[show_avatar email=227 align=center show_name=true show_biography=true avatar_size=93]
IoT, önümüzdeki birkaç yıl içinde şirketler için ölüm-kalım meselesi olacak. El üstünde tutup iyi değerlendirenler, başarıdan başarıya koşacaklar. Çar çur edip bilinçsizce adım atanlar ise, toplu halde şirketten kopan iş ortaklarına ve çalışanlarına uzaktan el sallamak durumunda kalacaklar.
Son zamanların moda sözcüklerinden biri de IoT, yani Nesnelerin İnterneti. Şu anda sunduğu sınırsız iş fırsatlarından toplumsal faydalara kadar iş hayatının popüler konu başlıklarından biri haline gelmiş durumda. Tabii gizlilik ve veri güvenliği konusundaki etkileri de aynı oranda tartışmaya açık.
Aslında IoT uzun bir yolculuğun ufak bir parçası. Dünya, IoT aracılığıyla Makineden Makineye (M2M) iletişimden Her Şeyin İnterneti’ne (IoE) geçiş yaparken, karşımıza bu eğilimi tetikleyen üç kritik unsur çıkıyor: Dünya çapında birbirine bağlı cihazların hızla artması, platformlardan bağımsız uygulamaların her geçen gün çoğalması ve milyarlarca farklı cihazı zahmetsizce ve ucuz bir şekilde birbirine bağlayan ağ teknolojilerinin olgunlaşması…
IoT bu geçiş sürecinde gerçek zamanlı iç görülerden 7/24 hizmet sürekliliğine, otomasyondan maliyet tasarrufuna kadar pek çok avantaj sunuyor. İşletmeler, kamu kurumları ve tüketiciler bir bütün olarak IoT’un getirisinden faydalanabiliyorlar.
IoT ile ilgili pazar fırsatları sınırsız. Örneğin Gartner, 2020 yılında birbirine bağlı cihazların sayısının 26 milyar olacağını öngörüyor. IoT ürün ve servis sağlayıcıların ise, yine 2020’de 300 milyar dolardan fazla gelir artışı sağlayacağını tahmin ediyor. IDC de IoT çözümlerinin oluşturacağı pazarın, 2013’teki 1.9 trilyon seviyesinden, 2020’de 7.1 trilyon dolar seviyesine çıkacağını öngörüyor.
IoT ile Veri Kaybı Riski
IoT iş yapma biçimlerimizi de zaman içinde değiştirecek. İnsanlarla iletişim kurma şekillerinden tutun da yaptığımız işlemlerin doğasına kadar pek çok süreç dönüşüm geçirecek. IoT ile birlikte yenilikçi pek çok çözüm ve hizmet de devreye girecek.
Geleceğe yönelik tüm bu umut verici gelişmelerin bir de karanlık tarafı var: Güvenlik riskleri daha fazla olacak. Çünkü IoT, her şeyden önce bilgilerin ve işlemlerin büyük bölümünü online’a yüklediği için verilerin ele geçirilmesi çok daha kolay olacak. IoT cihazlarının yaygın bir şekilde kullanılması ağ güvenliğini de tehditlerin meydana getirebileceği olumsuz etkilere açacak. Aynı zamanda IoT cihazlarındaki yazılımların güvenlik seviyesinin yeterince iyi olmaması, bilgisayar korsanları tarafından bilgilerin daha kolay ele geçirilmesine yol açacak.
Müşterilerin ve çalışanların şirketlerden kişisel verilerini korumalarını beklediği bir çağda bu gerçekten de ölümcül bir kombinasyon olabilir. İşletmeler bugün yalnızca kendi iş değerlerini değil, aynı zamanda müşteri ve çalışanlarının tazminat, varlık durumu, satın alma ve arama geçmişi gibi hassas bilgilerini de güvenlik altına alma sorumluluğunu üstlenmek durumunda. Dünya çapında bu anlamda ciddi bir dönüşüm gerçekleşiyor: Müşteriler, artık yalnızca kredi kartlarının yetkisiz kullanımına karşı korunmuyor; kişisel bilgileri ve gizlilikleri de esas alınıyor. Bu yükümlülükleri yerine getirmeyen işletmeler ise geleceklerini önemli ölçüde riske atmış oluyorlar.
Fortinet’in dünya çapında yürüttüğü IoT ile ilgili güncel bir ankette, katılımcıların yüzde 62’si, evlerindeki bir IoT cihazının gizliden gizliye kendileriyle ilgili bilgileri topladığını ve üçüncü partilerle paylaştığını öğrenmeleri durumunda, “haklarının resmen çiğnenmiş olduğunu ve konuyla ilgili yasal işlemleri başlatacak kadar kızgın olacaklarını” dile getiriyor. Bilinen bir IoT cihazının verileri toplaması durumunda da, katılımcıların yüzde 66’sı yalnızca kendilerinin ya da bizzat izin verdikleri üçüncü partilerin bu bilgilere erişme hakkı olduğu konusunda ısrar ediyor.
