Başlangıç olarak, CSA’daki rolünüzü ve Siber Güvenlik Mühendisliği Merkezi’nin özellikle IoT ve tüketici cihaz güvenliği konusunda nasıl yapılandırıldığını kısaca anlatabilir misiniz?
CSA’nın Singapur’un siber uzayını güvenli ve güvenli tutma misyonunu desteklemek için güvenli teknolojinin benimsenmesini tasarlamak ve siber güvenlik güvencesine liderlik etmekle görevlendirildiğimiz CSA Siber Güvenlik Mühendisliği Merkezinin bir parçasıyım. CSA’daki rolüm, riskleri belirlemek için yeni ortaya çıkan ve mevcut teknolojileri değerlendirdiğim ve bu tür teknolojilerin benimsenmesini engellemek için rehberlik formüle ettiğim, teknoloji değerlendirmesi ve güvenli teknolojinin benimsenmesi mühendisliği ile ilgilidir. Tüketici IoT ve tıbbi hizmetlere yönelik Singapur Siber Güvenlik Etiketleme Şemalarının plan sahibi olan Siber Güvenlik Sertifikasyon Merkezi ile yakın işbirliği içinde çalışıyorum. Teknoloji değerlendirme ve siber güvenlik sertifikasyonu çalışmalarımızın bir ürünü olarak belirlenen riskleri, gereksinimleri ve en iyi uygulamaları standartlara ve kılavuzlara dönüştürüyoruz. Örneğin, Singapur’un Siber Güvenlik Etiketleme Planı, ulusal standartımız TR 91’e ve ardından ISO/IEC 27404 projesi aracılığıyla siber güvenlik etiketleme çerçevesini geliştirmeye yönelik uluslararası işbirliğine yol açtı.
Bilmeyenler için Singapur Siber Güvenlik Etiketleme Planının (CLS) ve ulusal standart TR 91’in ne olduğunu ve bunların ETSI EN 303 645 ile nasıl bağlantılı olduğunu veya bu standart üzerine nasıl inşa edildiğini açıklayabilir misiniz?
Siber Güvenlik Etiketleme Programı (CLS), tüketici IoT’ye yönelik gönüllü bir programdır ve Asya Pasifik bölgesinde türünün ilk örneğidir. Çok seviyeli bir etiketleme şeması olarak tüketicilerin daha iyi siber güvenlik hükümlerine sahip ürünleri tanımlamasına ve bilinçli kararlar almasına olanak tanır.
CLS’yi geliştirmek için ilgili standartlardan ve kılavuz belgelerden ilkeler ve kavramlar türetilmiştir. Tüketici IoT’sinde yaygın siber güvenlik risklerini azaltmak için temel kontroller sağlayan EN 303 645’e atıfta bulunduk. Singapur bu kontrollere referans verdi ve bunları hem kendi beyanını hem de üçüncü taraf test gerekliliklerini içeren CLS’nin farklı düzeylerine dağıttı. Çok seviyeli etiketleme yapısı, üreticilerin uygun bir seviyede giriş yapmasına olanak tanırken güvenliğin artırılması için açık bir yol sağlar.
CLS programını başlattıktan sonra, geliştiricilere ve test laboratuvarlarına tüketici IoT cihazlarının etiketlenmesinin temelini oluşturan hükümler konusunda rehberlik sağlamak amacıyla CLS etiketlerinin tasarım ilkelerini ve kavramlarını netleştirmek amacıyla tüketici IoT’ye yönelik siber güvenlik etiketlemesine ilişkin ulusal standart TR 91’i yayınlamak için endüstri ortakları ve akademisyenlerle birlikte çalıştık.
Singapur, IoT güvenlik etiketlemesinde sıklıkla öncü olarak anılıyor. IoT güvenliğini artırma konusunda düzenlemeleri, teşvikleri ve gönüllü benimsemeyi dengeleme konusunda Singapur’un felsefesini bize açıklayabilir misiniz? CSA, temel güvenliğin anlamlı kalmasını sağlarken, özellikle küçük üreticiler için inovasyonu ve pazara girişi desteklemeyi nasıl dengeliyor?
