«مجموعة بيتاج»: مصنعو أجهزة «إنـتــرنت الأشياء» يعرّضون الشبكة «لكابوس أمني» خطــير

في أوائل الشهر الماضي، تعرضت الإنترنت لأكبر هجوم في تاريخها على الإطلاق، استهدف بنيتها التحتية، وكان من نوع «هجمات إنكار الخدمة»، وأدى إلى تعطل وإيقاف ما يقرب من نصف مواقع الإنترنت وخدماتها بأميركا الشمالية وأوروبا والعديد من مناطق العالم الأخرى.

كما تأثر به العشرات من أكبر المواقع على مستوى العالم، ومن بينها «تويتر» و«نيتفليكس». وعقب الهجوم اهتم العديد من المنظمات والهيئات بدراسته وتحليله، للوقوف على أسبابه. وأخيراً أصدرت مجموعة من كبار شركات الإنترنت والتقنية، في مقدمتها «غوغل» و«مايكروسوفت» و«موزيلا»، عبر كيان يحمل اسم «مجموعة بيتاج»، تقريراً رسمياً مكوناً من 48 صفحة، حول هذا الهجوم وملابساته، واتّهمت فيه مصنعي أجهزة «إنترنت الأشياء» بأنهم يجعلون شبكة الإنترنت حالياً تحت رحمة «كابوس أمني» خطير.

البيئة المناسبة

واتهم التقرير رسمياً وبصورة واضحة، مصنّعي أدوات وأجهزة «إنترنت الأشياء» بأنهم السبب في إيجاد البيئة المناسبة أمام المخترقين و«الهاكرز»، لشن مثل هذه الهجمات المؤثرة بنجاح. ولخص التقرير اتهامه بأن هؤلاء المصنعين بتجاهلهم شبه المطلق لأبسط قواعد أمن المعلومات في منتجاتهم، يجعلون الإنترنت حاليا عرضة لـ«كابوس أمني» خطير.

والجهة الرسمية، التي أصدرت هذا التقرير هي «المجموعة الاستشارية التقنية للإنترنت عريضة النطاق»، التي تم تأسيسها في عام 2010، وتعرف في أوساط صناعة تقنية المعلومات باسم «مجموعة بيتاج»، وتضم في عضويتها عمالقة شركات الإنترنت، وفي مقدمتها «غوغل» و«سيسكو» و«إيه تي آند تي» و«تي موبيل» و«كومكاست» و«موزيلا»، و«إنتل» و«مايكروسوفت» و«فيريزون» و«تايم ورانر» وغيرهم.

ونشرت المجموعة تقريرها على موقعها bitag.org، وجاء فيه أن اختراق أدوات «إنترنت الأشياء» لاستخدامها في تنفيذ هجمات «إنكار الخدمة» أمر مزعج وخطير للغاية، لكنه ليس الطريقة الوحيدة التي يساء بها استخدام التقنية، فالعديد من الحوادث الأخيرة، أظهرت أن بعض الأدوات لا تلتزم بقواعد وممارسات حماية الخصوصية والأمن البدائية أو البسيطة، إذ يسهل الآن على المخترقين و«الهاكرز» السيطرة على هذه الأدوات واستخدامها في شن هجمات «إنكار الخدمة» الموزعة، والقيام بعمليات المراقبة والرصد، والوصول والتحكم غير المسموح به، والتسبب في إفشال أو إيقاف الأداة أو النظام، وإزعاج أو تعطيل ومضايقة المستخدمين المرخص لهم بالعمل، أو المالكين للأجهزة.

نوافذ مفتوحة

وركز التقرير على أن تحليل ملابسات الهجوم أظهر أن التحديات مع أدوات «إنترنت الأشياء» تراوح بين تسريب كلمات المرور الخاصة بشبكات الـ«واي فاي»، وعدم القدرة على التحديث، والحصول على كلمات المرور الافتراضية الضمنية، إلى السيطرة الكاملة في البرمجيات الثابتة الضعيفة والمتقادمة، الموجودة على هذه الأجهزة والأدوات، والمليئة بالثغرات البرمجية ونقاط الضعف الأمنية، وهذا ما يجعل من أدوات «إنترنت الأشياء» الحالية نوافذ مفتوحة لتسريب كلمات المرور والتجسس وشن الهجمات وهتك الخصوصية.

غلاية الإنترنت

وقال التقرير: «الغلاية الفاخرة المرتبطة بالإنترنت التي اشتريتها، ربما تتجسس عليك أو تتسبب في تسريب ونشر كلمات مرور شبكة الـ(واي فاي) في منزلك، أو يتم تسخيرها من قبل المجرمين، وإجبارها على المشاركة في مهاجمة شبكة حاسوب على بُعد آلاف الأميال من منزلك وأنت لا تدري».

