The Internet of Things Has Arrived — And So Have Massive Security Issues/Y34_Kittitat_031

The Internet of Things Has Arrived — And So Have Massive Security Issues
Source :http://www.wired.com
By Andrew Rose01.11.13

12.png

Internet.Things. Add the “Of” and suddenly these three simple words become a magic meme — the theme we’ve been hearing all week at CES, the oft-heralded prediction that may have finally arrived in 2013.
While not devoid of hype and hyperbole, the Internet of Things (IoT) does represent a revolution happening right now. Companies of all kinds – not just technology and telecommunications firms – are linking “things” as diverse as smartphones, cars and household appliances to industrial-strength sensors, each other and the internet. The technical result may be mundane features such as intercommunication and autonomous machine-to-machine (M2M) data transfer, but the potential benefits to lifestyles and businesses are huge.
But … with great opportunity comes great responsibility. Along with its conveniences, the IoT will unveil unprecedented security challenges: in data privacy, safety, governance and trust.
It’s scary how few people are preparing for it. Most security and risk professionals are so preoccupied with putting last week’s vulnerability-malware-hacktivist genie back into the bottle, that they’re too distracted to notice their R&D colleagues have conjured up even more unpredictable spirits. Spirits in the form of automated systems that can reach beyond the digital plane to influence and adjust the physical world … all without human interfacing.

The Loopholes
Security loopholes can occur anywhere in the IoT, but let’s look at the most basic level: the route data takes to the provider.
Many smart meters, for example, don’t push their data to an internet service gateway directly or immediately. Instead, they send collected information to a local data collation hub – often another smart meter in a neighbor’s house – where the data is stored until later uploaded in bulk.
Placing sensitive data in insecure locations is never a good idea, and the loss of physical security has long been considered tantamount to a breach. Yet some early elements of the IoT incorporate this very flaw into their designs. It’s often an attempt to compensate for a lack of technological maturity where always-on network connectivity is unavailable or too expensive, or the central infrastructure does not scale to accommodate the vast number of input devices.
As the IoT crawls through its early stages, we can expect to see more such compromises; developers have to accommodate technical constraints — by either limiting functionality or compromising security. In a highly competitive tech marketplace, I think we all know which of these will be the first casualty.
And it’s not just security: it’s privacy, too. As the objects within the IoT collect seemingly inconsequential fragments of data to fulfill their service, think about what happens when that information is collated, correlated, and reviewed.
Because even tiny items of data in aggregate can identify, define, and label us without our knowledge. Just consider the scenario of the IoT tracking our food purchases. At the innocuous end of the privacy spectrum, the frequency and timing of these purchases can easily reveal we’re on a diet; at the other end of the spectrum, the times and dates of those purchases could even reveal our religion (Jewish holidays, Muslim fasts).
Bottom line: As technology becomes more entwined with the physical world, the consequences of security failures escalate. Like a game of chess – where simple rules can lead to almost limitless possibilities – the complexity of IoT interconnections rapidly outstrips our ability to unravel them.
By accident or by design, useful IoT solutions could mash together, introducing or accelerating black swan events: catastrophic failures that are unexpected but obvious in hindsight. The key to addressing these is to plan for and address these scenarios, now.

The Evolutions
The Internet of Things will mature in three main stages.
Stage 1: Personification of Dumb Objects

In the initial stages of the IoT, identity is provided to selected objects through QR codes, for example. Value to users here comes from the interaction of these identities with other intelligent systems, such as smartphones or web services. Think about “smart” car keys that don’t have to be taken out of the pocket to allow the car to start. Unfortunately, these devices can and have already been subverted.

Stage 2: Partially Autonomous Sensor Networks

In this intermediary stage, the “things” in the IoT develop the ability to sense their surroundings, including the environment, location, and other devices. Value to users here comes from those things taking action, albeit limited in scope, based on that information. Think about a residential thermostat that can be adjusted via a smartphone and authenticated web service, or that may self-adjust based on its awareness of the homeowner’s location (e.g., switching on the heating/cooling as it detects the owner nearing home). While a centralized failure here leaving vast numbers of people without heating may be tolerable, imagine the scenario where a hacktivist collective or state-sponsored attacker switches off an entire country’s electrical supply as an act of punishment.

