IoT Siber Güvenlik Yasası, Güvenlik Yükümlülüğünü Cihaz Üreticilerine Yüklüyor

IoT Siber Güvenlik Yasası, IoT profesyonellerinin cihazlara daha fazla güvenlik özelliği uygulaması için iyi bir başlangıçtır. Ancak varlıkların güvenlik açığı değerlendirmeleri ve açıklama programları da dahil olmak üzere proaktif önlemler yoluyla güvence altına alınması, kötü aktörlere karşı mücadelede daha geniş inşaatçı topluluğuna destek olabilecek seçeneklerdir.

Aralık 2020'de yasalaşarak imzalanan iki partili mevzuat Devlet parasıyla satın alınan herhangi bir Nesnelerin İnterneti (IoT) cihazının minimum güvenlik standartlarını karşılayın.

Kanun, hükümetlerin daha güvenli IoT cihazları bekleyebileceği anlamına gelse de cihaz güvenliğini artırma sorumluluğu inşaatçılara ve cihaz üreticilerine düşüyor.

İnşaatçıların Cihazların Güvenliğini Sağlamak İçin Hemen Harekete Geçmesi Gerekiyor

Her ne kadar daha geniş IoT ortamı, katı ve ortak güvenlik standartlarının eksikliği nedeniyle bazen Vahşi Batı olarak nitelendirilse de, hükümete hizmet sağlayanlar için güvenlik önlemlerinin uygulanması daha önemli hale geldi.

Ancak buna rağmen, IoT güvenlik yazılımı şirketi BG Networks'ün kurucusu ve CEO'su Colin Duggan, cihaz üreticilerinin siber güvenlik önlemlerini şimdi uygulamasının kritik öneme sahip olduğunu vurguladı. IoT cihazlarının kötü niyetli faaliyetler için ana hedefler olduğu konusunda uyardı.

Şu anda ve gelecekte suçluların ve düşman ulus devletlerin, tıpkı şu anda BT sistemlerindeki zayıflıkları ortaya çıkardıkları gibi, ağa bağlı IoT cihazlarındaki zayıflıkları arayıp ortaya çıkaracaklarına kesinlikle şüphe yok.

Duggan, kötü niyetli aktörlerin sürekli olarak hedeflerinin sınırlarını test ettiğini öne sürdü. Verkada güvenlik kamerası hacks İddia edilen bir ideolojik bakış açısının cihazlara sızma arzusunu tetiklemesi nedeniyle, bu aktörlerin arkasında açık bir motivasyona ihtiyaç duymadıklarını vurgulayın.

ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), Siber Güvenlik Çerçevesi, ancak herkese uyan tek boyutlu bir yaklaşım değildir.

İnşaatçılar ve cihaz üreticileri, bazı cihazların diğerlerinden daha güvenli olması gerektiğini unutmamalıdır; ya içerdikleri veriler daha hassastır ya da birçok IoT cihazı fiziksel şeyleri ve eylemleri kontrol ettiğinden ihlaller potansiyel güvenlik veya operasyonel sorunlara neden olabilir, dedi Duggan.

Vdoo'nun iş geliştirmeden sorumlu başkan yardımcısı Yaniv Nissenboim, Duggan'ı tekrarlayarak, cihaz üreticilerinin "şimdi bu yönergelere uyum sağlamaya" başlaması gerektiğini, böylece yeni düzenlemeler gerçekten şekillendiğinde harekete geçmeye ve bunları hafifletmeye hazır olabileceklerini belirtti.

IoT Siber Güvenlik Yasasının Uzun Vadeli Etkisi

Kısa vadede, IoT cihazlarının siber güvenliği artık sonradan akla gelen bir düşünce olarak görülmeyecek ve özel pazara örnek olarak gökyüzünde parlayan bir ışık verilecek.

Ancak yasanın uzun vadeli etkisi, cihaz üreticilerinin güvenlik uygulamaları hakkında daha fazla düşünmesine neden oluyor.

CyberArk'ın iş geliştirme direktörü Brian Carpenter, cihaz üreticilerinin ve üreticilerinin, beklemede olan bu düzenlemelerin nasıl uygulanacağını ve müşterilerin IoT cihazlarına ve bu cihazlardan gelen bağlantıları nasıl yönetip güvence altına alabileceklerini düşünmeleri gerektiğini vurguladı.

Carpenter, "Müşteriler risklerinin bir kısmını yöneten daha fazla silolanmış güvenlik çözümü istemiyorlar; bunu doğru bir şekilde yönetmek için risklerinin tek bir görünümüne ihtiyaçları var" dedi.

Güvenli ürün yazılımı güncellemeleri, yamalar ve kimlik yönetimi gibi artırılmış ve etkili önlemlere sahip cihazlar yaratan IoT geliştiricilerinin, müşterilerinin risk azaltma stratejilerine uyum sağlayabileceğini ve rekabet avantajı elde edebileceklerini söyledi.

