Ağa bağlı ürünlerin çoğalması ve rekabetçi bir endüstri, piyasayı güvenli olmayan akıllı cihazlarla doldurdu. Bu sadece sahipleri riske atmakla kalmaz, aynı zamanda kötü amaçlı faaliyetler için kullanılabilecek bot ağlarının oluşturulmasına da olanak tanır.
Güvenli olmayan akıllı cihazların verebileceği zararın sayısız örneği var. 2016 yılında, DDoS saldırılarını başlatmak için 2.000’den fazla yönlendirici ve akıllı kamera Mirai botnet’e dahil edildi. Aynı yıl, bilgisayar korsanları Finlandiya’daki apartman dairelerindeki akıllı ısıtma sistemlerini kapattı. Kaspersky kısa bir süre önce, 2021’in ilk yarısında nesnelerin interneti (IoT) cihazlarına yönelik 1,5 milyar saldırı olduğunu bildirdi; önceki altı aydaki sayının iki katından fazla.
2020 itibariyle, Birleşik Krallık’taki ortalama bir evde akıllı telefonlardan internete bağlı kapı zillerinden akıllı hoparlörlere ve tabletlere kadar ağa bağlı dokuz cihaz bulunuyordu. Ne yazık ki, bu cihazların güvenliği bazen zayıf olabilir ve potansiyel olarak sahiplerini saldırılara karşı savunmasız bırakabilir. Nesnelerin İnterneti Güvenlik Vakfı tarafından yakın zamanda yapılan bir araştırma, geçen yıl itibarıyla üreticilerin yalnızca %27’sinin güvenlik açıklarını ifşa edecek sistemlere sahip olduğunu ortaya koydu.
Yeterli siber güvenlik önlemlerini zorunlu kılan mevzuat uzun zaman önce geldi. Piyasa güçlerinin bu alandaki gelişmeleri yönlendireceği umulmuştu, ancak görünüşe göre durum böyle olmadı. Pen Test Partners’ın ortağı ve kurucusu Ken Munro, “Ortalama bir tüketici, gelişmiş siber güvenliğe dayalı ürünleri seçme konusunda bir anlayışa sahip değil” diyor. “Orada, PSTI Yasasının kısmen düzeltmek için tasarlandığı bir piyasa başarısızlığı vardı.”
Birleşik Krallık hükümeti, güvenli olmayan cihazların çoğalmasına karşı koymak ve ülkenin telekomünikasyon altyapısıyla ilgili hükümler çıkarmak için 2022 Ürün Güvenliği ve Telekomünikasyon Altyapısı (PSTI) Yasasını yürürlüğe koydu. Adından da anlaşılacağı gibi, yasa iki bölüme ayrılmıştır ve ilk bölüm cihaz güvenliğine odaklanmıştır. Buna, İlgili Bağlanabilir Ürünler Yönetmeliği 2023 için Güvenlik Gereksinimleri eşlik eder.
Bilim, İnovasyon ve Teknoloji Departmanı sözcüsü, “Yeni rejim, tüketici bağlanabilir ürünler İngiltere’deki müşterilere satışa sunulmadan önce dünyanın herhangi bir yerinde minimum siber güvenlik gereksinimleri gerektiren ilk rejim olacak” dedi.
“Önümüzdeki Nisan’dan itibaren, evrensel varsayılan ve kolayca tahmin edilebilir parolaların yasaklanması, cihazlardaki güvenlik açıklarını doğrudan üreticilere bildirmek için halka açık bir iletişim noktası ve bir ürünün güvenlik güncellemesi yaşam döngüsü için minimum süre hakkında bilgi sağlama gerekliliği dahil olmak üzere bir dizi dönüştürücü yeni önlem getirilecek.”
PSTI Yasası
PSTI Yasası, Birleşik Krallık’ta akıllı cihazlardan sorumlu kuruluşların en azından aşağıdaki hükümlere sahip olmasını zorunlu kılar:
- Cihazlarında varsayılan şifre yok.
- Güvenlik açığı açıklama politikası.
- Ürünün güvenlik güncellemelerini alacağı süre konusunda şeffaflık.
