2018 siber güvenlik açısından hareketli başladı. Dünyanın farklı yerlerinden güvenlik araştırmacıları, 90’lı yılların ortalarında üretilen bilgisayar çiplerinde bulunan kritik güvenlik açıklıklarını üretici şirkete bildirdi. Meltdown ve Spectre adı verilen güvenlik zafiyetleri istismar edildiğinde bilgisayarlarımızda güvenli şekilde saklandığını düşündüğümüz kripto anahtarlarına, parolalara ve kişisel dosyalara izinsiz erişim sağlanabiliyor.
Meltdown zafiyeti kullanıcı uygulamaları ve işletim sistemi arasına girip zararlı bir uygulamanın, belleğe ulaşmasına ve hafızada işlenen hassas veriye erişim imkanına sahip olmasına yol açıyor. Araştırmacılar bu zafiyeti barındıran, yamalanmamış bir sistemden veri sızdırılmaması gibi bir olasılığın bulunmadığını belirtiyor. Durumu daha vahim hale getiren ise, bu açıklığın cebimizdeki telefonlardan, bulut bilişim sistemlerine kadar birçok sistemi etkiliyor olması.
Daha çok uygulama katmanında çalışan Spectre ise, farklı uygulamalar arasındaki kapalı yapının kırılarak uygulamalardan veri sızdırmanın önünü açıyor. Meltdown zafiyeti yama işlemi ile önlenebilirken, Spectre zafiyeti işlemci mimarisindeki hatalardan kaynaklandığından giderilmesi için donanımsal değişiklikler gerekebiliyor.
Dünyayı sarsan gelişmeyi Siber Bülten’e değerlendiren Lostar güvenlik uzmanı Caner Filibelioğlu böylesine kritik iki zafiyetin bu zamana kadar bulunamamasına işaret ederek, siber güvenliğin gelişmesini bilimsel ilerlemeye benzetti. “Aslında bilgi güvenliği dünyası da bilim dünyası gibi birikerek ve bu birikimlerden ders alarak, gelişerek ilerlemekte. Dolayısıyla tıpkı bilim dünyası gibi siber güvenlik dünyasına da yön veren, trendi belirleyen topluluklar var. Benzer tesadüfler eminim olmuştur; olacaktır da. Bu kullanım sıklığı ile doğru orantılı bir durum. Ne kadar sık kullanılırsa o kadar hedef olur sistemler.”
Filibelioğlu’nun benzetmesini doğrulayan örnekleri bilim tarihinde bulmak mümkün. Örneğin 17 yüzyılın sonunda Değişkenler Hesabını (Calculus) birbirine yakın zamanlarda bulan Newton ve Leibniz gibi, 1920’lerde birbirinden habersiz 5 mühendisin televizyona benzer gereçler icat etmeleri de bu duruma verilen örnekler arasında sıralanabilir.
Meltdown ve Spectre örneklerinde de, dünyanın farklı yerlerinde birbirinden bağımsız güvenlik araştırmacıları Intel’e çiplerdeki açıklıkları birbiri ardına haber verdiler. Graz Üniversite’sinden çalışan Daniel Grüss, Moritz Lipp ve Michael Schwarz şirkete buldukları açıklığı bildirdiklerinde kendilerinin ilk olmadığını öğreniyorlar.
Açıklığı ilk bulan kişi şu anda Google’da güvenlik araştırmacısı olarak çalışan Jann Horn. 22 yaşındaki gencin, 2013 yılında Alman hükümetinin açtığı yarışmada kazandığı başarıdan dolayı Şansölye Merkel tarafından ödüllendirildiğini de not etmekte fayda var.
20 yaşında zafiyet olur mu?
Meltdown ve Spectre’nin 20 yıldan uzun bir süre boyunca ortaya çıkartılmaması sorumlu ifşa (responsible disclosure) tartışmalarını da beraberinde getirdi. Bu derecede kritik zafiyetlerin daha önceden keşfedildiğini fakat kamuoyu ile paylaşılmadığını düşünen uzmanların sayısı az değil. Caner Filibelioğlu da konuyla ilgili olarak bazı devletlerin istihbarat ajanslarının ismi geçen zafiyetleri önceden bulup istismar ettiğine inananlardan.
