Tüketici IoT güvenlik açıkları: Ara bağlantı, paylaşılan riskler anlamına geldiğinde

• Yazar:
• Yazar adı

  Kuantumrun Öngörüsü
• Temmuz 5, 2023

İçgörü vurguları

Nesnelerin İnterneti (IoT) sektörü yenilik yapmaya devam ederken, tüketicilerin varsayılan cihaz parolalarını güncellemeyi ihmal etmesi ve üreticilerin test edilmemiş özellikler sunması nedeniyle önemli siber güvenlik sorunlarıyla boğuşuyor. Bu zorluklar, kamuya açık güvenlik açığı açıklamalarının olmaması ve şirketlerin bunlarla başa çıkmak için net bir planı olmaması nedeniyle daha da artıyor. Risk yönetimi stratejileri olarak ifşa etmeme anlaşmaları, hata ödül programları ve Koordineli Güvenlik Açığı İfşası (CVD) bazı kullanımlar olsa da, güvenlik açığı ifşa politikalarının endüstri çapında benimsenmesi düşük seviyededir. 

Tüketici IoT güvenlik açıkları bağlamı

Ev asistanları ve akıllı güvenlik kameraları gibi cihazların avantajları olsa da IoT endüstrisinin siber güvenlik açısından kat etmesi gereken daha çok yol var. Tasarım ve altyapıdaki ilerlemelere rağmen, bu cihazlar siber saldırılara karşı savunmasız olmaya devam ediyor. Bu sorun, birçok tüketicinin cihazlarının işletim sistemlerini yükseltmek için en iyi uygulamaları bilmemesi gerçeğiyle daha da karmaşıklaşıyor. IoT Magazine'e göre, tüm IoT cihaz sahiplerinin yüzde 15'i varsayılan şifrelerini değiştirmiyor; bu, bilgisayar korsanlarının yalnızca beş kullanıcı adı ve şifre kombinasyonuyla ilgili tüm cihazların yüzde 10'una erişebileceği anlamına geliyor.

Diğer güvenlik sorunları, bu cihazların nasıl kurulduğuna veya bakımının yapıldığına bağlıdır. Bir makine veya yazılım güvensiz bırakılırsa (örneğin, yeni güvenlik güncellemeleriyle yama uygulanamaz veya son kullanıcılar varsayılan parolayı değiştiremez) bir tüketicinin ev ağını kolayca bir siber saldırıya maruz bırakabilir. Başka bir zorluk, bir geliştiricinin kapanması ve hiç kimsenin yazılımlarını veya platformlarını devralmamasıdır. 

Nesnelerin İnterneti saldırıları, makineye veya altyapıya bağlı olarak değişiklik gösterir. Örneğin, yazılım veya ürün yazılımı güvenlik açıkları, bilgisayar korsanlarının elektrikli araçların (EV'ler) güvenlik sistemlerini atlamasına izin verebilir. Bu arada, bazı IoT üreticileri, cihazlarına veya arayüzlerine, kapsamlı bir şekilde test etmeden genellikle yeni özellikler ekler. Örneğin, EV şarj cihazı gibi basit görünen bir şey, saldırıya uğrayarak az veya fazla şarj edilebilir ve bu da fiziksel hasarlara yol açabilir.

Yıkıcı etki

IoT Security Foundation tarafından 2020 yılında yürütülen bir ankete göre, IoT üreticilerinin yeterince yapmadığı alanlardan biri de genel güvenlik açığı açıklamaları sağlamaktı. IoT'ye bağlı cihazların güvenliğini artırmanın önemli bir yolu, araştırmacıların buldukları güvenlik açıklarını doğrudan üreticilere bildirmelerini kolaylaştırmaktır. Aynı zamanda şirketler, bu endişeler belirlendikten sonra nasıl yanıt vereceklerini ve yazılım yamaları veya diğer düzeltmeler için hangi zaman çerçevesinin beklenebileceğini iletmelidir.

Ortaya çıkan siber güvenlik tehditleriyle mücadele etmek için bazı işletmeler gizlilik anlaşmalarına güveniyor. Diğerleri, araştırmacıları hata ödülleriyle (yani, keşfedilen güvenlik açıkları için ödeme yaparak) cezbeder. Firmaların açıklamaları ve hata ödül programlarını yönetmek için elinde tutabilecekleri özel hizmetler de vardır. Riskleri yönetmek için başka bir teknik de, üretici ve araştırmacının bir sorunu düzeltmek için birlikte çalıştığı ve ardından kullanıcılara olası zararı azaltmak için hem düzeltmeyi hem de güvenlik açığı raporunu aynı anda yayınladığı Koordineli Güvenlik Açığı İfşasıdır (CVD). 

Ne yazık ki, bazı şirketlerin açıklamaları ele alma planları yoktur. Güvenlik açığı ifşa politikaları olan firma sayısı 13.3'de yüzde 2019'den 9.7'da yüzde 2018'e yükselirken, sektör benimsemesi genel olarak düşük kaldı (2022). Neyse ki, ifşa politikalarını zorunlu kılan artan düzenlemeler var. 2020'de ABD hükümeti, IoT sağlayıcılarının federal kurumlara satış yapmadan önce savunmasız ifşa politikalarına sahip olmasını zorunlu kılan Nesnelerin İnterneti Siber Güvenlik İyileştirme Yasasını kabul etti. 

Tüketici IoT güvenlik açıklarının sonuçları

Tüketici IoT güvenlik açıklarının daha geniş etkileri şunları içerebilir: 

• IoT üreticilerini ifşa politikalarına ve titiz ve şeffaf testlere sahip olmaları için düzenleyen hükümetler.
• Daha fazla teknoloji şirketi, ortak standartları kabul etmek ve cihazları birlikte çalışabilir ve giderek daha güvenli hale getirebilecek birleşik siber güvenlik protokolleri geliştirmek için birlikler kuruyor.
• Siber güvenliği artırmak için gelişmiş çok faktörlü kimlik doğrulama ve biyometrik tanımlama uygulayan akıllı telefonlar ve diğer kişisel tüketici cihazları.
• Dijital korsanlığı önlemek için elektrikli ve otonom araç siber güvenliğine artan yatırımlar.
• Suçluların şifrelenmemiş iletişim kanallarını ele geçirdiği daha fazla gizli dinleme saldırısı; bu suç eğilimi, daha fazla tüketicinin şifreli mesajlaşma uygulamalarını (EMA'lar) tercih etmesine neden olabilir.
• Özellikle eski cihazların kullanıcıları arasında, zayıf parola korumasından yararlanan daha fazla sosyal mühendislik saldırısı vakası.

Yorum yapılacak sorular

• IoT cihazlarınızın iyi korunduğundan nasıl emin olabilirsiniz?
• Tüketiciler IoT cihazlarının güvenliğini başka hangi yollarla artırabilir?