Yine, bağlantılı cihazlar tamamen yanlış nedenlerle haberlerde yer alıyor. Ekim ayında güvenlik araştırmacıları, Çinli şirket Ecovacs’ın robot süpürgelerinin bir arka kapı yoluyla ele geçirilebileceğini keşfetti. Bir vakada, bilgisayar korsanları cihazın kontrolünü ele geçirdi ve ev sahiplerine hakaretler yağdırdı. Daha da kötüsü, şirket sorumluluğu üstlenmiyor ve kullanıcılara güvenlik açığı konusunda “aşırı endişelenmelerine gerek olmadığını” söylüyor.
Bu hack, bağlantılı cihaz şirketlerinin güvenlik ve gizlilik sorumluluklarından kaçmasının talihsiz bir örneğidir. Uygun korumalar olmadan, bu akıllı ev ve ofis cihazları yararlı araçlardan mobil gözetleme ağ geçitlerine dönüşerek en mahrem ortamlarımıza hileli kameralar ve mikrofonlar sokar.
Yeter artık; sektörün bu tehditleri ve aslında kendisini daha ciddiye alması gerekiyor.
Evinizdeki dijital gözler ve kulaklar
Güvenlik deja vu hissi yaşayan tek kişi ben olamam. İster görüntülü kapı zili açıkları ister bebek telsizi saldırıları olsun, her ay yeni bir bağlantılı cihaz hatası ortaya çıkıyor. Ancak yine de, birçok yüksek profilli hikayeye rağmen, zayıf güvenlikli zayıf ürünler endişe verici derecede yaygındır ve bunların arasında kameralar ve mikrofonlar da bulunduğundan açık bir tehlike söz konusudur.
Burada anlatılacak birkaç yeni risk var. Öncelikle tekerlekli cihazlar bu tehdide yeni bir boyut katıyor. Bunlardan biri sabit bir kamera, diğeri ise içinizdeki sığınakta bulunan hacklenmiş bir mobil cihazdır. Bu, cihazların gizlice kat planlarını haritalandırması, günlük rutinleri ve doluluk kalıplarını takip etmesi ve değerli eşyaların ve bunların konumlarının bir envanterini oluşturması gibi çeşitli endişelerin ortaya çıkmasına neden oluyor.
Saldırganlar şimdiye kadar bu arka kapıları çoğunlukla şaka ve taciz amacıyla kullanıyordu. Ancak sonuçları çok daha kötü; her zaman bağlantılı, sensörlerle donatılmış bu cihazlar, özel konuşmaları gizlice dinlemek, hedefleri takip etmek ve hatta ürün ve markalar için evleri tarayarak kurumsal istihbarat toplamak için kullanılabilir.
Bulaşma riski de gerçektir. Bilgisayar korsanlarının ele geçirilen elektrikli süpürgeyi Alexa’ya doğru sürüp “Ön kapıyı aç” demesini ne engelleyecek? Bu kademeli güvenlik açığı, basit bir vakum saldırısını, tam bir uzlaşma için potansiyel bir ağ geçidine dönüştürür.
Güvenlik açıklarını kapatmak ne pahalı ne de zorlayıcıdır
Bağlantılı vakum saldırısı, Bluetooth’taki bir güvenlik açığından yararlanarak, telefonu olan herkesin 100 metreden daha uzak bir mesafeden bağlantı kurmasına olanak tanıyor. Öncekilere çok benzer şekilde bu, benzersiz kimlik bilgileri veya çok faktörlü kimlik doğrulama gibi basit bir şeyle engellenen bir arka kapıdır. Tüketici gizliliği ve güvenliği söz konusuyken, açık bağlantı yolları ve varsayılan şifreler gibi şeyler bunu kesmiyor.
Salgının ardından bunu doğru yapmak için gerçek bir aciliyet var. Akıllı ev ve ofislerde cihazlar hızla artıyor (önümüzdeki 10 yılda iki katına çıkarak dünya çapında neredeyse 40 milyara ulaşacak) ve hükümetler, çalışanlarının ve işletmelerinin korunmaya ihtiyacı olduğunun farkına varıyor. Sonuç olarak, Avrupa’nın Siber Dayanıklılık Yasası ve ABD’nin Siber Güven İşareti ile düzenleyici bariyerler yolda. Bu iyi bir şey ve belki de sektörümüzün ihtiyaç duyduğu uyandırma çağrısıdır.
Cihaz üreticilerinin uç noktaları sıkılaştırmanın ve güvenli protokoller, daha iyi kimlik doğrulama mekanizmaları ve uçta daha güçlü depolama uygulamalarının zamanı geldi. Ayrıca sektörün, aktarım halindeki tüm verileri şifreleyerek ve eşler arası iletişim sunarak güvenli bağlantılar sağlaması gerekiyor. İyi haber mi? Bu çözümler ne çok pahalı ne de teknik açıdan zorlayıcıdır.
IoT’de eyleme ve hesap verebilirliğe giden yol
Burada yalnızca saldırıya uğramış cihazlardan bahsetmiyoruz; kim olduğumuzu gösteren potansiyel pencerelerden bahsediyoruz. Akıllı ev ve ofis, özünde kişisel ve mesleki yaşamlarımızdır ve şirketlerin siber güvenlik standartlarıyla hızlı ve gevşek oynamasından kesinlikle rahatsızım.
Düzenleme geliyor ancak herhangi bir ciddi bağlantılı cihaz şirketinin bu baskıya ihtiyacı olmamalı. Şirketler tüketicilere hizmet etmek için varlar ve riskin kendilerine ait olduğunu unutuyorlar. Gizlilik ve güvenliğe sahip olmak hoş değildir; bunlar yalnızca minimum gereksinimlerdir.
Peki ayak sürüyenler için? Şunu düşünün: Güçlü güvenlik uygulamaları önümüzdeki yıllarda pazarın farklılaşmasını sağlayacak temel unsurlardan biri olacak. Bekleyen mevzuatı erken benimseyenler, hem rekabet avantajına hem de vicdan rahatlığına sahip olacaklar.
Aynı zamanda tüketicilerin ayağa kalkıp bir şeyler yolunda gitmediğinde bunu dile getirmeleri gerekiyor. Kötü yorumlar bırakın, müşteri şikayetleriyle iletişime geçin ve cüzdanınızla oy verin. Bir şirket ihmalkarsa ve özel alanlarınıza görsel ve işitsel erişime izin veriyorsa, onlara zarar veren yerden vurun;
Cihaz tüketicilerine saygı eksikliği var ve bu da gösteriyor. Ve bu alanda yirmi yılı aşkın süredir çalışmış biri olarak konuşursak, cihaz üreticilerinin tembellik veya maliyet düşürme adına mahremiyet ve güvenliği feda etmesi fikri utanç verici. Sektörümüz ve yaratıcılığımız bundan çok daha iyi; gelin bunu kanıtlayalım.