YORUM
Mirai Botnet'in 2016 yılında keşfedilmesinden bu yana hükümetler, şirketler ve tüketiciler, güvenli olmayan Nesnelerin İnterneti (IoT) cihazlarının etkisini gördü.
Akıllı ev güvenlik kameraları ve ev yönlendiricileri gibi İnternet'e bağlı çok sayıda tüketici cihazının, varsayılan kullanıcı adları ve şifreleri değişmeden kullanılması, saldırganların kontrolü ele geçirmesine ve bunları bir “zombi” cihaz ağına dönüştürmesine olanak tanıyarak sıradan hale geldi. Birlikte, büyük ölçekli ağ saldırılarında kullanılan, birçok web sitesinin, İnternet odaklı hizmetlerin ve ağ kullanılabilirliğini etkileyen, güvenliği ihlal edilmiş cihazlardan oluşan bir botnet oluştururlar.
Varsayılan kullanıcı adlarını ve şifreleri kullanmaktan kaçınmak sağduyulu gibi görünse de çoğu IoT cihazı, en temel düzeyde bile yeterli güvenlik korumasına sahip değildir. Mirai'yi takiben, piyasaya sürülen yeni IoT cihazlarının tasarım itibarıyla bir güvenlik temeline sahip olmasını sağlamak için standart kuruluşları, sektör grupları ve hükümetler tarafından dikkate değer miktarda çalışma gerçekleştirildi.
Yine de güvenli olmayan Nesnelerin İnterneti bireysel tüketiciyi de etkileyebilir. Tüketiciler için cihazlarının güvenli olup olmadığı, korunup korunmadığı veya korunup korunmayacağı belli değil. Sertifikasyon, doğrulama, standartlar ve düzenlemeler, cihazları daha güvenli hale getirmeyi ve tüketicilerin bilinçli satın alma kararları vermelerini sağlamayı amaçlamaktadır.
Bunu değiştirmek amacıyla, 19 Mart'ta Bağlantı Standartları Birliği Ürün Güvenliği Çalışma Grubu (PSWG), Nesnelerin İnterneti Cihaz Güvenliği Spesifikasyonu 1.0'ın yanı sıra uyumlu ürünler için beraberindeki bir sertifika programını ve Ürün Güvenliği Doğrulanmış İşaretini yayınladı.
Çalışma, üreticilerin cihazlarını sertifikalandırma ve uluslararası gerekliliklere uyma zorluklarını hafifleten birleşik bir IoT cihaz güvenlik standardı oluşturmayı ve aynı zamanda tüketicileri bu güvenlik gerekliliklerini karşılayan cihazlar hakkında bilgilendirmeyi amaçlıyor. Cloud Security Alliance (CSA), spesifikasyonu oluştururken Avrupa Telekomünikasyon Standartları Enstitüsü (ETSI) ve Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) dahil olmak üzere uluslararası standartların mevcut gereksinimlerinin yanı sıra mevcut düzenlemeleri de dikkate almıştır.
Tasarım Temeline Göre Güvenli
Tasarım gereği güvenlik, cihaz üreticilerinin güvenliği sonradan düşünmek yerine, cihaz tasarımı ve üretiminin ilk aşamalarından itibaren dikkate almasını ve uygulamasını gerektirir. Mevcut üç temel standart güvenlik temel gereksinimlerini tanımlamıştır:
-
ETSI EN 303 645, “Tüketici Nesnelerin İnterneti için Siber Güvenlik: Temel Gereksinimler” — ETSI Avrupa merkezlidir ancak coğrafyalarda yaygın olarak kullanılmaktadır.
-
NIST IR 8425, “Tüketici IoT Ürünleri için IoT Temel Temel Profili” — Ulusal Standartlar ve Teknoloji Enstitüsü'nün Beyaz Saray Yönetici Emri 14028'e yanıtının bir parçası olarak yayınlandı.
