چکیده
رشد تعدادی از دستگاه های هوشمند، بهم پیوسته و ذاتا ناامن باعث تغییر در پارادیم امنیتی شده است. در حالی که تکنولوژی اینترنت اشیاء نیاز به تغییری در چارچوب قانونی دارد، روش های جایگزین نیز نیاز به توسعه دارند. این مقاله به بررسی تغییر محیط امنیت سایبری قانونی در زمینه اینترنت اشیاء می پردازد. این بحث های مقرراتی بین المللی قابل اجرا و همچنین روش های جایگزین برای پرداختن به مسائل ناشی از اینترنت اشیاء انتخاب شده اند.
ما می دانیم که تقریبا هر چیزی می تواند به اینترنت وصل شود، پس باید تمام حالات را در نظر بگیریم : هر چیزی که می تواند به اینترنت وصل شود می تواند هک شود.
1. مقدمه
اگر چه در حال حاضر ، تعداد حملات سایبری در سال های اخیر، زیاد شده است و قربانیان آنان افراد و شرکت ها می باشند، از این رو سازمان های اجرای قانونی و دولت ها در سراسر جهان، به هشدارها ادامه می دهند. سال 2014، سال نفوذ برچسبدار کردن بود و سال2015، سال اصلاح شدن بود که توسط برخی از مفسران صنعتی به عنوان سال نفوذ 2.0. لقب گرفته است درحالی که ممکن بود این برچسب ها بیش از حد کلی باشند، بطور کلی ( و ترسناکی) تصویری که این برچسب ها دارند یکی از مکررترین، پیچیده ترین و شدیدترین حملات سایبری می باشد. علاوه براین، بنا به گزارشی تغییرات تدریجی برای تخریب بیشتر و حملات شخصی تر بوده است.
تعداد نیروهای مسئول در برابر نفوذهای سایبری خصمانه و رخنه در شبکه های غیر مجاز افزایشی شدید داشته است. رشد فن آوری های جدید و رشد وابستگی های اجتماعی به فن آوری ها در سطح جهانی، همراه با اتوماسیون ابزارهای حملات سایبری ]9[، پیچیدگی حمله های سایبری، و موانع ورود به بازار جرایم اینترنتی ]10[ بدون شک المان های کلیدی امنیت سایبری می باشند.
ظهور اینترنت اشیاء بطور چشم گیری چشم انداز تهدیدهای سایبری را تغییر داده است ]12[. همانطور که در جزئیات زیر بحث شده است، پدیده اینترنت اشیاء مستلزم یکپارچه سازی همیشگی (بطور کلی) دستگاه های محافظتی ضعیف (اشیاء) در شبکه از طریق اتصال به اینترنت و به یکدیگر می باشد ]13[. گسترش انبوه چنین دستگاه هایی که بطور ذاتی آسیب پذیر هستند باعث ایجاد مسیری برای حمله می شوند ]14[، که به نوبه خود، خطرات امنیتی را زیاد می کنند ]15[. در نتیجه، تغییر پارادایم مورد نظر توسط اینترنت اشیاء که بنظر می رسد طوفانی امنیتی کامل را ایجاد کرده است، تشکیل می شود ]16[، اعتبارسنجی روش های امنیت سایبری حقوقی مرسوم به پرسشی در سطوح متعدد و عمیق تبدیل شده است ]17[.
در پاسخ به این چالش، این مقاله به دنبال بررسی تغییر چهره امنیت سایبری در اینترنت اشیاء می باشد- که به عنوان یکی از بزرگترین چالش های امنیتی در کوتاه مدت- از نظر قانونی می باشد.
این مقاله به شرح زیر سازماندهی شده است. بخش 2 مجموعه مرحله ها را با کاوش در مفاهیم امنیت سایبری و اینترنت اشیاء بیان می کند. بخش 3 به بررسی چالش های امنیتی بدست آمده با توجه به دینامیک اینترنت اشیاء می پردازد. بخش 4 به تحلیل مقررات بین المللی که مرتبط با امنیت سایبری هستند، می پردازد. در نهایت، بخش 5 بطور خلاصه به بحث در مورد روش های نظارتی جایگزین برای پرداختن به چالش های امنیتی در اینترنت اشیاء می پردازد.
