הקדמה לשיעור הראשון – הרצאת הדגמה: “IoT Security”

במהלך השיעור הראשון של קורס ההכשרה, אעביר בפניכם הרצאה מקצועית בנושא IoT Security – אבטחת האינטרנט של הדברים.
המטרה של ההרצאה הזו היא כפולה:

1. להעשיר אתכם בידע מקצועי ומעשי על תחום ה-IoT והאתגרים באבטחתו, כולל סיכונים, דוגמאות מהעולם האמיתי, תקנים מרכזיים, ומתודולוגיות תקיפה והגנה.
2. לשמש עבורכם כהדגמה חיה של טכניקות הדרכה, כך שבמהלך ההרצאה תתבקשו לנתח את דרך ההגשה, את שיטות ההוראה שבהן אני עושה שימוש, ולבקר באופן בונה את סגנון ההדרכה שלי.

לינק למצגת: https://gamma.app/docs/The-Risk-of-Things-IoT-Cybersecurity-bzrs42j4lpyza7u

לינק להורדת המסמך ליווי לשיעור: https://docs.google.com/document/d/1gF_oluKxc1BqX2roDOUrPUt3gibfMxbhWLxw5edHGT4/edit?usp=sharing

📝 מה המשימה שלכם במהלך ההרצאה?

בזמן השיעור, חשוב שתקדישו תשומת לב לא רק לתוכן המקצועי, אלא גם לאיך מועבר התוכן.
אתם תידרשו:
✅ לזהות ולרשום לעצמכם אילו טכניקות הוראה אני מפעיל (לדוגמה: שימוש בדוגמאות מהעולם האמיתי, המחשה ויזואלית, שאלות מנחות, שיתוף המשתתפים, הומור, סיכום חלקי ועוד).
✅ לנתח מהם החוזקות בסגנון ההעברה של המרצה ומה עוד ניתן לשפר.
✅ לחשוב כיצד ניתן להשתמש בטכניקות שראיתם גם בהדרכות שלכם בעתיד.

🎯 למה זה חשוב?

להיות מדריך זה מקצוע בפני עצמו! זה לא רק לדעת את החומר – אלא לדעת להגיש אותו באופן מעניין, מסודר, מותאם לקהל ולהחזיק את הקשב של המשתתפים.
במהלך הקורס תתבקשו ליישם את ההבנות שלכם גם בסימולציות שיעורים – ולכן זה השלב הראשון שבו אתם מפתחים חשיבה ביקורתית כלפי סגנונות הדרכה.

📚 נושאי ההרצאה “IoT Security” (תקציר):

1. מגמות בשוק ה-IoT – צמיחה, תחזיות וסטטיסטיקות
2. איומים מרכזיים – דוגמאות לתקיפות כמו Mirai Botnet ופרצת VTech
3. האתגרים במערכות IoT לעומת IT – משאבים מוגבלים, אורך חיים ארוך, פערי אבטחה
4. סיכון מערכות קריטיות (IIoT) – תקיפות רשתות חשמל, מים וייצור
5. OWASP IoT Top 10 – עשרת הסיכונים המובילים
6. מתודולוגיות תקיפה – שלבי מחקר, ניצול וחטיפת תקשורת
7. דוגמאות למתקפות בעולם האמיתי
8. סטנדרטים ורגולציה (GDPR, NIST, PCI-DSS)
9. המלצות לתכנון מאובטח (Security by Design)
10. כלים לבדיקת חולשות ב-IoT

🚀 לסיכום:

לאחר השיעור – אתם תתבקשו להגיש רפלקציה אישית קצרה:

• מה למדתי מההרצאה עצמה?
• אילו טכניקות הדרכה התרשמתי מהן במיוחד?
• מה הייתי משפר או עושה אחרת?
• איך זה ישפיע על אופן ההדרכה שלי בעתיד?

“מדריך טוב הוא לא זה שיודע – אלא זה שמצליח לגרום לאחרים לדעת ולהתאהב בידע.”

הסרטון שמופיע במצגת:

📚 ספר מקצועי: אבטחת האינטרנט של הדברים (IoT Security)

חלק מקורס: הכשרת מדריכים לחינוך טכנולוגי לילדים ונוער | סייבר סקול

📖 מבוא

האינטרנט של הדברים (IoT) מתייחס לרשת של אובייקטים פיזיים (“דברים”) המשובצים בחיישנים, תוכנה וטכנולוגיות אחרות, המאפשרים להם להתחבר ולהחליף נתונים עם מכשירים ומערכות אחרות דרך האינטרנט. 

🔎 למה זה חשוב?

מערכות IoT משפיעות על מגוון תחומים בחיינו – החל מבתים חכמים, דרך רפואה, תחבורה, תעשייה ועד מערכות קריטיות ממשלתיות.

טיפ למדריך: הדגישו לתלמידים כיצד מכשירים מחוברים משפיעים על חיי היומיום שלהם, וכיצד הם יכולים להיות מודעים לסיכונים ולהזדמנויות הקשורים לכך.