Zafiyetlerden korunmak için neler yapılmalı?
Zafiyetleri dijital hayatın vazgeçilmez bir unsuru olarak değerlendiren Caner Filibelioğlu, “Nasıl depremle yaşamaya alışmalıyız diyorsak, siber dünyada da zafiyetle yaşamaya alışmalıyız. Yüzde yüz güvenlik yoktur noktasından hareket edersek, atmamız gereken ilk adım mümkün olduğu kadar bu zafiyetlere karşı önlem almak olmalıdır.” ifadelerini kullandı.
Meltdown ve Spectre için alınacak tedbirleri sıralayan Filibelioğlu “ İnternet tarayıcılar için belli parametre ayarları var bunlar yapılmalı ve yamalar takip edilmelidir. Çıkan yamalar zaman kaybetmeksizin yüklenmeli ve bir sonraki zafiyet beklenmelidir.” dedi.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Lostar, son günlerde basında ve halk arasında konuşmaların bir parçası haline gelen Bitcoin’in arkasında yatan blok zincir için bir webinar düzenliyor.
23 Ocak günü Youtube’dan canlı olarak yapılan yayında Lostar CEO’su Murat Lostar, blok zincirle ilgili bir sunum yapacak. Sunumun başında blok zincirin nasıl çalıştığı bir örnek ile gösterilecek.
Lostar’dan yapılan açıklamada, “Peki, kurumsal dünyada blok zinciri nasıl kullanılır? Başarılı bir fikir için olmazsa olmazlar neler? Yeni bir blok zinciri fikrinin hangi kriterlerle değerlendirmeliyiz? Merak edenler için sunumun başında çok kısa ve öz bir şekilde, güzel bir DEMO ile blok zinciri çalışmasını da izleyebileceksiniz” denildi.
Webinar’a katılmak için şu adresten kayıt olabilirsiniz
İş sürekliliği, ticari kayıpların engellenmesi ve stratejik becerilerin geliştirilmesi açısından birçok organizasyon için hayati önem taşır hale geldi.
Henüz organizasyonların yeterince yoğunlaşmadıkları bir konu olmasına rağmen iş sürekliliği, kurumların deprem, sel, yangın, operasyonel iş krizleri gibi iş kesintisi yaratacak olumsuz durumlar sonrasında karar ve aksiyon mekanizmasını doğru ve plana uygun yürütmelerinde hayati önem taşıyor.
Uzmanlara göre gerçek, çalışır ve katma değer sağlayan bir iş sürekliliği planının yolu düzenli olarak gerçekleştirilmesi gereken tatbikat ve ilgili eğitimlerden geçiyor.
Konuyla ilgili Siber Bülten’e konuşan Lostar’ın Kıdemli Süreç Danışmanı Onur Karakuş , ISO 22301 Toplumsal Güvenlilik ve İş Sürekliliği standardıyla tanımlanmış olan İş Sürekliliği Yönetim Sistemi, gerçek bir kesinti durumunda kurumların minimum kesinti süresi ve operasyonel zararla süreci atlatmalarındaki asıl faktör.
“ İş sürekliliği tatbikatlarının asıl amacı gerçek bir iş kesintisi durumunda öngörülmüş ve daha önceden tanımlanmış olan iş sürekliliği planlarının ve bağlı aksiyonların ne oranda bir başarıyla ve verimle ortaya koyulabildiği ve bu aksiyonların işin devamlılığına olan gerçek katkılarının ölçülmesidir.”
“Böylece gerçek bir iş kesintisi yaşandığında daha önceden tatbikat ile birlikte öğrenilmiş aksiyonların ve tespit edilmiş olan eksikliklerin giderilerek gerçek bir iş kesintisine en doğru, en hızlı ve en verimli cevabın verilebilmesi mümkün oluyor,” diyor Karakuş.
