Sadece özel sektörde değil, endüstride de giderek daha fazla cihaz internete bağlanıyor. Bu, üretimi daha verimli ve giderek daha fazla otomatik hale getirerek maliyet ve işçilikten tasarruf sağlar. Nesnelerin İnterneti (IoT - Nesnelerin İnterneti) bu nedenle hızla yayılıyor ve bağlı cihazların sayısı önemli ölçüde artıyor.
Ancak IoT cihazlarına olan güvenin artmasıyla birlikte, güçlü siber güvenlik önlemlerine duyulan ihtiyaç daha da acil hale geldi. Milletvekilleri bunu kabul etti. Bu cihazlarda depolanan önemli verileri korumak için dünya çapında hükümetler, IoT cihazlarının standart güvenliğini iyileştirmek için düzenlemeler getirmiştir. Nelere dikkat etmelisiniz? Yönetmeliklere bir göz atmak yardımcı olur.
AB ve ABD'deki IoT düzenlemeleri
Amerika Birleşik Devletleri'nde IoT Siber Güvenliği İyileştirme Yasası 2020'de kabul edildi ve Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), IoT cihazları için bir standart oluşturmakla görevlendirildi. Mayıs 2021'de Biden yönetimi, ulusal BT güvenliğini iyileştirmek için bir yürütme emri çıkardı. Ardından, Ekim 2022'de Beyaz Saray, güvenlik seviyelerini belirtmek ve bir bakışta görünür kılmak için yönlendiriciler ve ev kameralarından başlayarak IoT cihazları için bir etiket tanıtan bir broşür yayınladı.
Avrupa Birliği'nde Avrupa Parlamentosu, bir ürünün CE işareti alıp Avrupa pazarına sunulmasından önce üreticilere çeşitli gereksinimler getiren Siber Güvenlik Yasasını ve Siber Direnç Yasasını tanıttı. Bu, ürün yaşam döngüsü boyunca siber saldırılar veya güvenlik açıklarıyla ilgilenmenin yanı sıra değerlendirme ve raporlama aşamalarını da içerir. Genel Veri Koruma Yönetmeliği (GDPR), AB'de faaliyet gösteren şirketler için de geçerlidir ve onları kişisel verileri korumak için uygun teknik ve kurumsal önlemleri uygulamaya mecbur eder.
Schlüsselelemente
Yönetmeliklere uymak için üreticiler aşağıdaki temel unsurları uygulamalıdır:
- Yazılım güncellemeleri: Üreticiler, aygıt yazılımı güncellemeleri olanağı sunmalı ve güncellemelerin, özellikle güvenlik yamalarının geçerliliğini ve bütünlüğünü garanti etmelidir.
- verilerin korunması: Yönetmelikler "veri minimizasyonu" kavramını izler, yani yalnızca gerekli veriler kullanıcının onayı ile toplanır, ancak hassas veriler güvenli ve şifreli olarak saklanır.
- risk değerlendirmesi: Geliştiriciler, tasarım ve geliştirme aşamasında ve CVE'leri (Ortak Güvenlik Açıkları ve Etkilenmeler) analiz etmek ve yeni güvenlik açıkları için yamalar yayınlamak dahil olmak üzere ürün yaşam döngüsü boyunca risk yönetimi yapmalıdır.
- Cihaz konfigürasyonu: Cihazlar, tehlikeli bileşenleri kaldıran, kullanılmadığında arayüzleri kapatan ve "en az ayrıcalık ilkesi" aracılığıyla işlemler için saldırı yüzeyini en aza indiren varsayılan bir güvenlik yapılandırmasıyla yayınlanmalıdır.
- Kimlik doğrulama ve yetkilendirme: Hizmetler ve iletişimler, kaba kuvvet oturum açma saldırılarına karşı koruma ve bir parola karmaşıklığı ilkesi ile kimlik doğrulama ve yetkilendirme gerektirmelidir.
- güvenli iletişim: IoT varlıkları arasındaki iletişimin kimliği doğrulanmalı, şifrelenmeli ve güvenli protokoller ve bağlantı noktaları kullanılmalıdır.
Ancak, bu düzenlemelere uyum, karmaşıklıkları nedeniyle zor olabilir. Süreci basitleştirmek için, UL MCV 1376, ETSI EN 303 645, ISO 27402 ve NIST.IR 8259 gibi çeşitli sertifikalar ve standartlar, düzenlemeleri pratik adımlara bölmek için getirilmiştir.
IoT cihazlarını olası tehditlere karşı korumak isteyen şirketler bu nedenle cihazlarını minimum çabayla koruyan ve IoT cihazına entegre edilebilecek bir risk değerlendirme hizmeti içeren çözümler kullanmalıdır. Bu şekilde, bir cihaz tüm kullanım ömrü boyunca BT tehditlerine karşı korunabilir. En iyi durumda, çözüm minimum kaynak gerektirmeli ve kodu değiştirmek zorunda kalmadan bir ürüne entegre edilebilmelidir. Bu sayede IoT cihazları güvenli bir şekilde çalışabilir ve bunlardan tam olarak faydalanabilir.
Daha fazlası Checkpoint.com'da
kontrol noktası hakkında Check Point Software Technologies GmbH (www.checkpoint.com/de), dünya çapında kamu idareleri ve şirketler için lider bir siber güvenlik çözümleri sağlayıcısıdır. Çözümler, sektör lideri kötü amaçlı yazılım, fidye yazılımı ve diğer saldırı türlerini algılama oranıyla müşterileri siber saldırılardan koruyor. Check Point, kurumsal bilgileri bulut, ağ ve mobil cihazlarda koruyan çok katmanlı bir güvenlik mimarisi ve en kapsamlı ve sezgisel "tek kontrol noktası" güvenlik yönetim sistemi sunar. Check Point, her ölçekten 100.000'den fazla işletmeyi korur.