Yazan: Alex Nehmy, Endüstri 4.0 Stratejisi CTO’su, Asya Pasifik ve Japonya – Palo Alto Networks
Asya Pasifik (APAC), IoT’nin benimsenmesinde ön saflarda yer alıyor Bölgedeki IoT harcamalarının 2025 yılına kadar 437 milyar ABD dolarına ulaşması bekleniyor. Bu büyüme, Singapur gibi dijital dönüşüm projelerine yoğun yatırım yapan hükümetler ve özel kuruluşlar tarafından sağlanıyor. Akıllı Ulus girişim.
IoT cihazları, akıllı binalardaki aydınlatma ve iklimlendirme cihazlarını izleyen sensörlerden endüstriyel ortamlardaki otonom robotlara kadar çok çeşitli kullanım durumlarına güç veren dijital dönüşümün önemli bir dayanağıdır. Ancak birçok akıllı cihaz, güvenlik göz önünde bulundurularak tasarlanmamaktadır veya üreticinin tedarik zincirinde kullanılan kaynak kodundan kaynaklanan, kullanıcıların farkında olmadığı güvenlik açıklarına sahip olabilir. Bu güvenlik açıkları, IoT cihazlarının hızla yaygınlaşmasıyla birleştiğinde, kuruluşların ağlarındaki cihazların güvenliği hakkında acilen düşünmeleri gerektiği anlamına geliyor. Şirketler dijital dönüşüme daha fazla yatırım yaptıkça, günlük operasyonlarında kullandıkları cihaz ve teknolojilerin güvenliğine de aynı derecede dikkat etmeleri gerekiyor.
Peki IoT cihazlarını çevreleyen güvenlik kaygıları nelerdir ve bunlar hakkında ne yapabiliriz?
IoT Cihazlarındaki Güvenlik Sınırlamaları
Endişe verici bir şekilde, IoT cihazlarından gelen tehditlerin görünürlüğü genellikle bilinen cihazların manuel olarak güncellenen veritabanlarına bağlıdır.
Örneğin, bazı IoT cihazları, hassas bilgilerin işlenmesini önleyen günlük kaydı veya kriptografik yetenekleri desteklemek için yeterli depolama veya işlem gücüne sahip değildir ve bu da onları savunmasız hale getirir. Sonuç olarak işletmeler, bilinmeyen ve yönetilmeyen IoT cihazlarının oluşturduğu riski doğru bir şekilde tanımlayamıyor ve bunlara karşı koruma sağlayamıyor.
Aslında evden çalışma düzenlemeleriyle bu tür riskler arttı. Bizim IoT Güvenlik Raporu 2021 Singapur’da kuruluşlarının ağına bağlı IoT cihazları bulunan katılımcıların %81’inin, kurumsal ağlarında iş dışı IoT cihazlarında bir artış gördüğünü tespit etti. Bu cihazlardan bazıları ev cihazları, tıbbi giyilebilir cihazlar ve hatta oyun konsollarını içerir.
IoT cihazlarındaki güvenlik kontrollerindeki donanım sınırlamaları ve uzaktan çalışmanın artması, düzenleyicilerin dikkatlerini bölge genelinde IoT cihazlarının güvenliğini sağlamaya yöneltmesine neden olan temel faktörlerden bazılarıdır.
Düzenleyiciler tonu belirliyor
Asya Pasifik bölgesindeki IoT teknolojilerinin büyümesine yanıt olarak düzenleyiciler, kuruluşlar ve kullanıcılar için IoT güvenlik düzenlemeleri ve standartları geliştirdi.
Singapur’da hükümet, aşağıdaki gibi girişimler yoluyla bu ihtiyacı proaktif bir şekilde ele almaktadır: Siber Güvenlik Etiketleme Şeması ve Ulusal Entegre Değerlendirme Merkezi (NiCE), tüketicileri ve işletmeleri kötü niyetli aktörlerden korumak ve IoT siber güvenliği konusunda daha fazla araştırma yapmak ve eğitim almak için.
Ayrıca IoT güvenliği için standartlar oluşturmuş ve pratik yönergeler yayınlamıştır (TR 64: 2018: “Akıllı ulus için IoT güvenliğine yönelik yönergeler” ve Nesnelerin İnterneti (IoT) Siber Güvenlik Kılavuzu). Bu yönergelerin, kurumsal kullanıcılar ve satıcılar için IoT cihazlarının güvenliğini sağlamaları için bir plan görevi görmesi amaçlanmaktadır.
