اینترنت اشیاء

هشدار کارشناسان: دام‌های منبع باز در امنیت سایبری را جدی بگیرید

  • نویسنده: تیم یک صنعت
  • 1404/4/13
  • 15

توجه ویژه به استفاده از نرم‌افزارهای متن‌باز در دستگاه‌های متصل

برای تولیدکنندگان دستگاه‌ها و ماشین‌آلات متصل، با توجه به یک قانون‌گذاری جدید اتحادیه اروپا، هنگام استفاده از نرم‌افزارهای متن‌باز در محصولات خود باید دقت ویژه‌ای داشته باشند. در حالی که برنامه‌های متن‌باز خود تحت قواعد سختگیرانه قانون تاب‌آوری سایبری (CRA) قرار ندارند، تولیدکنندگانی که از این برنامه‌ها در محصولات خود استفاده می‌کنند، موظف به رعایت این قوانین هستند. یان وندنبرگ، مدیرعامل شرکت امنیت سایبری Onekey به این موضوع اشاره می‌کند.

پیامدهای استفاده از نرم‌افزار متن‌باز

قانون تاب‌آوری سایبری که توسط اتحادیه اروپا تصویب شده است، از تولیدکنندگان دستگاه‌های متصل می‌خواهد که پس از عرضه به بازار نیز به‌روزرسانی‌های نرم‌افزاری مداوم را ارائه دهند تا محصولات را در برابر حملات هکرها محافظت کنند. تخلفات جدی از این قانون می‌تواند به جریمه‌های سنگینی منجر شود. وندنبرگ توضیح می‌دهد که اگر نرم‌افزار متن‌باز با نقاط ضعف امنیتی در دستگاه‌های جدید فروخته شود، تولیدکننده محصول نه ارائه‌دهنده نرم‌افزار مسئول است.

متن‌باز: نماد نرم‌افزارهای ناامن؟

زمینه این مسئله اینجاست که اتحادیه اروپا در قانون تاب‌آوری سایبری به ویژگی‌های جامعه متن‌باز توجه دارد. این امر به پروژه‌های غیرتجاری، دانشگاه‌ها و سازمان‌های مدنی اجازه می‌دهد تا از محدودیت‌های سخت‌گیرانه در زمینه امنیت سایبری معاف شوند. اما وندنبرگ هشدار می‌دهد که کاهش این محدودیت‌ها می‌تواند به نرم‌افزارهای پتانسیلی ناامن منجر شود.

افزایش استفاده از متن‌باز در OT و IoT

تکنولوژی متن‌باز به طور فزاینده‌ای در توسعه و استفاده از پلتفرم‌های OT و IoT به کار می‌رود. بیش از 100 پروژه متن‌باز برای OT/IoT در ابتکارات اتحادیه اروپا مستند شده‌اند که طیف گسترده‌ای از اجزای نرم‌افزاری را پوشش می‌دهند. اتحادیه اروپا به طور فعال از پروژه‌های متن‌باز در بخش OT/IoT حمایت می‌کند.

ضرورت بررسی مواد نرم‌افزاری و آسیب‌پذیری‌ها

مدیرعامل Onekey به تولیدکنندگان دستگاه‌های متصل توصیه می‌کند که قبل از عرضه محصولات به بازار، تحلیل خودکار SBOM و آسیب‌پذیری‌ها را انجام دهند. این امر شامل لیستی از تمامی اجزای نرم‌افزاری است که باید بررسی و مستند شوند. بررسی‌ها باید در مقایسه با پایگاه‌داده CVE که توسط MITRE مدیریت می‌شود، انجام شود و به‌روزرسانی‌های ماهانه نیز در نظر گرفته شود.

وندنبرگ تاکید می‌کند که این بررسی‌ها باید به طور مداوم در طول عمر محصول ادامه یابد. برای دستگاه‌های IoT، معمولاً دوره کاربری پنج سال در نظر گرفته می‌شود، اما برای کنترل‌های صنعتی، این دوره می‌تواند به 10، 20 یا بیشتر سال برسد.

مطالب مرتبط