إهمال متعمد

وكان التقرير واضحاً وحاسماً، وهو يحمل المسؤولية لشركات تصنيع هذه الأدوات، لكونها إما لا تلقي بالاً لقضايا أمن المعلومات، أو تتعامل معها بإهمال متعمد وعدم اكتراث، ولذلك جاءت توصياته كلها منصبّة على مطالبة شركات تصنيع هذه الأدوات بالتقيد الصارم بقواعد ومقتضيات أمن المعلومات.

النقاط الأساسية

ومن المراجعة التي أجرتها «الإمارات اليوم» للتوصيات، توصلت إلى أن التقرير يبدأ بالتنبيه إلى النقاط الأساسية «البدائية» جداً في أمن المعلومات، وكأنه يتعامل مع هؤلاء المصنّعين من الصفر. وأوصى التقرير بضرورة طرح المنتجات وهي مزودة ببرمجيات حديثة خالية من نقاط الضعف والثغرات الأمنية، السهلة الملاحظة والكشف من قبل المخترقين والمهاجمين، والالتزام باتباع أحدث وأفضل الممارسات والأدوات في تكويد وتشفير عمليات التواصل بين هذه الأدوات وبعضها بعضاً، وفي تواصلها مع الإنترنت، وفي الحماية والتغطية على الأكواد والبرمجيات الموجودة بها.

وطالب التقرير أيضاً بالتأكد من أن تستمر الأدوات في العمل حتى من دون دعم من الإنترنت أو الحوسبة السحابية المعتمدة عليها، وأن تتبع سياسات في الخصوصية يسهل فهمها، و«ميكانيزمات» واضحة للإبلاغ عن الأخطاء والعثرات البرمجية ومَواطن الضعف الأمنية. كما يطالب بأن تكون الأدوات قابلة لإعادة التهيئة والتعيين لإعداداتها، من قبل المستخدمين بصورة دورية، لجعل الأمر صعباً على المخترقين، وللقضاء على أي خروقات صامتة أو سيطرة عن بُعد، ينفذها المهاجمون من دون أن يدري بها المستخدمون.

تدخل حكومي

وعلى الرغم من أن مجموعة «بيتاج» كيان صناعي أهلي تطوعي لا يملك أي سلطة رسمية لإجبار مصنعي أدوات «إنترنت الأشياء» على تنفيذ هذه التوصيات وغيرها، إلا أن التقرير الصادر عنها لاقى ارتياحاً وقبولاً كبيراً لدى مسؤولي وخبراء أمن المعلومات. كما لاقى التقرير ترحيباً واسع النطاق بين المستخدمين والمالكين لأدوات «إنترنت الأشياء»، ولمستخدمي الويب عموماً، إذ اعتبروه ضغطاً معنوياً وأخلاقياً كبيراً ومفيداً ومطلوباً على مصنعي أدوات «إنترنت الأشياء»، للقيام بما يتعين القيام به في مجال الحماية والأمن وصيانة الخصوصية.

وفي هذا السياق، قال مدير البحوث بشركة «إف سيكيور»، المتخصصة في أمن المعلومات، ميكو هيبومين إن «(مجموعة بيتاج) ليست جهة تنظيمية قانونية، ولا تملك صلاحيات قانونية تجبر المصنعين على القيام بهذه التغييرات، لكنّ هناك عدداً متزايداً من الأصوات التي تدعو إلى تدخل حكومي رسمي في هذا الشأن». ووصف تقرير «بيتاج» بأنه مهم للغاية، كونه مدعوماً وصادراً عن عمالقة الويب، فهذا التقرير يقول إنه إذا كانت الأجهزة والأدوات الكهربية المنزلية، على سبيل المثال، قد طورت لتعمل بمفهوم «إنترنت الأشياء» فإن هذه الأدوات خاضعة فعلياً لقواعد تنظيمية تجبر مصنعيها على ألا تعرض مستخدميها لصدمة كهربية، أو تتسبب في إشعال النار بالمنزل، وبالمنطق نفسه لابد أن يضاف لذلك ألا تتسبب في تسريب كلمات مرور شبكات الـ«واي فاي» التي تتصل بها، وأن تكون محمية ومؤمّنة ضد عمليات الاختراق والسيطرة عليها عن بُعد من قبل مجرمين مجهولين. وأشار ميكو إلى أن الجزء الأكبر من الأدوات التي تم اختراقها واستخدمت في الهجمات الأخيرة، صنّعت بوساطة شركة إلكترونيات صينية، وعليه فإنه من المحتمل جداً، إذا التزم المصنعون الأميركيون بهذه التعليمات وبقواعد اللعبة، فإن بعض المصنعين في ما وراء البحار الذين يسعون لخفض النفقات، ربما لا يفعلون ذلك، ومن ثم يظل الخطر قائماً، لذلك فإن تقرير «بيتاج» وغيره من الضغوط الأخرى يثير نقاشاً وجدلاً طال انتظارهما لحسم هذه القضية على مستوى يتجاوز حدود الدولة الواحدة، ويصبح معياراً عالميا للتأمين، وأيضاً يساعد في رفع الوعى بهذه القضايا بين المستخدمين.