ABD hükümetinin öncülük ettiği planlanan akıllı cihaz güvenlik etiketleme programı, uygulamasına ilişkin resmi ayrıntılar henüz mevcut olmasa da gelecek yıl tanıtılacak. Ev yönlendiricilerinden akıllı kameralara kadar çeşitli bağlı cihazlar, cihazlarda kullanılan Energy Star etiketlerine benzer siber güvenlik etiketleri alacak şekilde ayarlanmıştır.
Soru şudur: Etiketler, akıllı cihazlarla ilişkili IoT güvenlik sorunlarının ele alınmasına gerçekten yardımcı olabilir mi? Bazıları, bu IoT siber güvenlik etiketleme planını, gıda ürünlerinde iyimserliğe ilham vermeyen zorunlu “beslenme gerçekleri” ile karşılaştırıyor. Abur cubur ve şeker açısından zengin gıda ürünleri hakkındaki beslenme bilgileri, insanları sağlıksız ürünler tüketmekten caydırmadı.
Aynısı ABD hükümetinin cihaz etiketleme planına da olacak mı? Siber güvenlik etiketleri, tüketicileri son derece güvenli araçlara yönlendirebilir mi, yoksa ürün mevcudiyeti ve fiyatlarının genellikle satın alma kararına yön veren en önemli faktörler olduğu olağan satın alma alışkanlıklarına mı devam edecekler?
Bu soruların yanıtları, akıllı cihaz ve IoT güvenlik zorluklarını tartışarak ve siber güvenlik etiketleme programının önerilen veya beklenen faydalarını sunarak daha sezgisel bir şekilde açıklanabilir.
1. Zorluk: Görünürlük eksikliği
Çoğu zaman, Nesnelerin İnterneti (IoT) üreticilerinin ürünlerini izlemek için herhangi bir sistemleri yoktur. Cihazları müşterilerin eline geçtikten sonra, artık ürünlerinin arızaları ve güvenlik açıklarını gidermek için güvenlik güncellemeleri veya yamaları gerektirip gerektirmediğini kontrol etmek için herhangi bir çaba sarf etmiyorlar. Sorunların temel nedenini belirlemek ve gerekli çözümleri sağlamak için kullanılabilecek değişiklikleri veya ürün etkinliği geçmişlerini takip edecek bir sistemleri yoktur.
Bu görünürlük eksikliği, ürünlerin güvenli olma ihtimalinin düşük olduğunu gösteriyor. Belirli akıllı cihazların siber tehdide hazır olup olmadığını incelerken dikkate alınması gereken önemli bir gerçektir ki bu önerilen IoT etiketleme programına yansıtılabilir.
2. Zorluk: Sıfır gün tehditlerine karşı reaktif yaklaşım
IoT ve akıllı cihaz üreticilerinin büyük bir çoğunluğu, sıfır gün tehditleri beklentisini ürün güvenlik stratejilerinin bir parçası olarak dahil etmemektedir. Öncelikle reaktif, tehditlere karşı tek çözümü, sıfır gün tehditlerine karşı işe yaramaz olan güvenlik düzeltme ekidir. Yeni keşfedilen güvenlik açıklarına yanıt olarak bir güvenlik yaması geliştirmek ve yayınlamak zaman alır. Yamaların cihaz sahipleri tarafından uygulanması daha da uzun sürüyor.
Güvenlik yaması yüklenmeden önce, tehdit aktörlerinin yama uygulanmamış bir güvenlik açığından yararlanmayı başarmış olması ve önlenebilir olabilecek hasar vermesi muhtemeldir. IoT üreticilerinin reaktif yerine proaktif olan siber güvenlik çözümleri kullanmayı düşünmesi gerekiyor. Bunlara örnek olarak basitleştirilmiş ağ erişim kontrolleri (NAC), web uygulaması güvenlik duvarları (WAF) ve genişletilmiş algılama ve yanıt (XDR) verilebilir.
Bu, güvenlik düzeltme ekinin artık gerekli olmadığı anlamına gelmez. Akıllı cihazların güvenliğini sağlamanın hala önemli bir parçası, ancak sıfırıncı gün veya yeni ortaya çıkan tanımlanamayan tehditleri ele almanın yolları olmalı.
IoT siber güvenlik etiketlemesi, belirli IoT cihazlarının veya akıllı gadget’ların sıfır gün tehditlerine karşı proaktif güvenliğe sahip olup olmadığını belirtmek için kullanılabilir. Düzenleyiciler, cihazlara işlenmiş koruma sistemlerini veya kuruluşların kullandığı proaktif siber savunma çözümlerine entegre olma yeteneklerini incelemek zorunda kalacak.
3. Zorluk: Açık kaynak ve üçüncü taraf güvenlik açığına maruz kalma
Birçok IoT cihaz üreticisi, kendi donanım yazılımlarını veya cihazlarında yüklü olan temel yazılımları sıfırdan geliştirmez. Bu, özellikle düşük maliyetli elektronik perakende endüstrisini dolduran seri üretilen jenerik cihazlar için geçerlidir. Bu bilinmeyen markalar veya jenerik cihazlar, kimlik doğrulama, iletişim, şifreleme ve diğer temel işlevleri için açık kaynaklı veya üçüncü taraf yazılım kitaplıklarına güvenir.
