Yazan: Milica D. Djekic
Nesnelerin İnterneti’nin (IoT) güvenliği günümüzün temel zorluklarından biridir. Birçok IoT varlığı siber saldırılara karşı kolay bir hedef haline gelebilir ve bu gereksinimlerle bir şekilde başa çıkılması önemle tavsiye edilir. En iyi uygulama, nihai çözümlerle ilgilenecek bir şeydir; IoT tasarımının ise daha fazla dikkat etmemiz gereken bir konu olduğunu önermek isteriz. Tasarım içinde güvenlik derken, iletişim kanallarına ve son kullanıcı verilerine eşit oranda uygulanan daha iyi bir kriptografiden bahsediyoruz. Başka bir deyişle, bu bölümün rolü IoT güvenliğine ilişkin bazı önerileri ele almak ve yeni nesil çözümleri nasıl geliştirebileceğimizi açıklamaya çalışmaktır.
Temel IoT güvenliği gereksinimleri
Nesnelerin İnterneti bize büyük miktarda güvenlik ve gizlilik sunmalıdır. Ne yazık ki günümüzün çözümlerinde durum tam olarak böyle değil. Birçok IoT çözümü çaylak hatası olarak adlandırılan hatalarla ilgilenecektir ve son derece profesyonel olması beklenen bazı çözümlerin yeni başlayanların bazı sorularını nasıl çözebileceği kesinlikle inanılmaz görünecektir. Nesnelerin İnterneti güvenliğinin gereklilikleri artmalı ve birçok araştırma kurumu da bunun en iyi uygulama olduğunu belirtiyor. Gerçek şu ki, IoT güvenliği uygun risk yönetimiyle ilgilidir, ancak asıl mesele, bu tür en iyi uygulamaların yapabileceğinden daha fazlasını yapabilirsek. Tam burada, kullanımıyla bize daha güçlü emniyet ve güvenlik sunması gereken olası IoT tasarımına işaret edeceğiz. Siber güvenlik geniş bir konudur ve bu bölüm aracılığıyla bunun birçok yönünü tartışabiliriz. Bu aşamada bize çok daha güvenli bir özel ve iş ortamı sunmak için atılması gereken tüm adımlara odaklanmaya çalışacağız.
Bu materyalde zaten önerildiği gibi IoT çözümleri ICS, SCADA ve PLC sistemlerini, gömülü cihazları, mobil teknolojileri ve çok daha fazlasını içerebilir. Buradaki asıl soru, tüm bu ilerlemeleri nasıl daha güvenli hale getirebileceğimizdir. İşin büyük bir kısmı, bu cihazların birbiriyle ilişkilendirilerek doğru şekilde kurulmasıyla ilgili olabilir. Yani iyi bir donanım, yazılım ve ağ konfigürasyonu üzerinde çok çalışmalı ve riski mümkün olan en düşük seviyeye indirmeliyiz. Ayrıca, bazı personelin her gün daha iyi bir risk yönetimi için sıkı çalışarak böyle bir sistemi sürdürmesi gerektiğini de belirtmek önemlidir. Pek çok araştırma çalışması, herhangi bir öngörülemeyen senaryodan kaçınmak için ortamınızı nasıl ayarlamanın mümkün olabileceğine dair bazı ipuçları ve püf noktaları ile ilgilenecektir. Bu senaryo gerçekleşse bile, uygulamada halihazırda meydana gelen bazı pratik sorunların çözümünde bizi desteklemesi gereken iş sürekliliği stratejisinin yanı sıra her zaman bir felaket kurtarma planına güvenmeye çalışmalıyız.
Son olarak, geleceğe yönelik bazı zorluklar, meselenin yalnızca mevcut çözümlerin yönetimiyle ilgili olmadığını, daha ziyade daha iyi bir siber savunmayla başa çıkabilecek yeni sistemlerin geliştirilmesi ve konuşlandırılmasıyla ilgili olduğunu gösteriyor. Örneğin pek çok uzman, geleceğin IoT’sinin daha güçlü şifrelemeyle baş etmesi ve bu şekilde yeni nesil cihazlarına daha iyi performans sunması gerektiğini belirtiyor. Ayrıca IoT sistemlerinin birbiriyle konuşan birçok cihaz kullanılarak oluşturulan büyük ağı kullanacağı da iyi biliniyor. Başka bir deyişle, bu cihazların iyi korunan bir iletişim kanalına sahip olması ve aynı zamanda cihazların güvenliğini sağlayan iyi veri şifrelemeyle uğraşması tavsiye edilir. Sonuç olarak, yeni nesil IoT iyileştirmelerinden bazıları, iyi uygulamalar, felaket kurtarma ve iş sürekliliği stratejileri ve daha gelişmiş şifreleme çözümlerine dayanan nihai ürünlerin çok daha güçlü tasarımı yoluyla elde edilebilecek daha iyi cihaz güvenliği ile ilgilidir.