Stage 3: Autonomous Independent Devices

In this final stage of maturity for the IoT, technology availability, capacity, and standardization will have reached a level that doesn’t require another device (such as a smartphone or web service) to function. Not only will the “things” be able to sense context, but they will be able to autonomously interact with other things, sensors, and services. Think about drug dispensers that can issue medication in response to sensing conditions in the human body through a set of apps, sensors, and other monitoring/feedback tools. It requires little imagination to consider the potential disaster scenarios that could originate from system failures or malicious threats in this scenario.
Now, let’s take one popular and heatedly discussed example from CES to sum up these stages of maturity: the smart refrigerator. In the personification stage (1), the refrigerator owner scans cartons of milk with his smartphone, which triggers a reminder when the milk expires. In the semi-autonomous sensor network stage (2), the refrigerator detects the milk on its own and issues reminders across a broader range of connected apps. In the autonomous and independent stage (3), the refrigerator orders replacement milk just before it’s empty or expires — entirely on its own.
I am hard-pressed to find a catastrophic scenario associated with the refrigerator – other than the refrigerator spending your entire month’s pay on milk or becoming self-aware like Skynet – but the fact remains we can’t predict how things will look. That makes regulation and legislation difficult.
Even the European Union Commission, with its strong track record on privacy issues, acknowledged that its well-regarded Data Protection Directive law would be unable to cope with the Internet of Things:
The technology will have moved on by leaps and bounds by that stage; the legislation simply cannot keep up with the pace of technology.
So it’s possible that frameworks around regulating the IoT will parallel the PCI Data Security Standard, where an industry recognized the need for regulation and introduced its own rather than wait for government intervention.
Either way: Given the wide-reaching impact of the IoT, formal legislation and government involvement is almost certain. Especially when we consider the safety risks of automated systems interacting in the physical world – governments won’t be able to stand by silently if autonomous decisions endanger lives.
People can somehow take other people doing bad things, but they won’t allow their machines to make such mistakes.

สรุปบทความ

22.png

Internet of things(IoT)คือหลักการที่อธิบายถึงการที่การใช้งานอินเทอร์เน็ตจะสามารถขยายวงกว้างออกไปโดยอาศัยอุปกรณ์อิเล็กทรอนิกส์หรือสิ่งของต่างๆที่เชื่อมต่อกับอินเทอร์เน็ตแนวคิดนี้มีมาเป็นระยะเวลาหลายปีแล้วแต่เพิ่งจะมีสิ่งของที่มีความสามารถในการเชื่อมต่อได้เพิ่มขึ้นในช่วงนี้
คุณค่าของIoTนั้นเกิดขึ้นจากการที่อุปกรณ์และสิ่งของต่างๆทำการเชื่อมต่อเข้ากับระบบไอทีและสามารถส่งข้อมูลการใช้จ่ายหรือธุรกรรมต่างๆไปยังระบบทำให้ระบบสามารถนำข้อมูลเหล่านี้ไปใช้ดำเนินการต่อได้ด้วยแนวคิดของ IoT นี้อุปกรณ์ต่างๆจะมีสภาพเหมือนเป็นยูสเซอร์ของระบบลองนึกถึงคลังสินค้าที่สามารถจัดการสั่งของที่ขาดหรือจัดตารางการขนส่งของรถส่งของได้เองระบบไอทีขององค์กรจำเป็นจะต้องวางแผนรองรับความเปลี่ยนแปลงที่จะเกิดขึ้นนี้

