ABD, IoT standardizasyonunda önemli bir adım olan akıllı cihazlar için bir siber güvenlik etiketi yayınlama kararı aldı.
Bir basın brifinginde, Amerikan Federal İletişim Komisyonu (FCC), akıllı cihazlar için bir siber güvenlik etiketi olan ABD Siber Güven İşaretinin tanıtıldığını duyurdu.
Yeni etiket, ürünlerin Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından hazırlanan bir raporda belirtilen katı güvenlik standartlarını karşıladığını gösterecektir.
Gönüllü programın 2024 yılında uygulanması planlanıyor ve etiketlerin bundan kısa bir süre sonra cihazlarda görünmesi bekleniyor.
Akıllı Cihazlar için Siber Güvenlik Etiketi, ABD Siber Güven İşareti ve IoT standardizasyonu
Beyaz Saray basın brifingine göre, siber güvenlik sertifikası ve etiketleme programı “Amerikalıların daha güvenli ve siber saldırılara karşı daha az savunmasız olan akıllı cihazları daha kolay seçmelerine yardımcı olacak”.
Cyber Trust Mark girişimi, akıllı buzdolapları, mikrodalga fırınlar, televizyonlar ve iklim kontrol sistemleri dahil olmak üzere evlerde yaygın olarak bulunan IoT (Nesnelerin İnterneti) cihazlarının güvenliğine ilişkin artan endişeyi ele almayı amaçlıyor.
Özellikle, “akıllı fitness izleyicileri” de sertifikasyon ve etiketleme programı için uygun cihazlar olarak listeleniyor ve bu da girişimin geleneksel akıllı ev otomasyonu ürünlerinin ötesinde daha geniş kapsamına işaret ediyor.
Hükümet, programı destekleyen Amazon, Google, Samsung ve Logitech gibi büyük teknoloji şirketlerinin yanı sıra LG Electronics ABD gibi elektronik üreticileri ve Best Buy gibi cihaz perakendecilerinden katılım olduğunu iddia ediyor.
Matter akıllı ev standardını yöneten Connectivity Standards Alliance da destekçiler arasında yer alıyor.
Cyber Trust etiketi iki bileşenden oluşur: ürün ambalajında görüntülenen ayırt edici bir logo ve doğrulama için bir QR kodu.
Devlet, etiketi, cihaz tarafından toplanan veriler, veri paylaşım uygulamaları, kimlik doğrulama yöntemleri ve güvenlik güncellemelerinin nasıl uygulandığı gibi önemli ayrıntıları iletecek şekilde planlar.
QR kodu, güvenlik güncellemelerinin beklenen süresi de dahil olmak üzere bir akıllı telefon hakkında ek bilgi sağlamayı amaçlamaktadır.
“NIST ayrıca, güvenliği ihlal edildiğinde gizlice dinlemek, şifreleri çalmak ve diğer cihazlara ve yüksek değerli ağlara saldırmak için kullanılabilecek daha yüksek riskli bir ürün türü olan tüketici sınıfı yönlendiriciler için siber güvenlik gereksinimlerini tanımlamak için derhal bir çaba gösterecektir” dedi. duyuru.
“NIST, Komisyonun etiketleme programını tüketici sınıfı yönlendiricileri kapsayacak şekilde genişletmek için bu gereksinimlerin kullanımını değerlendirmesine izin vermek için bu işi 2023’ün sonuna kadar tamamlayacak.”
ABD Siber Güven İşaretinin arkasındaki ince baskı
FCC, cihazlar için yıllık yeniden sertifikalandırma olasılığını araştırıyor, ancak belirli aralıklar henüz belirlenmedi.
Connectivity Standards Alliance ve Consumer Technology Association gibi üçüncü taraf laboratuvarlar, sertifikaların işlenmesinden sorumlu olacaktır.
Cyber Trust etiketi potansiyel olarak tüketici güvenini artırabileceğinden ve güçlü güvenlik önlemlerinin daha yüksek maliyetlerini haklı çıkarabileceğinden, bu hareket, şirketleri güvenli ürün tasarımına öncelik vermeye zorlamayı amaçlıyor.
Ulusal Güvenlik Danışman Yardımcısı Anne Neuberger, resmi duyurunun ardından düzenlenen basın toplantısında plak şirketinin hesap verebilirlik yönünü vurguladı.
Üreticilerin, Cyber Trust etiketlerini korumak için zamanında güvenlik yamaları yayınlamaları ve gelişen siber tehditler arasında cihazların güvende kalmasını sağlamaları gerekecek.
Cyber Trust etiketleme programı kapsamındaki “IoT ürünü” tanımı, sensörleri veya aktüatörleri olan ağa bağlı cihazları kapsayan NIST raporuna dayanmaktadır.
Ek olarak, cihaza özel ilişkili uygulama, bulut arka ucu ve hub’lar IoT ürününün bir parçası olarak kabul edilecektir.
