Nesnelerin İnterneti (IoT), siber güvenlik için tartışmalı bir konudur ve her zaman olacaktır. Bu cihazların sağladığı rahatlık nedeniyle değil, insanların ve işletmelerin yaşamlarına kattıkları risk nedeniyle.
Siber güvenlik uzmanları olarak, işimizin gerçekleriyle başa çıkmak ve gülmek için sık sık alaycı şakalar yaparız. Bunu duyduysanız beni durdurun: IoT’deki S’nin güvenliği temsil ettiğini biliyor muydunuz? Yarınız buna kıkırdadı ve diğer yarınız muhtemelen IoT kısaltmasında S veya güvenlik olmadığını fark etti.
Siber güvenlik uzmanları olarak, bu cihazların kişisel ve profesyonel olarak bizim için teşkil ettiği riski değerlendirirken genellikle bir kaya ile zor bir yer arasında sıkışıp kalıyoruz. İnternette, her biri istismar edilme potansiyeline sahip bir milyardan fazla IoT cihazı var. Bir işletmenin, bir IoT çözümünün sağlayabileceği zorlayıcı bir iş zorunluluğu olabilir, ancak bu çözüm, güvenliği ve üretkenliği korumaya gereksiz bir güvenlik riski ekleyebilir. Wi-Fi bağlantılı bir güvenlik kamerası, bir ev sahibine bir mülkün güvenliğini sağlama konusunda gönül rahatlığı verebilir, ancak aynı zamanda o mülkü, kameranın kontrolünü ele geçirebilecek ve platformu kötüye kullanabilecek bilgisayar korsanlarının ek riskine maruz bırakabilir.
Pazar Güçleri ve IoT Satıcıları
Peki buraya nasıl geldik? Bunun kolay yanıtı şudur: IoT satıcıları, sağlam siber güvenlik kontrollerini uygulama konusunda bizi yanıltmaya devam ediyor. Zor cevap şudur: Pazar, birçok IoT satıcısını en düşük maliyetli ve en rekabetçi ürünleri sunmaya zorlamaya devam ediyor. Bunu, çözümleri için siber güvenliği feda ederek veya tamamen ihmal ederek başarırlar.
Satıcılar, güvenliği ele almamayı seçerek, genellikle tehlikelerden habersiz olan tüketicilere riski zorluyor. Ticari çözümlerde bunun ciddi sonuçları olabilir. Hasta bakımını yönetmek için IoT cihazlarına güvenen bir tıbbi tesis, hastaları tehlikeye atmadan bir kesintiyi atlatamaz. Güvenli olmayan IoT cihazları nedeniyle hasta verilerinin yanlışlıkla açığa çıkmasını veya daha kötüsü gerçek tıbbi bakımın kesintiye uğramasını da istemezler.
Öyleyse, IoT’nin tüketicileri ve bağımlıları olarak, bu savunulamaz IoT risk ve güvenlik durumuna nasıl geldik? Cevaplar, her zaman olduğu gibi, sonunda paraya dönüşüyor.
Ticari ve konut IoT alanında epeyce büyük isim var. Bunlar, herkesin tanıyabileceği isim markalarıdır: Google, Huawei, Microsoft ve diğerleri. Bu şirketler, IoT’deki güvenlik tehditlerine karşı olgun ve duyarlı olsa da, daha ilgili olan daha niş şirketlerdir.
IoT Maliyet Noktaları
İşte size bir düşünce deneyi. Küçük bir IoT şirketi olduğunuzu ve zaten kalabalık olan IoT pazarına girecek niş bir ürün geliştirmek istediğinizi hayal edin. IoT ürününü geliştirmek için ne tür maliyetler gerekir? Dikkate alınması gereken bazı maliyet noktaları:
1. IoT için kalifiye geliştirme personeli bulmak zordur. Ürününüzü pazara sürmenize yardımcı olacak sağlam bir donanım, ağ, uygulama tasarımı, iş zekası ve otomasyon uzmanları ekibine ihtiyacınız olacak.
2. Donanım ve yazılım maliyetleri küçükten çok büyük meblağlara kadar değişebilir. Cihaz ve hizmet ne kadar karmaşıksa, maliyet de o kadar yüksek olur.
3. Bağlantı modeli nedir? Wi-Fi, Bluetooth, hücresel? Her biri maliyete daha fazlasını ekler, bazıları diğerlerinden daha fazla.
4. Bir ürün kullanıcı arayüzü tasarlamalısınız! Ürününüzün avantajlarından yararlanmayı düşünüyorsanız, sorunsuz bir kullanıcı deneyimi şarttır.
5. Peki ya güvenlik? Şifreleme kullanmak zorunda mıyız? Güvenli bir protokole veya güvenli bellenime sahip bir donanıma ne dersiniz? Düzenleyici bir gereklilik olmadıkça, bunun için para yok. Rekabet etmek istiyorsak maliyetleri düşük tutmalıyız.
En İyi IoT Güvenlik Geliştirme Adımları
Senaryo bir genelleme olsa da gerçeklerden çok da uzak değil. Güvenlik özelliklerine sahip bir IoT ürünü geliştirmek, birçok şirketin ya dikkate almadığı ya da kasten ihmal etmeyi seçtiği maliyetleri artırır. İşleri daha da karmaşık hale getiren şey, IoT cihazı yapan şirket artık bunu desteklemiyorsa ne olur? Ya o şirket iflas ederse?
Bunlardan herhangi biri çözülebilir mi? Bir dereceye kadar, evet. Şirketler genellikle güvenlik sorunlarını giderebilecek ürünlere havadan (OTA) güncellemeler gönderebilir. Cihaz, bulut ve şirket arasında güvenliği zorunlu kılan bulut hizmeti çerçevelerinden de yararlanabilirler. Satıcılar, IoT çözümünü denetlemek ve değerlendirmek için dışarıdan üçüncü tarafları da kullanabilir. Dışarıdan bir üçüncü taraf adil bir şekilde değerlendirebilir ve satıcının donanım veya yazılımdaki güvenlik açıklarını ele almasına yardımcı olabilir. Uygulama geliştiricileri, güvenli yazılım geliştirme konusunda eğitilebilir. Ürün, güvenli uygulamaları barındıracak kadar sağlam bir donanımla tasarlanabilir.
Ancak tüm bunlar, bir şirketin isteyerek yapması gereken parasal yatırımları temsil eder. Ve yatırımlar süreklidir — her cihaz yamasında veya yeni özellik teklifinde, aynı güvenlik değerlendirmelerinin tekrar tekrar yapılması gerekir.
Adım Atma Zamanı
Biz ne yaptık? İlk adım tüketicileri eğitmektir. Güvenlik uzmanları olarak, başkalarının durumsal farkındalığa sahip olmasına ve riski değerlendirmesine yardımcı olmak için elimizden gelenin en iyisini yapmalıyız. Bu da, bazı IoT cihazlarının risk modellerimize eklediği güvenlik açıklarını azaltmaya yardımcı olabilecek güvenlik yatırımlarına yardımcı olabilir.
Güvenli olmayan uygulamaları ve şirketleri dile getirmek de yardımcı olabilir. Bir IoT cihazı kullanan ve elimizden geldiğince yardım etmek için sesimizi kullanması gereken herkesi savunmaya yardımcı olacak benzersiz bir fırsata ve konuma sahibiz.