ปัญหาเกี่ยวกับ IOT

       ทุกคนเคยได้ยินอยู่แล้วว่าการนำระบบ  มาใช้ทำให้เกิดความเสี่ยงด้านความปลอดภัยมากมาย โดยเฉพาะถ้าผู้จำหน่ายหรือผู้ผลิตไม่ได้คำนึงถึงเรื่องความปลอดภัยเป็นอันดับแรกๆ แต่เอาเข้าจริงแล้วรู้กันไหมเอ่ยว่าช่องโหว่ที่ควรกลัวมากที่สุดของระบบ IoT มีอะไรบ้าง

       ที่เข้าหูเรากันบ่อยๆ ได้แก่ ช่องโหว่ที่เปิดให้อุปกรณ์ IoT จำนวนมากกลายเป็นฝูงซอมบี้บอทเน็ทขนาดใหญ่สำหรับเป็นเครื่องมือรุมโทรมเหยื่อแบบ  แต่จริงๆ แล้ว ปัญหาใหญ่ที่สุด หรือช่องโหว่ที่ควรหลีกเลี่ยงมากที่สุดเวลาติดตั้งหรือจัดการระบบ IoT คืออะไรบ้างนั้น และเราสามารถจำกัดปัญหาดังกล่าวได้อย่างไรบ้าง ทางองค์กรที่ชื่อ  Open Web Application Security Project (OWASP)  จึงออกมารวบรวมช่องโหว่ด้านความปลอดภัยที่ท็อปฮิตมากที่สุดในช่วงปีที่ผ่านมา 10 อันดับแรกดังต่อไปนี้

 

อ้างอิงจาก How To Reduce Risk And Secure Your Internet Of Things Devices (andersontech.com)

 

    ข้อเสียของอุปกรณ์ IoT

  1. สามารถใช้งานได้เฉพาะบนพื้นที่ที่มีสัญญาณอินเทอร์เน็ตครอบคลุมทั่วถึงเท่านั้น

  2. ความปลอดภัยของข้อมูลต่ำ เนื่องจากข้อมูลทุกอย่างถูกจัดเก็บเอาไว้บนระบบ Cloud ทำให้เสี่ยงต่อการถูก Hack ข้อมูลหากไม่ได้มีการเข้ารหัสข้อมูลที่ซับซ้อน

  3. การตั้งรหัสผ่านอ่อน เดาง่าย การใช้รหัสที่เดาสุ่มได้ง่ายผ่านการยิงแบบ Brute-Forced, การใช้รหัสผ่านที่เห็นกันทั่วตามเน็ท, หรือการใช้รหัสผ่านเดิมเป็นระยะเวลานานโดยไม่เคยเปลี่ยน หรือแม้แต่การมีประตูหลังฝังมาในเฟิร์มแวร์หรือซอฟต์แวร์บนอุปกรณ์ที่เปิดให้คนอื่นเข้าถึงสำหรับติดตั้งแก้ไขการตั้งค่าได้นั้น ล้วนแต่เป็นมหันตภัยร้ายสำหรับอุปกรณ์ที่เชื่อมต่อเครือข่ายได้ทั้งสิ้นไม่เว้นแม้แต่ IoT ซึ่งสาเหตุที่มาจากการขี้เกียจแค่นี้ไม่ควรใช้เป็นข้ออ้างที่ทำให้เกิดความเสียหายอย่างมหาศาล

  4. รันเซอร์วิสที่ไม่ปลอดภัยบนเครือข่าย อย่างเซอร์วิสที่ไม่ได้จำเป็นต้องรันการทำงาน หรือไม่ได้มีความปลอดภัยเพียงพอที่รันอยู่บนอุปกรณ์ที่เชื่อมต่อไปถึงอินเทอร์เน็ตได้นั้น ย่อมเสี่ยงต่อการเปิดช่องโหว่ให้บุคคลภายนอกเข้ามาควบคุมระบบได้จุดนี้ก็เป็นประเด็นที่ควรเฝ้าระวัง แม้จะเป็นการยากในการฟันธงว่าเซอร์วิสไหน “ไม่จำเป็น” หรือ “ไม่ปลอดภัย” ก็ตาม

