Article

Manşet
Yazı
Marcelo Hector Gonzalez, CISA,
CRISC, Arjantin’de faaliyet yürüten
bankalardaki BT ortamı ve iç
kontrolü denetlemektedir. Ayrıca,
uluslararası finans kurumları için,
Arjantin dışındaki sınır-ötesi veri
işlemlerinin denetlenmesinden
sorumludur. Elektronik bankacılık
en iyi uygulamaları konusunda
birçok kitapçık yayınlamış olan
Arjantin Cumhuriyeti Merkez
Bankası Elektronik Bankacılık
Kurulunun bir üyesidir. Gonzalez’e
[email protected]
adresinden ulaşabilirsiniz.
Jana Djurica Sırbistan Ulusal
bankasında, Sırbistan finans
sektörünün BT yöneticisi olarak
çalışmaktadır. BT yönetişimi, risk
değerlendirme, iç BT denetimi, BT
güvenliği, iş süreklilik yönetimi,
felaket kurtarma planlaması,
Bilgi Sistemleri geliştirme ve
BT dış kaynak kullanımı gibi BT
alanlarında denetim tecrübesi
olan bir BT uzmanıdır. Djurica’ya
[email protected]
adresinden ulaşabilirsiniz.
.
Bu yazı
ile ilgili
yorumunuz
var mıdır?
ISACA’nın web
sayfasından dergi
sayfalarına ulaşıp
(www.isaca. org/journal),
yazıyı bulun, ilgili yorum
sekmesini seçin ve
düşüncelerinizi paylaşın.
Yazıya ulaşın :
Nesnelerin İnterneti Büyük Fırsat Sağlarken,
Daha Çok Risk Ortaya Çıkarır
Nesnelerin İnterneti (IoT) için, birbirinden
az farklı nüanslara sahip, birçok tanım vardır.
Bazıları IoT’yi, mevcut İnternet alt-yapısı içinde
tümleşik veri işleme cihazlarının, benzersiz
şekilde tanınmalarını sağlayabilen ara-bağlantısı
olarak tanımlarken; diğerleri IoT’nin İnternete
bağlı olan elektronik aletleri temsil ettiğinden
bahseder, ancak çok daha fazla tanım mevcuttur.
Şimdiye kadar olan tanımlardan en mantıklısı
şudur; “IoT, nesneler, hayvanlar veya insanlara
benzersiz belirteçlerin ve verileri, bir ağ
üzerinden insan-insan veya insan-bilgisayar
etkileşimi gerekmeksizin, otomatik olarak
aktarma kabiliyetinin verildiği bir senaryodur.
IoT, sanal olarak her şeyin, bir veya daha
fazla küçük bilgisayar veya akıllı sensörle dolu
olduğu, hepsinin İnternete veri akışı gönderdiği
bir dünyadır”.1 Wikipedia.com, IoT’yi, mevcut
İnternet alt-yapısı içinde tümleşik veri işleme
cihazlarının, benzersiz şekilde tanınmalarını
sağlayabilen ara-bağlantısı olarak tanımlıyor;2 ve
Webopedia.com ise, IoT’nin, İnternet bağlantısı
için bir IP adresine sahip olan fiziksel nesnelerin
sürekli gelişen ağı ve bu nesneler ve diğer
İnternet erişimli cihazlar ve sistemler arasındaki
komünikasyon olduğunu açıklıyor.3
Tanımların çeşitliliği ve aralarındaki farklar
dikkate alındığında, IoT’nin, henüz ilk gelişim
aşamasında evler, büyük elektronik aletler ve
günlük hayattaki diğer temel nesneler, hatta
şehrin caddeleri, her şeyin ağ oluşturacak şekilde
İnternet’e bağlanma kabiliyetine sahip olacak ve
İnternet’e bağlanması gerekecektir. Bu ağ, sabit
veri akışları oluşturabilen veya yakalayabilen
sensörlere sahip milyonlarca cihazdan
oluşacaktır. İhtimallerin sonsuz olduğu kolayca
görülmektedir.
