Kuruluşlar, Nesnelerin İnterneti’nde çok sayıda fiziksel güvenlik cihazının güvenliğinin sağlanmasına yönelik süregelen zorluğun üstesinden nasıl gelebilir?
Nesnelerin İnterneti (IoT), her gün milyonlarca yeni cihazın İnternet’e bağlanmasıyla giderek daha yaygın hale geliyor. Farklı konumlarda faaliyet gösteren büyük işgücüne sahip kuruluşlar için bu, video gözetim kameraları, ağ radar dedektörleri ve IP özellikli hoparlörler gibi bağlı cihazların korunmasının artık operasyonları açısından kritik öneme sahip olduğu anlamına geliyor. Ancak bu cihazları siber güvenlik altyapılarına dahil ederken güvenlik açıklarına ilişkin farkındalık eksikliği, onları daha büyük ihlal riskiyle karşı karşıya bırakıyor.
Kuruluşların ağ bağlantılı cihazların sağladığı verimlilik ve gerçek zamanlı görünürlükten yararlanması nedeniyle, IoT ortamlarına tanıtılan fiziksel güvenlik cihazlarının sayısı son birkaç yılda önemli ölçüde arttı. Bulut bağlantısı sayesinde, video gözetim cihazları, verileri hızlı bir şekilde toplayıp işleyebilen, güvenliği ve operasyonel karar almayı geliştiren güçlü içgörüleri verimli bir şekilde üretebilen akıllı, birbirine bağlı bir kamera ve sensör sistemine dönüştü.
Ancak bu cihazlar, tamamı yüksek güvenlik standartlarına sahip olmayan ve bazılarını diğerlerine göre saldırılara karşı daha savunmasız hale getiren çeşitli üreticilerden gelebilir. Bu, daha fazla potansiyel erişim noktası yaratır ve bilgisayar korsanları her zaman verileri çalmak için yetkisiz erişim elde etmenin veya bir cihazı ağın diğer bölümlerine erişmek için bir saldırı vektörü veya giriş yolu olarak kullanmanın yollarını ararlar. Amaçları, çalınan verileri diğer hain gruplara satmak, bir kuruluşun operasyonlarının belirli bir bölümünü devre dışı bırakmak veya bir ağa fidye yazılımı yüklemek olabilir.
Tehditleri azaltmak
Giderek daha fazla kuruluş bağlantılı güvenlik cihazlarının faydalarını fark ettikçe saldırı tehditleri de artıyor. Sonuç olarak işletmelerin olası siber suçluların önünde kalabilmek için pratik ve proaktif adımlar atması gerekiyor.
Kuruluşlar, kameralar ve diğer gözetleme öğelerini satın almadan önce, kendi operasyonları ve tedarik zincirindeki risklerin azaltılması ve ürünlerindeki güvenlik açıklarının azaltılması söz konusu olduğunda tedarikçinin siber güvenlik prosedürleri ve politikaları konusunda şeffaf olup olmadığını kontrol etmelidir.
İşletmeler ayrıca tedarikçilerin yeni keşfedilen güvenlik açıklarıyla nasıl başa çıkacağını da sormalı; bir güvenlik açığı yönetimi politikası var mı? Ürünler için güvenlik bildirimleri, zamanında güvenlik yamaları ve hata düzeltmeleri sağlıyorlar mı? Ürünlerin güvenli bir şekilde nasıl dağıtılacağı ve çalıştırılacağı konusunda bir kılavuz sağlıyorlar mı ve/veya ürünlerine yönelik siber güvenlik önlemlerinin verimli bir şekilde uygulanmasını sağlayan araçları sağlıyorlar mı?
Ayrıca güvenlik cihazının yerleşik siber güvenlik desteğini inceleyebilir ve bilinen güvenlik açıklarına sahip bir sürümün çalıştırılmasını önlemek için sürekli güncellenmesi gereken en son işletim sistemini kontrol edebilirler.
Kuruluşlar ayrıca ihtiyaçlarına uygun en iyi siber güvenlik uygulama kılavuzlarını da takip etmelidir. Örneğin, önde gelen video gözetim sağlayıcısı Axis Communications, yaygın tehditleri ele almak için temel bir yapılandırma oluşturan ve en iyi uygulamaları ve teknik tavsiyeleri sağlayan AXIS İşletim Sistemi Güçlendirme Kılavuzunu takip ediyor.
