IoT กับการทดสอบ Cybersecurity

          ปัจจุบันการใช้งานอุปกรณ์ IoT เป็นที่แพร่หลายอย่างมาก ทั้งในงานด้านอุตสาหกรรม, Smart City และการใช้งานในบ้านเรือน ตัวอย่างการใช้งานในบ้านเรือน  อาทิเช่น Smart TV, Smart Plug และ IP Camera จากการสำรวจของ Statista

รูปที่ 1 การสำรวจจำนวนอุปกรณ์ติดตั้ง IoT ปี 2015 – 2025

          จากรูปที่ 1 จะเห็นแนวโน้มการใช้งานที่เพิ่มมากขึ้นอย่างมีนัยสำคัญนี้ ส่งผลให้เกิดปัญหาด้านความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) ตามมา เช่น การละเมิดความเป็นส่วนตัว การขโมยข้อมูลส่วนบุคคล การล็อกข้อมูล/อุปกรณ์เพื่อเรียกค่าไถ่  การนำอุปกรณ์ไปใช้ในการทำ DDOS ซึ่งการจะป้องกันปัญหาเหล่านี้ กระทำได้โดยการออกแบบ พัฒนา และทดสอบในด้านความมั่นคงปลอดภัยทางไซเบอร์

รูปที่ 2 Managed Devices: End-To-End Lifecycle Management

          การทดสอบด้านความมั่นคงปลอดภัยทางไซเบอร์ในอุปกรณ์ IoT มีความยากลำบาก เนื่องจากความซับซ้อนขององค์ประกอบต่างๆ ได้แก่ ตัวอุปกรณ์ การรับส่งข้อมูลผ่านเครือข่าย ส่วนประมวลผล/จัดเก็บข้อมูล และแอปพลิเคชันทั้งทางโมบายหรือทางเว็บ ดังรูปที่ 3

รูปที่ 3 Risk Assessment Across the IoT Value Chain

          การทดสอบในทุกๆ จุดกระทำได้ยาก เนื่องจากต้องใช้ทรัพยากรทั้งการลงทุนอุปกรณ์ทดสอบ ความเชี่ยวชาญของบุคลากร และเวลาที่จำกัด ตามรูปที่ 4

รูปที่ 4 : IoT Ecosystem Security Considerations

          ผู้ทำการทดสอบอาจใช้แนวทางที่หน่วยงาน อาทิ OWASP, IoTSF, GSMA ทำการประเมินและจัดอันดับปัญหาด้านความมั่นคงปลอดภัยทางไซเบอร์ของอุปกรณ์ IoT ตามเกณฑ์ต่างๆ เพื่อให้ขอบเขตของหัวข้อการทดสอบแคบลง และตรงกับความต้องการที่แตกต่างกันในแต่ละผลิตภัณฑ์

Open Web Application Security Project (OWASP) จัดอันดับปัญหาที่มีความเสี่ยงสูงสิบอันดับแรก ดังรูปที่ 5

รูปที่ 5 : OWASP Top 10

          นอกจากจัดลำดับหัวข้อในการทดสอบตามความเสี่ยงแล้ว ความมั่นคงปลอดภัยทางไซเบอร์ของอุปกรณ์ IoT ยังถูกจัดกลุ่มตามประเภทความใช้งานโดย IoT Security Foundation (IoTSF) กำหนด IoT Security Compliance Framework จัดความเข้มงวดในการทดสอบจากเกณฑ์ CIA Triad ดังรูปที่ 6 โดยเริ่มจาก class 0 เป็นอุปกรณ์ที่เกิดผลกระทบน้อย ไปจนถึง class 4 ที่ทำให้เกิดการบาดเจ็บ หรือส่งผลกระทบร้ายแรง

รูปที่ 6 IoT Security Compliance class

          หน่วยงาน Global System for Mobile Communications Association (GSMA) กำหนด IoT Security Guidelines และ Checklist เพื่อช่วยในการทดสอบและประเมินความมั่นคงปลอดภัยทางไซเบอร์ของอุปกรณ์ IoT

Ref: https://www.gsma.com/iot/iot-security-guidelines-overview-document/

          จากที่ยกตัวอย่างมายังมีอีกหลายหน่วยงานที่กำหนดแนวทางการทดสอบ ซึ่งผู้ทำการทดสอบสามารถเลือกให้แนวทางที่สอดคล้องกับวัตถุประสงค์ในการทดสอบ อาทิเช่น

  • Broadband Internet Technical Advisory Group (BITAG) IoT Security and Privacy Recommendations

Link: https://www.bitag.org/

  • Cloud Security Alliance (CSA) New Security Guidance for Early Adopters of the IoT

Link: https://cloudsecurityalliance.org/artifacts/new-security-guidance-for-early-adopters-of-the-iot/

  • National Institute of Standards and Technology (NIST) Cybersecurity for IoT Program

Link: https://www.nist.gov/programs-projects/nist-cybersecurity-iot-program

  • European Union Agency for Network and Information Security (ENISA)

Link: https://www.enisa.europa.eu/news/enisa-news/iot-security-enisa-publishes-guidelines-on-securing-the-iot-supply-chain

  • Internet Society IoT Security & Privacy Trust Framework v2.5

Link: https://www.internetsociety.org/resources/doc/2018/iot-trust-framework-v2-5/

ผู้เขียน : ธนพล วิสุทธิกุล

ภาพปก : https://bit.ly/3yftC1Q