Birleşik Krallık, tüketicileri bebek telsizi, televizyon ve hoparlör gibi internete bağlı akıllı cihazları kullanırken bilgisayar korsanlığına ve siber saldırılara karşı korumayı amaçlayan yeni yasalar çıkararak öncü bir adım attı. Bu yeni yasalara göre üreticilerin, ‘admin’ veya ‘12345’ gibi zayıf, kolayca tahmin edilebilir varsayılan şifrelerin kullanımını etkili bir şekilde yasaklayan temel güvenlik standartlarına uymaları gerekiyor. Ek olarak, ortak bir parolanın kullanıldığı durumlarda, kullanıcılardan başlangıçta parolayı değiştirmeleri istenecektir.
Çoğu durumda, tüketiciler bir akıllı ev cihazı veya hatta kablosuz yönlendirici gibi önemli bir şey satın aldıklarında, genellikle kutudan çıkar çıkmaz önceden yapılandırılmış bir şifreyle birlikte gelir. Bu şifreler genellikle endişe verici derecede zayıftır. Örneğin, bazı yönlendiriciler, hem kullanıcı adı hem de şifre olarak ‘admin’ ile önceden ayarlanmış olarak gelir ve bu da önemli bir güvenlik riski oluşturur. Ancak hem Birleşik Krallık hem de AB tarafından ayrı siber güvenlik yasalarının çıkarılmasının ardından bu tür uygulamalara Avrupa’da artık izin verilmeyecek.
Bu yasama girişimi, Birleşik Krallık’taki yetişkinlerin %99’unun en az bir akıllı cihaza sahip olduğunu ve Birleşik Krallık’taki ortalama bir hanenin dokuz bağlantılı cihaza sahip olduğunu gösteren güncel istatistikler özellikle zamanında verilmiştir. Birleşik Krallık, bu önlemleri uygulayarak siber suçlara karşı savunmasını koruma konusunda önemli adımlar atıyor. Ayrıca hükümet, bu yeni yasaların tüketicilere bağlantılı akıllı ve IoT cihazlarının satın alınması ve kullanılması konusunda güven aşılayacağını, böylece işletmelerin ve daha geniş anlamda ekonominin büyümesine yardımcı olacağını umuyor.
Uzmanlar ne diyor:
Jamie Akhtar, CEO’su Siber Akıllı: “Bu yasanın çıkması uzun zaman aldı ve yasa koyucular IoT cihazlarıyla ilişkili risklerle mücadelede harika bir başlangıç yaptı. Bu, NCSC’nin satış noktası kılavuzuyla birleştiğinde şüphesiz tüketicilerin (ve işletmelerin) IoT cihazları için temel güvenlik önlemlerini uygulamalarına yardımcı olacaktır.
“Ancak mevzuat daha da ileri gidebilir ve gitmelidir. Üreticiler, ürünlerinin mümkün olduğu kadar güvenli olmasını sağlamak konusunda tüketicilere karşı sorumluluk taşırlar. Bu mevzuat bu bakımdan biraz ‘hafif bir dokunuş’. Tüketici IoT güvenliğine yönelik ETSI EN 303 645 standardının (yasanın ilham aldığı) en önemli 13 gerekliliğinden yalnızca 3’ü nihai mevzuatta yer alıyor ve bazı yönlerden onu biraz zayıf bırakıyor.
“Kısacası harika bir başlangıç ama gelecekteki mevzuatın bunun üzerine inşa edilmesini sabırsızlıkla bekliyoruz.”
Mayur Upadhyaya, CEO’su API Bağlamı: “Zayıf şifrelerin ortadan kaldırılması da dahil olmak üzere akıllı cihazlar için daha güçlü güvenlik gerektiren yeni Birleşik Krallık yasası, tüketici siber güvenliği açısından ileriye doğru atılmış hoş bir adımdır. Bu, üreticileri en başından itibaren güvenliğe öncelik vermeye zorlayarak yetkisiz erişim ve siber saldırı riskini önemli ölçüde azaltır. Tüketiciler “kullanıma hazır” bir temel koruma seviyesinden faydalanırken, üreticiler tüketici güveni ve satışlarında uzun vadeli kazançlar görebilir.