-
ISO/IEC 27402:2023 — En son uluslararası sivil toplum kuruluşu tarafından “Siber Güvenlik – IoT güvenliği ve gizliliği – Cihaz temel gereksinimleri” başlığıyla yayınlandı.
Hükümetler, kılavuzlarında ve mevzuatlarında (planlanan veya uygulanan) bu standartları değişen derecelerde benimsemiştir. Büyük ölçüde, bölgeler genelinde, varsayılan parolaların olmaması, güvenlik güncellemelerinde şeffaflık ve güvenlik açığının açık bir şekilde açıklanması şeklindeki üç gereklilik minimum temeli oluşturur.
Cihaz güvenliğine yönelik bu hızlanma ve odaklanma olumlu olsa da, sorunun çözümünde halen bir takım sorunlar bulunmaktadır:
-
Bazı hükümet gereklilikleri örtüşse de birleşik bir düzenleme yoktur; resim parçalıdır.
-
Benzer şekilde, birden fazla pazara satış yaparken üreticilerin izleyeceği net bir yol olmayan birden fazla standart vardır.
-
Sektör rehberliğinin çoğu gönüllülük esasına dayalıdır; yalnızca Birleşik Krallık hükümeti ve Singapur'da zorunlu gereklilikler vardır ve bazıları henüz yürürlüğe girmemiştir.
Ayrıca tüketiciler, cihazlarının güvenli olduğuna dair bilgi almak için üreticilere bakıyor. Omdia'nın anketinde “Cihazlarınızın ne kadar güvenli olduğunu nasıl anlarsınız?” sorusu soruldu ve en çok alıntı yapılan kaynak (%68) üreticiden alınan bilgilerdi.
Kaynak: Omdia, Tüketici IoT Cihazı Siber Güvenlik Standartları, Politikaları ve Sertifikasyon Planları, Connectivity Standards Alliance sponsorluğunda
Zamanın bu noktasında, zorunlu gereksinimler veya bağımsız olarak doğrulanmış güvenlik testleri ve gereksinimlerinin yaygın kullanımı olmadan, tüketicilerin bu bilgilere üreticilerden erişmesinin veya doğruluğunu doğrulamasının açık bir yolu yoktur.
CSA yeni standardı ile bunu değiştirmeyi planlıyor. Özellikle, halihazırda yapılmış olan çalışmaları ve önceden oluşturulmuş standartları takdir etmektedir; yukarıdaki güvenlik temellerinin yanı sıra Singapur ve Avrupa kılavuzlarından gelen gereklilikleri tek bir spesifikasyon ve sertifikasyon programında birleştirme çabası.
IoT Cihaz Güvenliği Spesifikasyonu 1.0 Gereksinimleri
Spesifikasyona uymayı seçen IoT cihazları üreticilerinin (ampuller, anahtarlar, akıllı kapı zilleri, termostatlar ve daha fazlası dahil) bir dizi cihaz güvenliği hükmünü karşılaması gerekir. Güvenlik değerlendirmesi ve sertifikasyonu konusunda son derece uzmanlığa ve deneyime sahip olan yetkili bir test laboratuvarına gerekçe ve kanıt sunarak bunlara uygunluğu göstermeleri gerekir.
Spesifikasyondaki bazı temel gereksinimler şunları içerir:
-
Hassas verilerin cihazda güvenli şekilde saklanması
-
Güvenlikle ilgili bilgilerin güvenli iletişimi
-
Destek süresi boyunca güvenli yazılım güncellemeleri
-
Güvenli geliştirme ve güvenlik açığı yönetimi
-
Güvenliğe ve destek süresine ilişkin kamuya açık belgeler
Tüketiciler için Şeffaflık
Destek sürelerinin kamuya açık olarak belgelenmesi gibi şeffaflık gerektiren gereksinimlere ek olarak, spesifikasyon, Ürün Güvenliği Doğrulanmış İşareti ile birlikte gelir. Bu ürün markası, alıcılara, ürünün spesifikasyonun güvenlik gereksinimlerini karşıladığının onayını sağlar ve bilinçli satın alma kararları vermelerine yardımcı olur. Tüketiciler daha fazla bilgiye basılı URL, hiper bağlantı veya QR kodunun biri veya birkaçı aracılığıyla erişebilecek.
