمات الجمعة الماضية قد يصير أشد خطرًا إذا استهدف عناوين على مستوى بلد بأكمله مثل “.uk”.

ولا يُعد اتفاق الشركات المُصنعة لأجهزة إنترنت الأشياء حلًا مضمونًا، ولاسيما مع صعوبات الاتفاق على معايير طوعية وحاجة المفاوضات إلى وقت طويل. وفي حال أخفق المنتجون في التوصل إلى اتفاق سريع، سيكون لزامًا عليهم القبول بتدخل الهيئات التشريعية والحكومية بلوائح لا تخلو من العيوب، لكن لا غنى عنها للحد من أضرار التقنيات الجديدة.

الصورة