Uç Nokta Güvenliği , Coğrafi Odak: Birleşik Krallık , Coğrafi Özel
Kanun Evrensel Varsayılan Parolaları Yasaklar; Hata Raporlama Kanalları, Güncelleme Planı Gerektirir
Mathew J. Schwartz (euroinfosec) •
29 Nisan 2024
Britanya’da, varsayılan veya sabit kodlu parolayı “12345” olarak ayarlayarak nesnelerin interneti cihazlarını satın almaya elveda deyin; artık ülke, üreticilerin minimum gerekliliklere uymayan internete bağlı ve ağa bağlı cihazları göndermesini yasaklayacak siber güvenlik standartları.
Ayrıca bakınız: ML Destekli NGFW’nin 4 Temel Unsuru: Makine Öğrenimi Ağ Güvenliğini Nasıl Bozuyor?
Şirketlerin Birleşik Krallık Ürün Güvenliği ve Telekomünikasyon Altyapı Yasası’nın taleplerine uyması için tanınan ek süre Pazartesi günü sona erdi; bu yasa, hükümetin akıllı telefonlar, oyun konsolları, giyilebilir fitness takip cihazları ve çocuk oyuncakları da dahil olmak üzere bir dizi IoT ürününün güvenlik standartlarını denetlemesine olanak tanıyor. internet bağlantılı buzdolapları, hoparlörler, bebek telsizleri ve daha fazlasının yanı sıra.
Bağlantılı cihaz yasası, şifreleri bilinen veya kolayca tahmin edilebilen cihazlara yönelik tekrarlanan saldırıların ardından devreye giriyor ve bu saldırılar, BBC’nin yanı sıra Lloyds ve İngiltere’deki büyük bankaların da aralarında bulunduğu büyük kurumları etkileyen dağıtılmış hizmet reddi saldırılarının tekrarlanmasına yol açıyor. İskoçya Kraliyet Bankası.
Yetkililer, yasanın yalnızca tüketiciyi korumak için değil, aynı zamanda Mirai ve yan ürünleri gibi IoT cihazlarını hedef alan ve hepsi cihazlardaki varsayılan şifrelerden yararlanabilen kötü amaçlı yazılımlara karşı ulusal siber güvenlik direncini artırmak için tasarlandığını söyledi.
Batılı yetkililer ayrıca Çin ve Rus ulus-devlet hack gruplarının tüketici sınıfı ağ cihazlarındaki bilinen güvenlik açıklarından yararlandığı konusunda uyardı. ABD’li yetkililer bu yılın başlarında Volt Typhoon olarak takip edilen bir grup tarafından kullanılan Çin botnet’ini kesintiye uğratarak Pekin’deki tehdit aktörlerinin bilgisayar korsanlığı faaliyetlerini gizlemek için virüslü küçük ofis ve ev ofis yönlendiricileri kullandığı konusunda uyarıda bulundu (bkz: FBI Çin’in Büyük Bir Hackleme Kampanyasını Nasıl Durdurdu?).
Kuzey İrlanda’daki Ulster Üniversitesi’nden siber güvenlik profesörü Kevin Curran, “IoT cihazlarının fabrikadan çıkmadan önce güvenliğinin sağlanmasında en iyi uygulamaların uygulanmasına verilen önemin arttığını görmek cesaret verici” dedi. “Algılanan basitliklerine rağmen, bu cihazlar yama yapılmadan bırakıldığında veya kötü yönetildiğinde beklenmedik bir kesinti gücüne sahiptir.”
Kanun şunları gerektirir:
- Evrensel varsayılan şifre yok: Üreticiler, kullanıcının şifreyi değiştirme olanağına sahip olup olmadığına bakılmaksızın her cihazı benzersiz bir şifreyle göndermelidir. Başlangıç parolasının “kolayca tahmin edilebilir” olmamasını sağlamak için bir dizi kriteri de karşılaması gerekir.
- Güvenlik açığı raporlama kanalları: Üreticiler, ürettikleri bir cihazdaki güvenlik kusurunu bildirmek isteyen herkes için kamuya açık bir iletişim noktası belirlemeli ve bunu “erişilebilir, açık ve şeffaf” bir şekilde yapmalıdır. Üreticiler ayrıca “raporu yapan kişi tarafından raporun alındığına ilişkin onayın ve rapor edilen güvenlik sorunlarının çözümüne kadar durum güncellemelerinin beklenebileceği zaman çizelgelerini” de ayrıntılı olarak açıklamalıdır.
- Güvenlik güncellemesi şunları garanti eder: Üreticiler tüketicilere “güvenlik güncellemelerinin sağlanacağı minimum süreyi bitiş tarihiyle birlikte” belirtmelidir.