PSTI Yasası, bir ağa veya internete bağlı her şeyi dahil etmek için büyük çaba sarf ediyor. Bu, diğer şeylerin yanı sıra; akıllı telefonlar, giyilebilir ürünler, IoT cihazları, çocuk oyuncakları, internet yönlendiricileri, akıllı cihazlar ve ev yardımcıları.
PSTI Yasasının bir parçası olarak, Dışişleri Bakanı artık bir ağa veya internete bağlanabilen cihazlara güvenlik gereksinimleri uygulama yetkisine sahiptir. PSTI Yasasının ilk maddesi şöyledir:
- Güvenlik gereksinimlerini belirleme yetkisi
- Dışişleri Bakanı, aşağıdakilerin güvenliğini korumak veya geliştirmek amacıyla yönetmeliklerle gereklilikleri (“güvenlik gereksinimleri”) belirleyebilir:
- Birleşik Krallık’taki tüketicilere sunulan ilgili bağlanabilir ürünler;
- bu tür ürünlerin kullanıcıları
- Bir güvenlik gereksinimi, aşağıdakileri sağlayan bir gereksinimdir:
- ilgili bağlanabilir ürünlerle veya belirli bir tanımdaki ilgili bağlanabilir ürünlerle ilgilidir ve
- ilgili kişiler veya belirli bir tanıma sahip ilgili kişiler için geçerlidir.
- Dışişleri Bakanı, aşağıdakilerin güvenliğini korumak veya geliştirmek amacıyla yönetmeliklerle gereklilikleri (“güvenlik gereksinimleri”) belirleyebilir:
Ayrıca belirtmekte fayda var ki “ilgili kişiler” sadece akıllı ürün üreticileri ile ilgili değildir. Madde 7, ithalatçıların ve distribütörlerin de kullandıkları akıllı teknolojilerin uygun şekilde güvenli olmasını sağlamaktan sorumlu olduğunu belirtir. Bu nedenle kuruluşlar, Birleşik Krallık sınırları dışından daha ucuz ürünler ithal ederek üretim kısıtlamalarını atlatmaya çalışamazlar.
- ilgili kişiler
2. İlgili bir bağlanabilir ürünle ilgili olarak “ilgili kişi”, aşağıdakilerden herhangi biri anlamına gelir:
-
-
- ürünün üreticisi;
- ürünün ithalatçısı;
- ürünün distribütörü.
-
Dışişleri Bakanı’nın PSTI Yasasında sahip olduğu temel güç, üreticilere, ithalatçılara ve distribütörlere uygunluk bildirimleri yayınlama yeteneğidir. Siber güvenlik artık sadece tavsiye niteliğinde veya iyi bir uygulama değil, yasal olarak uygulanabilir.
Güvenlik gerekliliklerine uygunluğu kabul etme yetkisi
-
- Dışişleri Bakanı, belirtilen koşulların karşılanması halinde, ilgili kişinin ilgili bağlanabilir ürünle ilgili bir güvenlik gerekliliğine uyduğu şeklinde muamele görmesini yönetmeliklerle sağlayabilir.
- Alt bölüm (1) kapsamında belirtilebilecek koşullar, diğer şeylerin yanı sıra aşağıdakileri içerir:
-
-
- ürünün belirli bir standarda uygun olduğunu;
- ilgili kişinin belirli bir standardın getirdiği gereklilikleri karşılaması;
-
Belirlenebilecek standartlar, Birleşik Krallık dışındaki bir kişi veya kuruluş tarafından belirlenen standartları içerir.
Mevzuat dahilinde yenilenmiş ürün veya 2. el ürün dağıtımından söz edilmiyor. Şirketler genellikle artık garantileri tarafından desteklenmeyen eski ekipmanları satar ve sonraki geliri yeni ekipman için kullanır veya hayır kurumlarına bağışlar. Aynı şekilde; onarım, yenileme ve yeniden dağıtım, maliyet açısından verimli olurken, e-atıkları ve potansiyel olarak zehirli maddelerin düzenli depolama alanına gitmesini en aza indirir.
Bununla birlikte, eski cihazların geri dönüştürülmesi, potansiyel olarak bir ürünün ömrünü amaçlanan süresinin ve güvenlik güncellemeleri gibi ilgili üretici desteğinin ötesine uzatarak ürünü saldırılara karşı savunmasız hale getirebilir. Bilim, Yenilik ve Teknoloji Departmanı sözcüsüne göre: “İkinci el ürünler mevzuat kapsamında yer almasa da, yasa yenilenmiş veya yenilenmiş ve yeni olarak satışa sunulan ürünleri kapsayacaktır.”
