Siber güvenlik, geleneksel olarak bağlantılı olmayan cihazlar üreten birçok IoT cihaz üreticisi için nispeten yeni bir zorluktur. Bu cihazlar istismara karşı daha az savunmasızdı ve bunun sonucunda üreticiler çoğu zaman bağlı ürünlerini etkin bir şekilde güvence altına almak için gereken uzmanlık ve deneyime sahip olmuyordu.
IoT cihazları, güvenli olmayan bir yazılım temeli üzerine inşa edilmiştir; açık kaynaklı yazılımın büyük bir kısmı ve cihaz oluşturmak için kullanılan çiplerin güvenliği zayıftır. Çip üreticileri sürekli olarak silikonlarının güvenliğini derinden tehlikeye atan gizli API’leri gizlice yakalarken yakalanıyor. Açık kaynaklı yazılım çok daha iyi değil. IoT’de kullanılan açık kaynaklı işletim sistemlerinin çoğu incelenmemiştir ve sağlam statik analiz ve bulanıklaştırma işlemlerinden geçmemiştir.
Müşteriler, kullanıcılar ve düzenleyiciler, satın aldıkları cihazların güvenliğini değerlendirecek iyi araçlara veya çerçevelere sahip değildir. SOC2 veya ISO 27001 hakkında ne söylerseniz söyleyin, ancak bunlar müşterilerin talep etmeyi öğrendiği bir güvenlik tabanını başarıyla oluştururlar. Hiçbir standardın herhangi bir düzeyde fikir birliğine varamadığı IoT alanında durum böyle değil. Bu yapraklar buna Risk yönetimine yönelik tek geçerli yaklaşım olarak analiz.
IoT güvenlik düzenlemesi
Şimdiye kadar IoT endüstrisi esas olarak belirsizlik yoluyla güvenliğe dayanıyordu ve sonuçlar tahmin edilebilirdi: birbiri ardına utanç verici tavizler. IoT cihazları kendilerini botnet’lere dahil edilmiş halde buluyor, bağlı kilitler önemsiz bir şekilde açılıyor ve arabalar otoyolda saatte 70 mil hızla giderken uzaktan kapatılabiliyor. Gezegendeki en gelişmiş donanım güvenliği ekibine sahip olan Apple bile gerçekten korkunç bazı güvenlik açıklarıyla karşı karşıya kaldı.
Düzenleyiciler bunu dikkate aldılar ve harekete geçiyorlar. Eylül 2022’de NIST, IoT güvenliğinin durumunu araştıran ve bir dizi öneride bulunan bir teknik rapor yayınlayarak uyarı atışı yaptı.
Bunu gönüllü bir düzenleme planı (ABD’de FCC tarafından yayınlanan Siber Güven İşareti) ve Avrupa Birliği’nin yakında çıkacak olan Siber Dayanıklılık Yasası’nın (CRA) düzenleme taslağı izledi. 2025’te kullanıma sunulması planlanan CRA, tek pazarda bir cihazın satışına yönelik yeni siber güvenlik gereksinimleri oluşturacak. Standart bedenler boş durmadı.
Bağlantı Standartları İttifakı, Ürün Güvenliği Çalışma Grubunun bir yılı aşkın çalışmasının ardından bu yılın Mart ayında IoT Cihaz Güvenliği Spesifikasyonunu yayınladı.
Yeni düzenleme ve standartların dikkat çekici yanı, ne kadar benzer oldukları ve ne kadar doğru olduklarıdır. Yasaların derinlemesine incelenmesi bu makalenin kapsamı dışında olsa da, ana temalar şunlardır:
1. Güvenli yapılandırma. Cihaz konfigürasyonundaki değişiklik doğrulanmalı, şifreler cihaz başına benzersiz olmalı ve güvenli bir varsayılana fabrika sıfırlama işlevi sağlanmalıdır.