32.png

ตอนนี้ระบบ IoT นั้นได้ค่อยถูกเริ่มใช้ขึ้นแล้วตั้งแต่ปี 2012 เรื่อยมาจนถึงปี 2013 ซึ่งตอนนี้ IoT นั้นเหมือนเป็นตัวแทนของการวิวัฒนาการไปอีกขึ้นของเทคโนโลยี ไม่มีองค์กรไหนไม่ใช้การเชื่อมต่อกันผ่านระบบ internet เพราะตอนนี้ทุกสิ่งนั้นเชื่อมต่อกันหมดไม่ว่าจะเป็น โทรศัพท์ รถยนต์ บ้าน หรือที่ทำงาน ต่างมีระบบเซ็นเซอร์เพื่อเชื่อมต่อเข้าสู่ Internet ด้วยกันทั้งนั้น ซึ่งในอนาคIoT นั้นอาจจะสามารถพัฒนาไปได้ถึงระดับ M2M (machine-to-machine) ในการส่งผ่านข้อมูลซึ่งจะทำให้การดำเนินงานต่างๆทั้งทางธุรกิจและทางสังคมดีขึ้นไปอีกระดับหนึ่งแต่ก่อนจะไปถึงระดับ M2M ได้ IoT นั้นจะต้องมีระบบรักษาความปลอดภัยที่เป็นเลิศซะก่อน

The Loopholes

42.png
ด้วยความที่กล่าวมาข้างต้นความปลอดภัยบน Iot จึงเป็นสิ่งที่จำเป็นมากจึงทำให้ระบบรักษาความปลอดภัยบน Iot นั้นเกิดขึ้นมาอย่างรวดเร็ว แต่ในเมื่อเรามองย้อนกลับไปแล้วผู้ใช้อยากได้สิ่งที่สามารถเข้าถึงข้อมูลได้ง่าย ซึ่งจะเห็นว่าคนส่วนใหญ่ไม่ได้ส่งข้อมูลผ่าน Iot โดยตรง และตอนนี้การที่เราจะสร้างระบบส่งผ่านข้อมูลเป็นระบบใหญ่นั้นทำได้ยากเนื่องจากอาจจะขาดแคลนบุคลากรหรือการทำระบบขึ้นมานั้นมันมีราคาแพงเกินไป

The Evolutions

The Internet of Things will mature in three main stages.
52-1.png

Stage 1: Personification of Dumb Objects

ในจุดแรกที่ IOT จะมีการพัฒนาจนถึงจุดสมบูรณ์นั้นคือการเลือกวัตถุผ่าน code ต่างๆที่ระบบรองรับ ตัวอย่างเช่นการเลือกวัตถุผ่าน QR code จะเป็นการเพิ่มมูลค่าและความต้องการให้กับผู้ใช้งานจากการเชื่อมต่อด้วยอุปกรณ์ต่างๆเข้ากับระบบอัจฉริยะของ IOT เช่น smart phone หรือ web service

Stage 2: Partially Autonomous Sensor Networks

52.png

ในจุดที่ 2 นี้ IoTพัฒนาความสามารถเพื่อที่จะรับรู้สิ่งรอบตัวของมัน รวมถึงสภาพแวดล้อม, สถานที่ และอุปกรณ์อื่นๆ การตอบสนองความต้องการให้กับผู้ใช้งานในจุดนี้มาจากการที่สิ่งเหล่านั้นมีปฏิกิริยาแม้ในขอบเขตที่จำกัดด้วยข้อมูล สิ่งอำนวยความสะดวกต่างๆที่ใช้ในชีวิตประจำวันและที่ใช้ในที่พักอาศัยซึ่งสามารถควบคุมโดยผ่าน smartphone และ web service หรือเครื่องควบคุมอุปกรณ์ต่างๆภายในบ้านอาจจะปรับตัวเองได้จากการรับรู้ตำแหน่งเจ้าของบ้าน เช่น การเปิดสวิทซ์เครื่องทำความร้อน/ความเย็น เมื่อมันตรวจพบว่าเจ้าของบ้านอยู่ใกล้บ้าน

