ปัจจุบันการใช้งานอุปกรณ์ IoT เป็นที่แพร่หลายอย่างมาก ทั้งในงานด้านอุตสาหกรรม, Smart City และการใช้งานในบ้านเรือน ตัวอย่างการใช้งานในบ้านเรือน อาทิเช่น Smart TV, Smart Plug และ IP Camera จากการสำรวจของ Statista
จากรูปที่ 1 จะเห็นแนวโน้มการใช้งานที่เพิ่มมากขึ้นอย่างมีนัยสำคัญนี้ ส่งผลให้เกิดปัญหาด้านความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) ตามมา เช่น การละเมิดความเป็นส่วนตัว การขโมยข้อมูลส่วนบุคคล การล็อกข้อมูล/อุปกรณ์เพื่อเรียกค่าไถ่ การนำอุปกรณ์ไปใช้ในการทำ DDOS ซึ่งการจะป้องกันปัญหาเหล่านี้ กระทำได้โดยการออกแบบ พัฒนา และทดสอบในด้านความมั่นคงปลอดภัยทางไซเบอร์
การทดสอบด้านความมั่นคงปลอดภัยทางไซเบอร์ในอุปกรณ์ IoT มีความยากลำบาก เนื่องจากความซับซ้อนขององค์ประกอบต่างๆ ได้แก่ ตัวอุปกรณ์ การรับส่งข้อมูลผ่านเครือข่าย ส่วนประมวลผล/จัดเก็บข้อมูล และแอปพลิเคชันทั้งทางโมบายหรือทางเว็บ ดังรูปที่ 3
การทดสอบในทุกๆ จุดกระทำได้ยาก เนื่องจากต้องใช้ทรัพยากรทั้งการลงทุนอุปกรณ์ทดสอบ ความเชี่ยวชาญของบุคลากร และเวลาที่จำกัด ตามรูปที่ 4
ผู้ทำการทดสอบอาจใช้แนวทางที่หน่วยงาน อาทิ OWASP, IoTSF, GSMA ทำการประเมินและจัดอันดับปัญหาด้านความมั่นคงปลอดภัยทางไซเบอร์ของอุปกรณ์ IoT ตามเกณฑ์ต่างๆ เพื่อให้ขอบเขตของหัวข้อการทดสอบแคบลง และตรงกับความต้องการที่แตกต่างกันในแต่ละผลิตภัณฑ์
Open Web Application Security Project (OWASP) จัดอันดับปัญหาที่มีความเสี่ยงสูงสิบอันดับแรก ดังรูปที่ 5
นอกจากจัดลำดับหัวข้อในการทดสอบตามความเสี่ยงแล้ว ความมั่นคงปลอดภัยทางไซเบอร์ของอุปกรณ์ IoT ยังถูกจัดกลุ่มตามประเภทความใช้งานโดย IoT Security Foundation (IoTSF) กำหนด IoT Security Compliance Framework จัดความเข้มงวดในการทดสอบจากเกณฑ์ CIA Triad ดังรูปที่ 6 โดยเริ่มจาก class 0 เป็นอุปกรณ์ที่เกิดผลกระทบน้อย ไปจนถึง class 4 ที่ทำให้เกิดการบาดเจ็บ หรือส่งผลกระทบร้ายแรง
หน่วยงาน Global System for Mobile Communications Association (GSMA) กำหนด IoT Security Guidelines และ Checklist เพื่อช่วยในการทดสอบและประเมินความมั่นคงปลอดภัยทางไซเบอร์ของอุปกรณ์ IoT
Ref: https://www.gsma.com/iot/iot-security-guidelines-overview-document/
จากที่ยกตัวอย่างมายังมีอีกหลายหน่วยงานที่กำหนดแนวทางการทดสอบ ซึ่งผู้ทำการทดสอบสามารถเลือกให้แนวทางที่สอดคล้องกับวัตถุประสงค์ในการทดสอบ อาทิเช่น
- Broadband Internet Technical Advisory Group (BITAG) IoT Security and Privacy Recommendations
Link: https://www.bitag.org/
- Cloud Security Alliance (CSA) New Security Guidance for Early Adopters of the IoT
Link: https://cloudsecurityalliance.org/artifacts/new-security-guidance-for-early-adopters-of-the-iot/
- National Institute of Standards and Technology (NIST) Cybersecurity for IoT Program
Link: https://www.nist.gov/programs-projects/nist-cybersecurity-iot-program
- European Union Agency for Network and Information Security (ENISA)
Link: https://www.enisa.europa.eu/news/enisa-news/iot-security-enisa-publishes-guidelines-on-securing-the-iot-supply-chain
- Internet Society IoT Security & Privacy Trust Framework v2.5
Link: https://www.internetsociety.org/resources/doc/2018/iot-trust-framework-v2-5/
ผู้เขียน : ธนพล วิสุทธิกุล
ภาพปก : https://bit.ly/3yftC1Q