IOT’NİN SAĞLAYACAĞI İMKANLAR
IoT üç ana bileşenden oluşur:
• Nesnelerin kendileri yani, veri yakalama veya
üretme kabiliyetine sahip cihazlar ve sensörleri
ve bunların etki ettikleri ortamda bir sonuç
oluşturma zamanını temsil eder
1
ISACA JOURNAL SAYI 2, 2015
• Nesneleri birbirine bağlayan komünikasyon ağı
(çoğu durumda, kablosuzdur)
• Nesneler tarafından alınan ve/veya gönderilen
verileri işleyen ve kullanan, çoğu durumda
minimum işleme kapasitesine sahip olan
bilgisayar sistemleri
Bu alt-yapının kullanımı sayesinde, nesneler
birbiriyle iletişim kurabilir ve hatta ağ üzerinden
sürekli veri akışının analizine bağlı olarak,
faaliyetleri birbirleri arasında optimize edebilir.
Bu veriler kişisel veriler (gizlilik ihlali olması
durumunda, önemli yasal sonuçlar getirebilir)
veya örneğin, sıcaklık, barometrik basınç ve
rüzgar aktivitesi ölçümü gibi çevresel veriler
olabilir.
Bir kişinin, evinden ayrılmak üzere olduğunu
hayal edin. Gökyüzünü biraz bulutlu görüp,
“Yağmur yağacak mı?” diye merak ettiği anda,
içeriye girip, televizyondaki hava tahmini
bekleyecek veya hava tahminini görmek amacıyla
bilgisayarı açacak vakti olmayabilir. Bu durumda,
ön kapının yanında duran şemsiyeliğin içindeki
şemsiyenin sapında, yağmur yağma ihtimali
olduğunu gösteren, kırmızı bir ışık yanıyorsa,
bu kişi evden ayrılırken tedbir olarak şemsiyeyi
almaya karar verebilir.
IoT’nin amacı, sıradan cisimlerin
tasarlandıkları işlevleri, daha yüksek bir akıl
oranıyla gerçekleştirerek, toplam değerlerine katkı
yapmaktır. Bu yaklaşım, basit bir aletin, yağmura
karşı koruma sağlama asli işlevinin aynısını, ek
değerli bilgiler sayesinde, geliştirilmiş bir seviyede
yerine getirme kabiliyeti sağlayacak, bazı faydalı
verileri almak üzere İnternete bağlandığı, bir
şemsiye örneği ile gösterilmektedir. Bir yazar ve
Massachusetts Teknoloji Enstitüsü (Boston, ABD)
Medya Laboratuarı’nda öğretim görevlisi olan,
David Rose, şu öngörüye sahiptir: “IoT, kendini,
günlük hayatın salt örgüsünü oluşturan nesnelerle
birleştirerek iyileştirme sağlayan bir teknolojidir”.4
IoT örnekleri, yavaş yavaş gerçekleşmeye
başlamaktadır. Bir Amerikan şirketi olan
Ambient Devices, şimdiden AccuWeather5
sitesine bağlanan ve şemsiyeye ihtiyaç duyacağı
konusunda kullanıcıyı uyaran bir şemsiye dahil olmak üzere,
bir çok aleti geliştirmektedir.
Hayal gücümüz bu konuyu çok daha ileriye de götürebilir.
Su tüketimini optimize etmek ve ekolojik davranış şeklini
iyileştirmek amacıyla İnternet hava tahminleri, hava sensörleri
ve kullanım bilgilerini kullanan bir su fıskiyesini hayal edin.
İçindeki tüm çöpü sıkıştırabilen ve dolduğunda, şehir çöpünü
toplayan kişileri uyaran bir umumi çöp kutusuna ne dersiniz?
Ev güvenlik sistemleri, şimdiden ev sahiplerinin kapı
kilitleri, ışıklar ve termostatları (şekil 1) uzaktan kontrol
etmesine imkan tanımaktadır, ancak bu sistemler evin
soğutulması ve camların açılması veya ev sahibinin tercihleri,
hava koşulları, ev sahibinin eve yakınlığı veya maliyet
tahminlerine göre ışıkların açılması gibi ileriye dönük tedbirler
alsalar nasıl olurdu?
Şekil 1 - Evdeki Nesnelerin İnterneti
Kaynak: Gonzalez ve Djurica. İzin alınarak tekrar basılmıştır.
POTANSİYEL RİSK
Sadece kişisel bilgisayarlar, tabletler ve akıllı telefonların
İnternete bağlı olduğu değil, ilaç şişeleri, şemsiyeler,
buzdolapları, saatler ve arabalar dahil olmak üzere, çok farklı
cihazların Internete bağlı hale geldiği, giderek büyüyen, akıllı
bir dünyada yaşıyoruz. Bu alandaki tek sınır hayal gücümüzün
yaratıcılığıdır.