İki partili ABD'li politikacıların haydut ulusların ülkenin teknolojik altyapısına müdahale etmesini engellemeyi amaçlayan çok sayıda düzenleyici değişiklik yaptıktan sonra inşaatçılar ve cihaz üreticileri bu mevzuatın odak noktası değildi. Bu sorun zamanla büyümüş olsa da, benzerlerinin neden olduğu tahribatı engellemeyi amaçlayan çeşitli mevzuatlar ile birlikte Rusya, Çin, Iran, ve Güney KoreBu özel değişiklik inşaatçılara uzun vadede kesinlikle yardımcı olacaktır.

Carpenter, güçlü güvenliği neyin oluşturduğuna dair yönergeler sunarak üreticilerin nihai olarak müşteri ihtiyaçlarını karşılaması gerektiğini ve NIST'in yönergelerinin federal veya eyalet düzeyinde yeni mevzuata dönüşmesinin muhtemel olduğunu öne sürdü.

Geniş Bir Tanım İyi Bir Tanımdır

Duggan, mevzuatın IoT cihazlarıyla ilgili tanımının "iyi olduğunu, çünkü ağ arayüzlerine sahip cihazların potansiyel olarak ağa güvenlik açıkları ekleyebileceğini" söyledi.

IoT Siber Güvenlik Yasası IoT cihazını neyin oluşturduğunun tanımı şunu belirtir: bir cihazın "fiziksel dünyayla doğrudan etkileşime girebilmesi için en az bir dönüştürücüye (sensör veya aktüatör) sahip olması ve en az bir ağ arayüzüne sahip olması gerekir."

Duggan, bunun, yasanın geniş bir ağ oluşturduğu anlamına geldiğini ve aynı zamanda 'siber güvenlik özelliklerinin uygulanması zaten iyi anlaşıldığından' akıllı telefonların veya dizüstü bilgisayarların yasaya dahil edilmediğinin açık olduğunu söyledi.

Ancak işaret ettiği sınırlama, devlet kurumlarını cihazlara siber güvenlik eklemeye zorlayacak özel bir yetkinin bulunmaması ile ilgiliydi.

Duggan, Birleşmiş Milletler Avrupa Ekonomik Komisyonu'na (UNECE) atıfta bulundu WP.29 otomotiv düzenlemeleriTemmuz 2024'e kadar tüm yeni üretilen araçların Tasarım gereği güvenlik yaklaşımına dayalı siber güvenliği içermelidir ve yazılım güncellemelerini gerçekleştirebilirler.

IoT Siber Güvenlik Yasası'nın "UNECE gereklilikleri kadar güçlü olmadığını" ve güvenliğin artırılması açısından UNECE'nin yaptıklarıyla eşleşmenin iyi bir adım olacağını belirtti. "Bu [UNECE] düzenlemesi, otomobillerde gerekli siber güvenliğin geniş çapta uygulanması için otomotiv endüstrisindeki değişimi zorluyor" diye ekledi.

Cihaz üreticileri ve imalatçılarına getirilen diğer sınırlamalar açısından Nissenboim, yasanın yalnızca federal hükümete IoT cihazları satan şirketler için geçerli olduğunu hatırlattı. Ancak buna rağmen eyalet hükümetlerinin ve özel işletmelerin de bu ilkeleri ve yönergeleri benimsemeye çalışacağını kabul etti.

"Buna ek olarak, geliştirilmekte olan uluslararası IoT siber güvenlik standartları ve düzenlemeleri giderek artıyor" dedi ve düzenlemelerin, çeşitli sektörlerde her yıl üretilen milyarlarca bağlı cihaz üzerinde daha yüksek güvenlik seviyelerinin uygulanmasına yardımcı olacağını ekledi.

IoT Siber Güvenlik Yasasında Hala Ele Alınması Gereken Sorunlar

Düzenlemeler gözlemciler tarafından övgüyle karşılanırken, cihaz üreticileri ve imalatçıları, özellikle de ABD hükümetine satış yapmayanlar için sorunlar devam ediyor.

İnşaatçıların, yasanın devam eden sonuçlarını değerlendirmek için geri çekilmeleri gerekiyor. Kanun onları cihazlarda güvenlik değerlendirmeleri yapmaya zorlamıyor ancak saldırı sayıları hızla arttıkça, ihlalleri saptırmak için rehberliğe ihtiyaç duyulabilir.

Nissenboim, bu tür analizlerin ve izlemelerin hem ürün güvenliği hem de bu önemli süreçleri üstlenmesi gereken mühendislik paydaşları tarafından otomatikleştirilmesi ve yönetilmesi gerektiğini söyledi.

CyberArk'tan Carpenter, IoT cihazlarına uzaktan bağlantıların donanım yazılımı güncellemeleri, kimlik bilgisi yönetimi ve bakımı açısından hala büyük bir zorluk teşkil ettiği konusunda uyardı.

Carpenter, nihai kılavuzlarda şu anda düzenlenmemiş konularla ilgili bazı konuları görme umudunu dile getirdi; "Özellikle işgücü çoğalmaya devam ederken" diye ekledi.