-Bilgi ve farkındalık sağlıyor
Tatbikat , önceden planlanmış olan aksiyonların ne kadar başarılı olduğunu ölçerken, tatbikat sırasında ortaya çıkan eksiklikler veya öngörülememiş gereksinimler hakkında kurumlara bilgi ve farkındalık da sağlıyor.
Lostar’da Süreç Danışmanı olarak görev yapan Özgür Karademir’e göre ise tatbikat sayesinde öngörülmüş senaryolara ek olarak öngörülememiş senaryolar da ortaya çıkabiliyor.
“Örneğin gerçekleştirdiğimiz bir tatbikat sırasında bütün sistemleri ve gereksinimleri tasarlamamıza rağmen çok küçük bir noktada sorun çıktı. Mesela fotokopi makinası sayısının yetersiz olması ya da antetli kağıdın bulunmaması gibi. Bu tip durumlar tatbikatın yavaş ilerlemesine neden oldu ve bazı sıkıntılar yaşadık,” diyor Karademir.
Bunun gibi öngörülemeyen ve en küçüğünden en büyüğüne birçok olası problem tatbikatlar sayesinde ortaya çıkarılabiliyor.
Karakuş’a göre tatbikatın en önemli katkılarından bir diğeri ise kuruma ait iş süreklilik planları ve bunların uygulamaları ile ilgili çalışan farkındalığını arttırıyor olması.
“Bazen bir yangın tatbikatı yaparız, aslında bu bize çok gereksiz gelse de bir amacı vardır. Tatbikatı yaptıktan bir ay sonra tekrar bir yangın tatbikatı yaptığınızda çalışanlar bunu yaşamıştım hissine kapılır. Beyniniz ve kaslarınız bunu bir şekilde öğrenmiş hale gelir. Gerçek bir yangınla karşılaştığımız zaman ilk koşacağımız yer yangın kapısı ve yangın merdivenleri olur. Şimdi aynısını tatbikat yönetimi için de düşünmelisiniz,” diyor Karakuş.
İş sürekliliği tatbikatları iş kesintisi durumunda kritik süreçlerin operasyonunu götürmekle sorumlu kritik personel için antrenman görevi de görüyor.
Lostarlı uzmanlara göre, kurumlarda benzer senaryolarda ilk tatbikat ve ikinci tatbikat sonrasında iyileştirmeye açık yönlerin sayısında azalma görülüyor.
“İlk tatbikatı yaptığınız zaman 100 tane açık buluyorsanız, ikinci tatbikatı yaptığınızda bu sayı 50’nin altına düşebiliyor, diyen Karakuş’a göre tatbikat sıklığı da oldukça önemli.
Organizasyonların kurumsal dış çevresi, içinde bulunduğu sektör, coğrafi konum ve ülke, risk faktörleri ve çevresel faktörlerin durumuna göre, kurumların senaryolarını gözden geçirmesi ve güncellemesi gerekiyor ve tatbikatların en az yılda bir kere yapılması öneriliyor.
Karakuş’a göre tatbikat yönetim süreci önceden tanımlanmış olan ve koruma mekanizmasıyla aktive edilebilen bir iletişim zinciriyle başlamalı.
“İletişim zinciri başladıktan sonra bunu metaforik olarak bir domino taşını itmek gibi düşünebilirsiniz,” diyor Karakuş.
İş sürekliliğinin beyin takımı olarak tanımlanan danışman ekip, tatbikat esnasında tam kadro olarak yer alıyor ancak sürece kesinlikle müdahil olmuyor ve tatbikat yönetimine katılmıyor.
“Amaç, müşteri tarafına aktardığımız bilgi birikimini görebilmek yani kurumun kendi başına kesinti sürecini yönetebildiğini test edebilmek ve tatbikat sırasında görülen eksiklikleri müşteriye raporlayarak , sonraki tatbikatlarda daha verimli sonuç alınmasını sağlamak ,” diye ekliyor Karakuş.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Uzun yıllardır devam eden bekleyişin ardından geçen yıl Mart ayında TBMM’de kabul edilen Kişisel Verileri Koruma Kanunu (KVKK), 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak, 6 ay sonra 7 Ekim 2016’da yürürlüğe girmişti.