Bu teknolojik trend, dünya ve bireylerin birbiriyle ve diğer
her şeyle nasıl ilişkide olduğu yeniden şekillendirmektedir.
Bu gelişme, kişiler, evler ve kurumlar için mevcut tüketici
teknolojilerinin yol açtığı riskten daha yüksek acil güvenlik
riski içermektedir. Binaları daha verimli, yeşil dostu, güvenli
ve değişen çevre koşullarına uyumlu hale getiren bu trend,
çeşit çeşit İnternet erişimli teknolojilerin ortaya çıkmasına
neden olur. Bina ve ev yönetim sistemleri, birbirleriyle giderek
Bu makaleyi beğendiniz mi?
• “Nesnelerin İnternet’ini” okuyun. Riski ve Katma
Değeri üzerine düşünceler
www.isaca.org/internet-of-things
• Bilgi Birikimi Merkezinde mahremiyet,veri koruması,
mobil bilişim ve siber güvenlik ile ilgili sohpete katılın.
www.isaca.org/knowledgecenter
daha çok entegre olmaya başlamakta olup, akıllı şebeke
oluşturacak şekilde, ilgili binaların dışındaki sistemlerle de
entegre olmaktadır.
Modern evlere ve organizasyonlara yerleşik birçok İnternet
erişimli cihazın çok düşük güvenliğe sahip olduğu nettir. Söz
konusu cihazlar normal çalışmalarını sekteye uğratabilecek
saldırılara karşı savunmasızdırlar ve vahim güvenlik sorunları
oluşturabilirler. Bu zafiyet çözülmesi gereken çok önemli bir
problemdir.
Cep telefonlarına bağlanabilen lambalar, termostatlar
ve sensörlerin sayısı arttıkça, bu cihazları sekteye uğratmak
veya büyük zarar vererek para kazanmak isteyen kötü
niyetli bilgisayar korsanlarının sayısı da artacaktır. İnternete
bağlı (güvensiz) bina yönetim sistemleri ayrıca, kötü
niyetli saldırganların, aynı ağa bağlı olan, ancak ilk olarak
hedeflediklerinin dışındaki sistemlere de izinsiz girebilmeleri
için bir fırsat sağlar.
Art niyetli biri, evin,
tüm binanın veya şehrin
Güvenlik sistemleri, kontrolünü ele geçirebilir.
Güvenlik sistemleri,
etrafımızdaki nesnelerle
etrafımızdaki nesnelerle
oluşturulan tüm bu yeni
oluşturulan tüm bu yeni
akıllı sistemlerle aynı
akıllı sistemlerle aynı
şekilde ve aynı hızda
şekilde ve aynı hızda
gelişmelidir.
gelişmelidir.
Bu tehdit, sadece ciddi
aksamalara yol açacak
şekilde bir eve veya bina
sistemine sızabilecek
kişilere ilişkin bir tehdit değildir. Otomasyon ağı ve alt-yapı
güvenlik ağı arasındaki kötü bölümlendirme yüzünden
sistemin hizmet dışı kalması veya verilere yetkisiz erişim
“
”
ISACA JOURNAL SAYI 2, 2015
2
nedeniyle, iletişim kaybıyla sonuçlanabilecek potansiyel bir
etki, teknolojik alt-yapı üzerinde de vardır.
Geleneksel ev ve bina
yönetim sistemleri BT
Dağınık sistemler
sistemleri olarak kabul
üzerinden ve geniş bir
edilmemektedir; bir bilgi
teknolojileri yöneticisi
ölçekteki çok çeşitli
tarafından yönetilmemekte
nesnelerin aralarında
olup, bina tasarımcılarının
güvenin oluşturulması,
yönetimi altında yer alan
bilgi güvenliği uzmanları işletme teknolojisi olarak
kabul edilmektedir.
için zorlu bir iştir.
Bu durum, IoT’nin
evler, binalar ve şehirlerde
artan kullanımıyla değişecektir. Bina tasarımcıları, yöneticileri
ve BT uzmanlarının, potansiyel güvenlik riskini belirlemek ve
azaltmak için birlikte çalışması gerekecektir. “IoT, daha iyi bir
yarına ulaşmak için, bugüne ait teknolojinin kullanıma hazır
hale getirilmesine dair çok cazip bir öngörü sunmaktadır.
