Nesnelerin interneti (Internet of Things) ya da kısa adıyla IoT günlük hayatımızda ciddi değişikliklere sebep olacak büyük bir dijital endüstriyel dönüşüm olarak nitelendiriliyor.
IoT, genel olarak, fiziksel nesnelerin internet bağlantısı için bir IP adresine sahip olup diğer internet erişimli cihazlar ve sitemler ile haberleşme halinde olması şeklinde tanımlanıyor.
Tanımlanan bu devrim çerçevesinde nesnelerin dünya üzerinde farklı lokasyonlarda olmaları kendi aralarında belirli bir protokol üzerinden iletişim kurmasına engel değil.
Gelişen IoT teknolojisi ile otomobiller arası iletişim sistemleri, hasta takip sistemleri, akıllı evler ve şehirler gibi uygulamaların yaygınlaşması öngörülüyor. Fakat Lostar CEO’su Murat Lostar’a göre bu dönüşüm önemli güvenlik tehditlerini de beraberinde getiriyor.
İLGİLİ LOG YAZISI >> CIA VAULT 7 BELGELERİ ÜZERİNE
Geçtiğimiz hafta Nesnelerin İnterneti Topluluğu (IoTxTR) etkinliği çerçevesinde konuşan Lostar, gelişmiş IoT teknolojisinin anlamanın yolunun büyük resme bakmaktan geçtiğini söyledi.
“Bugüne nasıl geldik ve neden buradayız, bu iki kavramı anlamak hem bugünü kavramamıza hem de bundan sonra ne olacağını anlamamıza yardımcı oluyor.” diyor Lostar.
1784 yılında buhar gücüne dayalı üretimle gerçekleşen Birinci Sanayi Devrimi ve 1870 yılında elektrik enerjisinin kullanımıyla başlayan İkinci Sanayi Devrimi’ni hatırlatan Lostar, 1969 yılında bilgisayar ve otomasyon ile Üçüncü Sanayi Devrimi’nin başladığını ve sanayinin son yıllarda Endüstri 4.0 ya da Sanayi 4.0 adıyla dördüncü evresine girdiğini aktardı.
Dördüncü sanayi döneminde geleneksel sanayinin dijitalleşme yönünde evrilip her biri farklı bilgisayar tarafından yönlendirilen makinelerin bir bütün olarak ana bilgisayarların kontrolüne gireceği ve bu şekilde fabrikaları makinaların yöneteceği öngörülüyor.
“Bu devrim hem temelde robotların artık kendi başına hareket edebilmesi otonom olması, hem de fiziksel dünya ile siber dünyanın birbirine yaklaşması durumu.”
IoT ile bilgi güvenliğinin yeni formülü ‘CIA-S’ olacak
Lostar’a göre IoT’nin hayatımıza girmesi bizleri yanına bir harf daha eklemek zorunda bıraktı .“S harfi ekledik yani safety (güvenlik).”
Tecrübeli CEO, gelişen IoT teknolojisinin güvenlikte de çok önemli değişiklilere sebep olduğunun altını çiziyor.
“Temelde veriyi konuştuğumuz için verinin üç önemli güvenlik özelliğinden bahsetmek zorundayız. Gizlilik, bütünlük, kullanılabilirlik, yani GBK, İngilizcesi ise CIA (confidentiality, integrity, and availability). Bunlar olmadan verinin güvenliğinden bahsedemeyiz.”
“IoT hayatımızın gerçeği ve gittikçe artacak” diyen Lostar’a göre bu IoT’yi tanımak ve anlamak için kabullenilmesi gereken ilk nokta.
Amerikalı teknoloji araştırma şirketi Gartner’ın dörde böldüğü IoT domainlerinden örnek veren Lostar’a göre, her IoT çözümü birbirinin aynı olmadığı gibi domainler de beklenti açısından birbirinden çok farklı.
Gartner, IoT domainlerini dikey pazarlar(endüstri, üretim perakende eğlence sağlık vb.), bina otomasyonu (akıllı binalar akıllı şehirler akıllı altyapı vb.), M2M (makinalar arası iletişim teknolojisi) bağlı ulaşım araçları ve bireysel üretim tüketim IoTler olarak ayırıyor.
