Yazan: Ron Konezny, Digi International Başkanı ve CEO’su
Bir kuruluşun siber güvenlik konusunda en bilgili üyeleri genellikle kilit karar vericiler değildir. Bu kopukluk, siber güvenlik bütçeleri artmaya devam ederken siber saldırıların ve veri ihlallerinin sıklığının ve şiddetinin azalmamasının nedenlerinden biri olabilir.
Ancak bağlantılı IoT cihazlarının hızla benimsenmesi, bilgisayar korsanlarının artan karmaşıklığı ve gelişen siber güvenlik düzenlemeleri dahil olmak üzere günümüzün karmaşık siber güvenlik ortamına birçok faktör katkıda bulunuyor. Sonuç olarak, siber güvenlik girişimlerinin aşağıdan yukarıya bir yaklaşımdan yukarıdan aşağıya ve organizasyon çapında bir yaklaşıma geçmesinin zamanı geldi. Bu makale, liderlerin kuruluşlarını ve müşterilerini korumak amacıyla IoT güvenliğine yönelik çok katmanlı bir stratejiyi nasıl uygulayabileceklerini tartışacak.
Siber Güvenlik Risk Yönetiminde Yukarıdan Aşağıya Yaklaşımın Önemi
IoT siber güvenliğine yönelik geleneksel aşağıdan yukarıya yaklaşımda, güvenlik, sistemler ve ağ teknolojileri gibi operasyonel çalışanlar genellikle bulgularını ve endişelerini üst yönetime bildirir. Ancak bu süreç yavaş ve verimsiz olabilir. Ağ güvenliği ve siber güvenlik mühendisleri kritik girişimleri uygulamak için yeşil ışık almadan önce bir ihlal meydana gelebilir. Üst yönetim, siber güvenliğe yukarıdan aşağıya bir yaklaşım getirerek, güvenlik politikalarının önemini ve bağlı cihaz ve ağların güvenliğini sağlamanın gerekliliğini vurguluyor.
Yönetim ekipleri, kurumu koruma sorumluluğunun yalnızca BT departmanının omuzlarında olmadığının farkında olduğundan, yukarıdan aşağıya stratejiler daha geniş kapsamlı olma eğilimindedir. Bunun yerine herkes eşit derecede sorumlu ve mesuldür çünkü her departman, ofis ve çalışan, güvenli olmayan işlemler veya davranışlar nedeniyle siber saldırılara veya kasıtsız veri sızıntılarına karşı hassastır. Güvenlik açıkları güvenliğe ve veri ihlallerine yol açtığında, bir markanın itibarı üzerinde çok büyük bir etkiye sahip olabilirler; bu sorunları ortaya çıktıklarında düzeltmenin milyonlarca dolarlık potansiyel fiyat etiketinden bahsetmeye bile gerek yok.
Bugün, her sektördeki kuruluşların, her bireyin eğitim aldığı ve daha geniş anlamda kurumun güvenlik duruşundaki rolünü anladığı bir güvenlik kültürü yaratması gerekiyor. Bu noktanın altını çizen Opensource.com, bir sistemin ancak güvenlik konusunda en az bilinçli ekip üyesi kadar güvenli olduğuna haklı olarak dikkat çekiyor.
Çok Katmanlı Güvenlik Stratejisinin Dört Düzeyi
Kötü aktörlerin bir iş ağına sızabilecekleri pek çok yol vardır; bunlar arasında şifrelenmemiş iletişim modelleri, güvenli olmayan cihaz bağlantı noktaları ve kimlik doğrulama gibi temel güvenlik önlemleri olmadan dağıtılan bağlantılı teknolojiler yer alır. Yukarıdan aşağıya bir yaklaşıma ek olarak, işletmelerin siber saldırılara karşı şirket çapında koruma sağlamak için çok katmanlı bir stratejiyi de içermesi gerekir. Genellikle çok katmanlı bir yaklaşımın dört düzeyi vardır: cihaz, ağ, uygulama ve bulut.