2. Veri güvenliği. Cihazda saklanan ve cihaz tarafından aktarılan veriler korunmalıdır (örn. şifreleme yoluyla).
3. Güvenlik açığı yönetimi. Bilinen güvenlik açıkları belirlenmeli (örneğin, yazılım taraması ve tedarik zinciri analizi yoluyla), açıklanmalı ve azaltılmalıdır.
4. Cihaz izleme. Cihaz, güvenlik olaylarını (örneğin, uzlaşmaları) tanımlama, kaydetme ve üreticisine raporlama yeteneğine sahip olmalıdır.
5. Yazılım güncellemesi. Cihazların, güvenlik sorunlarının düzeltilebileceği bir yazılım güncelleme mekanizmasına sahip olması gerekir.
Bugün çok az kuruluş bu gerekliliklerin tümüne uymaktadır. Örneğin, tartışmasız en temel olan yazılım güncelleme mekanizması gereksinimini ele alalım. VDC Research’ün yerleşik yazılım endüstrisi üzerine yakın zamanda gerçekleştirdiği bir araştırmada, projelerin yalnızca üçte birinde uzaktan kablosuz cihaz yazılımı güncelleme özelliğinin olduğu görüldü. Ancak bu gereklilik pek de gereksiz değil: Yazılım güncellenemiyorsa cihazın güvenlik açıklarını düzeltmeyi nasıl bekleyebiliriz?
Bu, işletmelerin büyük çoğunluğunun, yasalara uymak için daha önce deneyim sahibi olmadıkları yetenekler ve altyapılar oluşturmak için çabalamasına neden oluyor. Düzenleyicilerin bu yeni yasaları ne kadar agresif bir şekilde uygulayacağını henüz bilmiyor olsak da IoT üreticilerinin aşağıdaki güvenlik özelliklerine yatırım yapmaya başlamasını öneriyoruz:
Kablosuz (OTA) yazılım güncellemesi: Cihazınızın yazılımını güncelleme yeteneği, cihazınız gönderildikten sonra bir güvenlik sorununun keşfedilmesi durumunda kaçış yolunuzdur. Bu bir öncelik olmalıdır.
Firmware imzalama: Ürün yazılımını şifrelemenin pek faydası olmasa da, kaynağının kimliğini doğrulamak için oturum açmak şarttır.
Gözlenebilirlik: Arabellek taşmaları gibi yazılım hatalarını yakalamak ve düzeltmek, cihazınızın güvenliğini güçlendirir ve ölçümler aracılığıyla izleme, güvenlik ihlallerini belirlemenize yardımcı olabilir (örneğin, bir cihazın tuhaf ağ kullanım modellerini tespit ederek). Bu, müşterilerinizin çoğu bundan etkilenmeden önce bir güvenlik açığını bulup yamalayabileceğiniz anlamına gelir.
Statik analiz: Üretimde bir hatayı yakalamaktan daha iyi, onu geliştirme aşamasında yakalamaktır. Statik analiz, kaynak kodunuzu hatalar ve güvenlik açıkları açısından inceler. Hem açık kaynaklı (örn. Clang Static analyzer) hem de tescilli (örn. Sonarcloud) sağlam çözümler bugün piyasada mevcuttur ve çok hızlı bir şekilde uygulamaya konulabilir.
Yazılım Malzeme Listesi (SBOM): Ürününüzün kullandığı üçüncü taraf yazılımların bir listesini tutun ve bunu CVE veritabanındaki bilinen güvenlik açıklarıyla karşılaştırın. Yazılımınızı üçüncü taraf bağımlılıklara karşı taramak ve bunlara karşı güvenlik sorunları bulunduğunda sizi otomatik olarak uyarmak için çeşitli çözümler mevcuttur.
Önümüzdeki birkaç yılın Nesnelerin İnterneti sektörü için zorlu geçmesini beklesek de, cihazları daha güvenli hale getirmek için harekete geçen düzenleyicileri takdir ediyoruz. Önümüzdeki on yılda sektörün siber güvenlik sorunları daha da korkutucu hale gelecek. Artık güvenli ürünler oluşturmaya başlamanın zamanı geldi.