NIST, tüketici sınıfı yönlendiricilerin siber güvenlik gereksinimlerine de öncelik veriyor ve etiketleme programına dahil olmak için çalışmalarını 2023’ün sonuna kadar tamamlamayı hedefliyor.
Amaçlandığı gibi yürütülürse, Siber Güven İşareti, ABD pazarında IoT cihazlarının güvenliğini artırmada önemli bir adım olduğunu kanıtlayacaktır.
Bununla birlikte, cihaz derecelendirmesinin standardizasyonu, IoT standardizasyonundan çok uzaktır.
IoT Standardizasyonu nedir?
IoT standardizasyonu, Nesnelerin İnterneti (IoT) cihazları, ağları ve uygulamaları için yaygın olarak kabul edilen yönergeler, protokoller ve çerçeveler geliştirme ve uygulama sürecini ifade eder.
IoT ekosistemi genişlemeye devam ettikçe, çeşitli üreticilerden ve geliştiricilerden çok sayıda cihaz, platform ve iletişim teknolojisi ortaya çıkıyor.
Keysight Technologies tarafından standardizasyon üzerine yapılan bir çalışma, “IoT cihazları büyük kolaylık sağlarken, küçük bir alanda çok sayıda cihaza sahip olmak cihaz tasarımı, testi, performansı ve güvenliğindeki karmaşıklığı artırıyor” dedi.
“Bu cihazları test etmek, tasarım mühendisleri ve cihaz üreticileri için en büyük zorluklardan biri. Kalabalık RF ortamları, uyumluluk testinin ele alınmasının kritik olmasının nedenidir.”
Standartlaştırılmış uygulamalar olmadan birlikte çalışabilirlik, güvenlik ve ölçeklenebilirlik sorunları ortaya çıkabilir ve IoT teknolojilerinin yaygın olarak benimsenmesini ve başarısını engelleyebilir.
IoT standardizasyonunun birincil hedefleri şunlardır:
Birlikte çalışabilirlik: IoT cihazları ve sistemleri genellikle farklı üreticilerden gelir ve çeşitli iletişim protokolleri kullanır.
IIT Kharagpur, birlikte çalışabilirliği iki veya daha fazla cihazın, sistemin, platformun veya ağın birlikte çalışabilme yeteneği olarak tanımlar.
“Birlikte çalışabilirlik, ortak bir hedefe ulaşmak için heterojen cihazlar veya sistemler arasında iletişim sağlar. Bununla birlikte, mevcut cihazlar ve sistemler iletişim teknolojileri, protokoller ve veri formatları açısından parçalanmış haldedir.”
“Bu çeşitlilik, IoT ağındaki cihazların ve sistemlerin birbirleriyle iletişim kurmasını ve verilerini paylaşmasını zorlaştırıyor. IoT ağının faydası, birlikte çalışabilirlik eksikliği ile sınırlıdır.”
Güvenlik: IoT cihazlarının yaygınlaşması ve bunların kritik sistemlere ve kişisel verilere bağlanması nedeniyle, sağlam güvenlik önlemlerinin alınması çok önemlidir.
IoT standardizasyonu, IoT cihazlarını ve ağlarını potansiyel siber tehditlerden korumak için en iyi uygulamaları ve güvenlik protokollerini oluşturmaya yardımcı olur.
Çevrimiçi eğitim hizmeti Intellipaat tarafından hazırlanan bir değerlendirme raporunda, “Satıcıya kilitlenme, rakip standartlar, tescilli cihazlar ve özel ağlar, cihazlar için standart bir güvenlik protokolü benimsemeyi o kadar zorlaştırıyor” dedi.
“IoT bilgisayar korsanları, değişen standartlar ve bağlantı modelleri olduğunda başarılı olacak ve IoT cihazları ortak standartlar kullanırsa bunlara karşı artan güvenlik olacaktır.”
ölçeklenebilirlik: IoT sistemlerinin boyutu, küçük ölçekli dağıtımlardan büyük ölçekli endüstriyel uygulamalara kadar önemli ölçüde değişebilir. Standardizasyon, gerektiğinde uyarlanabilen ve genişleyebilen ölçeklenebilir mimariler ve çözümler tasarlamaya yardımcı olur.
Cisco tarafından hazırlanan bir raporda, “Tüm mimariler ve çözümler, orta ölçekli bulut sunucuları için konuşlandırılabilmeli ve ardından gerektiğinde sorunsuz bir şekilde ölçeklendirilmeli veya küçültülmelidir” dedi.
“Bu, gerektiği şekilde ağ, depolama, analitik ve güvenliği içerir.”
Güvenilirlik: IoT cihazlarının ve ağlarının çeşitli ortamlarda ve koşullarda güvenilir bir şekilde çalışması gerekir.
Standardizasyon, tutarlı ve güvenilir operasyon sağlamak için performans kıyaslamalarının ve kalite güvence önlemlerinin tanımlanmasına yardımcı olabilir.
