IoT Güvenliği Neden Hala Böyle Bir Sorun?
Nesnelerin İnterneti (IoT) cihazlarının zayıf güvenliğini aydınlatan araştırma raporları, endişe verici düzenlilik olarak tanımlanabilecek şeylerle ortaya çıkıyor. Zayıf parola kontrolüne dair hikayeler duyuyoruz, güvenlik ihlallerinin açıklamalarını okuyoruz ve ardından sık sık düzenleyiciler ve hükümetlerin , zayıf güvenliğe sahip cihazların piyasaya sürülmesini durdurmak için daha fazlasını yapmaları için çağrı duyuyoruz. Güvenlik sorunları bu kadar yaygın bir şekilde duyurulmuşken, sorun neden çözülmüyor ve harekete geçmenin sorumluluğu nerede?
Sorun neden devam ediyor?
IoT Güvenlik Vakfı’nın genel müdürü John Moor, bize IT Pro’ya IoT cihaz güvenliğinin veya eksikliğinin neden hala bu kadar yaygın bir sorun olduğunu açıklıyor. Birincisi piyasa ekonomisidir; satıcılar, bir iş veya endüstriyel ortamda on yıl veya daha uzun ömürlü olabilecek cihazlar için sürekli güvenlik desteğine yatırım yapmak konusunda isteksizdir.
Bir diğeri düzenleme eksikliğidir. “Genel fikir birliği, düzenlemenin gerekli olduğudur, ancak bunu düzeltmek çok zordur” diye açıklıyor. “Çıtayı çok düşük ayarlarsanız niyeti zayıflatır ve yanlış bir güvenlik hissi verebilir. Çıtayı çok yükseğe koyarsanız, pazarları ve yeniliği boğacaktır. ”
Moor’un üçüncü nedeni ne yazık ki cehaletti. “Bazı satıcılar, ürünlerine bağlantı eklemenin güvenlik sonuçlarını anlamıyor” diyor.
Yine de, oyunda dış görünümü olan sadece satıcılar değil. Hükümetler düzenleyici bir rol üstlenmeyi seçebilir ve IoT cihazları satın alanların da nasıl satın alacakları ve hangi cihazları satın almaya karar verecekleri konusunda bir seçim ölçüsü vardır.
Hükümetlerin rolü
Hükümetler ve düzenleyiciler için önemli bir zorluk , satın almanın uluslararası niteliğidir. Bir iş ortamında bile, bir IoT cihazının bir çevrimiçi satıcıdan sayfadan satın alınması oldukça muhtemeldir. Cihaz, IoT cihazları için farklı bir düzenleyici çerçeveye sahip bir ülkede üretilmiş olabilir veya hiç olmayabilir ve çevrimiçi satıcı, alıcıyla aynı ülkede bulunmayabilir.
Bu karmaşıklığın düzenlemeyi neredeyse imkansız hale getirdiği tartışılırken, Moor aynı fikirde değil: “Bu zor ama yapılabilir. Hükümetler, kaynak veya satın alma noktası ne olursa olsun iç pazarlar için sorumluluklar belirleyebilir. Örneğin, bir ürün ithalatçısı, onları yerel pazarlara sunmadan önce temel güvenlik özelliklerinin var olduğundan emin olacak şekilde düzenlenebilir. “
Ulster Üniversitesi’nde IEEE kıdemli üyesi ve siber güvenlik profesörü olan Kevin Curran, güvenlik uyumluluğunun temelini savunarak bu noktayı bir adım daha ileri götürüyor. “Sektör geliştikçe, bir bütün olarak sistemin birlikte çalışabilirliğini ve güvenliğini sağlamak için tutarlılık ihtiyacı daha da önemli hale geliyor” diyor. “Bu sorunu kökünden ele almak çok önemli, bu nedenle üreticilerin geliştirme aşamasında tüm cihazların temel güvenlik gereksinimlerini karşılamasını sağlamak, bir kuruluşun tek bir güvenlik açığı noktası aracılığıyla kolayca yararlanılabileceğine ilişkin korkuları gidermeye yardımcı olacaktır.”
Birleşik Krallık Hükümeti’nin önerdiği yeni yasa bir temel oluşturuyor. Context’in (Accenture Security’nin bir parçası) güvenlik dağıtım müdürü Paul Stone, tüketicilere yönelik IoT cihazlarının üreticilerini hedefliyor, diyor: “Davranış Kurallarının neredeyse tüm unsurları, tüketici ve işletme IoT cihazları için aynı şekilde geçerlidir.” Buna rağmen, toplama konusunda şüpheci yaklaşıyor: “Kendilerini rakiplerinden farklı kılmak için bir üreticinin çıkarına olsa da, herhangi bir üreticinin yönergeleri kamuya açık bir şekilde taahhüt ettiğini görmedim.”
Son kullanıcılar ne yapmalı?
Moor, işletmelerin proaktif olması gerektiğine inanıyor, IoT cihazı tedarikçilerinin yerinde iyi güvenlik uygulamalarına sahip olmasını ve güvenliğe kabul edilebilir düzeyde bağlılık göstermesini sağlıyor. Stone ayrıca iş alıcılarının sorumluluğunu da üstleniyor: “IoT ekipmanı satın alan işletmeler, üreticinin ürün güvenliğini ciddiye aldığına dair kanıt talep etmelidir. Bu, ürünlerin üçüncü bir tarafça test edilmesinin zorunlu kılınması ve Birleşik Krallık tarafından yayınlananlar gibi standartlaştırılmış güvenlik yönergelerine uymanın kamu taahhütlerini içerebilir. Böyle bir eylemin güçlü olduğunu düşünüyor ve ekliyor: “Nihayetinde, iyi bir güvenlik için bir işletme talebi veya gerekliliği, bir düzenleyici tarafından aralıklı olarak uygulanmasına göre standartları yükseltmede daha etkili olacaktır.”
Bu tür davranışlar yaygınlaşırsa endüstri değişikliğine neden olabilir. Gerçekten de Curran, çok geçmeden bir değişiklik göreceğimiz konusunda iyimserdi ve şunları söyledi: “IoT güvenliğinin standardizasyonunun halihazırda geliştirilmiş olan diğer teknolojilere yetişmesi gerekecek, ancak artan uzaktan çalışma nedeniyle işletmelerin hızla benimsemesiyle bu büyük olasılıkla önemli bir hızda gerçekleşir.”
Makalenin Orjinal Kaynağı: https://www.itpro.co.uk/network-internet/internet-of-things-iot/357758/why-is-iot-security-still-such-a-problem