Stage 3: Autonomous Independent Devices

ในจุดสุดท้ายของการพัฒนาสำหรับIoT, เทคโนโลยี, ความจุ และ มาตรฐาน จะมาถึงระดับที่ไม่ต้องการอุปกรณ์ใดๆเพื่อการสั่งงาน (เช่น smartphone หรือ web service) แต่สิ่งเหล่านี้จะสามารถรับรู้ถึงคำสั่งและสามารถโต้ตอบกับสิ่งอื่นๆเช่น เซ็นเซอร์ได้ ลองยกตัวอย่างเช่นเครื่องจำหน่ายยาที่สามารถจ่ายยาโดยการตอบสนองเงื่อนไขของร่างกายมนุษย์ผ่านชุด application, เซ็นเซอร์ และเครื่องมือตรวจสอบ ซึ่งมันต้องใช้จินตนาการซักเล็กน้อยเพื่อที่จะพิจารณาสถานการณ์ว่าผู้ใช้ต้องการอะไร
ขอยกตัวอย่าง case ที่น่าสนใจ จาก CES เพื่อที่จะสรุปขั้นตอนการพัฒนา: ตู้เย็นอัจฉริยะ

72.png

• Step 1 : Personification stage: เจ้าของตู้เย็นสแกนกล่องนมกับ smart phone ของเค้าซึ่งมันจะแจ้งเตือนเมื่อนมหมดอายุ
• Step 2 : semi-autonomous sensor network stage: ตู้เย็นตรวจนมของมันเองและแจ้งเตือนผ่าน Application ที่เชื่อมต่อ
• Step 3 : autonomous and independent stage:ตู้เย็นสั่งนมใหม่มาก่อนที่ของเก่าจะหมดหรือหมดอายุ
จากตัวอย่างจะเห็นว่ายังไม่เห็นสถานการณ์แล้วร้ายที่เกี่ยวโยงกับการที่ตู้เย็นสั่งนมมาเพิ่มเองโดยผ่าน IoT นอกเสียจากว่าตู้เย็นจะเงินจ่ายเงินรายเดือนทั้งหมดไปกับนม หรือกลายเป็น Self-aware เหมือนกับ Skynetแต่ความจริงแล้วเราไม่สามารถคาดเดาได้ว่าสิ่งเหล่านั้นจะออกมาเป็นแบบไหน จึงยากที่จะออกกฎหมายและควบคุมแม้กระทั่ง EU Commission ยังยอมรับว่ากฎหมายการควบคุมข้อมูลไม่สามารถรับมือจากสิ่งๆของ internet ได้เทคโนโลยีจะเคลื่อนที่ไปอย่างรวดเร็วตามกลไกของมันเพราะฉะนั้นกฎหมายจึงไม่สามารถก้าวทันความก้าวหน้าของเทคโนโลยีได้
ดังนั้นเราจะต้องทำให้กรอบควบคุม IoTจะขนานไปกับPCI Data Security Standardซึ่งอุตสาหกรรมจะตระหนักถึงความต้องการควบคุมโดยไม่ต้องรอให้รัฐบาลมาแทรกแซงกฎหมายอย่างเป็นทางการและการเข้ามาเกี่ยวข้องของรัฐบาลทั้งสองอย่างนี้ส่งผลกระทบต่อ IoTในวงกว้าง โดยเฉพาะอย่างยิ่งเมื่อเราพิจารณาความเสี่ยงด้านความปลอดภัยของระบบ automated systems interacting ในโลกทางกายภาพ รัฐบาลไม่สามารถนิ่งเฉยได้หากการตัดสินใจเป็นอันตรายต่อชีวิตกล่าวโดยสรุปคือมนุษย์สามารถใช้คนอื่นทำสิ่งไม่ดีได้ แต่พวกเค้าไม่สามารถให้เครื่องจักรทำสิ่งไม่ดีอย่างนั้นได้
บทวิเคราะห์ IOT โดยใช้ SWOT Analysis