🛠️ מקרא האייקונים:

• 🔎 הסבר מורחב
• 💡 טיפ להוראה
• ⚠ דגש חשוב
• ❓ שאלת הבנה
• 🛠 תרגול מעשי
• 🔗 לקריאה נוספת

פרק 1: מה זה IoT?

🔎 הגדרה:

האינטרנט של הדברים (IoT) הוא רשת של חפצים פיזיים (“דברים”) המשובצים בחיישנים, תוכנה וטכנולוגיות אחרות, המאפשרים להם להתחבר ולהחליף נתונים עם מכשירים ומערכות אחרות דרך האינטרנט. 

דוגמאות:

• בית חכם: מכשירים כמו תרמוסטטים חכמים, מנעולים חכמים ומכשירי חשמל הנשלטים מרחוק.
• רפואה חכמה: מכשירים לניטור בריאותי, כמו צמידים חכמים המודדים דופק ולחץ דם.
• תחבורה חכמה: רכבים אוטונומיים המתקשרים עם תשתיות תחבורה לקבלת מידע על תנאי הדרך.

💡 טיפ להוראה: השתמשו בדוגמאות מחיי היומיום של התלמידים כדי להמחיש את המושג IoT, כגון טלפונים חכמים, שעונים חכמים ומכשירי בית חכם.

פרק 2: סיכוני אבטחה ב-IoT

⚠ סיכונים מרכזיים:

• סיסמאות ברירת מחדל: מכשירים רבים מגיעים עם סיסמאות ברירת מחדל שקל לנחש, מה שמאפשר לתוקפים גישה קלה.
• חוסר עדכוני תוכנה: מכשירים שאינם מתעדכנים באופן קבוע עלולים להכיל פגיעויות שאינן מתוקנות.
• תקשורת לא מוצפנת: העברת נתונים ללא הצפנה מאפשרת לתוקפים ליירט ולקרוא את המידע.

❓ שאלת הבנה:

מה הסיכון המרכזי בשימוש בסיסמאות ברירת מחדל במכשירי IoT?

🛠 תרגול מעשי: בקשו מהתלמידים לבדוק את המכשירים המחוברים שלהם ולוודא שהם משתמשים בסיסמאות חזקות ולא בברירת המחדל.

פרק 3: דוגמאות לתקיפות IoT מפורסמות

🔎 תקיפת Mirai (2016):

רשת בוטים שניצלה מכשירי IoT עם סיסמאות ברירת מחדל לביצוע מתקפות DDoS נרחבות. 

🔎 פרצת VTech (2015):

פריצה למאגרי המידע של חברת VTech, יצרנית צעצועים חכמים, שהובילה לחשיפת נתונים אישיים של מיליוני ילדים והוריהם.

⚠ דגש חשוב: כל מכשיר מחובר לרשת הוא פוטנציאל לחדירה לרשת כולה.

פרק 4: עשרת הסיכונים המרכזיים (על פי OWASP)

1. סיסמאות ברירת מחדל: שימוש בסיסמאות ידועות או חלשות.
2. חוסר יכולת לעדכן תוכנה: מכשירים שאינם ניתנים לעדכון או שהעדכונים אינם מאובטחים.
3. תקשורת לא מאובטחת: העברת נתונים ללא הצפנה.
4. חוסר הצפנה: נתונים המאוחסנים או מועברים ללא הצפנה.
5. שירותים פתוחים: שירותים או פורטים פתוחים שאינם מוגנים.
6. ניהול זהויות לא תקין: חוסר אימות משתמשים או הרשאות לא מתאימות.
7. חומרה פגיעה: רכיבים פיזיים שניתן לנצלם.
8. חשיפה לנתוני משתמשים: איסוף או אחסון נתונים ללא הגנה מספקת.
9. חוסר במנגנוני ניטור: העדר יכולת לזהות פעילות חשודה.
10. חולשות פיזיות: גישה פיזית למכשירים המאפשרת ניצול.

🛠 תרגול מעשי: חלקו את הכיתה לקבוצות, וכל קבוצה תחקור סיכון אחד מהרשימה ותציג דרכים למניעתו.

פרק 5: מתודולוגיות תקיפה והגנה

🔎 שלבי תקיפה נפוצים:

1. סריקה וזיהוי: איתור מכשירים מחוברים ופתיחת פורטים.
2. זיהוי פגיעויות: חיפוש גרסאות תוכנה פגיעות או סיסמאות ברירת מחדל.
3. ניצול פגיעויות: שימוש בפגיעויות כדי להשיג גישה.
4. התקנת תוכנה זדונית: התקנת קוד זדוני למטרות שונות, כגון ריגול או השבתה.

💡 טיפ להוראה: הדגימו כלים כמו Nmap לסריקת רשת (בסביבה מבוקרת) כדי להמחיש את התהליך.

פרק 6: רגולציה ותקנים בינלאומיים

• ISO/IEC 30141: מסגרת ארכיטקטורה למערכות IoT.
• NISTIR 8259: הנחיות לאבטחת מכשירי IoT. 
• GDPR: תקנות הגנת נתונים המשפיעות גם על מכשירי IoT.