“Ancak, bağlı cihazların çoğunlukla birbirleriyle ve harici hizmetlerle API’ler (Uygulama Programlama Arayüzleri) aracılığıyla iletişim kurduğunu unutmamak önemlidir. PSTI Yasası cihaz güvenliğini ele alsa da API güvenliği konusunda daha fazla rehberliğe ihtiyaç duyulmaktadır. API’ler için daha güçlü kimlik doğrulama mekanizmaları, yetkisiz erişimi ve veri ihlallerini önlemek açısından çok önemlidir. Güvenli cihazlar ve kimliği doğrulanmış API’lerden oluşan bütünsel bir ekosisteme odaklanma, sonuçta daha sağlam ve dayanıklı bir dijital ortama yol açacaktır.”
Javvad Malik, güvenlik farkındalığının baş savunucusu KnowBe4: “Çok uzun süredir, akıllı cihaz güvenliğine ilişkin varsayılan duruş, 1234 gibi varsayılan şifrelerle standardın altında veya kolayca tahmin edilebilir hale getirildi.
“Daha güçlü yerleşik güvenlik önlemlerini zorunlu kılmaya yönelik bir hamleyi ve güvenlik sorumluluğunun bir kısmını, siber konusunda bilgili olmayan tüketicilerden üreticilere devreden temel bir hamleyi görmek ferahlatıcı. Üreticilerin, Mirai botnet örneğinde gördüğümüz gibi, cihazlarının varsayılan şifre listesine sahip herhangi biri tarafından ele geçirilemeyeceğinden emin olmaları gerekecek.
“Üreticilerin hataların raporlanması için açık iletişim bilgileri sağlama ve cihazların güvenlik güncellemelerini alacağı sürenin uzunluğu konusunda şeffaf olma gerekliliklerinin dahil edilmesi hayati önem taşıyor ve tüketicilerin satın alma kararları açısından değerli olacak.
“Bu, siber güvenliğin sadece teknik bir konu değil aynı zamanda toplumsal bir konu olduğu gerçeğini kabul eden bir hamle. Etrafımızı giderek daha akıllı cihazlarla çevrelemeye devam ederken, bunların tasarım açısından güvenli olduğundan emin olmak sadece mantıklı değil; bireylerin ve toplumun mahremiyetini ve refahını koruyabilecek bir siber güvenlik kültürünü teşvik ediyor.”
Darren Guccione, CEO ve Kurucu Ortak Kaleci Güvenliği: “Akıllı cihazlarla ilişkili bir dizi güvenlik riski var, ancak bu yasanın durdurmayı amaçladığı en yaygın risklerden biri zayıf kimlik doğrulamadır. Oturum açma kimlik bilgileri, akıllı cihazın bilgisayar korsanlarına karşı ilk savunma hattıdır. Akıllı cihazların ve bağlı hesapların şifreleri güçlü değilse, bu, saldırıya uğrama ve kötü amaçlarla kötüye kullanılma riskinin daha yüksek olduğu anlamına gelir. Çoğu akıllı cihaz varsayılan parolalarla gelirken, bazı akıllı cihazlar hiçbir kimlik doğrulama gerektirmez; bu da işlenen veriler ve bunların bağlı olduğu ağ için büyük bir güvenlik riski oluşturur.
“Akıllı cihazlar varsayılan şifrelerle geldiğinde, bunların değiştirilmesi önemle tavsiye edilir. Şifrelerin saldırıya uğramaması için güçlü ve benzersiz olacak şekilde değiştirilmesi gerekir. Parolalarınızı oluştururken her zaman en iyi parola uygulamalarını takip etmelerini sağlamak ve güvenliği daha da artırmak için bir parola oluşturucu kullanılabilir. Kolayca unutulabilecek şifreleri güvenli bir şekilde saklamak için bir şifre yöneticisi kullanılabilir.
“Çoğu zaman akıllı cihazlar gerekli olmayabilecek ek özellikler ve hizmetlerle birlikte gelir. Durum böyleyse, kullanılmayacak özelliklerin devre dışı bırakılması cihazın saldırı yüzeyinin küçültülmesine yardımcı oluyor ve böylece siber tehdit olasılığını azaltıyor.”