  5. อินเทอร์เฟซสำหรับเข้าควบคุมไม่ปลอดภัย ไม่ว่าจะเป็นหน้าเว็บ, API ของระบบที่อยู่เบื้องหลัง, หรือแม้แต่อินเทอร์เฟซสำหรับเข้าใช้งานบนอุปกรณ์พกพาภายนอกนั้น มักจะมีปัญหาเกี่ยวกับการขาดกระบวนการยืนยันตนหรือให้อำนาจสิทธิ์การควบคุมที่ไม่รัดกุม, ขาดระบบเข้ารหัสข้อมูลที่สื่อสาร หรือมีการเข้ารหัสที่ไม่ดีพอ, รวมทั้งขาดการคัดกรองข้อมูลเข้าออก

  6. ขาดกลไกการอัพเดทระบบความปลอดภัยอย่างเพียงพอ การที่ไม่สามารถอัพเดทอุปกรณ์ได้ ไปจนถึงการที่ไม่สามารถตรวจสอบความถูกต้องของเฟิร์มแวร์ที่จะนำมาติดตั้งว่ามาจากผู้ผลิตจริงหรือไม่, การส่งข้อมูลมาอัพเดทอย่างไม่ปลอดภัย เช่น ไม่ได้เข้ารหัส, การไม่มีกลไกป้องกันการโรลแบ๊ก, รวมทั้งการขาดการแจ้งเตือนการเปลี่ยนแปลงการตั้งค่าด้านความปลอดภัยที่เกิดจากการอัพเดท เป็นต้น

  7. ใช้ชิ้นส่วนหรืออุปกรณ์ที่ไม่ปลอดภัยหรือล้าสมัย การใช้ซอฟต์แวร์หรือไลบรารีที่เก่าล้าสมัยหรือไม่ปลอดภัย ที่อาจเปิดช่องโหว่ให้ผู้ไม่หวังดีใช้เจาะระบบได้ ซึ่งรวมถึงการปรับแต่งแก้ไขแพลตฟอร์มหรือโอเอสบนอุปกรณ์เองอย่างไม่ปลอดภัย หรือแม้แต่การติดตั้งซอฟต์แวร์หรือฮาร์ดแวร์จากที่อื่นที่อาจโดนฝังมัลแวร์หรือมีช่องโหว่ พูดง่ายๆ คือ ไม่ควรเสียน้อยเสียอยาก กลัวเปลืองจนจัดการด้วยตัวเองไม่พึ่งการเซอร์วิสจากผู้ผลิตที่เชื่อถือได้
  8. ขาดการปกป้องความเป็นส่วนตัวที่เพียงพอ มีการนำข้อมูลส่วนบุคคลของผู้ใช้มาจัดเก็บบนอุปกรณ์ ที่มีการใช้ข้อมูลอย่างไม่ปลอดภัย, ไม่เหมาะสม, หรือไม่ได้รับอนุญาต

  9. ใช้ระบบสตอเรจหรือการสื่อสารข้อมูลที่ไม่ปลอดภัย เช่น ขาดการเข้ารหัสข้อมูล หรือควบคุมการเข้าถึงข้อมูลที่อ่อนไหวจากทุกช่องทาง ตลอดกระบวนการสื่อสาร ไม่ว่าจะเป็นข้อมูลที่จัดเก็บอยู่กับที่, กำลังถูกส่งต่อ, หรือขณะที่ถูกประมวลผล ซึ่งจุดนี้มักถูกละเลยจากผู้ผลิตจำนวนมาก

