Akıllı cihaz kullanımındaki artış ve bu cihazlara yönelik siber güvenlik riskleri İngiltere yönetimini yeni bir yasal düzenleme yapmaya yöneltti.

COVID-19, uzaktan çalışma, uzaktan eğitim, karantina vb. tanımlar son bir yıllık dönemin en sık kullanılan ifadeleri belki de. Bunun sayısal karşılıklarından biri ise Birleşik Krallık’ta ikamet edenlerin neredeyse yarısının (%49) koronavirüs başladığından bu yana en az bir akıllı cihaz satın almış olması. Akıllı saatler, televizyonlar, kameralar bu durumun bireysel tarafını ifade ediyor.

Bu gerçekten hareketle bir çalışma başlatan Birleşik Krallık Dijital, Kültür, Medya & Spor Bakanlığı, akıllı cihazlardaki siber riskleri azaltabilmek adına yeni bir siber güvenlik yasası hazırlığında olduğunu açıkladı. Detaylara bakıldığında hükümetin öncelikle cihazların güvenli olduğuna emin olmak istediği görülüyor. Çünkü yeni yasanın en çarpıcı yanlarından biri cihaz üreticilerinin güvenlik güncellemelerini almayı ne zaman durduracağını önceden belirtmesi.

Fiziksel garantiye güvenlik garanti süresi de ekleniyor

Yeni yasa, Apple, Samsung ve Google gibi akıllı cihaz üreticilerine çeşitli zorunluluklar getiriyor. Buna göre üreticiler ister akıllı telefon, ister akıllı hoparlör ya da akıllı kapı zili gibi ağa erişebilen herhangi bir cihaz olsun güvenlik güncellemelerini ne zaman durduracaklarını daha ürünü satarken belirtmek zorunda. Yani, aldığınız yeni akıllı saatin yalnızca fiziksel garanti süresini bilmekle kalmayacak, aynı zamanda en son güncelleme alınacağı tarihi de daha en başından bilebileceksiniz. Bunu bir ölçüde, otomobillerdeki mekanik garantinin 2-3 yıl, boya paslanma garantisinin 10-12 yıl olması gibi düşünmek mümkün.

Standart parola kullanımı yasaklanıyor

Yeni yasanın teminat altına aldığı bir diğer konu da cihazlarla gelen standart parolalar. Çoğunlukla “admin” ya da “password” gibi basit ve akla gelmesi son derece basit parolalar neredeyse tüm akıllı cihazlarda yasaklanacak.

İnternete bağlı akvaryumla kumarhane soygunu

Bakanlığın sitesindeki duyuru metninde akıllı cihazların ne tip siber risklere yol açabileceği ilginç bir örnekle verilmiş. 2017’de Kuzey Amerika’daki bir olaya atıfta bulunulan yazıda, saldırganların, internete bağlı bir akvaryum üzerinden kumarhane sistemine erişerek veri çalmayı başardığına dikkat çekiliyor.

Kullanıcılar güvenlik açıklarını doğrudan bildirebilecek

Yasada belirtilen hususlardan biri de kullanıcı – üretici arasında yeni bir iletişim kanalı açılması. Buna göre kullanıcılar karşılaştıkları herhangi bir güvenlik açığını doğrudan üreticiye iletmek için standart müşteri destek hattını değil, özel olarak oluşturulmuş bir “güvenlik açığı bildirim hattı” kanalından faydalanabilecek.

Satılan 270 cihazın hiçbirinde güvenlik güncelleme bitiş tarihi belli değil

University College London tarafından yapılan bir araştırma, değerlendirmeye alınan 270 cihazın hiçbirinin güvenlik güncelleme bitiş tarihiyle ilgili bir bilgi vermediğini ortaya çıkardı. Yeni yasa, bu durumla ilgili sıkıntıyı giderirken kullanıcıları da karşılaşabilecekleri siber tehditlerden korumaya yardımcı olacak.

Bununla birlikte üreticilerin yapması gereken ciddi bir çalışma da bulunuyor. Araştırma, her beş küresel üreticiden  yalnızca birinin güvenlik açıklarını rapor etmelerine olanak tanıyan bir mekanizmaya sahip olduğunu ortaya koyuyor.

Diğer yandan, bu alanda güvenliğin artması için çalışan Internet of Secure Things Birliği (IoXT) gibi organizasyonlar sürecin hızlanması için çaba sarf ediyor. Birliğin üyeleri arasında Google, Amazon ve Facebook gibi küresel büyük teknoloji şirketleri de bulunuyor.

Oyuncaklar için siber güvenlik

Yeni yasanın, İngiltere’de akıllı cihazlardaki siber güvenlik seviyesini yükseltmeye yönelik tek çaba olmadığını da eklememiz gerekiyor. Hükümetin 400 bin sterlinlik bir hibe programıyla desteklediği üç yeni program, oyuncaklar dahil pek çok alanda siber güvenliğin artırılmasını amaçlıyor.

Internet of Toys Assurance Scheme: Oyuncakların İnterneti Güvence Programı olarak tanımlanabilecek bu çalışmayla ebeveynler, çocuklarına satın aldıkları, akıllı bir oyuncağın siber güvenlik testlerinden geçip geçmediğini ve minimum güvenlik gereksinimlerini karşılayıp karşılamadığını en başından bilebilecek. IOFT’un sitesinde örnek olarak verilen cihazlar arasında akıllı hoparlörler, çocuklara yönelik akıllı saatler, sanal ve artırılmış gerçeklik cihaz ve uygulamaları ile yine çocuklara yönelik robotik setler gibi ürünler bulunuyor.

Akıllı TV Siber Güvenlik Sertifikası: Yeni sertifikasyon, akıllı televizyonların DTG isimli kurum tarafından  denetlenerek onaylanmasını kapsıyor. Tüketiciler, bu sertifikaya sahip ürünlerin resmi olarak güvenlik standartlarını karşıladığı daha alım öncesinde sertifikasyon logosu ile öğrenebilecek.

Küçük işletmeler için IoT Güvenlik Sertifikası: IASME tarafından duyurulan yeni güvenlik sertifikasyonu da hükümet tarafından desteklenen bir diğer çalışma. IASME IoT Security Assured adı verilen uygulama ile üreticiler, internete bağlanabilen akıllı cihazlarının güvenliğini tüketicilere gösterebilecek. Bu program, mikro ölçekteki işletmeleri desteklemek amacıyla daha düşük maliyetle de sunuluyor.