Veri yönetimi: Standardizasyon, çeşitli IoT kaynaklarından veri toplamayı, işlemeyi ve analiz etmeyi kolaylaştırarak veri formatlarını, veri depolamayı ve veri iletim protokollerini ele alır.
Mevzuata uygunluk: Standardizasyon, IoT uygulamalarını sektör düzenlemeleri ve devlet standartlarıyla uyumlu hale getirebilir ve IoT dağıtımlarının yasal gerekliliklere ve yönergelere uygun olmasını sağlar.
Standardizasyon: Endüstriyel ve idari çabalar
Hem hükümet hem de endüstri odaklı çeşitli kuruluşlar, IoT standartlarının geliştirilmesinde önemli roller oynamaktadır. Örneğin:
İnternet Mühendisliği Görev Gücü (IETF), İnternet’in temelini oluşturan ve IoT ile de ilgili olan birçok temel protokol ve standardı geliştirir ve sürdürür.
Elektrik ve Elektronik Mühendisleri Enstitüsü’nün (IEEE), IoT standardizasyonuna adanmış birkaç çalışma grubu vardır.
Uluslararası Standardizasyon Örgütü (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC), güvenlik ve birlikte çalışabilirlik dahil olmak üzere IoT ile ilgili standardizasyon çabaları üzerinde çalışmaktadır.
Açık Bağlantı Vakfı (OCF), güvenli ve birlikte çalışabilir IoT cihaz bağlantısı için standartlar oluşturmaya odaklanır.
Endüstriyel İnternet Konsorsiyumu (IIC), endüstriyel ortamlarda IoT standardizasyonuna ve IoT teknolojilerinin endüstriyel süreçlerle entegrasyonuna odaklanır.
Genel olarak, IoT standardizasyonu, daha uyumlu ve sağlam bir IoT ekosisteminin geliştirilmesinde hayati bir rol oynar, geniş çapta benimsenmeyi sağlar ve IoT teknolojilerinin tüm potansiyelini açığa çıkarır.
Birçok ülke, IoT cihazları için güvenlik, birlikte çalışabilirlik, gizlilik ve veri koruma gibi çeşitli yönleri ele alan standartlar oluşturmuştur.
Bu standartlar tipik olarak farklı isimlerle bilinir ve genellikle ulusal veya bölgesel standart kuruluşları tarafından geliştirilir. İşte bazı ülke örnekleri ve IoT ile ilgili standartlarının adları:
Amerika Birleşik Devletleri:
NIST (Ulusal Standartlar ve Teknoloji Enstitüsü), IoT güvenliği ve siber güvenlik ile ilgili çeşitli yönergeler ve standartlar yayınlamıştır. Örneğin, NIST Özel Yayını 800-53, devlet kurumları tarafından kullanılan IoT cihazlarına uygulanabilen federal bilgi sistemleri ve kuruluşları için güvenlik ve gizlilik kontrolleri içerir.
Birleşik Krallık:
İngiliz Standartları Enstitüsü (BSI), güvenlik ve mahremiyet konuları da dahil olmak üzere Nesnelerin İnterneti ile ilgili standartlar geliştirmiştir. Örneğin, BS EN 303 645, tüketici IoT cihazları için güvenlik gereksinimlerini ana hatlarıyla belirtir.
Almanya:
Alman Standardizasyon Enstitüsü (DIN), özellikle endüstriyel IoT ve Endüstri 4.0 alanlarında IoT standardizasyon çabalarına dahil olmuştur. DIN SPEC 27072, IoT hizmetleri için veri koruması ve veri güvenliği için yönergeler sağlar.
Çin:
Çin Standardizasyon İdaresi (SAC), IoT cihazları ve uygulamaları için standartlar belirlemede aktif olmuştur. Standartlarından bazıları, IoT referans mimarisi, ağ iletişim protokolleri ve güvenlik gibi alanları ele alır.
Güney Kore:
Kore Teknoloji ve Standartlar Ajansı (KATS), akıllı şehirler ve akıllı evler dahil olmak üzere çeşitli alanlarda IoT standardizasyonu üzerinde çalışıyor.
Avrupa Birliği (AB):
AB, IoT uygulamaları ve cihazları için standartlar ve yönergeler geliştirmek üzere girişimlerde bulunmuştur. Avrupa Telekomünikasyon Standartları Enstitüsü (ETSI), AB içinde IoT standardizasyon çabalarına katılan önde gelen kuruluşlardan biridir.
Japonya:
Japon Endüstri Standartları (JIS), özellikle endüstriyel ortamlarda IoT cihazları ve sistemleriyle ilgili standartlar geliştirmiştir.
Avustralya:
Standards Australia, veri gizliliği, güvenlik ve IoT cihaz yönetimi gibi alanları ele alan IoT standartları üzerinde çalıştı.