İngiltere, IoT cihazları için siber güvenlik standartlarını yasal olarak zorunlu kılan ilk ülke oldu. Geçtiğimiz günlerde yürürlüğe giren yeni yasalar, tüketicileri siber tehditlerden korumayı ve ülkenin yükselen siber suçlara karşı dayanıklılığını artırmayı amaçlıyor.
Ürün Güvenliği ve Telekomünikasyon Altyapısı (PSTI) rejimi kapsamında, üreticiler internet bağlantılı her ürüne güvenlik korumaları eklemekle yasal olarak yükümlü olacaklar. “admin” veya “12345” gibi kolay tahmin edilebilir varsayılan şifreler, geçmişteki saldırılarda sömürülen zayıflıkları önlemek amacıyla yasaklanacak.
Siber alandan sorumlu Bakan Viscount Camrose, “Bugünden itibaren, tüketiciler akıllı cihazlarının siber suçlardan korunduğundan daha büyük bir güvenceye sahip olacaklar, çünkü kişisel gizliliklerinin, verilerinin ve finanslarının güvende olacağını sağlayacak dünya çapında birinci sınıf yasaları hayata geçiriyoruz,” dedi.
Bu tür korumalara olan aciliyet açık. Tüketici savunucu grubu Which?’e göre, tipik bir akıllı ev, haftada 12.000’den fazla hacklenme girişimiyle karşılaşabilir ve sadece beş cihazda zayıf şifreleri tahmin etmeye yönelik yaklaşık 2.700 girişimle karşılaşabilir. İngiltere yetişkinlerinin %99’unun en az bir akıllı cihaza sahip olduğu ve evlerin ortalama dokuz bağlı ürüne sahip olduğu göz önüne alındığında, güvensiz IoT teknolojileri ciddi riskler oluşturuyor.
“İşletmeler, akıllı ürünlerin sürekli olarak siber saldırılara karşı korunmasını sağlayarak halkı koruma konusunda büyük bir rol oynamaktadır,” diyen NCSC siber güvenlik ajansı Ekonomi ve Toplum Müdürü Sarah Lyons. “Bu çığır açan yasa, tüketicilerin bilinçli kararlar almasına yardımcı olacaktır.”
Kolay tahmin edilebilir şifreleri yasaklamanın yanı sıra, yeni yasalar üreticilerden aşağıdaki şartları sağlamalarını da bekliyor:
- Güvenlik açıklarını bildirme politikalarını yayınlama
- Güvenlik güncellemelerini sağlama için minimum süreleri belirtme
- Yazılımı güvenli bir şekilde güncelleme mekanizmalarını sağlama
Which? politika direktörü Rocio Concha “Bu yasaların tüketicilere kişisel bilgilerini çalan hackerlardan önemli korumalar sağlamak için itici bir güç oldu. Ancak, markaların baştan itibaren müşterilere doğru davranmasını bekliyoruz.” dedi
Siber güvenlik standartları, İngiltere’nin £2.6 milyarlık Ulusal Siber Strateji’sinin bir parçası. Bunlar, siber tehditlerin IoT benimsenme oranlarıyla birlikte arttığı bir ortamda, İngiltere’yi çevrimiçi faaliyetler için en güvenli yer yapma taahhüdünü yansıtır – İngiltere evlerinin yarısından fazlasında artık akıllı TV’ler bulunurken, yaklaşık yarısı da sesli asistanlara veya giyilebilir teknolojilere sahip.
Yasa başlangıçta otomotiv endüstrisini de içeriyordu ancak hükümet şu anda internete bağlı araçlar için özel siber güvenlik düzenlemeleri için çalışıyor.
Danışmanlık şirketi Copper Horse’un CEO’su David Rogers, standartları memnuniyetle karşıladı: “Üreticiler, ürünleriyle ilgili olarak çabucak hacklenip ele geçirilebilecek kadar zayıf ve güvensiz ürünler sağlamamalıdır. Bu artık durdurulmalı.”
Yetkililer, “dönüştürücü korumaların” geliştirilmesinde endüstri işbirliğinin önemli olduğunu belirtti. Tüketiciler, uyumsuz ürünleri de düzenleyiciye bildirebilir. Ancak uygulamanın önemi oldukça büyük.
İngiltere’nin yasaları, IoT cihazları için tüketicilere yönelik siber korumaları yasalaştırmayı düşünen diğer ülkeler için bir örnek teşkil edebilir.