82.png

Strengths:
จุดแข็งที่โดดเด่นของ Iot นั้นอย่างแรกเลยคือการเชื่อมต่อสิ่งต่างๆเข้าด้วยกัน ซึ่งจะเปิดประตูสู่โอกาสใหม่ และขยายฐานผู้ใช้บริการ เนื่องจากการพัฒนาของเทคโนโลยีการสื่อสารเคลื่อนที่อย่างรวดเร็ว ซึ่งรวมถึงอินเทอร์เน็ตบนโทรศัพท์มือถือ (โมบาย บรอดแบนด์) ทำให้เกิด "global village" ขึ้น ซึ่งเปรียบเสมือนการย่อส่วนโลก ให้เหลือเป็นสังคมเล็กๆสังคมหนึ่ง ที่สามารถเชื่อมต่อกันได้ทุกส่วนในเวลาเดียวกัน อย่างไรก็ตาม เทคโนโลยีที่ก้าวหน้าขึ้นอย่างรวดเร็ว ก็ยังไม่สามารถลบล้างปัญหาต่าง ๆ ในด้านพลังงาน สิ่งแวดล้อม สุขภาพ และด้านอื่น ๆ อีกมากมาย
"Internet of Things" หรือการเชื่อมต่อทุกสิ่งเข้ากับอินเทอร์เน็ต และนำเทคโนโลยีด้านการสื่อสารมาประยุกต์ใช้กับอุตสาหกรรมอื่น ๆ โดยมีวัตถุประสงค์เพื่อพัฒนาประสิทธิภาพการทำงานต่าง ๆ ลดการใช้พลังงาน ปกป้องธรรมชาติ และลดต้นทุน กล่าวได้ว่า Internet of Things สามารถนำการเปลี่ยนแปลงมาสู่สังคม เป็นการยกระดับจากสังคมออนไลน์ หรือที่เรียกกันว่า E-society ให้กลายเป็นสังคมที่สามารถเชื่อมต่อถึงกันได้ทุกหนทุกแห่งอย่างแท้จริง หรือ U Society (Ubiquitous society)
ทั้งนี้ จะเห็นว่าผู้ใช้ internet นั้นเพิ่มมากขึ้นทุกๆปีและจากผลสำรวจคาดการณ์กันไว้ว่า จะมีการติดต่อสื่อสารระหว่างระบบคอมพิวเตอร์มากกว่าการสื่อสารระหว่างมนุษย์ด้วยกันถึง 30 เท่า ภายในปี 2563 ดังนั้น ผู้ให้บริการจึงสามารถเปลี่ยนแนวความคิดในการทำตลาด และขยายฐานลูกค้าของตัวเองจาก 6 พันล้านคน ให้ครอบคลุมคอมพิวเตอร์นับล้านล้านเครื่องได้ ดังนั้น Internet of Things จึงเปิดโอกาสใหม่ให้กับผู้ให้บริการ และช่วยขยายฐานผู้ใช้บริการ ทำให้เกิดกลุ่มผู้ใช้บริการใหม่ ๆ ขึ้นอย่างมากมายซึ่งท้ายสุดแล้ว IoT นั้นจะช่วยเพิ่มช่องทางในการสื่อสารเพิ่มความสะดวกรวดเร็วในการส่งผ่านข้อมูลและการบริการและยังคงเชื่อมั่นได้ว่าในอนาคตสเกลของ IoT นั้นจะใหญ่มากกว่านี้อีกมาก