Veriler üzerine çok fazla odaklanılması ve ‘nesnelere” bağlı
insanların inanç ve davranışları üzerine yetersiz şekilde
odaklanılması, büyük mahremiyet ve güvenlik riskleri
doğurabilir”.6
Akıllı binaların bir parçası olarak, evde veya bir kurumda
IoT’nin kitlesel olarak yaygınlaşmasını engelleyen çeşitli
bariyerler mevcuttur. Bu bariyerler şunlardır:
•IoT’deki akıllı teknoloji, halen ucuz değildir ve hatta
teknoloji, sıkı güvenlik tedbirleri ile tasarlandığı takdirde,
daha pahalı hale gelmektedir. Aslında, bu sistemlerin
güvenliği günümüzde çok düşük seviyededir.
•IoT’deki akıllı teknolojiler, tamamıyla birlikte çalışabilir
değildir ve birbiriyle uyumlu bir mimari içinde bulunmazlar.
Ancak, bu engellerin üstesinden gelinmesi an meselesidir.
Dolayısıyla, bilgi güvenliği ve kontrol uzmanlarının artık bu
olası gelişmeleri göz önünde bulundurup, tedbir almaları
gereklidir.
“
”
NESNELERİN İNTERNETİYLE BAĞLANTILI MAHREMİYET SORUNLARI
Arabalar, oyuncaklar ve elektrikli ev aletleri gibi IoT’deki
nesneler, yasadışı izleme amacıyla kullanılabilir. Bu İnternete
bağlı nesneler, saldırganların önceden elde edebildiklerinden
çok daha fazla bilgi elde etmelerine imkan tanıyabilir.
Örneğin, saldırganlar oyuncaklar içine yerleştirilen kameralar
aracılığıyla çocuklarımızı izleyebilir, bir akıllı televizyon
içine yerleştirilen İnternet modülleri aracılığıyla insanların
3
ISACA JOURNAL SAYI 2, 2015
hareketlerini takip edebilir veya İnternete bağlı kapı kilidine
bağlanarak bir kişinin evine girdiği veya çıktığını takip
edebilir. Bu türden tehditler tamamen spekülatif değildir.
Bu tehditlerin çoğu, bu cihazların mahremiyet ve güvenlik
konularını dikkate alınmadan tasarlandığından kaynaklanır.
Örneğin, Arabalar, tıbbi cihazlar, uçak motorları ve çocuk
oyuncakları içine yerleştirilen İnternete bağlı modüllerin
işlevsellikleri mahremiyet veya güvenliği ilk öncelikte
tutmadıkları için, saldırıya açık noktalar olabilirler.
İnternete bağlı modüller, hem saldırganların kurbanlarını
pasif bir şekilde takip etmesine imkan tanır ve hem de
kurbanlarının özel hayatlarına aktif bir şekilde müdahale
edebilmelerini sağlayabilir. Bunun nedeni, bu nesnelerin
çoğunun uzaktan kontrol edilebilmesidir. Bu uzaktan
kontrolun sonucu olarak bir saldırgan, her hangi birinin
buzdolabını kapatabilir, ısıtıcısını çalıştırabilir veya kapının
kilidini açabilir.
Bir başka önemli husus ise, IoT’nin, bir kişinin
alışkanlıkları, davranışları ve tercihlerine ilişkin çok büyük
miktarda verinin oluşturulması, saklanması ve paylaşılmasını
sağlamasıdır. ABD Federal Ticaret Komisyonu ve Avrupa
Komisyonu dahil olmak üzere bir çok yasal merci, IoT’nin,
vatandaşların günlük yaşantılarına getirdiği potansiyel
mahremiyet ve güvenlik sorunlarına yönelmektedir.
Dağınık sistemler üzerinden ve geniş bir ölçekteki çok
çeşitli nesnelerin aralarında güvenin oluşturulması, bilgi
güvenliği uzmanları için zorlu bir iştir. Cihazların kendileri
fiziksel saldırılara karşı savunmasızdır, üzerinden iletişim
sağladıkları ağlar her zaman güvenli değildir. Yakınlarında
çalışan ana sistemler ve veri havuzları hırsızlar ve teröristler
için ilgi çekicidir. Fırsatçılar, İnternet korsanları, içerideki
kötü niyetli çalışanlar ve hatta ilkesiz hükümetlerin hepsi,
iletişim durumunda olan önemli verileri ele geçirme veya bu
cihazların kontrolünü ele alma kabiliyetine sahip, potansiyel
saldırganlardır.
