شركة الأمن الإلكتروني العالمية البارزة تواصل تحقيق توجهات إيجابية مستقرة
المصدر -
وجد خبراء كاسبرسكي لاب بعد عملية تدقيق أجروها للبنية التحتية السحابية التجريبية الخاصة بالأطراف الاصطناعية، القائمة على الإلكترونيات الحيوية المتقدمة (المعروفة بالاسم "بَيونك")، العديد من المشاكل الأمنية التي لم تكن معروفة من قبل، والتي قد تُمكّن طرفاً ثالثاً من الوصول إلى البيانات الخاصة بأصحاب هذه الأطراف الاصطناعية، أو معلومات أخرى، بغرض التلاعب بالبيانات أو سرقتها أو حتى حذفها. وتمّ إرسال النتائج التي توصل إليها فريق خبراء كاسبرسكي لاب إلى شركة "موتوريكا" الروسية التقنية، التي تعمل في تطوير الأطراف الاصطناعية العلوية للأفراد المعاقين، وذلك لتمكينها من التعامل مع المشاكل الأمنية في منتجاتها.
لم تعُد إنترنت الأشياء متعلقة فقط بالساعات الذكية أو المنازل الذكية، بل بكلّ المنظومات التقنية المتقدمة التي تزداد أتمتة وتعقيداً، والتي تشمل أجهزة الرعاية الصحية وتقنياتها الإلكترونية المتصلة بالإنترنت. ويمكن أن تبتعد هذه التقنيات في المستقبل عن كونها أجهزة دعم بحت لأجسام المعاقين ليسود استخدامها بين المستهلكين الذين يحرصون على توسيع قدرات الجسم البشري العادي من خلال التحكم الإلكتروني بالأجهزة المساعدة. ولذلك فإن من المهم وضع حدّ لأية مخاطر أمنية محتملة يمكن أن يستغلها مهاجمون إلكترونيون، وذلك بالتحقيق ومعالجة القضايا الأمنية في المنتجات الراهنة والبنى التحتية الداعمة لها.
وفي هذا السياق، تعاون فريق الاستجابة لحالات الطوارئ الإلكترونية في نظم الرقابة الصناعية ICS CERT لدى كاسبرسكي لاب، مع شركة "موتوريكا"، في إجراء عملية تقييم أمني لحلّ برمجي اختباري خاص بإدارة يدٍ اصطناعية رقمية تطورها الشركة الروسية الناشئة. ويتألف الحلّ من نظام سحابي يتمّ الوصول إليه عن بُعد ويشكّل واجهة لمراقبة حالة جميع الأجهزة الميكانيكية الحيوية المسجلة فيه، في حين يعطي مطورين آخرين مجموعة أدوات لتحليل الحالة التقنية لأجهزة أخرى بينها كراسٍ متحركة ذكية وأيدٍ وأقدام اصطناعية.
وحدّد البحث الأولي الذي أجراه الفريق العديد من المشاكل الأمنية. وتشمل هذه اتصالاً غير آمن عبر بروتوكول http، وعمليات غير صحيحة متعلقة بالحساب، وتحقق غير وافٍ من صحة المدخلات. وتنقلُ اليد الاصطناعية البيانات عند استخدامها إلى نظام سحابي، ولكن نظراً للفجوات الأمنية، يمكن للمهاجم:
• الوصول إلى المعلومات الموجودة في السحابة حول جميع الحسابات المتصلة بها (بما يشمل سجلات الدخول وكلمات المرور التي تكون متاحة في نصّ عادي لجميع الأجهزة التعويضية والمسؤولين عنها).
• التلاعب بهذه المعلومات أو إضافتها أو حذفها.
• إضافة مستخدمين عاديين أو متميزين، أو حذفهم (مع التحكّم الكامل بالامتيازات الخاصة بالمسؤولين).