Diğer önlemler şunları içerebilir; Cihazların güvenlik açıklarından veya zayıf konfigürasyondan etkilenmediklerinden emin olmak için cihazlarda düzenli güvenlik taramaları yapmak ve cihazın işletim sistemi için destek sonu tarihine göre cihazın ne zaman hizmet dışı bırakılması gerektiğini planlamak.
Doğru çerçevelerin mevcut olması
IoT ortamınızdaki video gözetim kameralarının, ağ radar dedektörlerinin ve diğer cihazların güvenliğini sağlamak yalnızca cihazlarınızın güvenliğiyle ilgili değildir. Şirketinizin IoT tedarikçilerinin, karşılarına çıkabilecek sürekli artan siber zorluklarla başa çıkabilmek için doğru çerçevelere sahip olmaları da hayati önem taşıyor. İyi haber şu ki IoT tedarikçileri güvenlik sorumluluklarının giderek daha fazla farkına varıyor.
Örnek olarak Axis Communications, yerleşik siber güvenlik önlemleri içeren fiziksel güvenlik çözümleri geliştirir ve sağlar ve fiziksel güvenlik endüstrisindeki ilk Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) numaralandırma otoritesidir (CNA).
Bununla birlikte, güvenli bir ortam oluşturmak, yalnızca ürünlere güvenlik özellikleri eklemek değil, aynı zamanda işletim sistemleri için bir Yazılım Malzeme Listesi (SBOM) sağlayarak veya hata ödül programları sunarak olası hata tehditlerini azaltmak için doğru prosedürlerin uygulamaya konulmasıdır.
Siber suçlular yeni tehdit vektörleri ararken, güvenliği tedarik zincirinin tamamına entegre etmek, potansiyel güvenlik açıklarını ortadan kaldırmak için giderek daha hayati hale geldi. Bu nedenle, siber güvenlik stratejinizin bir parçası olarak fabrikadan çıkan cihazların bütünlüğünü koruyan tedarikçileri aramak çok önemlidir. Bu, birlikte kuruluşunuzun korunmasını sağlar ve zayıf bir bağlantının tüm IoT ortamınızı tehlikeye atmasını önler.
Cihaz koruması gelecekte daha da kritik hale gelecek
Siber güvenlik ve IoT ortamında çalışan güvenlik cihazlarının korunması, özellikle merkezi olmayan iş gücüne yönelik amansız çabanın ışığında, gelecekte kuruluşlar için kritik öneme sahip olacaktır. Cihaz ekosistemi genişlemeye ve günlük yaşamın giderek daha fazla yönüne entegre olmaya devam ettikçe, güvenlik ihlallerinin sonuçları daha önemli hale gelecektir.
Örneğin video gözetimi, kentsel yaşam kalitesinin artırılmasında ve vatandaşların emniyetini ve emniyetini sağlayarak akıllı şehirlere giden yolculuğu ilerletmede önemli bir bileşen olmaya devam ediyor. Bu nedenle, özellikle video gözetim teknolojisi daha karmaşık hale geldikçe, bu sistemlerin ve yakaladıkları verilerin bütünlüğünü korumak çok önemlidir.
Hükümetler, sınırları içinde faaliyet gösteren her işletmenin uyması gereken siber güvenlikle ilgili yasa ve düzenlemeleri giderek daha fazla kabul ediyor. Avustralyalı şirketler artık Federal Hükümet’in 2022’de sahipsiz siber güvenlik nedeniyle veri ihlali cezaları getirmesi sonucunda, tedarikçilerinden birinin hatasından kaynaklansa bile cezalandırılabilecek.
İlerleyen süreçte, satıcı değerlendirmeleri ve tedarik zinciri güvenliği daha da önemli olacak ve bu yeni veri ihlali cezaları, ürünlerinin yaşam döngüsü boyunca özen gösterme yükümlülüğünü yerine getirmeleri gereken üreticilere, ithalatçılara ve distribütörlere dolaylı olarak yükümlülükler getirecek.
Tüm bunlar, gelecekte tüm IoT ekosistemindeki güvenlik cihazlarının siber güvenlik bütünlüğünü güvence altına almak için güçlü güvenlik çözümlerinin daha hayati hale geleceği anlamına geliyor.