विकसित दुनिया में बहुत सी रोजमर्रा की वस्तुएं अब इंटरनेट से जुड़ी हुई हैं, अक्सर बेवजह। यह संभावित प्रौद्योगिकी विफलता की एक और परत जोड़ता है जो व्यक्तिगत उपकरणों के लिए एक मनोरंजक झुंझलाहट हो सकती है: उसे अंधा कर देती है नहीं खुलेगा, उसे माइक्रोवेव करता है समय परिवर्तन के अनुसार समायोजन न करें, रेफ्रिजरेटर वह फ़र्मवेयर अद्यतन की आवश्यकता है.
लेकिन उद्यम में, जब इंटरनेट ऑफ थिंग्स डिवाइस विफल हो जाते हैं, तो यह कोई ट्विटर-थ्रेड मजाक नहीं है। फ़ैक्टरी असेंबली लाइनें रुक गईं। अस्पतालों में हृदय गति मॉनिटर ऑफ़लाइन हो जाते हैं। प्राथमिक विद्यालय के स्मार्ट बोर्ड अंधेरे हो जाते हैं।
उद्यम जगत में स्मार्ट डिवाइस की विफलता एक बढ़ता जोखिम है, न कि सिर्फ इसलिए सुरक्षा चिंताओं पर अक्सर चर्चा की गई. ऐसा इसलिए है क्योंकि इनमें से कुछ उपकरणों के रूट प्रमाणपत्र - जो इंटरनेट से सुरक्षित रूप से जुड़ने के लिए आवश्यक हैं - समाप्त हो रहे हैं।
"डिवाइस को यह जानने की जरूरत है कि किस पर भरोसा करना है, इसलिए रूट प्रमाणपत्र को प्रमाणीकरण उपकरण के रूप में डिवाइस में बनाया गया है," एक सुरक्षा शोधकर्ता स्कॉट हेल्मे बताते हैं। रूट प्रमाणपत्र समाप्ति मुद्दे के बारे में विस्तार से लिखा गया है. "एक बार जब डिवाइस वाइल्ड हो जाता है तो यह 'होम' - एक एपीआई या निर्माता के सर्वर - पर कॉल करने का प्रयास करता है और यह कहने के लिए इस रूट प्रमाणपत्र के विरुद्ध जांच करता है, 'हां, मैं इस सही सुरक्षित चीज़ से कनेक्ट कर रहा हूं।' अनिवार्य रूप से [एक रूट प्रमाणपत्र है] एक ट्रस्ट एंकर, डिवाइस के लिए संदर्भ का एक फ्रेम यह जानने के लिए कि वह क्या बोल रहा है।
व्यवहार में यह प्रमाणीकरण एक वेब या श्रृंखला की तरह है। प्रमाणपत्र प्राधिकरण (सीए) सभी प्रकार के डिजिटल प्रमाणपत्र जारी करते हैं, और संस्थाएं एक-दूसरे से "बातचीत" करती हैं, कभी-कभी कई स्तरों पर। लेकिन इस श्रृंखला की पहली और सबसे मुख्य कड़ी हमेशा रूट प्रमाणपत्र ही होती है। इसके बिना, उपरोक्त कोई भी स्तर कनेक्शन को संभव नहीं बना सकता। इसलिए यदि कोई रूट प्रमाणपत्र काम करना बंद कर देता है, तो डिवाइस कनेक्शन को प्रमाणित नहीं कर सकता है और इंटरनेट से लिंक नहीं होगा।
समस्या यह है: एन्क्रिप्टेड वेब की अवधारणा 2000 के आसपास विकसित हुई - और रूट प्रमाणपत्र लगभग 20 से 25 वर्षों तक वैध होते हैं। तो फिर, 2022 में, हम उस समाप्ति अवधि के मध्य में पहुँच चुके हैं।
सीए ने पिछले दो से अधिक दशकों में बहुत सारे नए रूट प्रमाणपत्र जारी किए हैं, बेशक, समाप्ति से काफी पहले। यह व्यक्तिगत डिवाइस की दुनिया में अच्छी तरह से काम करता है, जहां ज्यादातर लोग अक्सर नए फोन में अपग्रेड करते हैं और अपने लैपटॉप को अपडेट करने के लिए क्लिक करते हैं, ताकि उनके पास ये नए प्रमाणपत्र हों। लेकिन उद्यम में, किसी डिवाइस को अपडेट करना कहीं अधिक चुनौतीपूर्ण या असंभव भी हो सकता है - और विनिर्माण जैसे क्षेत्रों में, मशीनें वास्तव में 20 से 25 साल बाद भी फ़ैक्टरी फ़्लोर पर हो सकती हैं।
मशीन पहचान प्रबंधन सेवाओं के प्रदाता, वेनाफी में सुरक्षा रणनीति और खतरे की खुफिया जानकारी के उपाध्यक्ष केविन बोसेक कहते हैं, "इंटरनेट कनेक्शन के बिना, ये डिवाइस किसी लायक नहीं हैं।" “वे अनिवार्य रूप से ईंट बन जाते हैं [जब उनके रूट प्रमाणपत्र समाप्त हो जाते हैं]: वे अब क्लाउड पर भरोसा नहीं कर सकते, कमांड नहीं ले सकते, डेटा नहीं भेज सकते, सॉफ़्टवेयर अपडेट नहीं ले सकते। यह एक वास्तविक जोखिम है, खासकर यदि आप किसी प्रकार के निर्माता या ऑपरेटर हैं।
एक चेतावनी शॉट
जोखिम सैद्धांतिक नहीं है. 30 सितंबर को, बड़े पैमाने पर सीए द्वारा एक रूट प्रमाणपत्र जारी किया गया चलो एन्क्रिप्ट करें समाप्त - और इंटरनेट पर कई सेवाएँ टूट गईं. समाप्ति कोई आश्चर्य की बात नहीं थी, क्योंकि लेट्स एनक्रिप्ट लंबे समय से अपने ग्राहकों को नए प्रमाणपत्र में अपडेट करने के लिए चेतावनी दे रहा था।