Richard Newton, Yönetici Danışman Sızma Testi Yapan Kişiler; “Akıllı cihazlarda güvenli parolaların zorunlu hale getirilmesi, siber güvenliğin artırılmasına yönelik olumlu bir adıma işaret ediyor. Ancak birçok teknoloji, bunun zorunlu kılınmayacağı ülkelerden geliyor ve Birleşik Krallık’ta hâlâ zayıf şifrelere sahip teknolojiler bulacağız.
“Şifre yöneticilerinin kullanımı bu durumda özellikle uygun; tıpkı bu tür araçlarla benzersiz, karmaşık şifreleri savunduğumuz gibi, akıllı cihazlarda zayıf şifrelerin yasaklanması da sağlam güvenlik uygulamalarının öneminin altını çiziyor.
“Akıllı cihazların internete birincil ağ geçitleri olarak kitlesel kullanımı göz önüne alındığında, bunların güvenli olduğundan emin olmak kritik önem taşıyor. Üreticiler biraz daha güçlü ama yine de zayıf şifreler kullanarak bu düzenlemeleri aşmaya çalışsa da, genel amaç temel güvenlik standardını yükseltmektir.
“Şifre yöneticilerinin teşvik edilmesi, tüketicilerin çevrimiçi hesaplarını koruma konusunda proaktif adımlar atma ihtiyacını güçlendiriyor. Kullanıcılar, şifre yöneticilerini kullanarak her hizmet için kolayca güçlü, benzersiz şifreler oluşturup yönetebilir, böylece yaygın güvenlik ihlalleri riskinden kaçınabilir ve akıllı cihazlardaki güvenlik açıklarının potansiyel etkisini en aza indirebilir. Düzenleyici yaptırımlar ile bireysel en iyi uygulamaların birleşimi, günlük bağlantılı yaşamlarımızda siber güvenliği artırmaya yönelik çok yönlü bir yaklaşımı temsil ediyor.”
Tim Mackey, Yazılım Tedarik Zinciri Riski Başkanı Synopsys Yazılım Bütünlüğü Grubu; “Bugünden itibaren Birleşik Krallık PSTI’sının yürürlüğe girmesiyle birlikte Birleşik Krallık sakinleri, IoT cihazları gibi siber-fiziksel ürünlerin şifre kullanımı için daha güvenli bir model benimsediğini ve hem üründe mevcut olan güvenlik önlemleri hem de ürünün kullanım süresi konusunda daha fazla netlik görmeyi beklemelidir. Destek. Bu, cihazın Birleşik Krallık’ta üretilip üretilmediğinin yanı sıra Birleşik Krallık pazarına ithal edilen cihazlar için de geçerli olacaktır. Birleşik Krallık PSTI’sına uyulmaması ve dolayısıyla uygun olmayan bir ürünün pazarlanması, 10 milyon £ veya dünya çapındaki gelirin %4’ü (hangisi daha büyükse) tutarında para cezasıyla sonuçlanabilir. Halihazırda ETSI EN 303 645’e uygun cihaz üreticileri için, Birleşik Krallık PSTI doğrudan ETSI EN 303 645’e atıfta bulunduğundan, Birleşik Krallık PSTI’nın uygulanmasının yazılım geliştirmeyi önemli ölçüde etkilememesi gerekir.
“Bilgisayarlarındaki şifrelerini artık değiştirmeleri gerekebileceğinden endişe duyanlar için, Birleşik Krallık PSTI özellikle yalnızca WiFi özelliğine sahip masaüstü, dizüstü bilgisayar ve tablet bilgisayarları hariç tutuyor – tablet özellikle yaşın altındaki biri tarafından kullanılmak üzere tasarlanmadığı sürece. 14.”
Simon Newman, CEO’su Londra Siber Dayanıklılık Merkezi & Uluslararası Siber Fuar Danışma Konseyi Üyesi; “Yeni yasa, Birleşik Krallık Hükümeti’nin, satın aldığımız cihazların bizi yaygın siber tehditlere karşı savunmasız bırakmamasını sağlamaya yönelik olumlu bir adımıdır. Son birkaç yılda evlerimizdeki akıllı cihazların sayısının önemli ölçüde artmasıyla birlikte, bu yeni kurallar, üreticileri siber saldırılara karşı sürekli koruma sağlamaya zorlayacak ve tüketicilere satın aldıkları ürünlerin güvenliği hakkında daha fazla bilgi verecek.