İnternete gittikçe daha fazla nesnenin bağlanmasıyla,
potansiyel olumsuz mahremiyet sonuçları, var olan tasarımın
güvenlik sağladığına dair yaygın yanlış kanı, verilerin ihlal
edilme olasılığı daha kritik şekilde arttırmaktadır.
Dolayısıyla, IoT’nin
iki kavrama dayanması
Bu, İnternet ölçekli
gerekir: güven ve
kontrol. Bu iki kavram,
çözüm gerektiren İnternet
bilgi güvenliği uzmanları
ölçekli bir problemdir.
ve BT denetçileri için bir
“
”
fırsat ve aynı zamanda bir mücadeleyi temsil eder.
Bu gelişme, 15 yıl önce Amazon, milyonlarca tüketiciyle
etkileşime girdiğinde, e-ticarete dair ortaya atılan aynı
soruların sorulmasına neden olmuştu. Şimdi ise IoT’nin farkı,
örneğin, bir hizmet şirketinin milyonlarca akıllı ölçer ile
etkileşime girebilmesi veya bir aktarma merkezinin ara yüzü
aracılığıyla binlerce arabayla bağlanabilmesidir. Internet’e her
yerden bağlanan sistemlerin ana güvenlik temellerini, karşılıklı
kimlik doğrulama, güvenli iletişimler ve yüksek bütünlüklü
mesajlaşma oluşturacaktır. Böylesine geniş ve köklü
bağlantıların sorunları, İnternet ölçekli bir çözüm gerektiren
İnternet ölçekli bir problemdir.
Bu, mahremiyet sorunundan daha ciddi bir durum olup,
sonrasında güvenlik, sağlık, çevre, finans, ilişkiler ve birkaç
milyon kişiyi son derece etkileyebilecek kapasitedeki nesneleri
değiştirme haklarını ilgilendirir (şekil 2).
IoT cihazlarının büyük, marka sahibi bir tedarikçisi
tarafından üretilip, komple ev veya iş IoT çözümü olarak
uygulandığı durumda ilgili tehdit artabilir. Bir mütecaviz
tarafından kişiye özel veriler (sağlık veya finansal) veya fiziksel
eşyalara saldırıldığı veya çalmaya kalkışıldığı takdirde, sadece
hedef birey için değil, dünya çapındaki IoT cihazı tedarikçileri
için de bir felaket olacaktır. En kötü senaryoda, bir saldırgan,
bir ilaç dağıtım aletinin tekrar dolumu için bir eczaneyi ne
zaman uyarması gerektiğine dair parametreleri değiştirmesi
potansiyel bir ölüm kalım meselesi haline gelebilir.
Ayrıca saldırıların ölçeği, bir saldırı viral hale geldiğinde
kat kat artar. Örneğin, bir soyguncu ev sahibi dışarıdayken
bir evdeki kapı sistemine izinsiz şekilde giriş yaptığı takdirde,
bu, aynı kapı kilidi tedarikçisinin benzer sistemleri kurmuş
olduğu büyük bir bölgede dakikalar içinde viral bir duruma
dönüşebilir.
IoT kullanımı, uzmanların tahmin ettiği şekilde arttığı
takdirde, milyonlarca cihaz çevrim-içi hale gelecek. Farklı
cihazların çok geniş bir ağı üzerinde iletişimde bulunmaları
ilgili güvenliğin yönetilmesini çok önemli, acil ve karmaşık
hale getirecek.
