Avrupa Birliği Ağ ve Bilgi Güvenliği Ajansı (ENISA), Kasım 2017’de “Kritik bilgi altyapıları alanında Nesnelerin İnterneti için Temel Güvenlik Tavsiyeleri” raporunu yayınladı.
Yapılan çalışmanın ana hedefi, Avrupa’daki kurumlara Nesnelerin İnterneti (IoT) güvenliği konusunda tavsiyeler sunmaktı. Çalışmada; kritik varlıkların karmaşıklığı, mevcut siber tehditler ve IoT sistemlerinin korunması için çözümler gibi birçok faktör dikkate alındı. ENISA IoT Güvenlik Uzmanları Grubu (IoTSEC) üyesi olan Kaspersky Lab, uzman düzeyinde tavsiyelerde bulunarak raporun hazırlanmasına katkıda bulundu.
Kaspersky Lab tarafından yapılan bir araştırmaya göre, bilgisayar özelliği taşımayan bağlı cihazların konu olduğu vakalar, hem KOBİ’ler hem de kurumsal şirketlerin finansal açıdan en büyük zarara uğradığı ilk 3 vakanın içinde yer alıyor. ENISA, artan IoT tehditlerine karşı önlem almak ve endüstriyel siber güvenlik uzmanlığını desteklemek amacıyla pazarın önde gelen şirketlerindeki üst düzey panelistlerden bir grup oluşturdu. Aralarında Kaspersky Lab uzmanlarının da bulunduğu bu grup kritik altyapıların güvenliği için uzman tavsiyeleri hazırladı. Ajans, “IoT için Temel Güvenlik Tavsiyeleri” raporunda, AB kurumları, IoT donanım üreticileri ve yazılım geliştiricileri için önlem prensipleri yayımladı.
Kaspersky Lab IoTSEC uzmanları tavsiyelerini, AB politikalarını belirleyenler ve IoT donanımları ile yazılımlarını geliştirenler olmak üzere iki ayrı grupla paylaştı. Kaspersky Lab’in AB politikalarını belirleyenlere yönelik temel güvenlik önerileri arasında şunlar yer aldı:
• Bütünsel yaklaşımlar yerine sektörlere özgü tavisyelere, kılavuzlara ve sertifika gereksinimlerine odaklanılmalı.
• AB ülkeleri için standartlar belirlenmeli. Uluslararası siber güvenlik standartları için AB genelinde bir IoT terminolojisi ve sınıflandırması oluşturulmalı.
• Endüstriyle aktif iş birlikleri yapılmalı. Politikaları belirlerken, AIOTI gibi endüstriyel kurumlar ve grupları kullanarak özel sektör de çalışmalara dahil edilmeli.
• IoT cihazlarına ilişkin siber güvenlik tehditlerine karşı kademeli bir savunma sistemi kurulmalı. IoT sistemleriyle doğrudan çalışanların güvenliğini artırmak için Kaspersky Lab uzmanları şunları tavsiye ediyor:
• Tüm çalışanların siber güvenlik konusunda güncel bilgi ve beceriye sahip olduğundan emin olun ve düzenli olarak testlerden geçmelerini sağlayın.
• Güvenilir ve otomatik bir yama sistemiyle verilerle ortak çalışılabildiğinden emin olun. IoT donanım üreticileri ve yazılım geliştiricilerinin siber tedarik zinciri risk yönetimi prensiplerini uygulaması, tedarikçikeri ve ortaklarıyla siber güvenlik gereksinimlerini paylaşması gereklidir.
• Uygulama sürecinde kodların incelenmesini sağlayarak ürünün son sürümündeki hata sayısını azaltın. Böylece zararlı yazılım bulaştırma veya kimlik doğrulamayı atlatma teşebbüslerini de tepsit edebilirsiniz.