- Cihaz düzeyinde güvenlik:Şifreleme, güvenli önyükleme, korumalı bağlantı noktaları ve yapılandırma izleme gibi IoT cihazının kendisini koruyan yerleşik güvenlik önlemlerinden oluşur. Özellikle cihaz düzeyinde güvenlik, kurumsal yargı yetkisi altındaki bağlı cihazların donanım yazılımının yeni güvenlik açıkları ortaya çıktıkça güncellenebilmesini sağlar.
- Ağ düzeyinde güvenlik:Daha geniş ağdaki cihazlar arasındaki iletişimi korumak için güvenlik duvarları, izinsiz giriş tespiti ve önlemenin yanı sıra sanal özel ağlar (VPN’ler) gibi önlemleri içerir. Güvenli olmasının yanı sıra, bir ağın her zaman açık kalması gerekir, bu da onun dayanıklı olduğu ve normal operasyonlardaki zorluklara rağmen çalışmaya devam edebileceği ve müşteriler ve bağlı uygulamalar için hizmeti sürdürebileceği anlamına gelir.
- Uygulama düzeyinde güvenlik: Bu katman, erişim kontrolü, veri şifreleme ve güvenli API’ler gibi IoT cihazlarında çalışan uygulamaları ve verileri koruyan güvenlik önlemlerini içerir.
- Bulut düzeyinde güvenlik:Şirketler, yukarı bağlantı bağlantısı ve bu verileri depolamak için buluta giden bir yol olmadan bağlı cihazları tarafından oluşturulan verileri toplayamayacağından veya analiz edemeyeceğinden, bulut IoT’nin merkezinde yer alır. Bu güvenlik düzeyi, IoT cihazlarını ve iş açısından kritik operasyonları destekleyen bulut altyapısını koruyan kimlik ve erişim yönetimi, veri şifreleme ve sürekli izleme gibi önlemleri içerir.
Gelişen Siber Güvenlik Ortamı
Siber suçluların ne kadar ısrarcı ve karmaşık hale geldiklerine dair bir bakış açısı için Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) Ulusal Güvenlik Açığı Veritabanını (NVD) saat başı güncellediğini düşünün. Üstelik 2022’de 25.000’den fazla yeni ortak BT güvenlik açıkları ve riskleri (CVE’ler) keşfedildi; bu, bugüne kadar bildirilen en yüksek yıllık rakamdır. Sürekli olarak ortaya çıkan bu tehditlerin ışığında, düzenleyiciler IoT cihazlarını korumak için mevcut standartları sürekli olarak günceller veya yenilerini yayınlar.
Örneğin, 2022’de düzenleyiciler FDA Yasasını bağlı tıbbi cihazlara yönelik gereksinimleri içerecek şekilde değiştirdi. Aynı yıl, IoT cihazları ile hesap bazlı ödemelerin artan kesişimini ele almak için Ödeme Kartı Sektörü Güvenlik Standartları Konseyi ve Tüketici Teknolojileri Birliği, IoT güvenliğinin önemini vurgulayan ortak bir bülten yayınladı. Ek olarak, Genel Veri Koruma Yönetmeliği (GDPR), AB Siber Güvenlik Yasası ve Kaliforniya Tüketici Gizliliği Yasası (CCPA) gibi siber güvenlik düzenlemelerinin IoT teknolojisi üzerinde küresel etkileri vardır. Bu standartlara uyulmaması, yüksek maliyetli cezalar da dahil olmak üzere kârlılık açısından olumsuz sonuçlar doğurabilir.