IOT İÇİN GÜVENLİK
IoT’deki cihazların çoğu, her zaman bağlı haldedir ve
dolayısıyla her zaman saldırıya açıktır. İnternet güvenliği ve
mobil cihazların karşılıklı ilişkilerine dair sorunlar, bu sabit
bağlanabilirlik çağında halen zorlu bir görevi oluşturur. Bir
Şekil 2—Risk Altındaki Kişisel Veriler
Alarm
✓ Konum verisi
✓ Ev boș
Bağlı elektrikli aletler
✓ Konum verisi
✓ Alıșkanlıklar
✓ Tüketim
✓ Ev boș
Akıllı buzdolabı
✓ İzleme alıșkanlıkları
✓ Bankacılık ișlemleri
detayları
✓ Tercih edilen ürünler
✓ Konum verisi
Isıtma
✓ Konum verisi
✓ Enerji tüketimi
Akıllı TV
✓ Kayıt detayları
✓ İzleme alıșkanlıkları
✓ Bankacılık ișlemleri detayları
✓ Konum verisi
İlaç Kontrolü
✓ Sağlık riski
✓ Yașam riski
✓ Sağlık bilgileri
Kaynak: Gonzalez ve Djurica. İzin alınarak tekrar basılmıştır.
ISACA JOURNAL SAYI 2, 2015
4
çok bağlı cihaza sahip olan bir ev veya iş yeri senaryosu
durumunda, bu zorluklar daha büyük olacaktır.
Güvenlik güncellemelerini uygulamak için verimsiz
olan ve mevcut olmayan bir plan, IoT için en büyük ve tek
engel olacaktır. Gerçek şu ki, zaman zaman tüm şifrelerde
savunmasız noktalar ortaya çıkar, dolayısıyla, tasarım ve
geliştirme boyunca güvenliği göz önünde bulunduran, eksiksiz
bir güvenlik yaşam döngüsü, belirgin şekilde çok daha az
güvenlik sorununa sahip olacaktır. Bununla birlikte, tüm
yazılım üreticileri, savunmasız noktalara hızlı müdahale etmek
ve kendi kullanıcılarını korumak amacıyla yamalar piyasaya
sürmek için hazır olmalıdır.
Tüm bu senaryoların gösterdiği gibi, İnternete bağlı
cihazların güvenli hale getirilmeleri, IoT’nin başarısı için
önemlidir. Ancak bağlı cihazları üreten şirketler için, güvenlik,
ilk öncelikte değildir. Cihazları geliştiren mühendislerin,
tasarım ve cihazların birbirine bağlanması öncelikle çalışmaları
nedeniyle, ilgili güvenliğin ele alınmaması olasıdır.
Bağlı cihazlarda güvenlik eksikliği için bir başka neden
de maliyet olabilir. Bu cihazları güvenli hale getirmek için,
üreticilerin, güvenlik modellerinin geliştirilmesi, güvenli
cihazların bakımını sağlamak için yamaların oluşturulması ve
savunmasız noktalar için penetrasyon testinin gerçekleştirilmesi
gibi ekstra adımlar atması gereklidir. Bu nedenlerle, bazı
şirketler güvenlikten tamamıyla vazgeçebilirler. Ve ayrıca işleri
zorlaştıran bir konu da, bu cihazların bir çoğunun tümleşik
yazılım kullanması ve kolaylıkla yama yapılamamasıdır.
Bazı şirketler, IoT gelişimini hızlandırmak amacıyla güvenlik,
birbirine bağlanma ve birlikte çalışma zorluklarını çözme ve
çözümleri uygulamaya yönelik teknolojiler geliştirmektedir.
Örneğin, Intel, performans ve yazılım kabiliyetlerinin bir
kombinasyonuna sahip geliştirme kitlerinin birkaç versiyonunu
sunmaktadır- bunun nedeni, amatörler ve bilgisayar
tutkunlarından profesyonellere kadar farklı türde geliştiricilerin
olmasıdır.
Maalesef, her yeni teknolojik gelişim, yeni bir güvenlik
tehdidi birlikte getirmektedir.
NESNELERİN İNTERNETİNDE KONTROL EDİLECEK FAKTÖRLER
Kontrolü sağlamak ve potansiyel IoT riskini minimize etmek
için ve aşağıdakilere dikkat edilmelidir:
•Kişiselverilerin toplanmasını minimize etmek. Akıllı
ölçerler gibi sensörlerin amacı, elektrik, su ve benzer
altyapı kullanımlarını yoğun olmayan saatlere kaydırmaları
5
ISACA JOURNAL SAYI 2, 2015
konusunda nihai tüketicileri teşvik ederek maliyetlerini
düşürmek amacıyla kullanımlarını kontrol etmektir. Bu
sensörler, ilgili hizmetlerin kullanımını belirlemek ve buna
göre fiyatları ayarlamak amacıyla tüketim verilerini toplayacak
şekilde tasarlanır. Bu veriler, bireysel seviyede toplanır,
dolayısıyla bir tedbir, bireyin izni olmaksızın hangi verilerin
İnternete açık hale getirilebileceğini kontrol etmek olabilir.
