کمیته رکن چهارم – با توجه به گسترش و پیشرفت روزافزون فناوریهای واقعیت مجازی و واقعیت افزوده، نگرانیها پیرامون مسائل امنیتی آنها نیز افزایش یافته است.
فرقی نمیکند فناوریهای جدید چگونه فراگیر میشوند. سازمانها و اشخاص همواره باید به ظرفیتهای بالقوهی آسیبپذیری آنها و چالش امنیت سایبری پیش رو توجه داشته باشند. برای نمونه میتوان به واقعیت مجازی (VR) و واقعیت افزوده (AR) اشاره کرد.
تکامل فناوری باعث شده است شیوهی تعامل مردم با رسانه دچار تغییر شود. از روزنامه به رادیو، تلویزیون و سپس تلفن هوشمند، جامعه شیوهای جدید را برای به اشتراکگذاری اطلاعات پیدا کرده است. به همین ترتیب از زمان ظهور فناوریهای واقعیت مجازی و واقعیت افزوده، چشمانداز رسانه با دگرگونیهای گستردهای در زمینه انتخابات و اولویتهای مردم مواجه شده است.
آیا افزایش روزافزون محتوای مصنوعی در جهان واقعی یا غرق شدن کامل در فضای مجازی، میتواند شیوهی زندگی، رفتارهای اجتماعی، کار و تفریح را تغییر دهد. در حال حاضر تعدادی از شرکتها و کسبوکارها با فراهم آوردن تجربیات جذاب از ۲ فناوری مذکور، کسب و کار خود را توسعه داده، در حال سبقت گرفتن از رقبای خود هستند. با وجود این که نوآوریهای مذکور از مزایا و زیباییهای خاص خود برخوردار هستند؛ اما باید چالشهای امنیت سایبری که با خود به همراه میآورند نیز موردبررسی قرار گیرند.
چالشهای امنیت سایبری واقعیت مجازی و افزوده
اکثر متخصصان و خبرگزاریها، همواره به فناوریهای نوظهور خوشبین هستند. این افراد پیشبینی میکنند که ارزش بازار واقعیت مجازی و واقعیت افزوده تا سال ۲۰۲۲ به ۱۷۰ میلیارد دلار میرسد. با توجه به این که فناوریهای موردبحث به مرور زمان به جریان اصلی نوآوری تبدیل میشوند، عدهای از بازیگران بد، بر پایهی آنها روشهای غیرقانونی جدیدی را امتحان میکنند تا بتوانند شبیهسازی کاربران را مختل سازند.
برای مثال. میتوان فردی را تصور کرد که به یک مکان جدید وارد میشود. از آنجایی که این فرد اطلاعات کمی از محیط پیرامون خود دارد، برنامه مسیریابی بر پایه واقعیت افزوده را در تلفن هوشمندش اجرا میکند. سپس آن را مقابل صورت خود گرفته، به نرمافزار اجازه میدهد همزمان با راه رفتن، مسیر را به نمایش بگذارد. حال اگر یک هکر دادهها و سامانهی مسیریابی را دستکاری کند، چه اتفاقی رخ میدهد؟ چه اتفاقی رخ میدهد اگر با دستکاری دادهها، مخاطب به مسیری اشتباه هدایت شود؟ برای نمونه اگر برنامه رستورانی را که غذای موردعلاقهی مصرفکننده را دارد نشان بدهد؛ اما با رسیدن به محل، هیچچیزی وجود نداشته باشد چه رخ خواهد داد؟ اگر دادههای موقعیت مکانی فرد برای مجرمان حاضر در منطقه ارسال شود چه رخ میدهد؟
حوادثی مانند موارد یاد شده هنوز رخ ندادهاند؛ اما هکرها قادر هستند علاوه بر موارد یاد شده، بسیاری از انواع حملات دیگر را نیز به اجرا بگذارند. به همین دلیل باید آسیبپذیریهای مذکور را در نظر گرفته و پیش از این که دیر شود، راهکارهایی را به منظور برطرف سازی آنها ایجاد کرد.