IoT Siber Güvenlik kılavuzunda özetlenen temel güvenlik önlemlerinden bazıları şunlardır:
Bulutta yerel pazar düzenlemelerine uyum
Dijital dönüşüm, Asya Pasifik bölgesinde IoT’nin benimsenmesini hızlandırıyor ve kuruluşların kritik iş operasyonlarında giderek daha fazla bu cihazlara bağımlı olmasını sağlıyor.
Aynı zamanda şirketlerin, IoT cihazlarının ve verilerinin kullanımı ve yönetimine ilişkin giderek artan yerel düzenlemeleri de yönetmesi gerekiyor. Hükümet politikaları, verilerin nasıl toplanacağını ve saklanacağını belirleyebilir ve hatta vatandaş verilerinin istismar edilmesini önlemek için verilerin sınırlar arası aktarımını kısıtlayabilir.
Günümüzde işletmelerin, verilerini dünyanın farklı yerlerinde barındıran çok sayıda bulut hizmetini kullandığını görmek yaygındır. Bu nedenle, hizmet sunmak ve uzaktan çalışmayı mümkün kılmak için bulut hizmetlerine bağımlı olan bölgesel şirketler, farklı yerel düzenlemelere uyum sağlamada zorluk yaşayacaktır.
Şirketler, her pazara ait verileri depolamak için yerel sunucular kullanmak yerine, yerel veri düzenlemeleriyle uyumlu kalarak buluttan faydalanmaya devam edebildiklerinden emin olmak için kendi tercih ettikleri pazardaki bir bulut barındırma çözümünü kullanabilirler. Güvenlik ve mevzuata ilişkin en iyi uygulamalar göz önünde bulundurularak oluşturulan bulut barındırma çözümleri, işletmelerin hem veri yerleşimi tercihlerini karşılamalarına hem de kurumsal ağlarını korumalarına olanak tanıyacaktır.
İşletmelerin de proaktif olması gerekiyor
Düzenleyici standartlara uymanın yanı sıra kuruluşların bu dijital ekonomide ağlarını proaktif olarak güvence altına almak için gerekli önlemleri alması gerekiyor.
Bu güvenlik önlemlerini etkili bir şekilde uygulamanın ön koşulu, ağa bağlı tüm cihazların görünürlüğü ve kimlik ve davranışlarının anlaşılmasıdır. Kuruluşların kritik öneme sahip saldırıları daha iyi ortadan kaldırabilmesini sağlamak için kuruluşların IoT cihazlarının tam görünürlüğüne sahip olduğu, sürekli cihaz ve risk izleme uyguladığı ve siber saldırıların gerçekleşmesini önlemek için uygulama eylemleriyle güvenlik politikaları geliştirdiği ağ düzeyinde IoT güvenliğine yönelik sıfır güven yaklaşımı gereklidir. Güvenlik kör noktaları.
Kuruluşlar ayrıca cihaz tanımlamayı otomatikleştirmek, kötü niyetli sapmaları proaktif olarak tespit etmek ve saldırıları otomatik olarak önlemek için Makine Öğrenimi (ML) teknolojilerini kullanarak önleyici tedbirleri bir adım daha ileri taşıyabilir. Rakipler geliştikçe kuruluşlar her zaman tetikte kalmalarına yardımcı olmak için ML yeteneklerinden yararlanabilirler.
IoT güvenliği herkesin sorumluluğundadır
Hem hükümetler hem de işletmeler IoT güvenliğinin korunmasında önemli bir rol oynamaktadır. IoT cihazlarının her yerde bulunması, yalnızca bu tür cihazların uygulamalarının tüm sektörlerde büyümeye devam edeceği anlamına gelecektir ve kendilerini ve kurumu siber düşmanlardan korumak herkesin sorumluluğundadır:
- Düzenleyiciler, geniş ölçekte uygulanabilecek siber güvenlik düzenlemeleri ve standartlarının temelini oluşturuyor
- Yerleşik güvenlik kontrollerine sahip bir bulut barındırma çözümü, kuruluşların bulutun avantajlarından yararlanırken veri yerleşimi tercihlerini karşılamalarına yardımcı olur
- Kuruluşların, IoT cihazlarının kör noktalarını ortadan kaldırmak ve saldırıları otomatik olarak önlemek için ML teknolojilerini dağıtmak için Sıfır Güven yaklaşımını proaktif bir şekilde uygulaması gerekir.