•Verilerin kişilerle olan bağlantılarını minimize etmek.
Cihazların veya yazılımın, kişisel bilgiler ya da bireyler veya
özel bilgileriyle ilişkilendirilebilecek diğer başka verilere
ihtiyacı olup olmadığının değerlendirilmesi önemlidir.
Örneğin, İnternet hizmet sağlayıcısı (ISP) verilerinin
kullanılması gerekli midir veya statik İnternet Protokolü
(IP) verileri sağlanabilir mi? Optimum yöntem, verilerin
bireylerle ilişkilendirmeksizin toplanmasıdır. Bir bireyle
ilişkilendirilebilecek verilerin kullanımından ziyade, her
zaman verilerin daha yüksek bir seviyede toplanmasını
tercih etmektir.
•Veri tutulmasını minimize etmek ve güvenliğini sağlamak.
Bazen, sensör veya cihaz markasına veya konfigürasyonuna
bağlı olarak, veriler hem gönderilir ve hem de cihazın veya
İnternette, iletişim sırasında veya hizmet sağlayıcıdaki
birkaç cihazın içinde saklanabilır. Dolayısıyla, en iyi
uygulama, kişisel bilgilerin aktarma sırasında sızdırılmasını
engellemek için, ağ aracılığıyla gönderilen verilerin mutlaka
şifrelenmesinin sağlanmasıdır. Ayrıca, hizmet sağlayıcı ile
bir bağlantı olduğu takdirde, hiç bir ek veri (hizmet tedarik
anlaşması taahhüdünde üzerinde anlaşılan verilerin dışında)
gönderilmemelidir.
Ek olarak, geleneksel kontroller unutulmamalıdır:
•Bir ev veya iş yeri ağına bağlı olan bir cihaz olduğu takdirde,
buna İnternet üzerinden ulaşılabilir ve dolayısıyla maruz
kalacağı tehditlere karşı güvenliğinin tam olduğundan emin
olunmalıdır.
•Kurulu olan tüm cihazların güvenlik ayarları gözden
geçirilmelidir. Cihazlara uzaktan erişim sağlanabildiği
takdirde, gerekli olmadıkça bu özellik devre dışı
bırakılmalıdır. Tüm varsayılan parolalar, tahmin edilmesi zor
olanıyla değiştirilmelidir. Yaygın olan veya kolaylıkla tahmin
edilebilecek parolalar kullanmamalıdır.
•Bir ev veya iş yerindeki IoT kurulumunun karmaşıklığına
ve mevcut tehdide maruz kalma seviyesine bağlı olarak,
içindeki tüm kaynakları korumak için bir güvenlik duvarı
kurulmalıdır.
•Bir cihazın yazılımına ait güncellemeler veya yamalar olup
olmadığını görmek amacıyla, üreticinin web sitesi düzenli
aralıklarla kontrol edilmelidir.
Bir araç bilgi
sistemi sensörüne
Bu kadar çeşitliliğe sahip
bağlanma
cihazları güvenli hale getirecek
şartlarının, bir ev,
iş yeri, şirket veya
basit bir çözüm yoktur.
kamu düzeni veya
devlet kurumu
güvenlik şartlarından çok farklı olduğunun unutulmaması
önemlidir. Bu benzersiz şartların hepsi, IoT güvenliğinin
uygulanması ve kontrolünün karmaşıklığını arttırır. Bu kadar
çeşitliliğe sahip cihazın güvenliğini sağlayacak basit bir çözüm
yoktur ve farklı üreticilerden gelen farklı cihazların, farklı
güvenlik riski profilleri olmaları nedeniyle, uygulanabilecek
tek bir etkili güvenlik stratejisi yoktur. Bu arada, bir birleşik
güvenlik çözümü uygulamaya geçene kadar, IoT güvenliğinin
odak noktası, cihazlardan ziyade veriler üzerine olması, daha
etkili olacaktır. Bu şekilde, işlemdeki veya aktarımdaki veriler
saklandığında, korumalar sayesinde, bireylerin ve kurumların
güvenlikleri ve mahremiyetleri aynı anda sağlanmış olur.