KVKK ile ilgili beklenen önemli Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliği ise 28 Ekim 2017 tarihinde Resmi Gazete’de yayımlandı.
Lostar Bilgi Güvenliği’nin Kurucu Genel Müdürü Murat Lostar, Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi konulu webinarda ilgili yönetmelik hakkında bilgi verdi.
Lostar’a göre, son çıkan yönetmelik bir buçuk yıldan fazla bir süredir hayatımızda olan KVKK’ya uyum sürecinde rehber niteliği taşıyor.
Yönetmelik maddelerini Bilgi Teknolojileri alanında neler yapılması gerektiğini açısından değerlendiren Lostar: “Bu yönetmelik aslında çok uzun bir yönetmelik olmamakla beraber hemen birinci maddesinin kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlediğini görüyoruz.” şeklinde konuştu.
Kurumların, KVKK’ya uyumlu hale gelmesini gereken bir yönetmelikle karşı karşıya olduklarının altını çizen Lostar, yönetmeliğin, veri saklama ve imha politikasına sahip olma ve veri saklama süreleri esaslarına dayandığını söyledi.
Kişisel verileri silme, yok etme veya anonim hale getirme sürelerini detaylandıran yönetmeliğe göre:
MADDE 11- (1) –Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.”
(2) Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez.
(3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.
Lostar’a göre Madde 11 bizlere şunu söylemek istiyor; kurumların artık kişisel veri temizliği yapma günleri olacak.
Kurumlar ilk etapta periyodik imha işlemi denilen bir gün belirleyecekler. Regülasyon, imha işleminin her altı ayda bir yapılması gerektiğini söylüyor.
Lostar’a göre bu durum, kurumların yılda en az iki kere bahar temizliği yapar gibi kişisel verileri temizleme gününün olacağı anlamına geliyor.
-Kişisel verilerin silinmesi
Kurumlar açısından kanun kapsamında bahsedilen, müşterilere ait toplanan kişisel veriler, çalışanlara ait kişisel veriler, kuruma özgeçmini yollamış ama beraber çalışmadığı kişilere ait veriler gibi çok farklı veri türleri var.
Lostar’a göre, bütün bu kişisel verilerin her biri için yani her bir kategori için öncelikle bir politika belirleyip ve bu politikada hukukçularla beraber çalışarak bir iş bitirme süreci işletiyor olmak gerekiyor.
Bu işlem için de yönetmeliğin sunduğu 3 yöntemden bahsediyor tecrübeli CEO. Bunlardan ilki Kişisel Verilerin Silinmesi.
Yönetmeliğin 8. Maddesi 1. Fıkrasına göre:
“Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.”
Lostar’a göre bu madde içinde anahtar kelime aslında ilgili kullanıcılar denilen yer.
Yönetmeliğin 4. Madde 1. Fıkrası (b) bendinde ilgili kullanıcı “verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler” olarak tanımlanıyor.
Lostar, bu iki maddenin birbirini tamamlayıcı nitelikte olduğunu söylüyor ve ekliyor:
“Biz verileri silerken, verileri aslında işleyen ve o verilerin işlenmesinden bir fayda sağlayan kişilere karşı kullanılamaz hale getiriyor olmamız gerekiyor. Burada bazılarımızın aklına şu gelebilir ‘ben bunu silerim daha sonra günün birinde ihtiyacım olursa da o zaman bilgi teknolojilerine bu bilgiyi yedeklerden vermesini söylerim.’
İşte orada da Madde 8, 2. fıkrası karşımıza çıkıyor:
“Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.”
