Bu yardımda net güvenlik görüşmesinde, Rob Ter Linden, CISO AT Signify, uyumlu altyapı, kolay cihaz yönetimi ve kuantum bilgi işlem ve yapay zeka gibi gelecekteki teknoloji için hazırlanan IoT güvenliği üzerinde çalışan CISO’lar için öncelikleri tartışıyor. Ayrıca IoT görünürlüğü, güvenlik ve yeni düzenlemelerle ilgili zorlukları da kapsamaktadır.
CISOS oluşturmak veya bir IoT güvenlik stratejisini geliştirmek için en iyi 3 öncelik ne olmalı?
1. Öncelikle, küresel beklentilerle eşleşen ve faaliyet gösterdiğiniz her pazardaki yerel yasal gereksinimleri karşılayan bir IoT altyapısı oluşturmak anahtardır.
2. Merkezi ve IoT cihazları gibi IoT altyapısı da kolayca yükseltilebilir ve bakımını yapmak ve uzaktan izlenebilmelidir.
3. Son olarak, böyle hızlı hareket eden bir alanda her zaman yeni zorluklar ve fırsatlar vardır. Kuantum hesaplamaya (kenar ve merkezi) hazırlanın ve AI yeteneklerini uygulamak ve bağlantı ile ilgili görevlerin ayrılmasını sağlamak.
Birçok kuruluş hala görünürlükle boğuşuyor. Kurumsal ortamlarda mevcut IoT varlık keşfi ve envanterinin mevcut durumu hakkında ne düşünüyorsunuz?
IoT ekosisteminin görünürlüğü, riski yönetme ve verimliliğin iyileştirilmesi açısından önemlidir, ancak zorlukları olmadan değildir. IoT cihazları genellikle eski yazılım ve donanım kullanır ve güvenlik yetenekleri (koruma) mevcut standartlara uygun değildir. Neyle uğraştığımızı bilmek açıkça önemlidir ve bu cihazları kurumsal ağlarda bulmak, esas olarak Wi-Fi bağlantısına güvendiği için bir iş olabilir. Uygun kimlik doğrulama da eksikse, cihazlar ağa kolayca eklenebilir; Bir BYOD Wi-Fi ağı sunarsanız, bu daha da fazla bir sorundur.
Bu tür IoT özellikli cihazların sayısı günlük olarak arttıkça ve ev, bina ve sokak aydınlatma ağlarına daha derin yerleşik hale geldikçe, güvenlik daha önemli hale gelir. Güvenlik, inovasyon, ürünler, sistemler ve hizmetlerimizin tüm yönlerinde yer almaktadır.
IoT’de ürün yazılımı ve yazılım güncellemeleri çok zordur. Özellikle eski veya uzun ömürlü cihazlarda bu boşluğu kapatmaya hangi stratejiler veya teknolojiler yardımcı oluyor?
Ayrı ağlar/kimlik doğrulaması uygulamak ve “sıfır güven” ağ mimarisinin uygulanması, her ağ bağlantısının potansiyel bir tehdit olarak ele alınması, başlamak için iyi bir yerdir. Bu cihazların izole edilmesi ve işler ters gittiğinde maruz kalma ve etkiyi sınırlamak kesinlikle çok önemlidir. Nihayetinde, yapılacak en iyi şey, her zaman mümkün olmayan veya uygun maliyetli olmadığını tanıdığım bu cihazların yerini almaktır.
AB CRA, ABD etiketleme girişimleri veya IoT siber güvenlik konusunda NIST rehberliğinden gelişen düzenlemelerden ne gibi bir etkiyi görüyorsunuz? Bir şeylere yardım ediyor mu yoksa karmaşık mı?
Bu etkinlik, IoT cihazları sağlayan şirketler arasında önemli bir farkındalık yaratır, bu da iyi bir şeydir, çünkü sonuçta güvenliğin olgunlaşmasını hızlandıracaktır.
Elbette, bazıları kıtaya özgü fakat aynı zamanda ülkeye özgü olan mevzuat nedeniyle, veri depolama veya altyapı barındırma ile ilgili kısıtlamalarla artan karmaşıklık vardır.
Kuruluşlar, endüstriyel ortamlarda otomatik sömürü veya derinleme sinyalleri gibi IoT’ye yönelik AI odaklı tehditlerle ne kadar endişe duymalıdır?
Diğer herhangi bir saldırı yüzeyinden farklı değil. BT güvenlik önlemleri, saldırganların sistemlere zarar vermesini ve kritik verilere, sistemlere ve hizmetlere erişmesini önlemek, tespit etmek ve yanıtlamak için mevcuttur. Saldırılardaki artış zaten orada ve burada kalmak için. Evet, endişelenmeliyiz. Ancak, her zaman olduğu gibi, odak noktamız çevik olmak, etkiyi sınırlamak ve esneklik yaratmak olmalıdır.