2 . مفاهیم پایه ای و اصطلاحات
2.1 امنیت سایبری
2.1.1 (نبودن ) تعریف
مرحله اول برای چارچوب موضوع امنیت سایبری در فضای مجازی درک معنای اصطلاح '' امنیت سایبری '' می باشد. به نظر می رسد تلاش برای برای به چالش کشاندن این موضوع از گذشته تا به امروز ادامه دارد و هیچ تعریف استاندارد و یا مورد پذیرش جهانی برای این اصطلاح وجود ندارد. برای اینکه همه چیز پیچیده تر می باشد، هیچ اتفاق نظری در مورد معنای دقیق این اصطلاح و حتی املای آن وجود ندارد. در رابطه با این موضوع، جامعه اینترنتی اظهار دارد که '' به عنوان کلمه ای راهنما، امنیت سایبری کلمه ای اشتباه می باشد و می توان برای ایجاد لیستی بی پایان از نگرانی های مختلف امنیتی، چالش های فنی و '' راه حل ها'' اعم از فنی تا قانونی را برای آن در نظر گرفت.
برای هدف این مقاله، تعریف اتحادیه بین المللی مخابرات (ITU) استفاده خواهد شد]22[. ITU امنیت سایبری را به عنوان '' مجموعه ای از ابزارها، سیاست ها، مفاهیم امنیتی، محافظین امنیتی، دستوالعمل ها، روش های مدیریت ریسک، اقدامات، آموزش، بهترین شیوه، اطمینان و فن آوری تعریف می کند که می توانند برای حفاظت محیط سایبری و سازماندهی و دارایی های کابران استفاده شوند ]23[. سازمان و دارایی کاربران بویژه '' دستگاه های محاسبه کننده متصل'' ، مانند دستگاه های اینترنت اشیاء می باشد.
با توجه به ITU، هدف نهایی امنیت سایبری، اطمینان از ویژگی های سازمان و دارایی های کاربران می باشد و همچنین حفاظت آنها در برابر ریسک های امنیتی در محیط سایبری می باشد. اهداف امنیتی عمومی عبارتند از (i) محرمانه بودن، (ii) بی نقص بودن و (iii) در دسترس بودن (همچنین به عنوان مجموعه سه گانه CIA در صنعت امنیت اطلاعاتی شناخته می باشد. محرمانه بودن بدین معنی است که اطلاعات را بطور نادرست در اختیار افراد غیر مجاز، فرآیندها و یا دستگاه ها قرار ندهیم. بی نقصی اشاره به محافظت اطلاعات در برابر تغییرات غیرمجاز یا تخریب بدون مجوز دارد. در دسترس بودن اشاره به دسترسی قابل اطمینان و به موقع اطلاعات و داده ها برای کاربران مجاز دارد.
ABSTRACT
The explosion in the number of smart, connected, and inherently insecure devices is shifting the security paradigm. While the Internet of Things technological shift will require clear legal frameworks, alternative approaches also need to be developed. This article examines the changing legal cybersecurity environment in the Internet of Things context. It discusses selected applicable international regulations as well as alternative approaches to addressing the security issues arising in the Internet of Things.
“If we know that virtually everything can now be connected to the Internet, we have to recognize its corollary statement: everything that can be connected to the Internet can be hacked”1 .
1. Introduction
Although by now a familiar tale, the ever-growing number of cyber attacks3 in recent times, with victims ranging from individuals and startups to Fortune 500 companies, law enforcement agencies and governments around the world, continues to cause alarm.4 The year 2014 was labelled the Year of the Breach5 and 2015 has been dubbed by some industry commentators as the Year of the Breach 2.0.6 While these labels may be overly generic, the general (and frightening) picture that this paints is one of more frequent, more sophisticated and more severe cyber attacks. In addition, there has reportedly been a progressive shift to more destructive as well as more personal7 attacks.
A number of forces are responsible for the steep rise in hostile cyber intrusions and unauthorized network breaches. The explosion of new technologies and growth of societal dependency on globally interconnected technology, combined with the automation and commoditization of cyberattack tools,9 cyber attacker sophistication, and low entry barriers into the cybercrime market10 are no doubt amongst the key ones.11
The emergence of the Internet of Things has also dramatically altered the cyber threat landscape.12 As discussed in further detail below, the Internet of Things phenomenon entails the ever-expanding integration of (generally) poorly secured devices (things) into networks through the connections to the Internet and to each other.13 The mass-scale deployment of such inherently vulnerable devices creates exponentially more vectors for attack,14 which, in turn, introduce an exponentially greater order of security risks.15 Thus, the paradigm shift brought on by the Internet of Things appears to have created the perfect security storm,16 calling the validity of traditional legal cybersecurity approaches into question on numerous and profound levels.
In answer to this challenge, this article seeks to examine the changing face of cybersecurity in the Internet of Things – as one of the greatest near term security challenges – from a legal perspective.