وبهذه المناسبة، قال فلاديمير داشنكو، الباحث الأمني لدى فريق الاستجابة لحالات الطوارئ الإلكترونية لدى كاسبرسكي لاب، إن تركيز "موتوريكا" ينصبّ على التصدّي للتحدّيات التي يواجهها الأشخاص المعاقون جسدياً، معتبراً أنها شركة "عالية التقنية وتتسم بالموثوقية وبقِيم المسؤولية الاجتماعية"، وأضاف: "أردنا أن نساعد الشركة على ضمان اتخاذ الإجراءات الأمنية المناسبة التي تكفل لها القدرة على النموّ والتقدّم بثقة وثبات، وتعتبر نتائج تحليلنا تذكيراً بضرورة اهتمام الشركات بدمج الأمن في التقنيات الجديدة منذ البداية، لذا فإننا نأمل في أن تزداد الرغبة لدى مطوري الأجهزة المتقدمة الآخرين في التعاون مع قطاع الأمن الإلكتروني من أجل فهم مشاكل النظم الأمنية في الأجهزة ومعالجتها والتعامل مع مسألة أمن الأجهزة بوصفها جزءاً أساسياً من تطويرها".
من جانبه، قال إيليا شيخ، الرئيس التنفيذي لشركة "موتوريكا"، إن التقنيات الجديدة "تقودنا إلى عالم جديد" من الأجهزة الإلكترونية الحيوية المساعدة، مشيراً إلى "أهمية" تعاون مطوري هذه التقنيات مع مقدمي حلول الأمن الإلكتروني، وأضاف: "من شأن هذا التعاون السماح لنا بمنع حتى المحاولات النظرية لشنّ هجمات على جسم الإنسان، وجعل هذا الأمر مستحيل الحدوث".
وتنصح كاسبرسكي لاب الشركات المصنعة للأجهزة الإلكترونية الحيوية باتباع الإجراءات التالية للحفاظ على أمن أجهزتها وسلامة مستخدميها:
• التحقّق من نماذج التهديدات المحدقة بتقنيات إنترنت الأشياء المستندة على الويب وتصنيفات الثغرات التي قد توجد بها، وذلك باللجوء إلى خبراء الأمن الإلكتروني مثل OWASP IoT Project.
• تقديم الممارسات الآمنة في تطوير البرمجيات على أساس دورة الحياة المناسبة. ويمكن اللجوء إلى أسلوب منهجي لتقييم ممارسات أمن البرمجيات المتبعة حالياً، مثل OWASP OpenSAMM.
• وضع إجراءات للحصول على معلومات حول التهديدات والثغرات لضمان الاستجابة المناسبة، وفي الوقت المناسب، لأية حوادث قد تقع.
• تحديث أنظمة التشغيل والتطبيقات وبرمجيات الأجهزة والحلول الأمنية، بانتظام.
• توظيف حلول أمن إلكتروني مصممة لتحليل حركة مرور البيانات في الشبكة لاكتشاف الهجمات ومنعها، سواء على حدود الشبكة المؤسسية أو على حدود شبكة التقنيات التشغيلية.
• استخدام حلّ حماية يتسم بالقدرة على الكشف عن الشذوذ في حركة البيانات باستخدام تقنيات تعلّم الآلات MLAD، من أجل التعرّف على الانحرافات في سلوك أجهزة إنترنت الأشياء، والكشف المبكّر عن الهجمات في حال حدوثها أو عن إصابة الأجهزة بالفشل أو التلف.
من المهم، في ظلّ تطور تقنيات الإلكترونيات الحيوية، استكشاف أي مشكلة أمنية قد تحتوي عليها هذه التقنيات لحلّها بطريقة صحيحة. وقد أضافت كاسبرسكي لاب مجموعة من التوقعات المستقبلية إلى موقع مشروعها "إيرث 2050"، من أجل تحسين مستوى الإدراك لما يمكن أن تنطوي عليه الآفاق المستقبلية.
نبذة عن شركة "موتوريكا"
ينصبّ تركيز شركة "موتوريكا" الناشئة للتقنيات على البحث والتطوير في مجالات الطب والروبوتات. وتعمل الشركة منذ العام 2014، على تطوير أنظمة اليد البشرية الاصطناعية وتحسين طرق إعادة تأهيل المعاقين باستخدام التقنيات المساعدة. واستطاعت الشركة أن تحقق النجاح في تحديها للأفكار القديمة المتعلقة بتزويد المعاقين بالأطراف الاصطناعية فيما يُعرف بالرعاية الطبية التعويضية. وقام فريق الشركة بتدريب الأطراف الاصطناعية على التواصل مع مستخدميها والاتصال بالإنترنت وتنفيذ الأوامر الصوتية ودفع ثمن المشتريات. وفي العام 2018، أطلقت "موتوريكا" عملية تطوير لمنصة مختصة بإعادة التأهيل تعتمد على الواقع الافتراضي ومنصة أخرى لجمع القياسات الحيوية عن بعد عبر وحدة اتصال خاصة في الأجهزة التعويضية عاملة بتقنية GSM. وقد بات الأشخاص ذوو الإعاقة، في الوقت الراهن، المستخدمين الأساسيين في سوق تقنيات الإنترنت، ضمن مساعيهم لتحويل ضعفهم إلى قوة. يمكن الاطلاع على معلومات أوفى عن الشركة ودورها global.motorica.org.