-Kişisel verilerin yok edilmesi
Yönetmeliğin sunduğu yöntemlerden ikincisi ise Kişisel Verilerin Yok Edilmesi. İlgili maddeye göre:
MADDE 9 – (1) Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
(2) Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Bu maddeyi yorumlayan Lostar, maddede en çok dikkat edilmesi gerekenin ‘bilgilerin hiçbir şekilde erişilemez ve geri getirilemez’ kısmı olduğunu söyledi.
“Bilgi Teknolojileri açısından düşünürsek bizim ana sistemlerimizde sadece veriyi sildim demek yeterli değil, aynı zamanda bu verinin yedeklerden ve kopyalardan silinerek geri döndürülemez şekilde imha edilmesi anlamına geliyor. Son olarak da bütün eski ve yeni arşivlerimizden bu bilgilerin imha edilmesi anlamına geliyor. Buradaki düzenleme sadece elektronik ortamı kapsamıyor tüm fiziksel kopyalar için de geçerli,” diyor Lostar ve uyarıyor:
“Eğer kurumunuz herhangi bir veriyi geri getirmek isterse bu geri getirme işleminin sadece ve sadece ilgili kullanıcılar dışında yapılabilmesini garanti ediyor olmak gerekiyor.”
-Kişisel verilerin anonimleştirilmesi
Yönetmeliğin sunduğu üçüncü yöntem ise Kişisel Verilerin Anonim Hale Getirilmesi.
MADDE 10 – (1) Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Lostar’a göre, anonimleştirme kişisel veri ile kişi arasındaki bağın kesilmesi anlamına geliyor.
“Yani veriler bir yerde mevcut ama o verileri gerçek kişiyle ilişkilendirmek geri dönülmez bir şekilde mümkün değil demek.”
Anonimleştirmenin yararları ama aynı zamanda zorlukları da var. Bu yöntemin en önemli yararı eldeki bilginin hala katma değer sağlamaya devam ediyor olması.
Fakat, Lostar, her kurum anonimleştirme yaparken kendine ‘Ben bu anonimleştirdiğim veriyi bir başka yerde sahip olduğum bir veriyle birleştirerek tekrar kişiselleştirebilir miyim ya da teknik değimiyle de-anonimleştirmek mümkün mü?’ sorusunun cevabını veriyor olması gerektiğini söylüyor.
“Her anonimleştirmenin öncelikle o sisteme özgü yapılıyor olması gerekiyor ve bunu yaparken kurumdaki farklı bir bilgi ile tekrar birleşerek de-anonimleştirmenin mümkün olmadığını garanti etmek gerekiyor.” şeklinde açıklıyor Lostar.
-Veri silme, yok etme ve anonimleştirme kayıtları
Yönetmelikte geçen önemli konulardan bir diğeri ise bu verilerin silinmesi, yok edilmesi ve anonimleştirilmesi kayıtları üzerine.
‘Ben kaydın içine kimin verisini sildiğimi, yok ettiğimi ya da anonimleştirdiğimi yazarsam aslında bir kişisel veri yok ederken yeni bir kişisel veri yaratmış olmuyor muyum’ sorusuyla çok fazla karşılaştığını söyleyen Lostar, bunun sorunun veri imha politikası yoluyla çözülebileceğini ifade ediyor.
Veri imha politikası gereği, kurumların, tuttukları farklı kişisel veri türleri için her birinin ne sıklıkta ve ne kadar yaştan sonra hangi yöntemle ortadan kaldırılacağına ilişkin bir kayıt listesi olmalı.
Bu kayıtların üç yıl saklanması gerekiyor. Lostar’a göre kanunun üç yıl kuralının arkasındaki temel motivasyon, kurumların tabi tutulacakları denetimler aracılığıyla kanuna uygunluk açısından sorumluluklarını düzenli ve dönemsel olarak yerine getirmelerini sağlamak.
https://www.youtube.com/watch?v=3kjKr5NSWv4
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Nesnelerin interneti (Internet of Things) ya da kısa adıyla IoT günlük hayatımızda ciddi değişikliklere sebep olacak büyük bir dijital endüstriyel dönüşüm olarak nitelendiriliyor.