Bir rapor, kod tabanlarının yaklaşık yüzde 84’ünün bilinen güvenlik açıklarını içeren bileşenlere sahip olduğunu gösteriyor. Bu rakam, çeşitli amaçlarla ucuz IoT ve akıllı cihazları koruyanları alarma geçirmelidir. IoT cihazlarına yönelik önemli sayıda “başarılı” siber saldırı, açık kaynak ve üçüncü taraflara atfedilir. Bu, bir kuruluş tarafından kullanılan belirli cihazların bilgisi, belirli işletmelere veya kuruluşlara karşı etkili bir saldırı stratejisi oluşturmak için ihtiyaç duydukları her şey olabileceğinden, siber suçlular için siber saldırıları kolaylaştırır.
IoT cihazları için siber güvenlik etiketlemesi, potansiyel akıllı cihaz alıcılarını, düşündükleri ürünlerdeki olası güvenlik kusurları veya yazılım kusurları hakkında uyararak bu sorunun çözülmesine yardımcı olabilir. Düzenleyiciler, tüm açık kaynaklı ve üçüncü taraf yazılım güvenlik kusurları hakkında kapsamlı ve büyüyen bir kılavuz tutabilir.
4. Zorluk: Güvenlik üzerinde performans
IoT cihazları doğası gereği sınırlı kaynaklara, özellikle CPU, RAM ve ROM’a sahiptir. Bu nedenle, genellikle kaynak yoğun olan gelişmiş güvenlik yazılım araçlarını paketleyemezler. IoT ürünlerinin tüm sınırlamaları ile güvenlik ve performansı bir araya getirmek zor olacaktır.
Birçok IoT cihazı üreticisi, cihazlarının nispeten sorunsuz çalışabilmesini sağlamak için güvenlik özelliklerini kasıtlı olarak çıkardıklarını veya köşeleri kestiklerini kabul ediyor. Bu, IoT gadget’larını, özellikle karmaşık taktikler olmak üzere saldırılara karşı daha az dirençli hale getiren güvenlik açıklarıyla sonuçlanır.
Ulusal siber güvenlik sertifikasyonu ve etiketleme faaliyetlerini denetlemek üzere kurulacak planlanan kar amacı gütmeyen/sivil toplum kuruluşu, siber güvenlik hazırlığını tespit etmek için cihazları değerlendirebilir. Siber güvenlik etiketinde çok fazla güvenlik ihlali belirtilecek veya etikette yazılı toplam puana/sıralamaya yansıtılacaktır.
5. Zorluk: Güncelliğini yitirmiş veya eskimiş güvenlik araçları ve yöntemleri
Bazı akıllı cihaz üreticileri, cihazlarını güvenli ve emniyetli hale getirmek için bazı eğilimler gösteriyor. Ancak kurdukları araçlar veya üstlendikleri yaklaşımlar artık mevcut tehdit ekosistemi için geçerli olmayabilir. Ürünlerinin güvenliğini artırmaya yardımcı olmayan eski statik analiz ve güvenlik açığı bulma çözümlerini kullanıyor olabilirler. Ayrıca, IoT cihaz saldırılarını tespit etme ve durdurma konusunda oldukça sınırlı yeteneklere sahip çevre savunması ve ağ segmentasyonu çözümleri kullananlar da var.
Cihaz üreticilerini kullandıkları güvenlik çözümlerini güncellemeye teşvik etmek için bu gerçeklerin önerilen IoT siber güvenlik etiketinde belirtilmesi gerekir. Üreticiler güvenlik özelliklerini güncellemeyi reddederse müşteriler, bu tür cihazların kendi ağlarına bağlanmasına izin vererek BT varlıklarını veya kaynaklarını büyük olasılıkla tehlikeye atacaklarını bileceklerdir.
Kılavuz, gümüş kurşun değil
Bir siber güvenlik etiketleme sistemi, IoT ve bağlı akıllı cihazları birbirine bağlayan zorlukların üstesinden gelmek için yeterli olacak mı? Kesinlikle yardımcı olabilir, ancak her şeyin başı ve sonu bir çözüm olmayacak. Kesintisiz bir çözüm yoktur ve asla olmayacaktır. Bununla birlikte, etiketler müşterilere akıllı seçimler yapma konusunda rehberlik edebilir. Müşteriler yine de düşük siber güvenlik derecelendirmesi/puanları ve çeşitli uyarıları olan cihazları seçerse, risk onlarındır.
Bununla birlikte, yetkililer, belirli ortamlarda izin verilecek cihazların siber güvenlik düzeyi kabul edilebilirliği için eşiklerin belirlenmesinde etiketleri kullanabilir. Bunu yaparak, işletmelerde ve devlet dairelerinde yalnızca kanıtlanmış güvenli cihazlar kullanma politikasını kurnazca uygulayabilirler.
İlgili konular
- Erişim:7 Tedarik Zinciri Kusurları ATM’leri, Medikal, IoT cihazları Etkiler
- OT Ağlarına Fidye Yazılımı Yüklemek İçin IoT Cihazları Hacklenebilir
- Milyonlarca IoT cihazı, sese açık bebek monitörleri, video gözetleme
- Savunmasız Akıllı Telefonlar, IoT Cihazları: Enfeksiyon oranında %400 artış
- Tiny Mantis Botnet, Mirai’den Daha Güçlü DDoS Saldırıları Başlatabilir