“
”
IOT’YE İLİŞKİN İNSANİ BAKIŞ AÇISI
The Jetsons (Jetgiller)7 gökyüzü kadar yüksek Orbit City’de
oturuyorlardı ve dizide, baş rolde ise, uçan hava taşıtları,
hızlı ulaşım tüpleri, robotları ve saniyeler içinde işlerini
bitirmelerini sağlayan birçok teknolojik küçük aletleri olan,
gelecekte ortalama bir hayat yaşayan bir aile yer almaktaydı.8
Çok uzak olmayan bir gelecekte, çok daha fazla sensörlü,
küçük aletler, mikro cihazlar ve hatta eskiden insanların
yaptığı, şu anda insanların yapamadığı ve insanların yapmak
istemediği birçok şeyi yapacak robotlar gerçek olacak.
Gelecek, IoT’nin insanları nasıl etkileyeceğine dair birçok
belirsizliği barındırmaktadır. Bir ihtimal, birçok insanın yaptığı
bazı temel işlerin yerini, İnternet sayesinde birlikte çalışan
cihazlar alacağından, evde ve işte farklı beceriler öğrenmek
zorunda kalacak.
Google şirketine ait şoförsüz araba (Google Self-driving
Car) bunun bir örneğidir. İnsan sürücüleri olmadan,insanların
dinlenerek, okuyarak veya oyun oynayarak araba seyahatinden
keyif aldığı arabalarla dolu bir dünyayı hayal edin. Kulağa
harika ve birçok yönden akıl almaz gelmesine rağmen, başarılı
olması için, teknolojinin kolayca geliştirilmesinin ardından
“
birçok değişikliğin
gerçekleştirilmesi
gerekir. Örneğin,
bu tür IoT
teknolojisi, kötü
niyetli bilgisayar
korsanlarına trafik
sensörleri ve trafik
kontrollerinin
ağına bir virüs yerleştirme, trafik sıkışıklarının nerede
olduğu veya göstericilerin nerede olduğu hakkındaki bilgileri
değiştirme fırsatını sağlayabilir.
IoT ile yeni cihazlar, ağ trafiği ve protokolleri, fiziksel
ve fizyolojik risk, veri güvenlik geliştirmeleri talep eden
uygulamalar ve daha geniş ve daha derin kötü amaçlı yazılım
saldırı yüzeyleri bir çığ gibi ortaya çıkmaya başladığından,
sektörün, güncel siber-güvenlik stratejileri ve operasyonlara
yapılacak büyük değişiklikler için hazırlıklı olması gerekir.
IoT’nin getirdiği zorluklar sağlam planlama, iyi güvenlik
stratejileri ve sıklıkla yapılan IoT denetim değerlendirmeleriyle
ileriye dönük bir şekilde çözülmelidir.
IoT zorlu görevleri, sağlam
planlama, iyi güvenlik stratejileri
ve sıklıkla yapılan IoT denetim
değerlendirmeleriyle ileriye açık
bir hale getirilmelidir.
”
SON NOTLAR
1
TechTarget, Whatls.com, “Internet of Things,”
http://whatis.techtarget.com/definition/Intemet-of-Things
2
Wikipedia, “Internet of Things,”
http://en.wikipedia.org/ wiki/Internet_of_Things
3
Stroud, Forrest; “Internet of Things,” Webopedia,
www. webopedia. com/TERM/I/intemet_of_things. html
4
Rose, D.; Enchanted Objects, Scribner, ABD, Temmuz
2014
5
AccuWeather, dünya çapında hava durumu hizmetleri
sağlayan kar amaçlı bir Amerikan medya şirketidir.
6
Stroud, Robert; “The Convenience/Privacy Trade-off on
the Internet of Things,” Wired Innovation Insights Blog,
17 Aralık 2013, http://insights.wired.com/profiles/blogs/
the-convenience-privacy-trade-off-on-the-intemet-ofthings?xg_source=activity#axzz3MNq2UmCe
7
Hanna-Barbera, The Jetsons, 1962-1963 yılları arasında
yayınlanmış Amerikan televizyonunda bir animasyon dizisi
(sitkom).
8
Tucker, Jeffrey A.; “The Attempted Militarization of the
Jetsons,” Mises Daily, Mises Institute, 21 Eylül 2005
ISACA JOURNAL SAYI 2, 2015
6