फिर भी, हेल्मे ने एक में लिखा ब्लॉग पोस्ट समाप्ति से 10 दिन पहले, "मैं शर्त लगा रहा हूं कि कुछ चीजें शायद उस दिन टूट जाएंगी।" वह सही था। सिस्को, गूगल, पालो ऑल्टो, क्विकबुक, फोर्टिनेट, ऑथ0 और कई अन्य कंपनियों की कुछ सेवाएँ विफल रहीं।
"और इसके बारे में अजीब बात है," हेल्मे ने डार्क रीडिंग को बताया, "यह है कि लेट्स एनक्रिप्ट का उपयोग करने वाले स्थान परिभाषा के अनुसार बहुत आधुनिक हैं - आप बस उनकी वेबसाइट पर नहीं जा सकते हैं और अपने $ 10 का भुगतान कर सकते हैं और अपना प्रमाणपत्र हाथ से डाउनलोड नहीं कर सकते हैं। यह एक मशीन द्वारा या उनके एपीआई के माध्यम से किया जाना है। ये उपयोगकर्ता उन्नत थे, और यह अभी भी एक बड़ी समस्या थी। तो क्या होता है जब हम अधिक पुराने सीए से [समाप्ति] देखते हैं जिनके पास ये बड़े उद्यम ग्राहक हैं? निश्चित रूप से इसका प्रभाव बड़ा होगा।”
पथ आगे
लेकिन कुछ बदलावों के साथ, उस नॉक-ऑन प्रभाव का होना जरूरी नहीं है, वेनाफी के बोसेक कहते हैं, जो चुनौती को ज्ञान और आदेश की श्रृंखला के रूप में देखते हैं - इसलिए वह जागरूकता और प्रारंभिक सहयोग दोनों में समाधान देखते हैं।
बोसेक कहते हैं, "जब मैं मुख्य सुरक्षा अधिकारियों और उनकी टीमों को निर्माता और डेवलपर स्तर पर शामिल होते देखता हूं तो मैं वास्तव में उत्साहित होता हूं।" "सवाल सिर्फ यह नहीं है, 'क्या हम कुछ ऐसा विकसित कर सकते हैं जो सुरक्षित हो?' लेकिन 'क्या हम इसे चलाना जारी रख सकते हैं?' इन उच्च-मूल्य वाले कनेक्टेड उपकरणों पर संचालन की साझा जिम्मेदारी अक्सर होती है, इसलिए हमें यह स्पष्ट होने की आवश्यकता है कि हम इसे एक व्यवसाय के रूप में कैसे संभालेंगे।
टेनेबल में परिचालन प्रौद्योगिकी और आईओटी के लिए डिप्टी सीटीओ मार्टी एडवर्ड्स कहते हैं, इसी तरह की बातचीत बुनियादी ढांचे के क्षेत्र में हो रही है। वह पेशे से एक औद्योगिक इंजीनियर हैं, जिन्होंने उपयोगिता कंपनियों और अमेरिकी होमलैंड सुरक्षा विभाग के साथ काम किया है।
एडवर्ड्स कहते हैं, "स्पष्ट रूप से, उपयोगिताओं और कारखानों वाले औद्योगिक क्षेत्र में, कोई भी घटना जो उत्पादन में कमी या हानि की ओर ले जाती है, चिंताजनक है।" "इसलिए इन विशेष मंडलियों में इंजीनियर और डेवलपर्स निश्चित रूप से [समाप्त हो रहे रूट प्रमाणपत्रों के] प्रभावों को देख रहे हैं और हम उन्हें कैसे ठीक कर सकते हैं।"
हालांकि एडवर्ड्स इस बात पर जोर देते हैं कि वह उन वार्तालापों और खरीद प्रक्रिया के दौरान साइबर सुरक्षा संबंधी विचारों को लेकर "आशावादी" हैं, उनका मानना है कि अधिक नियामक निरीक्षण की भी आवश्यकता है।
एडवर्ड्स कहते हैं, "देखभाल के आधारभूत मानक की तरह कुछ जिसमें प्रमाणपत्र प्रणाली की अखंडता को बनाए रखने के तरीके पर भाषा शामिल हो सकती है।" "उदाहरण के लिए, मिशन-महत्वपूर्ण उपकरणों के लिए ट्रेसबिलिटी के बारे में विभिन्न मानक समूहों और सरकारों के बीच चर्चा हुई है।"
हेल्मे के लिए, वह एंटरप्राइज़ मशीनों को अपडेट के लिए इस तरह से सेट देखना पसंद करेंगे जो यथार्थवादी हो और उपयोगकर्ता या निर्माता के लिए कठिन न हो - एक नया प्रमाणपत्र जारी किया जाता है और अपडेट हर पांच साल में डाउनलोड किया जाता है, शायद। लेकिन निर्माताओं को ऐसा करने के लिए प्रोत्साहित नहीं किया जाएगा जब तक कि उद्यम ग्राहक इसके लिए दबाव न डालें, उनका कहना है।
"आम तौर पर, मुझे लगता है कि यह कुछ ऐसा है जिसे उद्योग को ठीक करने की ज़रूरत है," एडवर्ड्स सहमत हैं। “अच्छी खबर यह है कि इनमें से अधिकांश चुनौतियाँ आवश्यक रूप से तकनीकी नहीं हैं। यह यह जानने के बारे में है कि यह सब कैसे काम करता है, और सही लोगों और प्रक्रियाओं को लागू करना है।"