CLS programı, yeniliği engellememek için çok çeşitli üreticilere ve cihazlara hitap edecek şekilde esnektir. Siber Güvenlik Etiketleme Planı (CLS) dört seviyeye sahiptir; ilk iki seviye üreticilerin kendi beyanlarına dayanmaktadır ve daha yüksek seviyeler, onaylı bağımsız test laboratuvarları tarafından gerçekleştirilen güvenlik testleri ve güvenlik değerlendirmesini gerektirir.
CLS birinci düzeyde, cihazların evrensel varsayılan şifrelerin olmaması, geliştiricinin yazılım güncellemeleri sağlama taahhüdü ve güvenlik açığı açıklama politikasının yürürlükte olması gibi temel güvenlik gereksinimlerini karşılaması gerekir. Daha olgun üreticiler başlangıçtan itibaren daha yüksek CLS seviyeleri için başvurabilirler. Çok seviyeli etiketleme yapısı, üreticilerin siber güvenlik olgunluk seviyelerine karşılık gelen uygun seviyede giriş yapmalarına olanak tanır.
CLS, Singapur’un telekomünikasyon düzenleyicisi Infocomm Medya Geliştirme Otoritesi’nin (IMDA) Singapur’da satılan ev ağ geçitlerinin CLS kapsamında etiketlenmesini zorunlu kıldığı ev ağ geçitleri haricinde gönüllü bir programdır. Ev ağ geçitlerine, ev ağlarına kritik giriş noktaları olmaları ve bağlı cihazları siber güvenlik risklerine maruz bırakmaları nedeniyle düzenleyici tedbirler uygulanmaktadır.
Donanımın kaynakları çok sınırlı olduğunda IoT cihazlarındaki teknik kısıtlamaları (örneğin, güvenli güncelleme mekanizmaları veya şifreleme gereksinimleri) nasıl ele alırsınız?
CLS, kısıtlı IoT cihazlarının dahil edilmesine izin verecek şekilde özel olarak tasarlanmıştır. CLS düzey 1’de şema yalnızca temel güvenlik uygulamaları gerektirir; evrensel varsayılan parolalar, tanımlanmış bir güncelleme süreci ve bir güvenlik açığı raporlama kanalı gerekmez. Üreticiler etiket seviyelerini yükselttikçe, ETSI EN 303 645 kontrolleri, güvenli geliştirme uygulamaları, ikili analiz ve sızma testleri gibi ek önlemler aşamalı olarak eklenmektedir.
Bu şema aynı zamanda güvenlik işlevlerinin ağ geçidi veya sistem düzeyinde desteklenmesine de olanak tanır. Örneğin cihazlar, güveni zedelemediği sürece TLS, anahtar işleme veya güncelleme bütünlüğü kontrolünü bir ağ geçidine veya hub’a aktarabilir.
Sertifikasyon ve testler, laboratuvarlara ve ülkelere göre değişiklik gösterebilir ve birçok cihaz, üçüncü taraf bileşenleri veya açık kaynak kitaplıklarını entegre eder. CSA, uluslararası ortaklardan gelen sonuçları değerlendirirken veya cihazları bu bileşenlerle sertifikalandırırken değerlendirmelerde tutarlılığı nasıl sağlıyor ve hesap verebilirliği nasıl sürdürüyor?
Singapur’un CLS’si için CSA, her bir güvenlik hükmünün nasıl değerlendirileceğini belirten ve güvenlik hükümlerinin karşılanması için minimum kriterleri sağlayan bir değerlendirme metodolojisi geliştirmiştir.
CSA ayrıca test laboratuvarlarının ISO 17025 akreditasyonuna sahip olması ve değerlendiricilerinin ilgili siber güvenlik yeterliliklerine sahip olması gerekliliklerini de belirlemiştir.
CLS’nin daha yüksek düzeylerinde, üçüncü taraf bileşenleri veya açık kaynak yazılımı kullanan cihazlar için ek gereksinimler vardır; üreticilerin cihazı güvenli bir mühendislik yaklaşımı kullanarak tasarlaması ve geliştirmesi, bilinen hiçbir açık güvenlik açığı olmayan güvenli bir tedarik zincirinden bileşenleri kullanması ve sürümü, uygulanan yamalar ve güncellemeler dahil olmak üzere bileşenlerin bir envanterini tutması gerekir. Karşılıklı tanınmanın mümkün olabilmesi için programların gerekliliklerinin uyumlu hale getirilmesi gerekir; bu, ürünün başvurduğu programdan bağımsız olarak benzer sonuçlar elde edeceğimiz anlamına gelir.
