حظر كلمات المرور الغبية
القاهرة : الأمير كمال فرج .
تحركت حكومة المملكة المتحدة لأول مرة لإدخال تشريع قانوني يحظر استخدام كلمات المرور الغبية في ما يسمى بالأجهزة الذكية.
كتب ديفي ويندر في تقرير نشرته مجلة Forbes إن "مشروع قانون أمان المنتجات والبنية التحتية للاتصالات (PSTI) لم يصبح قانونًا بعد ؛ وبحسب مصادر حكومية فإن ذلك سيحدث بمجرد أن يسمح الوقت البرلماني. هذا يعني أن القانون سيدخل حيز التنفيذ في عام 2022".
ومع ذلك ، ما حدث بالفعل هو أن التشريع قد تم نشره، فما هي تدابير حماية أمن المستهلك التي سيقدمها القانون الجديد؟.
في الواقع ، سيوفر قانون PSTI ثلاث خطوات تنظيمية لسد ثغرة الأمان في الأجهزة الذكية، هذه الخطوات هي :
1 ـ لن يُسمح بعد الآن بكلمات المرور الافتراضية، أو ضبط المصنع، وكلمات المرور الضعيفة. بدلاً من ذلك، يجب أن تأتي جميع الأجهزة ذات الصلة بكلمات مرور فريدة لا يمكن إعادة تعيينها.
2 ـ يجب نشر جهة اتصال للباحثين والمتسللين وصائدي مكافآت الأخطاء وما شابه للإبلاغ عن نقاط الضعف الأمنية علنًا.
3 ـ يجب إخطار المستهلكين بالفترة التي سيتلقى فيها الجهاز الذي يشترونه تحديثات أمنية، ويتم إخطارهم بذلك عند نقطة الشراء. إذا لم يتمكن الجهاز من تلقي مثل هذه التحديثات أو التصحيحات أو لم يحصل على أي منها، فيجب الإعلان عن ذلك.
قال جورج بابامارجاريتيس ، مدير في Obrela Security Industries، "إن أحد أكثر نواقل الهجوم شيوعًا هو من خلال كلمات المرور الافتراضية، والتي يسهل تخمينها وتحميلها مسبقًا على أجهزة متعددة". "حقيقة أن هذا التشريع الجديد يحظر كلمات المرور الافتراضية هو خطوة كبيرة إلى الأمام، وسيشجع مصنعي الأجهزة على التفكير في الأمان قبل تسويق المنتجات، وإلا فقد يواجهون غرامات تدمير الأعمال."
الأجهزة الذكية التي سيشملها القانون
قالت لوري ميرسر، مهندسة الأمن في HackerOne ، "نحن نصل إلى مكان يكون فيه الأمن حسب التصميم مطلبًا إلزاميًا وليس فكرة لاحقة". "يعد هذا خطوة هامة نحو منتجات أكثر أمانًا يمكن توصيلها للمستهلكين ، ويظهر أن المملكة المتحدة رائدة في إنشاء مجتمع رقمي آمن متصل".
ما هي الأجهزة المغطاة؟ حسنًا، إنه تشريع خاص بالسلع الاستهلاكية ويغطي أجهزة التوجيه والكاميرات الأمنية ووحدات التحكم في الألعاب وأجهزة التلفزيون ومكبرات الصوت والمساعدات الذكية وشاشات الأطفال وأجراس الأبواب والهواتف الذكية. لا يغطي أجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر المكتبية أو الأجهزة الطبية أو السيارات أو العدادات الذكية.
هذه خطوة جيدة إلى الأمام حيث أن القانون سوف يطبق على كل من الشركات المصنعة للأجهزة ومن يقوم باستيرادها وبيعها. سيتم الإشراف على تطبيق القانون من قبل منظم لم يتم تعيينه بعد، وسيتم فرض غرامات قدرها 10 ملايين جنيه إسترليني أو 4٪ من الإيرادات العالمية؛ يمكن أن تؤدي الانتهاكات المستمرة إلى عقوبة يومية قدرها 20 ألف جنيه إسترليني. بالطبع ، كاليفورنيا اعتمد مجلس الشيوخ فيها مشروع القانون 327 الذي يتطلب قواعد كلمة مرور مماثلة، ودخل حيز التنفيذ في 1 يناير 2020.
بشكل عام، إنه أمر جيد ولكن له قيود، لأن العديد من الأجهزة الذكية غبية جدًا عندما يتعلق الأمر بالأمان، وليس لديها القدرة على تصحيح البرامج الثابتة ؛ سيقتضي القانون فقط الإعلان عن عدم وجود إجراتء أمني. حتى بالنسبة لأولئك الذين يمكن تصحيحهم ، ليس هناك حاجة إلى أتمتة هذا. بدون مثل هذه الأتمتة، لن يهتم معظم المستهلكين بالإعلان عن أن الثغرة الأمنية قد تجعل الجهاز أقل أمانًا لأن الجهات الفاعلة في التهديد ستعثر بعد ذلك على ثغرات.
فشل السوق
تحدثت مع ديفيد روجرز، الرئيس التنفيذي في Copper Horse ورئيس مجموعة الاحتيال والأمن التابعة لاتحاد (GSMA). روجرز عضو أيضًا في المجلس التنفيذي لمؤسسة أمان إنترنت الأشياء. مع أكثر من 20 عامًا من الخبرة في مجال أمان الأجهزة المضمنة ، تطوع ديفيد لصياغة مجموعة من المتطلبات الفنية، والتي انتهى بها الأمر مع قواعد الممارسة البريطانية لأمن المستهلك IoT.
يقول روجرز: "قالت الحكومة دائمًا إذا لم يروا تحسنًا في وضع السوق أنهم مستعدون للتشريع والتنظيم، ونحن هنا الآن حيث يوجد فشل واضح في السوق." .
