2023 yılında küresel olarak kullanımda olması beklenen tahmini 43 milyar Nesnelerin İnterneti (IoT) cihazıyla birlikte, bunların güvenliğinin önemi çok çeşitli sektörlerde artıyor. IoT cihazları veri üretip paylaşırken, bu verilerin doğru ve güvenilir olmasına güveniyoruz. Ayrıca, ağa bağlı oldukları için bunların kötüye kullanılması, daha geniş sistemlerde, kapsamlı ve küresel etkiye yol açabilecek saldırı vektörlerini açabilir.
2016 yılında, Mirai kötü amaçlı yazılımı kullanılarak hizmet sağlayıcı Dyn’e şimdiye kadarki en büyük botnet saldırısı başlatıldı. Bu kötü amaçlı yazılım, Linux ARC işletim sistemini çalıştıran IoT cihazlarını aradı, varsayılan giriş bilgileriyle onlara saldırdı ve onlara bulaştı. Bu, dağıtılmış hizmet reddi (DDoS) saldırılarında çok sayıda IoT cihazının bir arada kullanılmasına olanak tanıdı ve bu da internetin önemli bölümlerinin kapanmasına neden oldu.
Diğer bir örnek ise Medtronic İnsülin Pompası Güvenlik Açığıydı. 2019’da bazı Medtronic MiniMed insülin pompalarının Wi-Fi bağlantılarında güvenlik açıkları olduğu, bu da yetkisiz bir kişinin pompayı kontrol etmesine ve potansiyel olarak yaşamı tehdit eden sonuçlara yol açtığı tespit edildi.
IoT cihazları, alanı, ağırlığı ve gücü konusunda teknik sınırlamalara sahip olan daha küçük platformlarda olma eğilimindedir. Sonuç olarak, daha düşük işlem kapasitelerine sahiptirler ve gelişmiş kimlik doğrulama ve kriptografik çözümleri çalıştıramazlar. Buna ek olarak, mevcut IoT cihazlarımızın çoğu kötü bir mimariye sahiptir ve kurulduğunda kötü yapılandırılmıştır, bu da güvenlik önlemlerinin çoğu zaman işlevsel olmadığı anlamına gelir. Bu akıllı cihazları, çok daha eski ve daha basit cihazların da bulunduğu bir ağa entegre ettiğinizde, etki potansiyeli önemli ölçüde artar.
Birçok kuruluş, güvenlik temellerini uygulamaya koymak ve bir sorunla karşı karşıya olduklarının farkına varmak için çok çalışıyor. Ancak işletmelerin uzun vadeli IoT güvenliğine yatırım yapmasını sağlamak genellikle önemli bir zorluktur.
Kuantum hesaplama, on ya da yirmi yıl sonra da olsa, mevcut tehdide karşı güvence altına alınan ve uzun yıllar yerinde kalabilecek IoT cihazları için bir tehdit oluşturuyor. Bu tehdide karşı koymak için hükümetler zaten milyarlarca dolar harcıyor; NIST ve ETSI gibi kuruluşlar ise birkaç yıldır kuantum sonrası algoritmaları (PQA’lar) belirleme ve seçme programlarına giriyor ve endüstri ve akademi yenilikler yapıyor. Ve muhtemelen kuantum açısından güvenli olan bir dizi algoritma üzerinde anlaşmaya varıyoruz; Hem Birleşik Krallık’ın NCSC’si hem de ABD’nin NSA’sı, çok daha büyük anahtarlarla birlikte PQA’yı kullanan gelişmiş Genel Anahtar şifreleme yaklaşımını desteklemektedir.
NCSC, kullanıcıların çoğunluğunun normal siber güvenlik en iyi uygulamalarını takip etmesini ve NIST standartlarına uygun kuantum güvenli şifreleme (QSC) ürünlerinin geliştirilmesini beklemesini tavsiye ediyor. Bu potansiyel olarak IoT’yi bir sorunla karşı karşıya bırakıyor. Bu gelişmiş QSC standartlarının çoğunun, karmaşık algoritmalar ve uzun anahtarlarla başa çıkmak için önemli miktarda bilgi işlem gücü gerektirdiği görülüyor ve çoğu IoT sensörü bunları çalıştıramayabilir.
Dolayısıyla NIST, QSC standartlarını sunana kadar bunların IoT kısıtlamaları dahilinde çalışıp çalışmayacağını bilemeyeceğiz. Aksi takdirde IoT QSC çözümlerinin resmi gelişiminde bir boşluk var demektir.
Bu, birçok yeniliğe sahip, hızlı hareket eden bir alandır, dolayısıyla alternatif uygulanabilir çözümler için başka yerlere bakmak mantıklı olabilir.
Örneğin asimetrik kriptografi, düşük kaynaklı PQC algoritmalarıyla uygulanabilir. Simetrik kriptografi şu anda IoT endüstrisi tarafından düşük güçlü bir mekanizma olarak tercih ediliyor, ancak aynı anahtarların her iki tarafa da gizlice dağıtılması sorunu devam ediyor ve kuantum iyileştirmeleri güç gereksinimlerini artırabilir. Ayrıca, alternatif yaklaşımların dikkate alınması nedeniyle inovasyonun yardımcı olabileceği simetrik temel kuruluş mekanizmaları da vardır.
Bunlar, kuantum bilgisayarların hızlı bir şekilde çözeceği zor matematik problemlerini kullanmak yerine, anahtar bir anlaşma oluşturmak için kuantum mekaniğinin özelliklerini kullanan kuantum anahtar dağıtımını (QKD) içerir. Ancak QKD, uzman donanım gerektirir ve kimlik doğrulamayı kolayca etkinleştirmenin bir yolunu sağlamaz ve NCSC, QKD’yi herhangi bir hükümet veya askeri uygulama için onaylamaz.
Diğer bir seçenek ise güvenli anahtar anlaşmasıdır (SKA). Bazı şirketler, güvenilir uç noktalarda dijital olarak simetrik anahtarlar oluşturmanın hesaplama açısından güvenli yollarını deniyor. Bu tür düşük güçlü, yazılım tabanlı yetenek, IoT için ilginç bir alternatif sunuyor. Ancak bu tür bir yeteneğin bağımsız olarak doğrulanması gerçekleşse de bu yaklaşım ne NIST’in ne de ETSI’nin radarında yer alıyor.
Sonuçlar
Çoğu IoT uygulaması acil bir kuantum bilişim tehdidiyle karşı karşıya değil. Ancak IoT ortamı standart bilgi işlem tehditlerine karşı savunmasızdır ve bu konuda çok fazla şey yapma konusunda kararlılık eksikliği olduğu görülmektedir.
Giderek birbirine bağlanan IoT dünyamızı kuantum tehdidine karşı donatmak istiyorsak üç eylemde bulunmamız gerekiyor. Birincisi, kullanıcılar arasında güvenlik konusunda bilinçli bir kültür geliştirmek ve IoT güvenliğini standart uygulama olarak yerleştirmektir. İkincisi, üreticilerin yerleşik güvenlik standartlarına uymalarını teşvik ederek cihazların tasarım gereği doğası gereği güvenli olmasını sağlamaktır. Son olarak, düşük kaynaklı kuantum güvenli çözümlere yönelik araştırmalar yoğunlaşmalı ve yeni yaklaşımların geliştirilmesini benimsemeliyiz.
Jonathan Lane, PA Consulting’de siber güvenlik uzmanıdır