IoT, genel olarak, fiziksel nesnelerin internet bağlantısı için bir IP adresine sahip olup diğer internet erişimli cihazlar ve sitemler ile haberleşme halinde olması şeklinde tanımlanıyor.
Tanımlanan bu devrim çerçevesinde nesnelerin dünya üzerinde farklı lokasyonlarda olmaları kendi aralarında belirli bir protokol üzerinden iletişim kurmasına engel değil.
Gelişen IoT teknolojisi ile otomobiller arası iletişim sistemleri, hasta takip sistemleri, akıllı evler ve şehirler gibi uygulamaların yaygınlaşması öngörülüyor. Fakat Lostar CEO’su Murat Lostar’a göre bu dönüşüm önemli güvenlik tehditlerini de beraberinde getiriyor.
Geçtiğimiz hafta Nesnelerin İnterneti Topluluğu (IoTxTR) etkinliği çerçevesinde konuşan Lostar, gelişmiş IoT teknolojisinin anlamanın yolunun büyük resme bakmaktan geçtiğini söyledi.
“Bugüne nasıl geldik ve neden buradayız, bu iki kavramı anlamak hem bugünü kavramamıza hem de bundan sonra ne olacağını anlamamıza yardımcı oluyor.” diyor Lostar.
1784 yılında buhar gücüne dayalı üretimle gerçekleşen Birinci Sanayi Devrimi ve 1870 yılında elektrik enerjisinin kullanımıyla başlayan İkinci Sanayi Devrimi’ni hatırlatan Lostar, 1969 yılında bilgisayar ve otomasyon ile Üçüncü Sanayi Devrimi’nin başladığını ve sanayinin son yıllarda Endüstri 4.0 ya da Sanayi 4.0 adıyla dördüncü evresine girdiğini aktardı.
Dördüncü sanayi döneminde geleneksel sanayinin dijitalleşme yönünde evrilip her biri farklı bilgisayar tarafından yönlendirilen makinelerin bir bütün olarak ana bilgisayarların kontrolüne gireceği ve bu şekilde fabrikaları makinaların yöneteceği öngörülüyor.
“Bu devrim hem temelde robotların artık kendi başına hareket edebilmesi otonom olması, hem de fiziksel dünya ile siber dünyanın birbirine yaklaşması durumu.”
IoT ile bilgi güvenliğinin yeni formülü ‘CIA-S’ olacak
Lostar’a göre IoT’nin hayatımıza girmesi bizleri yanına bir harf daha eklemek zorunda bıraktı .“S harfi ekledik yani safety (güvenlik).”
Tecrübeli CEO, gelişen IoT teknolojisinin güvenlikte de çok önemli değişiklilere sebep olduğunun altını çiziyor.
“Temelde veriyi konuştuğumuz için verinin üç önemli güvenlik özelliğinden bahsetmek zorundayız. Gizlilik, bütünlük, kullanılabilirlik, yani GBK, İngilizcesi ise CIA (confidentiality, integrity, and availability). Bunlar olmadan verinin güvenliğinden bahsedemeyiz.”
“IoT hayatımızın gerçeği ve gittikçe artacak” diyen Lostar’a göre bu IoT’yi tanımak ve anlamak için kabullenilmesi gereken ilk nokta.
Amerikalı teknoloji araştırma şirketi Gartner’ın dörde böldüğü IoT domainlerinden örnek veren Lostar’a göre, her IoT çözümü birbirinin aynı olmadığı gibi domainler de beklenti açısından birbirinden çok farklı.
Gartner, IoT domainlerini dikey pazarlar(endüstri, üretim perakende eğlence sağlık vb.), bina otomasyonu (akıllı binalar akıllı şehirler akıllı altyapı vb.), M2M (makinalar arası iletişim teknolojisi) bağlı ulaşım araçları ve bireysel üretim tüketim IoTler olarak ayırıyor.
Geçtiğimiz yıllarda yaşanan Mirai Botnet DDoS saldırısını ve TrendNet web cam saldırılarını örnek gösteren Lostar’a göre güvenlik zafiyetleri dört ana sebepten kaynaklanıyor.