ويشير إلى البحث الذي أجرته شركته والذي وجد أن أربع من أصل خمس شركات لأجهزة إنترنت الأشياء ليس لديها أي وسيلة للباحثين الأمنيين للاتصال بهم، على سبيل المثال. قال روجرز: "هذه حالة مروعة حقًا، وهي في الحقيقة قمة جبل الجليد. ماذا تقول عن قدرة هذه الشركات على تأمين منتجاتها الخاصة؟"
خطوة أولى مهمة
يوافق روجرز على أن قانون PSTI الجديد هو الخطوة الأولى التي تتناول التفويضات الثلاثة الأولى في مدونة الممارسات. يقول: "هذا بالنسبة لي يتطرق إلى القضايا الرئيسية ، وإذا تمكنا من حل هذه الأجزاء فقط ، فإننا نقطع شوطًا طويلاً لحماية المستهلكين". لكن هذا بعيد كل البعد عن نهاية القصة ، ويجب أن تكون الرسالة الرئيسية للصناعة، كما يصر روجرز ، "لماذا الانتظار؟ ما هو عذرك؟ تحدث أشياء سيئة، وتقع على عاتق مصنعي إنترنت الأشياء مسؤولية أن يكونوا جزءًا من الحل ، وليس المشكلة! "
يعترف روجرز بأن تطبيق القانون تحدٍ صعب، لأنه يجب أن يواكب هدفًا متحركًا باستمرار إذا كنت تفكر في أمان المنتج. إذا تم اكتشاف ثغرة أمنية، فيجب معالجتها وتصحيحها إن أمكن. يقول: "هذا هو السبب في أن الأمر يتعلق حقًا بهذه النقطة حول المدة التي يقدم فيها البائعون تحديثات أمنية ، ويقدمون هذه المعلومات بوضوح إلى المستهلكين وتجار التجزئة."
خط أساس للأمن عبر جميع الأجهزة الإلكترونية؟
لكن ماذا عن الأجهزة المغطاة، أو بالأحرى تلك التي ليست كذلك؟ قال روجرز "بالطبع، أريد أن أرى خطًا أساسيًا للأمان عبر جميع الأجهزة الإلكترونية، ولكن هناك اختلافات قطاعية واضحة ولوائح قائمة بالفعل، لا سيما في قطاعي السيارات والطب. إنها تغطي جوانب السلامة التي تتجاوز أين نحن هنا، ولا يبدو أنه من المنطقي الاستيلاء على تلك المساحات ".
يعتقد روجرز أيضًا أنه يتم إحداث تأثير حتى قبل أن يحصل التشريع على الموافقة البرلمانية ويصبح قانونًا. يقول: "لقد تجاوز الاهتمام بخطط المطابقة لأمن إنترنت الأشياء في الصناعة السقف، وذلك ببساطة مع تهديد التشريعات من قبل مجموعة من البلدان".
لكي نكون منصفين للشركات المسؤولة هناك ، يشير روجرز إلى أنهم كانوا يدفعون من أجل ذلك أيضًا. يقول: "كان العمل الأمني الممتاز لإنترنت الأشياء من GSMA قيد التنفيذ في عام 2014 ، وهو يعتمد بالفعل على العمل الحالي من مساحة الأجهزة المحمولة، وما رأيناه هو التوافق بين الحكومة والصناعة ومجتمع القرصنة. الجميع يعرف ما هي المشاكل، والأهم من ذلك ، كيفية إصلاحها. لذا ، لنفعل ذلك! "
لا يمكننا أن ننظر إلى الوراء ونصلح الماضي
عندما يتعلق الأمر بالحجم الحالي للأجهزة الذكية الموجودة بالفعل في السوق، يتخذ روجرز نظرة واقعية. يقول: "كان أحد الأشياء التي كان كثير منا يدركها هو عدم إضافة الجبل الموجود بالفعل من المخلفات الإلكترونية لإنترنت الأشياء، أو معاقبة الأشخاص الذين لا يستطيعون تحمل تكلفة المنتجات باهظة الثمن".
ويخلص روجرز إلى أنه "لا يمكننا النظر إلى الوراء وإصلاح الماضي، ولكن يمكننا أن نتطلع إلى الأمام، لأن دورة حياة التكنولوجيا سريعة جدًا. وعلى نطاق أوسع ، يتعلق الأمر أكثر بالممارسات السيئة التي نسعى للقضاء عليها، ونحن نشهد نطاقًا واسعًا من العمل الذي لا يتسامح مع الممارسات الهندسية السيئة وغير المقبولة، سواء تعلق الأمر بأمن سلسلة التوريد، أو حماية خصوصية الأشخاص ".
يقول جيك مور ، متخصص الأمن السيبراني في ESET ، إن "هذه بداية لحركة ضخمة نحو مجتمع أكثر أمانًا عبر الإنترنت، لكنها لن تتغير بين عشية وضحاها". "هذه المقترحات هي بالضبط ما هو مطلوب للمساعدة في توجيه الناس في الاتجاه الصحيح، بعد أن أصبحت لتدابير الأمنية النموذجية حسب التصميم ليست قوية بما يكفي لمساعدة أولئك الذين هم في أمس الحاجة إليها ".
0
0
Hrad 
First 
燈籠 
لابور 
Bonjour 
Цезарь 
단위 
Mauer 
ताजमहल 
Paras 
Toros 
De koningin 
Kolinda 
Firenze 
Keragaman 
Όμηρος 
luksus 
Hősök 
Rättvisa 
明るい太陽 
Wałęsa 
חזרה 
laranja 
Mevlevi 
Dunărea 
آزادی 
กรุงเทพฯ 
Karpaty 