دادههای جدید، تهدیدات امنیت سایبری تازه
در گذشته و زمانی که برنامهها تنها روی رایانهها اجرا میشدند، شرکتها نمیتوانستند، اطلاعاتی جامع را در رابطه با مشتریان خود به دست آورند. تنها راه موجود برای دستیابی به این هدف، کسب اطلاعات دقیق از الگوهای مرور یا تعامل با وبسایت بود؛ اما از زمان به وجود آمدن تلفنهای هوشمند، شرکتها موفق شدند به جزئیترین دادههای مشتریان مانند موقعیت مکانی، سلیقهها و نوع تجربهی کاربری وی دسترسی پیدا کنند.
با روی کار آمدن حسگرهای اینترنت اشیا، شرکتها توانایی جمعآوری اطلاعات دقیق و عمیقتری را در رابطه با مشتریان خود دارند. اکنون با وجود فناوریهای واقعیت مجازی و واقعیت افزوده، درهای جدیدی برای جمعآوری دادههای کاربران باز خواهد شد.
بخشی از اطلاعات قابلجمع آوری، شامل موارد زیر است:
• ابتدا میتوان هدستهای واقعیت مجازی و افزودهی مورد استفاده را در نظر گرفت. این هدستهای قابلحمل از دوربینها و حسگرهای متعددی بهره میبرند. این تجهیزات روی سر و چشم افراد قرار میگیرند و میتوانند کوچکترین حرکات سر و چشم و محتوای به نمایش گذاشته شده روی نمایشگر را ثبت کرده، منتقل کنند.
• تعدادی از تجربیات واقعیت مجازی مربوط به جلساتی است که در محیط آن برگزار میگردد. از آنجایی که سختافزارها به میکروفن نیز مجهز هستند، میتوانند همهی صحبتهای انجام شده را ثبت کنند.
• اگر هدستها به فناوری تشخیص ژستهای حرکتی نیز مجهز باشند، قادر خواهند بود اطلاعات قابلتوجهی را در رابطه با عادتهای رفتاری و جسمی مصرفکننده جمعآوری کنند.
• به کمک ۲ فناوری بالا به سادگی میتوان به موقعیت مکانی افراد دسترسی پیدا کرد. با وجود این نمیتوان با اطمینان گفت که شرکتها دادههای مکانی را بهمنظور انجام فعالیتهای غیرقانونی استخراج میکنند؛ زیرا بعضی از برنامه به تشخیص موقعیت جغرافیایی نیاز دارند. برای نمونه میتوان به بازی پوکمون گو (Pokemon Go) اشاره کرد.
شرکتهای فعال در حوزه فناوریهای واقعیت مجازی و واقعیت افزوده میتوانند به هر شیوه دلخواهی، از دادههای جمعآوری شده از کاربران استفاده کرده و آنها را مدیریت کنند؛ زیرا هیچ قانون یا دستورالعملی وجود ندارد که در این رابطه توضیحاتی را ارائه داده باشد. این مسئله از عدم بلوغ نوآوریهای مذکور نشئت میگیرد.
حتی اگر شرکتها در رابطه با شیوهی استفاده از دادههای جمعآوری شده شفافسازی کنند، هکرها همواره روشهایی را به منظور سو استفاده از دادهها پیدا میکنند.