IoT Cihazları Kolaylıkla Hacklenebiliyor
IoT cihazları hackerlar için çocuk oyuncağı çünkü her şeyden önce çok sayıda açık kaynak kodlu modül ve ortak kitaplık ile çalışıyorlar. Ayrıca eskilere oranla daha fazla güvenlik açığı barındıran Universal Plug n Play (UpnP) gibi daha yeni protokolleri kullanmaya eğilimliler.
İkincisi, IoT üreticilerinin çoğu güvenliği ön planda tutarak ürünlerini geliştirmiyorlar. Bu nedenle cihazların ele geçirilme riskine karşı herhangi bir müdahale mekanizması da yer almıyor.
Örneğin; Microsoft ve Adobe gibi daha büyük yazılım sağlayıcılar bugüne kadar saldırıların temel hedefi olmuşlardır ve bu yüzden de güvenli gelişim yaşam döngüleri ile bunlara uygun yamalar geliştirmişlerdir. Yazılımları herhangi bir saldırıya uğradığında, ürün güvenliği müdahale timleri (PSIRT) anında devreye girip soruna çözüm getirirler.
Bu büyük yazılım sağlayıcılar, aynı zamanda saldırıların başarıya ulaşmasını engellemek amacıyla ürünlerine daha fazla güvenlik denetimi eklerler. Örneğin Adobe Reader’a sandbox eklenmesinin nedeni, olası bir saldırıya daha fazla direnç sağlamaktır. IoT cihazları, bu tür sağlam denetimlerle desteklenmez. Önümüzdeki yıllarda IoT cihazları arasındaki entegrasyonun ve karışıklığın artmasıyla birlikte, güvenlik açıkları da artacak. Bu açıkların büyük bölümü de, IoT cihazlarını kontrol altında tutan kullanıcı arayüzlerinde geleneksel web tabanlı açıklar olacak.
Fortinet’in tehdit araştırma ekibi FortiGuard Laboratuvarları, hackerların son zamanlarda IoT gibi geleneksel olmayan hedefler üzerinde denemeler yaptığını tespit etti. Bugüne kadar saldırıların sayısı çok fazla olmasa da, önümüzdeki aylarda ciddi bir artış bekleniyor. IoT cihazlarına yönelik saldırılar şu an için direncin en az olduğu alanlardan biri. Hackerlar da bunu fırsata dönüştürebileceklerinin farkındalar çünkü herhangi bir saldırı anında yama geliştirebilen ve IoT güvenlik sorunlarını çözebilen doğru düzgün PSIRT ekiplerinin olmaması, işlerini kolaylaştırıyor. Saldırılarının etkisi de doğal olarak uzun sürüyor. Eğer bir cihaz bir diğer cihaza bağlıysa, depolama alanı, bellediği ve işlemcisi varsa, saldırı için mükemmel bir adaydır. Çoğu zaman bu IoT cihazı, dâhili ağ içinde gerçekleşecek ikinci bir saldırı için bir “ön saldırı” işlevini görür.
IoT cihazlarının çoğunda anti-virüs denetimleri yoktur. Fakat bu denetimler olsaydı bile, IoT ekosisteminin boyutu ve çeşitliliği sürecin yönetimini bütünüyle zorlaştıracaktı.
Bu nedenle ağ tabanlı incelemeler IoT için öncelikli adımlardan biri olmalı. Her ağın, geleneksel olmayan bu platformlar için geliştirilen kodu denetleyebilecek akıllı bir güvenlik teçhizatıyla donatılması gerekiyor. Biz buna, IoT ile birlikte ölçeklenebilen, “platform bağımsız denetim” adını veriyoruz.
Her bir veri talebi üzerine bu güvenlik teçhizatının üç temel tespiti yapması gerekiyor: Kullanıcının kim olduğu, nereye yöneldiği ve hangi veriye ihtiyacı olduğu… Ağın, politikaları ve denetim uygulamalarını yerine getirmesi ve veri kayıplarını engelleyebilmesi için, güvenlik duvarı, saldırı önleme, web filtreleme ve kötü amaçlı yazılım önleme çözümleri gibi geleneksel ağ koruma teknolojilerini de kapsaması gerekiyor. Daha da önemlisi, artan yüzey saldırıları nedeniyle bu içeriğin denetlenmesi, incelenmesi gerekiyor. Bugünlerde tehditler hemen her şeyin ardına gizlenebildiği için onları meşru trafik akışlarına gizlenmiş şekilde bulmak çok da zor değil.
İşletmeler, yalnızca akıllı çözümler, iyi tasarlanmış güvenlik politikaları ve her an tetikte olan BT güvenlik personeliyle IoT güvenliğini sağlayabilir ve ticari faaliyetlerini dengeli bir şekilde sürdürebilirler.