Sizin bakış açınıza göre EN 303 645 ve Singapur TR 91, temel Nesnelerin İnterneti güvenliğinin artırılmasına nasıl katkıda bulundu ve bu çabaların gerçekten tüketici güvenini artırıp artırmadığını veya pazardaki güvenlik açıklarını azaltıp azaltmadığını değerlendirmek için hangi göstergeleri veya ölçümleri kullanıyorsunuz?
EN 303 645, tüketici IoT cihazları için temel siber güvenlik hükümlerini belirleyen mükemmel bir temel sağlar. Program sahipleri, ulaşmak istedikleri güvence derecesine uygun siber güvenlik gereksinimlerini belirlemek için EN 303 645’i temel alabilirler.
Singapur, CLS’nin etkisini ekosistem perspektifinden ölçüyor. Üreticilerin desteği ve satın alma açısından, pazardaki etiketli ürünlerin sayısına bakıyoruz (üreticilerin desteği ve satın alma). Ancak bunun da ötesinde, etiketli ürünlerin güvenlik duruşunu bir bütün olarak izliyor ve ürünlerin alt seviyelerden üst seviyelere doğru hareket etme eğilimi olup olmadığına bakıyoruz. Tüketici açısından bakıldığında, CLS konusundaki farkındalıkları ve etiketli ürünleri satın almanın önemini bilip bilmedikleriyle ilgileniyoruz. CSA’nın yıllık siber güvenlik farkındalık anketlerinde farkındalıklarını takip ediyoruz. Tehdit ortamı perspektifinden, virüslü cihazların sayısını da izliyoruz. 2024 yılında, CSA’nın küresel bir botnet’e karşı siber operasyona katılmasının ardından Singapur’da yaklaşık 2700 virüslü cihazın tespit edildiği bildirildi. Daha fazla etiketli ürün kullanıldıkça, virüs bulaşan cihazların sayısının zamanla azalacağını umuyoruz.
İleriye baktığımızda, ortaya çıkan IoT cihazlarının hangi sınıfları (akıllı sağlık, uç sensörler veya otonom sistemler gibi) mevcut standartların henüz kapsamayabileceği en zorlu zorlukları ortaya çıkarıyor?
CSA, özellikle hastaların sağlığını iyileştirmek ve bakım maliyetlerini düşürmek için bu tür cihazların kullanımının ivme kazandığını gördüğümüz için bağlantılı tıbbi cihazlar konusunda endişeli. Ancak cihazların ağlara veya internete bağlanması da cihazları artan siber risklere maruz bırakıyor. Dünya çapında sağlık hizmetleri ihlallerinin etkisi tüm sektörler arasında en yüksek olanlar arasında yer alıyor.
Tıbbi cihazların artan bağlantı ve dijitalleşmesine ilişkin siber güvenlik tehditlerini dikkate alarak Tıbbi Cihazlar için Siber Güvenlik Etiketleme Planı [CLS(MD)] CSA ve sağlık düzenleyicileri tarafından ortak bir girişim olarak oluşturuldu. Tüketici IoT’sine yönelik CLS’ye benzer şekilde CLS(MD), bağlı tıbbi cihazların siber hijyenini iyileştirmeye ve sağlık sektörümüzde hem veri koruma hem de hasta güvenliği açısından Singapur’un siber alanını daha iyi korumaya yönelik çok seviyeli bir etiketleme şemasıdır.
ETSI, NIST, ISO ve çeşitli ulusal programlar arasındaki parçalanmayı azaltmaya yönelik küresel çabaların gelişimini nasıl görüyorsunuz? Singapur bu yakınlaşmayı sağlamada nasıl bir rol oynayabilir?