در بالا انواع مختلفی از دادههای قابل جمعآوری توسط شرکتها ذکر شد. در ادامه تعدادی از تهدیداتی که در سالهای آینده پیرامون فناوریهای مذکور ظهور میکنند ذکر شدهاند:
نظارت:
دادههایی که شرکتهای ارائهدهنده خدمات واقعیت مجازی و افزوده جمعآوری میکنند، نه تنها توسط آنها قابلبررسی است، بلکه بازیگران مخرب نیز توانایی دسترسی و نظارت روی آنها را دارند. چه اتفاقی رخ میدهد اگر هکرها اطلاعات کاربران را سرقت کرده و سپس قربانیان را مجبور کنند مبلغ مشخصی باج را بپردازند؟ آیا اصلاً شخصی دوست دارد که دادههای وی جمعآوری شده و بدون اطلاع وی مورد استفاده قرار گیرد؟
سرقت اعتبارنامه:
در بخشهای قبل ذکر شد که هدستها میتوانند دادههای مربوط به شیوهی رفتار فیزیکی کاربران را جمعآوری کنند. چه اتفاقی رخ میدهد اگر کسی در محیط مجازی خود شروع به تایپ کردن کند؟ اگر یک هکر در همان زمان به ابزار کاربر حمله کند چه؟
حمله اختلال سرویس توزیع شده:
برای نمونهای دیگر میتوان فردی را تصور کرد که با دوستان خود در یک رستوران نشسته و در حال صحبت کردن است. ناگهان یکی از افراد جمع شروع به انجام حرکاتی غیرمعمول میکند. پس از چند لحظه همهچیز متوقف شده و صفحه سیاه میشود. این افراد در واقع در یک محیط مجازی مشغول صحبت کردن با یکدیگر بودند؛ اما چه اتفاقی رخ داد؟ چرا ناگهان صفحه سیاه شد؟ احتمالاً یک حملهی اختلال سرویس توزیع شده (DDOS) رخ داده است.
در یک حمله اختلال سرویس توزیع شده میتوان شبکه را با تزریق حجم بالایی از دادههای غیر مرتبط تحت تأثیر قرار داد. به همین دلیل در تجربهی نهایی استفاده از واقعیت مجازی اختلال ایجاد میشود. به علاوه در یک حملهی سایبری به این ابزارها میتوان با دستکاری محتوای به نمایش گذاشته شده، کاری کرد که افراد از نظر جسمی احساس بیماری و ضعف کنند؛ زیرا در حال حاضر تحقیقات نشان میدهد استفادهی مداوم از هدستهای واقعیت مجازی ممکن است به سردردهای شدید یا ضعفهای بدنی منجر شود.
جعل هویت:
به کمک هدستهای واقعیت مجازی و افزوده میتوان روی دادههای مربوط به ژستهای حرکتی یا الگوهای صوتی و گفتاری افراد نظارت کرد. یک مهاجم میتواند با کمک این اطلاعات اقدام به جعل هویت کرده و با اطرافیان قربانی ارتباطات برقرار کند یا حتی به انجام فعالیتهای غیرقانونی بپردازد.
اقدامات امنیت سایبری:
۲ فناوری واقعیت مجازی و افزوده هنوز در حد قابلتوجهی مورد پذیرش قرار نگرفتهاند. از طرفی هیچیک از سناریوهای بالا نیز تاکنون رخ ندادهاند؛ اما بهتر است پیش از تجربهی شرایط بالا، مسائل امنیتی و ایمنی آن موردبررسی قرار گرفته، راهکارهایی برای آن ارائه شود.
در ادامه تعدادی از راهکارهای امنیت سایبری که متخصصان به شرکتها پیشنهاد دادهاند تا بتوانند به واسطهی آنها از خود محافظت کنند، ذکر شده است:
• همهی ابزارهای واقعیت مجازی و واقعیت افزوده باید در یک برنامهی منظم از نظر امنیتی موردبررسی قرار گیرند.
• پیش از جمعآوری دادههای کاربران هدستها، از آنها اجازه بگیرند.
• بر روی همهی دستگاهها و حتی نقاط تماس روشهای امنیتی مختلف گسترش داده شود.
• هنگام برقراری ارتباط میان ابزارهای واقعیت مجازی یا واقعیت افزوده، از شیوههای احراز هویت مناسب بهره گرفته شود.
در حال حاضر شرکتهای تولیدکننده به منظور حضور در بازار رقابتی موجود و پیروزی در آن، به مسائل امنیتی توجه نمیکنند. آنها احتمالاً هرگز به این مسئله فکر نکردهاند که چنین ابزارهایی نیز ممکن است روزی باعث ایجاد ویرانیهای گسترده شوند.
با وجود این شرکتهای فعال در حوزههای یاد شده باید بیشتر از گذشته خطرات امنیتی را تجزیهوتحلیل کرده و راهکارهای مناسبی را به منظور مقابله با هکرها ارائه بدهند. در غیر این صورت در آیندهی نزدیک، حوادثی مانند نمونههای یاد شده در بالا رخ خواهند داد.
منبع : سایبربان