  10. ไม่ได้ใช้ระบบจัดการอุปกรณ์จากศูนย์กลาง การขาดการซัพพอร์ตด้านความปลอดภัยสำหรับอุปกรณ์ที่ติดตั้งใช้งานอยู่ รวมไปถึงการไม่ได้ใช้ระบบจัดการทรัพยากรอุปกรณ์, การจัดการอัพเดทอุปกรณ์จำนวนมาก, การบำรุงรักษาด้านความปลอดภัย, ระบบตรวจสอบ, ไปจนถึงความสามารถในการเข้าจัดการหรือแก้ไขปัญหาได้จากระยะไกลในเวลาอันรวดเร็วแม้อุปกรณ์ IoT จะมีขนาดเล็ก, ราคาย่อมเยา, และมักนำมาติดตั้งครั้งละมากๆ แต่ก็ไม่ได้หมายความว่าไม่จำเป็นต้องหาวิธีจัดการอุปกรณ์ปริมาณมหาศาลเหล่านี้อย่างสะดวกและรวดเร็ว กลับกัน เราควรหาระบบจัดการอุปกรณ์ IoT กลุ่มนี้มากกว่าระบบอื่นๆ เสียอีก แม้ระบบจัดการจากศูนย์กลางดังกล่าวจะไม่ได้ใช้งานได้ง่าย ราคาถูก หรือทำให้ยุ่งยากมากกว่าไม่มีระบบจัดการก็ตาม

  11. การตั้งค่ามาแบบดีฟอลต์ที่ไม่ปลอดภัย อุปกรณ์หรือระบบที่มีการจำหน่ายออกมาด้วยการตั้งค่าโดยดีฟอลต์แบบไม่ปลอดภัยอยู่แล้ว หรือการที่ไม่สามารถตั้งค่าจัดการให้อุปกรณ์ปลอดภัยขึ้นได้ทีหลังเนื่องจากผู้ผลิตหรือผู้ให้บริการจำกัดการตั้งค่าดังกล่าว เป็นต้น

  12. ไม่ได้มีการรักษาความปลอดภัยกับตัวอุปกรณ์ทางกายภาพ การเปิดให้วายร้ายสามารถเข้าถึงอุปกรณ์ทางกายภาพเพื่อปรับแต่งแก้ไขให้เปิดประตูหลังสำหรับเข้าถึงจากระยะไกลได้ทีหลัง เช่น การเปิดช่องให้มีคนเอาธัมม์ไดรฟ์ไปเสียบที่อุปกรณ์ได้โดยตรง

  13. เพิ่งพาระบบอินเทอร์เน็ต หากไม่สามารถเชื่อมต่ออินเทอร์เน็ตได้อาจเกิดปัญหาต่าง ๆ ตามมา เช่น ไม่สามารถสั่งงานอุปกรณ์ได้ เป็นต้น

  14. ความปลอดภัยของข้อมูล เนื่องจากอุปกรณ์ถูกเชื่อมโยงกันด้วยเครือข่ายเดียวกัน ทำให้ต้องการบำรุงและรักษาความปลอดภัยของข้อมูลกับซอฟต์แวร์ของอุปกรณ์อยู่เสมอ

  15. ความผิดพลาดที่เกิดจากการประมวลผลผิดพลาด อุปกรณ์ IoT อาจเกิดปัญหาประมวลผลผิดพลาดได้ เนื่องจากการเขียนโปรแกรมที่ไม่รัดกุม และ พอมีอุปกณ์ตัวไหนตัวหนึ่งประมวลผลผิดพลาดจะส่งผลทำให้อุปกรณ์อื่น ๆ ที่เชื่อมต่ออยู่ด้วยประมวลผลผิดพลาดไปตาม


    16. อ้างอิง

อ้างอิงจาก www.enterpriseitpro.net

อ้างอิงจาก www.wannaphong.com

 

                                                                                 Back to the top page

 
เว็บไซต์นี้ เป็นส่วนหนึ่งของรายวิชา โครงงาน สาขาวิชาคอมพิวเตอร์ธุรกิจ วิทยาลัยอาชีวศึกษาอุบลราชธานี ครูที่ปรึกษาประจำวิชา ครูสุดฤดี ประทุมชาติ ปีการศึกษา 2565