בתמונה למעלה: מירי אופיר (מימין) ורבקה הלפמן עם מצלמת רשת המוגנת על-ידי צ'ק פוינט. צילום: Techtime
חברת איסטרוניקס (Eastronics) וחברת צ'ק פוינט (Check Point) הציגו פתרון לאבטחת אבזרי IoT המבוסס על חבילת תוכנות המותקנות באבזרי הקצה עצמם או באבזרי תקשורת שבין אבזר הקצה ומרכז הרשת או הענן. הפתרון בשם Check Point IoT Embedded מותאם לעבודה על מעבדי ARM, x86, MIPS ו-RISC-V העובדים על-גבי מערכת ההפעלה Embedded Linux. ניתן ליישם את הפתרון במערכות שונות, אשר יש בהן זכרון פנוי בנפח של 1-30MB.
מירי אופיר, דירקטור מחקר ופיתוח לתחום IoT Embedded בחברת צ'ק פוינט, סיפרה ל-Techtime שהפתרון מבוסס על טכנולוגיה של חברת Simplify שצ'ק פוינט רכשה בשנת 2019, כדי לספק מענה לבעיות האבטחה של אבזרי IoT ומערכות משובצות. צריך לזכור שאבטחת IoT היא אתגר מאוד קשה. אופיר: "רוב המערכות הן סגורות וייחודיות לכל חברה. החומרה תוכננה במטרה להיות מאוד רזה ויעילה ולכן קשה להתקין עליהן תוכנות נוספות ואין הרבה משאבים עבור תוכנות אבטחה. בנוסף, עדיין אין סטנדרטיזציה בעולם ה-IoT ולכן קשה לספק פתרון גנרי כמו בתחום ה-IT".
המצלמה היא משטח-תקיפה פופולרי
"לאחרונה אנחנו רואים שה-IoT הפך לחולייה החלשה במערך הסייבר הארגוני. תוקפים רבים מתכננים היום מתקפות שבהן אבזר ה-IoT משמשות כנתיב הכניסה לרשת. דו"ח מחלקת המחקר של צ'ק פוינט מצא שכ-53% מהארגונים סבלו ממתקפות IoT ברמה שבועית במהלך הרבעון הראשון 2023. מצלמות אבטחה למשל, הן אחד ממשטחי התקיפה הנפוצים ביותר היום. רק לעתים נדירות התוקפים מנסים לשבש את האבזר, המטרה שלהם היא להגיע דרכו אל הנכסים המעניינים ברשת הארגונית. אחת מהבעיות שבהגנה על הרכיבים האלה שהיא שמערכות ניטור ארגוניות לא תמיד יודעות כיצד לנטר את אבזרי ה-IoT".
מדוע הם כל-כך פגיעים?
"כאשר מתכננים אבזר המיועד להיות מוגן, נוקטים במתודולוגיית Security by Design. כלומר, מגדירים את מדיניות הגדרת הססמאות, את עקרונות מתן ההרשאות וכדומה. אבל רוב מתכנני ה-Embedded לא מכירים את התחום הזה, ובמיוחד כשמדובר בפתרונות מורשת שתוכננו לפני עשור. אומנם אפשר להתמודד עם האתגר גם ברמת הרשת, אבל הפתרון הטוב ביותר הוא באבזר עצמו. הפתרון שלנו מבוסס על מודל עבודה ייחודי: מומחי אבטחה של צ'ק פוינט עובדים עם צוותי הפיתוח של הלקוח, כדי לסייע להם לפתח מוצרים מאובטחים כבר משלבי הפיתוח הראשוניים, ומספקים להם חבילת הגנה מותאמת לצורכי המערכת שלהם. יצרן שמשלים את תהליך מקבל לוגו שהוא יכול להתקין על המוצר. זוהי מעין תעודת הסמכה שלנו לרמת האבטחה של המוצר".
מירי אופיר: הגנת סייבר תהיה תנאי הכרחי לקבלת אישור CE
כיצד הרגולטור מתייחס לבעיית ה-IoT?
"בשנת 2022 חלה התקדמות בתחום הזה כאשר גם האיחוד האירופי וגם ארצות הברית החליטו להחמיר את התקנות בתחום במסגרת דרישות CRA (אירופה) ו-CSA (ארה"ב). האיחוד האירופי נמצא בתהליך מתקדם של הגדרת סעיף סייבר במסגרת התקנות של ציוד תקשורת אלחוטית (Radio Equipment Directory). הוא צפוי להיות מאושר בחודשים הקרובים. בין השאר נקבע בסעיף הזה, שיצרן שלא יעמוד בדרישות הגנת הסייבר – לא יקבל מדבקת CE לציוד שהוא מוכר".
רבקה הלפמן, מנהלת קו מוצרי IoT בחברת איסטרוניקס: "לאור הגידול בהיקף מתקפות הסייבר על אבזרי IoT, איסטרוניקס חתמה על הסכם לשיתוף פעולה אסטרטגי עם צ'ק פוינט, המאפשר לנו לספק מענה אבטחתי כבר משלבי התכנון והייצור הראשונים. הוא משלים את אבני הבניין שאנחנו מספקים מרמת החיישן ועד הענן, מתוצרת חברות כמו אדוונטק, טליט, Taoglas, ארדואינו, מיקרוסופט אמבדד ועוד. אנחנו מציעים ללקוחות לבצע בדיקה ראשונית (PoC) ללא תשלום. במסגרתה מתבצע סקר סיכונים של המוצר, ואם הלקוח מעוניין, נכנסים לאחר מכן לפרוייקט ההתקנה עצמו".