YAYGIN IOT (NESNELERİN İNTERNETİ) GÜVENLİK SORUNLARI VE ÇÖZÜMLERİ NELERDİR?

IoT (Nesnelerin Interneti) altında bağlı bulunan cihazların çoğalmasıyla birlikte, siber güvenlik riskleri de artmıştır. Bu nedenle, cihazların IoT güvenlik sorunlarına karşı güvenli hale getirilmesi, üreticiler arasında önemli bir fark yaratacaktır.

Nesnelerin interneti’nin gerçek olduğunu söylemeye gerek yok. IoT’yi cazip kılan şey ise, olanak sağladığı çeşitli uygulamalardır. Allot’un yakın tarihli bir blog yazısına göre, IoT iki temel alanda sınıflandırılabilir: Birincisi; buzdolapları, kapı kilitleri, ampuller, izleme sistemleri gibi; akıllı evin parçaları olarak nitelendirilen tüketici IoT ile birlikte; fitnes grupları, akıllı saatler ve dronlar gibi tüketici/yaşam tarzı IoT; diğeri ise; elektrik, gaz ve kamu hizmeti veren şirketler tarafından kullanılan su sayaçları, ile bağlı araçlar, perakende, sağlık, nakliye ve tarımda kullanılan aygıtlar gibi cihazları içerecek şekilde, ağırlıklı olarak dikeylerine göre sınıflandırılmış kuruluş/işletme IoT. IP kameralar da IoT cihazları olarak düşünülebilir.

Bununla birlikte, IoT’nin günlük yaşamı ele geçirmesi ve daha rahat hale getirmesiyle birlikte, özellikle güvenlikle ilgili olmak üzere, yeni riskler de ortaya çıktı. Blog yazısı, bunun kısmen cihazların ucuz olmasından kaynaklandığını belirtiyor.

Yazıda, “IoT cihazlarının, doğası gereği, güvensiz olduğu, giderek daha da anlaşıldığı üzere, IoT güvenlik sorunları; son birkaç yıldır, artmaktadır” deniyor. “Bunun temel nedeni, bu cihazların ucuz; ve daha pahalı olsaydı çok hızlı bir şekilde popüler olamayacak olan; kullan-at eşyalar olma eğilimi göstermeleridir. Maliyetlerini düşük tutan şeylerden birisi, güvenli olmalarını sağlamak için yok denilecek kadar az yatırım yapmaktır.”

Yüksek Profilli Vakalar

Ve, yakın tarihte IoT cihazları tarafından zarara uğranmış olan, çok bilindik güvenlik vakaları, yapılabilecek zararların altını çiziyor ki, en kötü söhrete sahip olanı, 2016 yılında büyük tahribata yol açmış olan Mirai kötü amaçlı yazılımıdır.

Blog yazısı; “Mirai, ev yönlendiricileri ve İnternet bağlantılı kameralar gibi çevrimiçi tüketici IoT cihazlarını hedef aldı. 20 Eylül 2016’da, Mirai kötü amaçlı yazılımı, Fransız bulut bilgi işlem sitesi OVH’yi ve daha sonra aynı yıl, Amerika Birleşik Devletleri DNS (Alan Adı Sistemi) sağlayıcısı Dyn’i hedef alan, şimdiye kadarki en büyük Dağıtılmış Hizmetler Reddi saldırısında kullanıldı.” diyor.

Yazıya göre; hem ev, hem de kurum içi IoT ile ilgili diğer riskler arasında şunlar bulunmaktadır: veri güvenliği endişeleri, kişisel ve kamu fiziksel güvenlik riski, gizlilik sorunları ve IoT cihazlarının katlanarak büyümesini takiben veri depolama yönetimi.

Çözümler

Yazı; siber güvenlik tehditlerinin artması sırasında, IoT OEM (Orijinal Ekipman Üretici)’lerin, kendi ürünleri üzerindeki IoT riskini azaltmak için atabilecekleri birkaç adımın olduğunu söylüyor. “Örneğin, IoT cihaz üreticileri, güvenliği Tüm Geliştirme Aşamalarında birincil bir sorun haline getirebilirler. Ayrıca yaşam döngüsü cihaz güncellemeleri sağlayabilirler” diyor. “IoT cihazlarının gelişiminin artmasıyla birlikte güvenlik, muhtemelen pazar farklılaştırıcı unsur olacak. Yaşam boyu güvenlik geliştiricileri sunan internet kameraları satan bir şirket, bunu yapmayan rakip bir şirketten daha fazla satış biriktirecek.”

Yazı; üreticilerin yanı sıra, diğer paydaşların da siber saldırılara karşı korunmada rol oynaması gerektiğini belirtiyor. “IoT saldırılarına karşı korunmanın en iyi yolu, iletişim servis sağlayıcınıza, yalnızca IoT cihazlarınızı bağlamakla kalmayıp, IoT bağlantılarının yarattığı siber riskleri sistematik olarak hafifletmede büyük bir rol üstlenmesini sağlamaktır.” deniyor, eski bir Frost & Sullivan raporundan yapılan alıntıda.

Son olarak, yazı; ağın kendisindeki IoT saldırılarına karşı korumanın, hem işletmelere, hem de tüketicilere önemli faydalar sağladığını, ve bu faydaların aşağıdakileri içerdiğini öne sürüyor:

  • Cihazdan/son noktadan bağımsız merkezi çözüm;
  • IoT güvenliğinin tüm cihazlara toplu pazar aktivasyonu;
  • Küresel tehdit istihbaratını gerçek zamanlı olarak kullanma ve farklı türdeki veri tabanlarını ve teknolojilerini kullanma becerisi;
  • CSP (Bulut Hizmeti Sağlayıcı) uzmanları tarafından sağlanan koruma sorumluluğu, bu sorumluluğu tüketiciden uzaklaştırmak; ve
  • Tehdidi eve veya cihaza girmeden önce engelleme.

Kaynak: William Pao, a&s International