Omdia Analizi: Sektörün Her Yerinden Gelen Çabalar Benimseme İçin Anahtar Olacak
Gönüllü bir plan olarak elbette evlat edinmenin nasıl sonuçlanacağı sorusu var. Hükümetin rehberliğine baktığımızda, yayınlanan pek çok gönüllü gereklilik ve çerçevenin istenilen düzeyde benimsenmediği görülüyor; bu da birçok bölgede yasa ve düzenlemelerin kabul edilmesi ve planlanmasıyla sonuçlanıyor.
Bununla birlikte, CSA'nın planı, parçalanmayla ilgili birçok sorunun üstesinden gelmeyi amaçlıyor; bu düzenleme yürürlüğe girdiğinde işleri kolaylaştırıyor ve üreticiler üzerindeki baskıyı hafifletiyor. Ek olarak, mevcut planlar da kabul edildi; örneğin, Singapur'un etiketi ve CSA'nın markası karşılıklı olarak tanınacak, bu da üreticiler için sertifikasyon faaliyetlerinin önemli ölçüde daha uygun maliyetli olabileceği anlamına geliyor.
Cihaz üreticilerine ve endüstriye baktığımızda, üreticilerin tasarım gereksinimleri ve sertifikasyonu ile güvenli uygulamanın değerini görmesi gerekir. Sertifikasyon yalnızca yaklaşmakta olan zorunlu gerekliliklerin üstesinden gelmeye ve baskıyı hafifletmeye yardımcı olmakla kalmıyor, aynı zamanda tüketicilerin güvenli cihazlar satın alma olasılıklarını da artırıyor.
Omdia'nın 400 tüketiciyle yaptığı anket, neredeyse tüm tüketicilerin gizlilik ve güvenlik etiketine sahip bir cihaz satın alma olasılığının daha yüksek olduğunu, çoğunluğun (%81) kendilerine gizlilik ve güvenlik hakkında daha fazla bilgi veren bir referans URL'yi veya QR kodunu tercih ettiğini gösteriyor.
Kaynak: Omdia, Tüketici IoT Cihazı Siber Güvenlik Standartları, Politikaları ve Sertifikasyon Planları, Connectivity Standards Alliance sponsorluğunda
Bağlantı Standartları İttifakı'nın nihai spesifikasyonun geliştirilmesi ve onaylanmasında işbirliği yapan yaklaşık 200 üye şirketi bulunmaktadır. Buna Amazon, Arm, Comcast, Google, Infineon, NXP, Schneider Electric, Signify ve Silicon Labs gibi büyük sektör oyuncuları dahildir. Endüstri, ürün güvenliğinin ileriye götürülmesinde önemli bir rol oynayacak ve üye şirketlerinin desteği, CSA programının benimsenmesi için iyiye işaret.
En önemlisi, Mirai gibi botnet'ler ortadan kalkmadı. Günümüze kadar çeşitli modeller ve hala yeterli korumaya sahip olmayan cihazlar satılmaya devam ediyor. Nesnelerin İnterneti güvenliğini iyileştirme çabaları, siber güvenlik endüstrisi için en önemli öncelik olmaya devam ediyor ve CSA'nın standardı ve sertifikasyonu gibi çabalar, bu çabaları destekleyen kritik temeller olarak hizmet ediyor.
Omdia'nın kitabını okuyun “Tüketici IoT Cihazı Siber Güvenlik Standartları, Politikaları ve Sertifikasyon Planları” rapor.