Daha fazla ülke kendi etiketleme planını ve standardını geliştirdikçe, IoT siber güvenlik düzenlemeleri ve standartlarının küresel görünümü çeşitli ve parçalı hale geliyor. Bazı etiketleme düzenleri arasında karşılıklı tanıma düzenlemeleri oluşturulmuş olsa da, bu tür düzenlemeler yalnızca kısa vadeli çözümlerdir ve bu tür düzenlemelerin yaygınlaştırılması sürdürülemez. Bu nedenle Singapur, etiketleme planlarını uyumlu hale getirmek için çok taraflı bir yaklaşıma dayanan ISO/IEC 27404 üzerinde uluslararası ortaklarla çalışıyor. ISO/IEC 27404, etiketleme şemalarının temel öğelerini, etiketleme sürecini ve gereksinimlerin birbiriyle nasıl uyumlu olduğunu kapsayan bir siber güvenlik etiketleme çerçevesi sağlar.
Singapur ayrıca Singapur Uluslararası Siber Haftamız (SICW) aracılığıyla çok taraflı bir yaklaşımı kolaylaştırıyor. SICW, program uyumlaştırma ve çapraz tanıma fırsatlarına ilişkin tartışmalar için mükemmel bir platform sağlar. Bu çok taraflı katılımlar, ortak uygulama zorluklarını belirlememize ve tüm ekosisteme fayda sağlayacak çözümler üzerinde birlikte çalışmamıza olanak tanıyor.
Konuşmanızda küresel bir IoT çabasının harekete geçirilmesinden bahsettiniz; CLS gibi çerçevelerin benimsenmesinde veya uyarlanmasında küçük ulusların veya gelişmekte olan ekonomilerin rollerini nasıl görüyorsunuz?
Bu tür ulusları ve ekonomileri, program gerekliliklerini hizalamak ve uyumlaştırmak için ISO/IEC 27404 ve EN 303 645 gibi ortak çerçeveleri benimsemeye teşvik ediyoruz. Programlar arasında birlikte çalışabilir siber güvenlik gereklilikleri üzerinde çalışırken, teknik gerekliliklerin temeli olarak herhangi bir uluslararası, bölgesel veya ulusal standarttan bağımsız davranıyoruz. Standartlar ve kılavuz belgeler, çok taraflı yaklaşımla belirlenen ortak gereksinim kategorileriyle uyumlu oldukları sürece ilgili kabul edilir.
Ayrıca ortaklarımızı, tehdit ortamı geliştikçe uyumlaştırmaya yönelik ortak gerekliliklerin belirlendiği çok taraflı forumlara katılmaya da teşvik edebiliriz.
Son olarak IoT güvenlik etiketleme veya sertifikasyon çerçevelerini tasarlamaya yeni başlayan ülkelere veya düzenleyicilere ne gibi tavsiyelerde bulunursunuz?
Nesnelerin İnterneti güvenlik etiketleme veya sertifikasyon şemalarını yeni geliştirmeye başlayan ülkeler için, sıfırdan tamamen yeni yaklaşımlar oluşturmak yerine öncelikle teknik temel olarak ISO/IEC 27404 ve EN 303 645 gibi yerleşik çok taraflı yaklaşımlarla başlamayı öneriyorum. Bu yaklaşımlar, ortak IoT güvenlik açıklarını ele alan ve planınızın başkalarıyla birlikte çalışabilmesini sağlayan, iyi test edilmiş güvenlik hükümleri sağlar.
Ülkeler ayrıca diğer ulusların politika perspektiflerini anlamak ve kendi programlarını uygulama deneyimlerinden yararlanmak için uluslararası uyumlaştırma forumlarına katılmayı da düşünebilirler. Etiketleme planlarını tasarlamadan önce ülkelerin üreticilerden, test laboratuvarlarından ve tüketicilerden oluşan ekosistemlerini erkenden devreye sokmaları önerilir. İhtiyaçlarını ve kısıtlamalarını anlamak, ülkelerin iyi benimseme oranlarına ulaşan ve ulusal hedefleriyle uyumlu anlamlı sonuçlar sağlayan pratik programlar tasarlamasına yardımcı olacaktır.
Daha sonra ülkenin politika değerlendirmelerine ve ekosistem ihtiyaçlarına bağlı olarak etiketleme planları esneklik göz önünde bulundurularak tasarlanabilir. Örneğin Singapur, üreticilerin uygun seviyelere girmelerine olanak tanırken iyileştirme için açık yollar sağlayan çok seviyeli bir yaklaşımı tercih etti. Bu hem yeniliği destekler hem de üreticilerin olgunluğuna ve yeteneklerine uygun güvenlik temelleri sağlar.