“Sürat felakettir, ucuzluk, x-KISS ve standartlar.” diyor Lostar.
“2016 sonu itibariye 2.8 milyar tane cihaz olduğu öngörülüyor ve yine tahminlere göre 2020 sonunda birbiriyle bağlantılı 50 milyar cihaz olacak. Saatte bir milyon tane cihazın üretilmesi, kurulması ve devreye alınması gerekiyor. IoT ile ilgili bir fikri üretmek için bir saat kaybetmek bile size çok fazla pazar payı kaybettirebilir. Dolayısıyla çok hızlı olmak gerekiyor, ama hızlı olmak bir şeylerden feragat etmek anlamına geliyor. Bu da güvenlik oluyor maalesef.”
CEO’ya göre, güvenlik zafiyetlerinin diğer sebepleri ticari baskı ve karmaşık mimari yapı.
“KISS, yani Keep It Simple Secure, Basit ve kullanışlı ama güvenli olması gerekiyor.”
Güvenli ile ilgili en önemli sıkıntılardan bir diğeri ise çok fazla sayıdaki standartlar.
“Bir sürü standart görüyorsunuz. Bir sürü çözüm oyuncusu kendi standardını ortaya koymaya çalışıyor. Bu standartlara baktığımda iki problem görüyorum. Bir, çok sayıdalar, iki hiçbir tek standart bütün resmi kaplamayı başaramıyor. Bu da ne demek herhangi bir IoT çözümü yaratan ve IoT sistemi kullanmak isteyen kişinin bir çok standardı aynı anda değerlendirmesi gerekiyor.”
-Yöntem basit : Hızlı ve daha güvenli
Bütün bunların sonunda güvenliği nasıl sağlayacağız sorununa Lostar, iki temel çözüm öneriyor: hızlı ve daha güvenli.
“Hızlı olmak istiyorsak yöntem basit. Çözümü anlayın. Ben ne alıyorum, ne satıyorum. Saldırgan gibi düşünün. Ben saldırgan olsam ne yaparım. Bir güvenlik yaşam döngüsü hayata geçiriyor olmak gerekiyor.” diyor Lostar.
Detaylara dikkat edilmesi gerektiğini ve en zayıf halka insan faktörünün asla unutulmaması gerektiğine değinen Lostar, 7 tane çözüm maddesi öneriyor.
Lostar’a göre, bunlar IoT edinmeden önce ve aslında yeri gelince piyasaya sunmadan önce kendimize sormamız gereken 7 madde:
Ürünün güvenli olması, kullandığımız ilgili iletişim katmanının güvenli olması ya da teknolojinin güvenli olması IoT çözümünün güvenli olması anlamına gelmez. Bütünün güvenliğini sağlamış olmam gerekiyor.
Güvenlik bir yaşam döngüsüdür. Güvenliği öncelik haline getirin.
Risk değerlendirmesi yapmak önemli ve bunu yapmak sadece güvenlik değil sosyal ticari teknik olarak da ürünü almadan önce son derece önemli.
Esneklik çok önemli, çünkü bir şey olduğu anda hareket edebiliyor olmak lazım her zaman bir B planınız olsun. Özellikle hayatınızı IoT üzerinden yönetiyorsanız.
Değişikliği IoT mimarinin bir parçası olarak düşünün ve çalışın. Bu son derece önemli. Teknolojiyi ‘aldık kullandık, çok iyiyiz’ demeyin. Ürünü düzenli olarak değerlendirin. Hala bu ürün ve teknolojiyle devam etmeliyim sorusunu sorgulamak çok önemli.
Girmeden önce nasıl çıkacağınızı bilin.
Uzaktan destek ve güncelleme becerisi var mı? Otomatik ve uzaktan yapılabiliyor olması gerekiyor, ve hackerın bunu yapamıyor olması lazım.
Siber Bülten abone listesine kaydolmak için doldurunuz!