Bir uygulamadan gelen öneriler
Uygulama sırasında birçok IoT çözümünün daha iyi yazılım, donanım ve ağ yapılandırmasına ihtiyaç duyacağını fark ettik. Ayrıca, bu sistemlerin çoğunluğunun, gelen bağlantı noktalarının bazı IoT arama motorlarından gizlenmesi gerektiğini öne süren temel önerilere uymayacağının farkına varacağız. Ayrıca birçok ağ hem yazılım hem de donanım güvenlik duvarlarını kullanmaz veya yönlendiricilerini, modemlerini veya diğer ağ cihazlarını güncelleme konusunda minimum düzeyde önlem alır.
Ayrıca, uygun kimlik doğrulamanın yönetilmesinde iyi uygulamalar açısından bazı eksikliklerin olduğunu da fark edeceğiz. Basit bir ifadeyle, insanlar bilgisayar korsanlarına erişimi çok zorlayıcı hale getirecek güçlü kullanıcı adları ve şifrelerle uğraşmaya çalışmayacaktır. Bunlar, bir uygulamada fark edilen örneklerden sadece birkaçı ve IoT sistem kullanıcılarına, güvenlik kapasitelerini daha iyi geliştirmeleri için gösterilen tavsiyelerden bazılarıdır.
Gelecek için zorluklar
IoT geliştirme ve dağıtımının bu aşamasında, çok kısa sürede aşılması gereken birçok güvenlik gereksinimiyle ilgileneceğiz. Bu konseptin bazı zayıf yönleri zaten biliniyor ve uzman topluluğu bu endişeleri çözmek için çok çalışıyor. Öte yandan zaman geçtikçe pek çok zayıf nokta keşfediliyor ve bu bulguların yalnızca mevcut kapasitemizi geliştirmemize yardımcı olabileceğine inanıyoruz.
Ayrıca geleceğin IoT’sinin çok daha iyi şifrelemeyle ilgileneceğini düşünüyoruz. Bu çözümlerin bu aşamada ne kadar pahalı olabileceğinin farkındayız ancak güvenlikle ilgili pek çok risk, tehdit ve zorluğun siber endüstrileri bu tür zorluklarla ciddi şekilde başa çıkmaya zorlayacağına inanıyoruz. Son olarak, Nesnelerin İnterneti teknolojisine yönelik hâlâ birçok zorluğun bulunduğunu ve bunların önümüzdeki dönemde yanıtlarını alacağını umduğumuzu söylemek önemli.
Sonuç konuşması
Sonuç olarak IoT teknolojisinin önündeki en büyük zorluğun güvenlik olabileceği sonucuna varabiliriz. Bu materyal aracılığıyla, korunmasız IoT varlıklarının sahipleri için ne kadar ciddi sonuçlar doğurabileceğinden bahsedeceğiz. Gelecekte böyle bir şeyin olmasını önlemek için olası çözümler hakkında iyice düşünmeye başlamalıyız. Bu anlamda, uzman topluluğunun her türlü desteği memnuniyetle karşılanmaktadır ve geleceğin bize daha az endişe getireceğini ve herkese çok daha iyi bir ortam sunacağını dürüstçe umuyoruz.
Yazar hakkında
Milica D. Djekic, Sırbistan Cumhuriyeti Subotica’dan Bağımsız Araştırmacıdır. Mühendislik eğitimini Belgrad Üniversitesi Makine Mühendisliği Fakültesi’nden almıştır. Yurt içi ve yurt dışı bazı basın kuruluşlarında yazılar yazan sanatçı, aynı zamanda sırasıyla 2017 ve 2021 yıllarında yayınlanan “Nesnelerin İnterneti: Konsept, Uygulamalar ve Güvenlik” ve “İçeriden Gelen Tehditler: Operasyonel, Taktiksel ve Stratejik Perspektif” kitaplarının da yazarıdır. Lambert Akademik Yayıncılık. Milica aynı zamanda BrightTALK uzman kanalında da konuşmacı olarak yer alıyor. 2017’den beri ASIS International üyesidir ve 2018’den bu yana Avustralya Siber Güvenlik Dergisi’ne katkıda bulunmaktadır. Milica’nın araştırma çabaları Avrupa Birliği Bilgisayar Acil Durum Müdahale Ekibi (CERT-EU), Censys Press, BU-CERT UK ve EASA tarafından tanınmaktadır. Avrupa Havacılıkta Siber Güvenlik Merkezi (ECCSA). İlgi alanları siber savunma, teknoloji ve ticarettir. Milica engelli bir kişidir.