لم تعُد إنترنت الأشياء متعلقة فقط بالساعات الذكية أو المنازل الذكية، بل بكلّ المنظومات التقنية المتقدمة التي تزداد أتمتة وتعقيداً، والتي تشمل أجهزة الرعاية الصحية وتقنياتها الإلكترونية المتصلة بالإنترنت. ويمكن أن تبتعد هذه التقنيات في المستقبل عن كونها أجهزة دعم بحت لأجسام المعاقين ليسود استخدامها بين المستهلكين الذين يحرصون على توسيع قدرات الجسم البشري العادي من خلال التحكم الإلكتروني بالأجهزة المساعدة. ولذلك فإن من المهم وضع حدّ لأية مخاطر أمنية محتملة يمكن أن يستغلها مهاجمون إلكترونيون، وذلك بالتحقيق ومعالجة القضايا الأمنية في المنتجات الراهنة والبنى التحتية الداعمة لها.
وفي هذا السياق، تعاون فريق الاستجابة لحالات الطوارئ الإلكترونية في نظم الرقابة الصناعية ICS CERT لدى كاسبرسكي لاب، مع شركة "موتوريكا"، في إجراء عملية تقييم أمني لحلّ برمجي اختباري خاص بإدارة يدٍ اصطناعية رقمية تطورها الشركة الروسية الناشئة. ويتألف الحلّ من نظام سحابي يتمّ الوصول إليه عن بُعد ويشكّل واجهة لمراقبة حالة جميع الأجهزة الميكانيكية الحيوية المسجلة فيه، في حين يعطي مطورين آخرين مجموعة أدوات لتحليل الحالة التقنية لأجهزة أخرى بينها كراسٍ متحركة ذكية وأيدٍ وأقدام اصطناعية.
وحدّد البحث الأولي الذي أجراه الفريق العديد من المشاكل الأمنية. وتشمل هذه اتصالاً غير آمن عبر بروتوكول http، وعمليات غير صحيحة متعلقة بالحساب، وتحقق غير وافٍ من صحة المدخلات. وتنقلُ اليد الاصطناعية البيانات عند استخدامها إلى نظام سحابي، ولكن نظراً للفجوات الأمنية، يمكن للمهاجم:
• الوصول إلى المعلومات الموجودة في السحابة حول جميع الحسابات المتصلة بها (بما يشمل سجلات الدخول وكلمات المرور التي تكون متاحة في نصّ عادي لجميع الأجهزة التعويضية والمسؤولين عنها).
• التلاعب بهذه المعلومات أو إضافتها أو حذفها.
• إضافة مستخدمين عاديين أو متميزين، أو حذفهم (مع التحكّم الكامل بالامتيازات الخاصة بالمسؤولين).
وبهذه المناسبة، قال فلاديمير داشنكو، الباحث الأمني لدى فريق الاستجابة لحالات الطوارئ الإلكترونية لدى كاسبرسكي لاب، إن تركيز "موتوريكا" ينصبّ على التصدّي للتحدّيات التي يواجهها الأشخاص المعاقون جسدياً، معتبراً أنها شركة "عالية التقنية وتتسم بالموثوقية وبقِيم المسؤولية الاجتماعية"، وأضاف: "أردنا أن نساعد الشركة على ضمان اتخاذ الإجراءات الأمنية المناسبة التي تكفل لها القدرة على النموّ والتقدّم بثقة وثبات، وتعتبر نتائج تحليلنا تذكيراً بضرورة اهتمام الشركات بدمج الأمن في التقنيات الجديدة منذ البداية، لذا فإننا نأمل في أن تزداد الرغبة لدى مطوري الأجهزة المتقدمة الآخرين في التعاون مع قطاع الأمن الإلكتروني من أجل فهم مشاكل النظم الأمنية في الأجهزة ومعالجتها والتعامل مع مسألة أمن الأجهزة بوصفها جزءاً أساسياً من تطويرها".