Değişen IoT güvenlik ortamı göz korkutucu olabilir. Bununla birlikte, güvenliğe yönelik yukarıdan aşağıya bir yaklaşım, ister personelin kimlik avı ve sosyal mühendislik tehditlerini tanımlamaya yönelik eğitim almasının sağlanması, ister FIPS 140-2 kriptografik şifrelemenin zorunlu kılınması veya kısıtlama getirilmesi olsun, üst yönetimin güvenlik uygulamalarının ve düzenlemelerinin kuruluş genelinde uygulanmasını daha etkili bir şekilde yönlendirmesine olanak tanır. kuruluşa veya belirli varlıklara fiziksel erişim. İyi haber şu ki, güvenlik sektörü son yıllarda canlandı ve bugün kurumsal liderlerin ve teknik personelin sorunlarla hızlı bir şekilde ilgilenmesine ve eyleme dönüştürülebilir bir strateji oluşturmasına olanak tanıyan harika kaynaklar var.
Yardım Bulma ve Örnek Olarak Liderlik Etme
IoT güvenliği için ideal strateji, çok katmanlı, şirket çapında bir stratejidir; yerleşik güvenlik protokollerine sahip test edilmiş ve kanıtlanmış cihazların tedarik edilmesi, bağlı tüm cihazların yaşam döngüleri boyunca sürekli olarak güncellenmesi yeteneğinin sağlanması ve IoT için prosedür ve davranış eğitiminin zorunlu kılınması dahil. tüm personel. Kültürel ve altyapı değişikliği bir gecede gerçekleşmese de her işletme güçlü bir güvenlik duruşu ve mükemmel güvenlik önlemleri uygulayabilir. Şüpheye düştüğünüzde markalar, siber savunmaları güncel tutmak için izleme ve yönetim hizmetleri de dahil olmak üzere IoT güvenliğinin en iyi uygulamalarını entegre etmeye yardımcı olabilecek toplam bir çözüm sağlayıcısı aramalıdır. Sonuçta, inisiyatif almak ve şirket çapında benimsenmeyi ve kültürel değişimi teşvik etmek bir kuruluşun liderliğinin görevidir.
yazar hakkında
Ron Konezny, Digi International’ın Başkanı ve CEO’sudur. Digi International’a Aralık 2014’te Başkan ve İcra Kurulu Başkanı olarak katıldı. Şirkete katılmadan önce, küresel bir navigasyon ve mesafe bulma ekipmanı ve ilgili çözümler sağlayıcısı olan Trimble Navigasyon Limited’in Küresel Taşımacılık ve Lojistik bölümünde Başkan Yardımcısı olarak görev yaptı. Eylül 2013’ten bu yana bu görevde bulunuyordu. Bu görevden önce, Ağustos 2011’den Eylül 2013’e kadar bu bölümün Genel Müdürü olarak ve PeopleNet’in 2011 yılında Trimble tarafından satın alınmasının ardından PeopleNet, Inc.’de İcra Kurulu Başkanı olarak görev yaptı. Ron, PeopleNet’in kurucusuydu ve 1996’dan bu yana, Baş Teknoloji Sorumlusu, Mali İşler Direktörü, Operasyon Direktörü ve Eylül 2007’den itibaren PeopleNet’in Trimble tarafından satın alınmasına kadar İcra Kurulu Başkanı dahil olmak üzere çeşitli yönetici pozisyonlarında bulundu. PeopleNet, ulaşım sektörüne yönelik telematik çözümlerinin lider sağlayıcısıdır. Ron ayrıca şu anda Atlas Financial Holdings’in (NASDAQ: AFH) yönetim kurulunda görev yapmaktadır.
Ron, kablosuz M2M sektöründe donanım ve bulut tabanlı uygulamalardan oluşan çözümlerle çalışan geniş bir deneyime sahiptir. Kurumsal strateji, üretim, operasyon, teknoloji, finans ve iş geliştirme alanlarında kapsamlı liderlik deneyimini Yönetim Kurulu’na getiriyor. Ron, Teknoloji kategorisinde Ernst & Young Yılın Girişimcisi® ödülünün 2009 kazananı oldu. Ron’a çevrimiçi olarak [email protected] adresinden ve www.digi.com adresindeki şirket web sitemizden ulaşılabilir.