Geçtiğimiz yıllarda yaşanan Mirai Botnet DDoS saldırısını ve TrendNet web cam saldırılarını örnek gösteren Lostar’a göre güvenlik zafiyetleri dört ana sebepten kaynaklanıyor.
“Sürat felakettir, ucuzluk, x-KISS ve standartlar.” diyor Lostar.
“2016 sonu itibariye 2.8 milyar tane cihaz olduğu öngörülüyor ve yine tahminlere göre 2020 sonunda birbiriyle bağlantılı 50 milyar cihaz olacak. Saatte bir milyon tane cihazın üretilmesi, kurulması ve devreye alınması gerekiyor. IoT ile ilgili bir fikri üretmek için bir saat kaybetmek bile size çok fazla pazar payı kaybettirebilir. Dolayısıyla çok hızlı olmak gerekiyor, ama hızlı olmak bir şeylerden feragat etmek anlamına geliyor. Bu da güvenlik oluyor maalesef.”
CEO’ya göre, güvenlik zafiyetlerinin diğer sebepleri ticari baskı ve karmaşık mimari yapı.
“KISS, yani Keep It Simple Secure, Basit ve kullanışlı ama güvenli olması gerekiyor.”
Güvenli ile ilgili en önemli sıkıntılardan bir diğeri ise çok fazla sayıdaki standartlar.
“Bir sürü standart görüyorsunuz. Bir sürü çözüm oyuncusu kendi standardını ortaya koymaya çalışıyor. Bu standartlara baktığımda iki problem görüyorum. Bir, çok sayıdalar, iki hiçbir tek standart bütün resmi kaplamayı başaramıyor. Bu da ne demek herhangi bir IoT çözümü yaratan ve IoT sistemi kullanmak isteyen kişinin bir çok standardı aynı anda değerlendirmesi gerekiyor.”
-Yöntem basit : Hızlı ve daha güvenli
Bütün bunların sonunda güvenliği nasıl sağlayacağız sorununa Lostar, iki temel çözüm öneriyor: hızlı ve daha güvenli.
“Hızlı olmak istiyorsak yöntem basit. Çözümü anlayın. Ben ne alıyorum, ne satıyorum. Saldırgan gibi düşünün. Ben saldırgan olsam ne yaparım. Bir güvenlik yaşam döngüsü hayata geçiriyor olmak gerekiyor.” diyor Lostar.
Detaylara dikkat edilmesi gerektiğini ve en zayıf halka insan faktörünün asla unutulmaması gerektiğine değinen Lostar, 7 tane çözüm maddesi öneriyor.
Lostar’a göre, bunlar IoT edinmeden önce ve aslında yeri gelince piyasaya sunmadan önce kendimize sormamız gereken 7 madde:
- Ürünün güvenli olması, kullandığımız ilgili iletişim katmanının güvenli olması ya da teknolojinin güvenli olması IoT çözümünün güvenli olması anlamına gelmez. Bütünün güvenliğini sağlamış olmam gerekiyor.
- Güvenlik bir yaşam döngüsüdür. Güvenliği öncelik haline getirin.
- Risk değerlendirmesi yapmak önemli ve bunu yapmak sadece güvenlik değil sosyal ticari teknik olarak da ürünü almadan önce son derece önemli.
- Esneklik çok önemli, çünkü bir şey olduğu anda hareket edebiliyor olmak lazım her zaman bir B planınız olsun. Özellikle hayatınızı IoT üzerinden yönetiyorsanız.
- Değişikliği IoT mimarinin bir parçası olarak düşünün ve çalışın. Bu son derece önemli. Teknolojiyi ‘aldık kullandık, çok iyiyiz’ demeyin. Ürünü düzenli olarak değerlendirin. Hala bu ürün ve teknolojiyle devam etmeliyim sorusunu sorgulamak çok önemli.
- Girmeden önce nasıl çıkacağınızı bilin.
- Uzaktan destek ve güncelleme becerisi var mı? Otomatik ve uzaktan yapılabiliyor olması gerekiyor, ve hackerın bunu yapamıyor olması lazım.
Siber Bülten abone listesine kaydolmak için doldurunuz!