من جانبه، قال إيليا شيخ، الرئيس التنفيذي لشركة "موتوريكا"، إن التقنيات الجديدة "تقودنا إلى عالم جديد" من الأجهزة الإلكترونية الحيوية المساعدة، مشيراً إلى "أهمية" تعاون مطوري هذه التقنيات مع مقدمي حلول الأمن الإلكتروني، وأضاف: "من شأن هذا التعاون السماح لنا بمنع حتى المحاولات النظرية لشنّ هجمات على جسم الإنسان، وجعل هذا الأمر مستحيل الحدوث".
وتنصح كاسبرسكي لاب الشركات المصنعة للأجهزة الإلكترونية الحيوية باتباع الإجراءات التالية للحفاظ على أمن أجهزتها وسلامة مستخدميها:
• التحقّق من نماذج التهديدات المحدقة بتقنيات إنترنت الأشياء المستندة على الويب وتصنيفات الثغرات التي قد توجد بها، وذلك باللجوء إلى خبراء الأمن الإلكتروني مثل OWASP IoT Project.
• تقديم الممارسات الآمنة في تطوير البرمجيات على أساس دورة الحياة المناسبة. ويمكن اللجوء إلى أسلوب منهجي لتقييم ممارسات أمن البرمجيات المتبعة حالياً، مثل OWASP OpenSAMM.
• وضع إجراءات للحصول على معلومات حول التهديدات والثغرات لضمان الاستجابة المناسبة، وفي الوقت المناسب، لأية حوادث قد تقع.
• تحديث أنظمة التشغيل والتطبيقات وبرمجيات الأجهزة والحلول الأمنية، بانتظام.
• توظيف حلول أمن إلكتروني مصممة لتحليل حركة مرور البيانات في الشبكة لاكتشاف الهجمات ومنعها، سواء على حدود الشبكة المؤسسية أو على حدود شبكة التقنيات التشغيلية.
• استخدام حلّ حماية يتسم بالقدرة على الكشف عن الشذوذ في حركة البيانات باستخدام تقنيات تعلّم الآلات MLAD، من أجل التعرّف على الانحرافات في سلوك أجهزة إنترنت الأشياء، والكشف المبكّر عن الهجمات في حال حدوثها أو عن إصابة الأجهزة بالفشل أو التلف.
من المهم، في ظلّ تطور تقنيات الإلكترونيات الحيوية، استكشاف أي مشكلة أمنية قد تحتوي عليها هذه التقنيات لحلّها بطريقة صحيحة. وقد أضافت كاسبرسكي لاب مجموعة من التوقعات المستقبلية إلى موقع مشروعها "إيرث 2050"، من أجل تحسين مستوى الإدراك لما يمكن أن تنطوي عليه الآفاق المستقبلية.
نبذة عن شركة "موتوريكا"
ينصبّ تركيز شركة "موتوريكا" الناشئة للتقنيات على البحث والتطوير في مجالات الطب والروبوتات. وتعمل الشركة منذ العام 2014، على تطوير أنظمة اليد البشرية الاصطناعية وتحسين طرق إعادة تأهيل المعاقين باستخدام التقنيات المساعدة. واستطاعت الشركة أن تحقق النجاح في تحديها للأفكار القديمة المتعلقة بتزويد المعاقين بالأطراف الاصطناعية فيما يُعرف بالرعاية الطبية التعويضية. وقام فريق الشركة بتدريب الأطراف الاصطناعية على التواصل مع مستخدميها والاتصال بالإنترنت وتنفيذ الأوامر الصوتية ودفع ثمن المشتريات. وفي العام 2018، أطلقت "موتوريكا" عملية تطوير لمنصة مختصة بإعادة التأهيل تعتمد على الواقع الافتراضي ومنصة أخرى لجمع القياسات الحيوية عن بعد عبر وحدة اتصال خاصة في الأجهزة التعويضية عاملة بتقنية GSM. وقد بات الأشخاص ذوو الإعاقة، في الوقت الراهن، المستخدمين الأساسيين في سوق تقنيات الإنترنت، ضمن مساعيهم لتحويل ضعفهم إلى قوة. يمكن الاطلاع على معلومات أوفى عن الشركة ودورها global.motorica.org.