This article is structured as follows. Section 2 sets the stage by exploring the concepts of cybersecurity and the Internet of Things. Section 3 investigates the security challenge brought on by the increasingly crowded and dynamic Internet of Things ecosystem. Section 4 analyses applicable international regulations that are relevant to cybersecurity. Finally, Section 5 briefly discusses alternative regulatory approaches to addressing the security challenge in the Internet of Things.
2. Basic concepts and terminology
2.1. Cybersecurity
2.1.1. (Absence of a) definition
The first step to framing the issue of security in cyberspace is to understand concretely the meaning of the term ‘cybersecurity’. This appears to be a challenging endeavour since, to date, no standard or universally accepted definition of the term exists.19 To make things more complex, there is neither a clear consensus on the exact meaning of the term, nor is there even an agreement on its spelling.20 On that issue, the Internet Society remarked that “as a catchword, cybersecurity is frighteningly inexact and can stand for an almost endless list of different security concerns, technical challenges, and ‘solutions’ ranging from the technical to the legislative”.
For the purpose of this article, the definition of the International Telecommunication Union (ITU) will be used.22 The ITU defines cybersecurity as “the collection of tools, policies, security concepts, security safeguards, guidelines, risk management approaches, actions, training, best practices, assurance and technologies that can be used to protect the cyber environment and organisation and user’s assets”.23 Organisations’ and user’s assets include in particular “connected computing devices”,24 such as Internet of Things devices.
According to the ITU, the ultimate goal of cybersecurity is to ensure that the security properties of organizations’ and users’ assets are attained as well as maintained against relevant security risks in the cyber environment.25 General security objectives include those of (i) confidentiality, (ii) integrity, and (iii) availability (also known as the CIA triad in the information security industry26 ).27 Confidentiality means that information is not improperly disclosed to unauthorized individuals, processes, or devices.28 Integrity refers to information being protected against unauthorized modification or destruction without authorization.29 Availability refers to timely and reliable access to data and information for authorized users.
چکیده
1. مقدمه
2 . مفاهیم پایه ای و اصطلاحات
2.1 امنیت سایبری
2.1.1 (نبودن ) تعریف
2 . 1 . 2 چشم انداز تهدید سایبری
2.1.2.1 طبقه بندی امکان پذیر
2.1.2.2 عوامل تهدید
2.1.2.3 ابزارهای تهدید
2.1.2.4 انواع تهدید
2 . 2 اینترنت اشیاء
2.2.1 تعریف و مفهوم
2 . 2 . 2 (مختصر) زمینه های فنی
3 . پیامدهای امنیتی اینترنت اشیاء
3.1 چالش های ایجاد شده توسط اینترنت اشیاء
3.2 آسیب پذیری و عناصر ریسک
4 . چارچوب قانونی
4.1 ملاحضات مقدماتی
4.2 کنوانسیون بوداپست
4.2.1 زمینه
4.2.2 هداف و محتوا
4.2.3 ارزیابی بحرانی
4.3 بخشنامه NIS
4.3.1 ملاحضات مقدماتی
4.3.2 زمینه سیاسی
4.3.3 اهداف و محتوا
4 . 3 .4 ارزیابی بحرانی
5. مقررات و جایگزین آن برای روش های خاص
5.1 نکات کلی
5.2 زیست پذیری یک قانون اینترنت اشیا خاص
5.3 آیا مقررات چند مرکزی می تواند به عنوان یک مدل در نظر گرفته شود؟
6 . چشم انداز
منابع
ABSTRACT
1. Introduction
2. Basic concepts and terminology
2.1. Cybersecurity
2.1.1. (Absence of a) definition
2.1.2. Cyber threat landscape
2.1.2.1. Possible categorization
2.1.2.2. Threat agents
2.1.2.3. Threat tools
2.1.2.4. Threat types
2.2. Internet of Things
2.2.1. Definition and notion
2.2.2. (Brief) technical background
3. Security implications of the Internet of Things
3.1. Challenges occasioned by the Internet of Things
3.2. Vulnerability and risk elements
4. Legal framework
4.1. Preliminary remarks
4.2. Budapest convention
4.2.1. Background
4.2.2. Objectives and content
4.2.3. Critical evaluation
4.3. NIS directive
4.3.1. Preliminary remarks
4.3.2. Policy context
4.3.3. Objectives and content
4.3.4. Critical evaluation
5. Sector-specific regulation and alternative approaches
5.1. General remarks
5.2. Viability of an IoT-specific legislation?
5.3. Polycentric regulation as a possible model?
6. Outlook
References