Akıllı araçlar, akıllı evler, neredeyse hepimizin sahip olduğu akıllı cihazların hepsi birbirine IoT(Internet of Things) ağları ile bağlı. Peki gelecekte bu ağların güvenliğinin sorumluluğu kimin olacak?
IoT, İnternet üzerinden diğer cihazlar ve sistemlerle veri alışverişi için sensörler, yazılımlar ve diğer teknolojilerle donatılmış fiziksel nesnelerin ağına denmektedir. Bunlar, gömülü sistemler, kablosuz sensör ağları, kontrol sistemleri, ev ve bina otomasyon sistemleri ve akıllı ev cihazlarının yanı sıra akıllı telefonlar ve akıllı hoparlörleri de içeriyor.
Dijital dönüşüm araştırma şirketi Transforma Insights’a göre 2019’un sonunda dünya çapında 7,6 milyar aktif IoT cihazı vardı ve 2030’da 24,1 milyar olacak.
2020 yılının yaşanan pandemi süreci içerisinde birçok değişikliğe ve dijital dönüşüme yol açtığını hepimiz çok iyi biliyoruz. Kurumsal firmalarda çalışan insanlar, uzaktan işlerini yürütmek amacıyla yine kurumsal ağlara kişisel cihazlarını bağlamışlardır. Bu bir yere kadar mantıklı görülse de bazı değişik örnekler de mevcut tabii. Küresel siber güvenlik firması Palo Alto Networks’ün 2020 IoT Güvenlik Raporuna göre oyuncak ayılar ve diğer oyuncaklar, egzersiz makineleri, oyun cihazları ve bağlı arabalar gibi spor ekipmanları örnek gösterilebilir.
IoT ağlarına bağlanan cihaz sayısı ve çeşitlilik, siber güvenliği uygulamayı giderek zorlaştırıyor, çünkü her cihaz potansiyel bir zayıf noktayı temsil ediyor. Örneğin, tıkanıklığa neden olarak, şehirleri kapatmak için çok sayıda bağlı arabayı hacklemek mümkündür.
Bilgisayar korsanlığının etkileri, ekipman arızasının veya kaçırmanın hayatları tehlikeye atacağı sağlık hizmetleri sektöründe muhtemelen en şiddetli olacağı alandır. Güvenlik tedarikçisi Tripwire’ın yazarı Anastasios Arampatzis, “Bağlantılı tıbbi cihazlar – WiFi özellikli infüzyon pompalarından akıllı MRI makinelerine – bilgi paylaşan cihazların saldırı yüzeyini artırıyor ve gizlilik riskleri ve potansiyel gizlilik düzenlemelerinin ihlali gibi güvenlik endişeleri yaratıyor,” diye yazdı.
Peki IoT cihazların güvenliği kimin sorumluluğunda? Bireysel cihazların veya ekipmanların satıcıları mı, ağın sahibi veya yöneticisi mi yoksa IoT ağını kullanan şirket veya kuruluş mu?
Küresel araştırma ve danışmanlık firması Gartner, 2024 yılına kadar CEO’ların yüzde 75’inin Gartner’ın siber-fiziksel sistemler (CPS) olarak adlandırdığı sistemlere yapılan saldırılardan kişisel olarak sorumlu tutulacağını tahmin ediyor. Gartner, CPS’leri “insanlar da dahil olmak üzere fiziksel dünya ile etkileşim kurmak için algılama, hesaplama, kontrol, ağ oluşturma ve analitiği düzenleyecek şekilde tasarlanmış sistemler” olarak tanımlıyor.
Operasyonel teknoloji, doğrudan izleme ve/veya kontrol yoluyla endüstriyel ekipman, varlıklar, süreçler ve olaylarda bir değişikliğe neden olan veya bunları algılayan donanım ve yazılımdan oluşur. Diğer bir deyişle, 2024 yılına kadar IoT güvenlik arızalarından CEO’ların yüzde 75’i sorumlu tutulabilir.
Neden CEO’lar?
CEO’lar, güvenlik ekipleri için yüksek bir standart belirleyemediklerinde veya bu standarda ulaşıldığından emin olmadıklarında kişisel olarak sorumlu tutulmalıdır. Teorik olarak ise sorumluluğu kimin elinde tutacağını netleştiren mevcut bir mevzuat yok.
ABD, Birleşik Krallık ve Kanada’daki işletme, hükümet, eğitim ve sağlık hizmetleri müşterilerine teknoloji çözümleri sunan CDW’ye göre, bilgi güvenliğine yönelik risk temelli yaklaşımlar, kuruluşların benzersiz çalışma ortamlarına, tehdit ortamlarına ve iş hedeflerine göre uyarlanmış stratejiler benimsemesine olanak tanır. Carpenter , “Risk her zaman denklemin bir parçasıdır,” dedi. “Sorun, kuruluşların veya CEO’ların riske karşı kabul edilemeyecek kadar yüksek bir toleransa sahip olması veya sadece kafalarını kuma batırmayı seçmeleri durumunda ortaya çıkıyor.” dedi.
Operasyonel teknoloji (OT) ve IoT güvenlik firması Nozomi Networks’ün kurucu ortağı Andrea Carcano, TechNewsWorld’e verdiği röportajda, IoT ağlarının güvenliğini sağlamak, tasarım gereği güvenli olan ve güvenliğe bütünsel bir yaklaşım benimseyen ürünlerin satın alınmasını gerektiriyor diye belirtiyor.
IoT cihazları tehlikeli olamayacak gibi görünse de saldırganların ele geçirebileceği ağa bağlı genel amaçlı bilgisayarlar olduğundan gerçek anlamda bir risk söz konusu. IoT cihazların daha güvenli hale getirmek içinse yapılabilecek birkaç şey var. IoT siber güvenliğinizi daha basit bir hale getirin. Güvenlik analizi gibi konularda ise daha akılcı çözümlerden faydalanın.
Şirketler bugünün dijital dünyasını, IoT çözümleri ile ileri bir seviyeye taşımakta. Fakat bu cihazların güvenlikleri sağlanmazsa çok ciddi siber sorunlar oluşabilir. Henüz IoT cihazların güvenliğinin kimin sorumluluğu altında olduğuna dair kesin bir yargı yok fakat şirketlerin IoT cihazlarının güvenliğini sağlamaları gerektiği ortada.