Avustralya hükümeti, IoT’nin iyi duyurulan güvenlik eksikliğini artırmak için bir uygulama kodu hazırladı.
2016’da DNS sağlayıcısı Dyn’e devasa Mirai botnet saldırısı yıkıcı olsa da, elde ettiği olumlu bir şey, IoT cihazlarının zayıf güvenliği hakkında farkındalığı arttırmaktı.
Bu yüksek profilli olaydan beri hükümetler, IoT cihazlarının tehlikeye atılmasını önlemek için fikirler bulma çabalarını ikiye katladılar. Avustralya için bu, bugün Uygulama Yasası’nın yayınlanmasıyla sonuçlandı : Tüketiciler için Nesnelerin İnterneti Güvenliğini Sağlama .
Mirai’nin ve aslında diğer botnet’lerin bu kadar çok sayıda IoT cihazını kolayca ele geçirebilmelerinin ana nedenlerinden biri, varsayılan şifreleri kullanmalarıdır.
En yüksek öncelikli üç öneri arasında yinelenen varsayılan veya zayıf şifre yoktur. Kalan ikisi:
- Cihaz üreticileri, uygulama geliştiricileri ve servis sağlayıcıları ile bir güvenlik açığı açıklama politikası uygulamak.
- Ürün yazılımı da dahil olmak üzere yazılımı güvenlik yamalarıyla güncel tutma.
İlk üç öneri açık görünse de, çoğu zaman gözden kaçırılırlar.
Sonraki üçünün yüksek bir öncelik olduğu görülüyor, ancak ilk üçlünün kapsamına göre değil:
- Kimlik bilgilerini ve güvenliğe duyarlı verileri güvenli bir şekilde saklayın.
- Kişisel verilerin korunmasını ve aktarılan ve beklemedeki verilere “yeterli endüstri standardı” şifrelemenin uygulandığından emin olun.
- Giriş verilerini “yetkili ve beklentilere uygun” olacak şekilde doğrulayın.
Kağıdın üç sayfasını kapsayan toplam 13 ilke vardır. Dikkate değer diğer öneriler:
- Potansiyel saldırı yüzeylerini en aza indirme.
- Yazılım, güvenli önyükleme mekanizmalarıyla doğrulanmalıdır.
- Sistemlerin bir kesintiye dayanıklı olmasını sağlayın.
- Kullanıcılara kişisel verilerle ilgili açık talimatlar verin.
- Anormallikler için telemetri verilerini izleyin.
- Cihaz kurulumunu ve bakımını basitleştirin.
İçişleri Bakanı Peter Dutton, “Uygulama Kurallarını halkın katılımı için yayınlıyoruz çünkü tüm Avustralyalıların siber güvenlik konusundaki beklentilerinin karşılanmasını sağlamak istiyoruz” dedi.
“Beş Göz ortağımızla birlikte, üreticilerin tasarımla yerleşik güvenlikle bağlantılı cihazlar geliştirmesi beklentisini paylaşıyoruz.”
Five Eyes, Avustralya, Yeni Zelanda, İngiltere, Kanada ve ABD arasındaki istihbarat paylaşımı ilişkisidir.