Hükümet yaptığı açıklamada, İngiltere’nin IoT cihazları için minimum siber güvenlik standartlarını zorunlu kılan ilk ülke olduğunu söyledi. “Güvenlik gereksinimleri, bir güvenlik sorununu çözmek veya olası bir güvenlik açığını ortadan kaldırmak için tedarik zincirindeki ilgili işletmelerin alması gereken eylemler veya bir ürünün karşılaması gereken gereksinimlerdir” dedi.
Kuralların tüm “ilgili bağlanabilir ürünlerin üreticileri, ithalatçıları ve distribütörleri” için geçerli olduğu ve ayrıca kayıt tutma gerekliliklerini ve tedarik zinciri ortakları tarafından olası uyumluluk ihlallerini soruşturma görevini de içerdiği belirtildi.
Kurallar, halihazırda diğer ürün güvenliği düzenlemelerini uygulayan İşletme ve Ticaret Bakanlığı’nın bir parçası olan Ürün Güvenliği ve Standartları Ofisi tarafından uygulanacaktır.
Britanya’da yetişkinlerin %99’u en az bir “akıllı” cihaza sahip ve hanelerde internete veya ağa bağlı ortalama dokuz farklı cihaz bulunuyor.
OPSS CEO’su Graham Russell, “İnternete veya bir ağa bağlanabilen tüketici ürünlerinin kullanımı ve sahipliği hızla artıyor” dedi. “İngiltere’deki tüketiciler, bu ürünlerin güvenlik göz önünde bulundurularak tasarlanıp üretildiğine ve onları bağlanabilir cihazlara yönelik artan siber tehditlere karşı koruduğuna güvenebilmeli.”
Kanun Gönüllü Kuralların Yerini Alır
Pek çok güvenlik uzmanı, özellikle üreticilerin hata raporlarını almak için kanallar oluşturmasını gerektirdiği ve bunu yapmamaları halinde yasal işlem tehdidi taşıdığı için yasayı kutladı.
Pen Test Partners’ın bağlantılı cihaz güvenliği uzmanı Ken Munro, BBC’ye “Dişleri var ve bunu seviyorum” dedi. O, sosyal medya aracılığıyla söz konusu Yasa “IoT için doğru yönde atılmış büyük bir adım” ama şunu da ekledi: “Endişem yaptırım tedbirlerinin alınmayacağı yönünde” (bkz: İnternet Bağlantılı Bu Doldurulmuş Oyuncaklara Sarılma).
Hükümet daha önce 2018’de uygulamaya konulan gönüllü IoT siber güvenlik uygulama kuralları aracılığıyla cihaz güvenliğini güçlendirmeye çalışmıştı. Ancak parlamentonun yaptığı bir araştırma, 2020 yılına kadar üreticilerin yalnızca %27’sinin şu temel ilkelerden birini uyguladığını ortaya çıkardı: güvenlik araştırmacılarına raporlama için doğrudan bir kanal sağlamak Üreticinin cihazlarında buldukları güvenlik açıkları.
Cihaz güvenliğine ilişkin 2020 yılında yapılan istişarenin ardından Parlamento, 2022 yılında PSTI Yasasını kabul etti ve uygulanması gereken minimum siber güvenlik gereklilikleri gibi bazı ayrıntılar 2023 yılında belirlendi (bkz.: Tüketici IoT Güvenlik Etiketleri: Şeffaflık Teşviki Yoğunlaşıyor).
Uzmanlar, kısmen üreticilerin sunduğu destek süresine bağlı olarak daha fazla tüketicinin cihaz satın alacağını umduklarını söyledi.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi’nin ekonomi ve toplumdan sorumlu direktör yardımcısı Sarah Lyons, “Bu dönüm noktası niteliğindeki yasa, tüketicilerin satın aldıkları ürünlerin güvenliği konusunda bilinçli kararlar almasına yardımcı olacak” dedi.
Kanun, çoğu zaman halihazırda mevcut düzenlemelere tabi oldukları için bir dizi cihaz istisnası içermektedir. Bunlar arasında tıbbi cihazlar, akıllı sayaçlar ve elektrikli araçlara yönelik şarj noktalarının yanı sıra, hücresel ağlara bağlanma özelliği olmayan masaüstü, dizüstü bilgisayarlar ve tablet bilgisayarlar da yer alır (özellikle 14 yaşın altındaki çocukların kullanımına yönelik olarak tasarlanmadıkça) yaşındayım.
Hükümet ayrıca bazı otomotiv araçlarını “alternatif mevzuat kapsamına girecekleri için ürün güvenliği düzenleyici rejiminden” muaf tutacak bir mevzuat çıkarmayı planladığını da söyledi.