פרק 7: המלצות מעשיות לתכנון מאובטח של מערכות IoT

⚠ דגשים חשובים למשתמשים ולמפתחים:

1. החלפת סיסמאות ברירת מחדל:
   לעולם אל תשאירו את הסיסמאות שהגיעו עם המכשיר. זהו אחד החולשות הנפוצות ביותר.
2. הגדרת הרשאות מתאימות:
   ודאו שלמכשירים אין הרשאות יתר ושמוגדרים רק שירותים הכרחיים.
3. עדכון תוכנה שוטף:
   יש לוודא כי קושחות ותוכנות המכשירים מעודכנות באופן קבוע.
4. שימוש בהצפנה:
   גם בתקשורת (TLS/SSL) וגם בנתונים המאוחסנים במכשיר.
5. הפרדת רשתות:
   צרו רשת נפרדת למכשירי IoT מהתשתית הרגישה הארגונית או הביתית.
6. בדיקות אבטחה תקופתיות:
   כל ארגון חייב לבצע מבדקי חדירה (Penetration Testing) למערך ה-IoT שלו.
7. הגדרת ניטור:
   יש להטמיע מערכות ניהול תעבורה ומערכות IDS/IPS לזיהוי חריגות.

💡 טיפ להוראה:
השתמשו ב-case studies וניתוחים של מתקפות אמיתיות כדי לגרום לתלמידים להבין את החשיבות של מנגנוני ההגנה הללו.

פרק 8: אתגרים באבטחת IIoT (Industrial IoT)

🔎 מה זה IIoT?
האינטרנט של הדברים התעשייתי (IIoT) עוסק במכשירים ובמערכות הפועלים במפעלים, מתקני חשמל, תשתיות מים ועוד.

⚠ האתגרים המרכזיים:

• ציוד ישן שאינו תומך באבטחה מודרנית
• חוסר יכולת להוציא מכשירים קריטיים מהשירות לצורך עדכון
• השפעות של תקיפה על מערכות קריטיות עלולות להיות הרסניות
• מערכות זמן אמת (RT) הרגישות להשהיות בתקשורת

❓ שאלת תרגול:
דמיינו שאתם אחראים על אבטחת מערכת מים עירונית מבוססת IoT. מהם שלושת הסיכונים המרכזיים שאתם מזהים וכיצד תתמודדו עמם?

פרק 9: כלים לבדיקת אבטחת IoT

🛠 כלים מומלצים (למדריכים ולמתקדמים):

• Nmap – לסריקת רשתות וגילוי מכשירים פתוחים.
• Shodan – מנוע חיפוש למכשירים מחוברים הנמצאים ברחבי האינטרנט.
• Wireshark – לניתוח תעבורת רשת.
• Metasploit Framework – לניצול חולשות (לימודי ובקרה בלבד!).

💡 טיפ להוראה:
בנו סדנה שבה התלמידים יתנסו בכלים אלו ברשת מבודדת, כדי להבין את כוחם ואת הסיכונים שהם חושפים.

פרק 10: חשיבה ביקורתית והתנהלות בעולם של IoT

⚠ הנחיות חשובות לתלמידים:

1. שאלו תמיד – האם יש לי שליטה על המידע שהמכשיר אוסף?
2. האם ידוע לי היכן נשמרים הנתונים?
3. האם יש לי אפשרות למחוק את המידע?
4. האם המכשיר מקבל עדכוני אבטחה קבועים?

🔗 מקורות חיצוניים לקריאה נוספת:

• OWASP IoT Top 10 Project
• NIST IoT Security Recommendations
• Cisco IoT Security Center

פרק 11: שאלות סיכום לתרגול עצמי

1. מהו ההבדל בין אבטחת IT קלאסי לבין אבטחת IoT?
2. מהם שלושת הסיכונים המרכזיים במערכות בית חכם?
3. מהם עשרת הסיכונים המרכזיים על פי OWASP?
4. מהן המלצותיך להתקנת מערכת מצלמות חכמות בארגון חינוכי?
5. כיצד יכול מדריך להנגיש לתלמידים את חשיבות הנושא באופן חווייתי?

✏ דף סיכום אישי למדריך:

📝 בסיום קריאת הספר, כתוב לעצמך:\n- שלושה נושאים שחשוב לך להדגיש בכיתה.

• דוגמה אחת שתשתמש בה כדי להמחיש כל נושא.
• רעיון לפעילות מעשית שתפעיל בכיתה.

✅ לסיום:
העולם עובר לשלב שבו כל מכשיר הופך חכם ומחובר. המשמעות היא שגם המדריך וגם התלמיד צריכים ללמוד איך לחשוב בצורה ביקורתית, איך לזהות סיכונים, ואיך להתנהל נכון עם טכנולוגיה. מדריך טוב אינו רק מעביר תוכן – הוא נותן כלים ומפתח תודעה ביקורתית אצל הדור הבא של המשתמשים.