Weaknesses:
จุดอ่อนที่เห็นได้ชัดเจนที่สุดของ IoT คือความปลอดภัยในเมื่อข้อมูลที่ส่งผ่านมีเยอะขึ้นเพราะฉะนั้นข้อมูลที่อาจจะถูกขโมยออกไปนั้นก็ต้องมีค่าเพิ่มมากขึ้นตามหลักเศรษฐศาสตร์ แต่ถึงอย่างไรก็ตามผู้ให้บริการต่างๆนั้นต่างคำนึงถึงจุดนี้เป็นอันดับแรกๆเพราะข้อมูลของบางองค์กรนั้นมีค่าเป็นหลักพันล้านดอลล่า และอีกอย่างหนึ่งคือการส่งผ่านข้อมูลระหว่างกันนั้นต้องทำได้รวดเร็วพอเพื่อตอบสนองความต้องการของผู้ใช้ถึงจะถือว่า IoT นั้นประสบความสำเร็จในขั้นตอนแรก อีกอย่างที่สำคัญคือ การกฎหมายการควบคุมข้อมูลไม่สามารถรับมือจากสิ่งๆของ internet ได้เช่นดังตัวอย่างในบทความเราจะเห็นว่าการออกกฎหมายมาควบคุม IoT นั้นสามารถทำได้ยากเพราะเทคโนโลยีนั้นก้าวไปได้ไวกว่าการป้องกันเสมอ

Opportunities:
การที่ IoT นั้นจะประสบความสำเร็จได้อันดับแรกต้องสร้างความมั่นใจให้กับผู้ใช้งานก่อนโดยสร้างระบบป้องกันความปลอดภัยในการส่งผ่านข้อมูลที่มั่นใจได้ว่าจะลดความเสี่ยงให้การถูกโจรกรรมข้อมูลให้ได้มากที่สุด เราคงเคยได้ยินคำกล่าวที่ว่า " with great opportunity comes great responsibility" จะเห็นว่า IoT ได้รับการตอบรับที่ดีมากซึ่งถูกนำไปใช้ในองค์การผ่านระบบต่างๆ เช่น SAP RFID จึงเป็นส่วนที่ช่วยเสริมให้องค์กร ดำเนินการได้อย่างมีประสิทธิภาพ และมีความรวดเร็วในการเข้าถึงข้อมูลและส่งผ่านข้อมูลซึ่งหากมีการวางแผนที่ดี ก็จะทำให้เกิดความก้าวหน้า และพัฒนาระบบ IoT ขึ้นได้อีกระดับ เพราะต่อไป ไม่ว่าจะเป็นทางธุรกิจ ไม่เว้นแม้แต่ภาครัฐและเอกชน ก็จำเป็นต้องมี IoT ด้วยกันหมดเพราะโลกต้องก้าวให้ทันเทคโนโลยี ปัจจุบันที่เห็นเป็นตัวอย่างคือ Smartphone ทุกวันนี้ทุกคนมีโทรศัพท์มือถือนี้จึงเป็นอีกช่องทางที่แสดงว่าต่อไปทุกคนต้องหนีไม่พ้นการเชื่อมต่อ

Threats:
อุปสรรคที่สำคัญของ IoT เลยคือความรู้การใช้งานของผู้ใช้เองซึ่งอย่าลืมว่า IoT คือเทคโนโลยีสามารถทำตามคำสั่งได้แต่ไม่สามารถตัดสินใจได้ว่าอะไรคือสิ่งที่ควรทำเพราะฉะนั้นเราจึงต้องระมัดระวังในจุดนี้เพราะอาจเกิดความผิดพลาดทำให้ธุรกิจของคุณเสียหายได้และช่องโหว่อีกอย่างที่สำคัญคือการร่างกรอบควบคุมนั้นสามารถทำได้ยากอย่าลืมว่า IoT นั้นคือเทคโนโลยีมันไม่เคยหยุดนิ่งเพราะฉะนั้นจะทำยังไงให้เรานั้นสามารถตีกรอบของมันได้เพื่อระเบียบและความชัดเจนของโลก IT ในอนาคต

บทความ

http://www.wired.com/opinion/2013/01/securing-the-internet-of-things/

ข้อมูลอ้างอิง
http://wwwen.zte.com.cn/endata/magazine/ztetechnologies/2010/no5/articles/201005/t20100510_184418.html
http://www.ucsbkk.com/readnews.php?id=183
http://www.grifs-project.eu/data/File/CASAGRAS%20FinalReport%20(2).pdf
http://securit.ws/

ผู้จัดทำ นายกิตติธัช ภูมิโชติช่วง ID 5510221031 Y-34

Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License