Uyumluluk bildirimlerinin yalnızca gerçek ürün için değil, aynı zamanda akıllı cihazları üreten, ithal eden veya dağıtan kuruluşlar için de geçerli olduğunun farkında olmak önemlidir. Bu, ABD hükümetine yazılım tedarik eden tüm kuruluşların güvenli olmasını gerektiren Beyaz Saray Muhtırası M-22-18’e benzer.
PSTI Yasası ayrıca Dışişleri Bakanına Durdurma Bildirimleri ve Geri Çekme Bildirimleri düzenleme yetkisi verir. Bu yasanın kapsadığı herhangi bir kuruluş, ya belirli ürünleri satmayı bırakmaya ya da belirli ürünleri geri çağırmaya zorlanabilir. Bu, arabaların nasıl geri çağrılabileceğine benzer.
PSTI Yasasına Aralık 2022’de Kraliyet Onayı verildi ve 12 aylık bir ödemesiz süresi var, bu da kuruluşların mevzuat Aralık 2023’te tam olarak yürürlüğe girmeden önce gerekli sistem ve politikalara sahip olduklarından emin olmalarını sağlıyor.
Ödemesiz süre sona erdiğinde, PSTI Yasasına uymayan kuruluşlar sorumlu tutulacaktır. Mali cezalar, hangisi daha yüksekse, 10 milyon sterline veya kişinin dünya çapındaki gelirinin %4’üne kadar olan para cezalarını içerir.
PSTI Yasasının, yeni girişimlere ve gelişmekte olan teknolojilere fazladan bir mali yük ekleyerek yeniliği boğacağına dair endişeler var. Bununla birlikte, asgari güvenlik gerekliliklerini zorunlu kılarak, Birleşik Krallık’ın güvenlik duruşundaki yaygın bir zayıflığı hafifletirken, güvenlikte yeniliği teşvik edecektir.
“Yapacağı şey, piyasadaki bazı ucuz ve çok güvensiz ürünleri tamamen kaldırmak. Güvenlikte değil fiyatta rekabet eden rakipleri ortadan kaldırarak pazarı daha güvenli bir şekilde yönlendiriyor” diyor Munro. “Siber güvenlik yapmayan ve fiyatı yarı fiyatına olan bir markanın altını oymak için paraya mal olan iyi bir güvenlik kullanan büyük bir sağlayıcı için bu çok zor.”
PSTI, hükümetlerin siber güvenliğe yaklaşımında temel bir değişimin göstergesidir. 2019’da AB’nin Siber Güvenlik Yasası, BİT ürünleri ve hizmetleri için bir Avrupa siber güvenlik sertifikasyon çerçevesi oluşturdu ve AB Ağ ve Bilgi Güvenliği Ajansına kalıcı bir yetki verdi. Bir yıl sonra, Kaliforniya’da satılan cihazlardaki kullanıcı verilerini koruyan Kaliforniya Senatosu Yasa Tasarısı 327 yürürlüğe girdi.
“Bence AB siber güvenlik yasası daha kuralcı; gerekli standartlar açısından arkasında daha fazla ayrıntı var” diyor. “Üreticileri, IoT siber güvenliği için iyi bir standart olan ETSI EN 303 645 adlı bir standarda doğru itiyor.”
PSTI Yasası, her şeyden çok, mevzuatın kendisinde gereklilikleri dayatmak yerine, dışişleri bakanının ek materyaller aracılığıyla yayınlanan güvenlik gerekliliklerini yasal olarak uygulamasına izin veren bir düzenleyici çerçeve oluşturur. Bu, PSTI yasasının güvenlik teknolojilerindeki modern gelişmelere ayak uydurmak için kolayca güncellenebilmesini sağlar.
Munro, “Yönetmelik ve mevzuat harika, ancak kimse onları uygulamaya hazır değilse işe yaramaz” diyor. “Harekete geçmek için hazırlıklı olmalıyız, aksi takdirde PSTI Yasası boş bir yazı olacaktır.”