Yapılan çalışmanın ana hedefi, Avrupa’daki kurumlara Nesnelerin İnterneti (IoT) güvenliği kousunda tavsiyeler sunmaktı. Çalışmada; kritik varlıkların karmaşıklığı, mevcut siber tehditler ve IoT sistemlerinin korunması için çözümler gibi birçok faktör dikkate alındı. ENISA IoT Güvenlik Uzmanları Grubu (IoTSEC) üyesi olan Kaspersky Lab, uzman düzeyinde tavsiyelerde bulunarak raporun hazırlanmasına katkıda bulundu.
Kaspersky Lab tarafından yapılan bir araştırmaya göre, bilgisayar özelliği taşımayan bağlı cihazların konu olduğu vakalar, hem KOBİ’ler hem de kurumsal şirketlerin finansal açıdan en büyük zarara uğradığı ilk 3 vakanın içinde yer alıyor. ENISA, artan IoT tehditlerine karşı önlem almak ve endüstriyel siber güvenlik uzmanlığını desteklemek amacıyla pazarın önde gelen şirketlerindeki üst düzey panelistlerden bir grup oluşturdu. Aralarında Kaspersky Lab uzmanlarının da bulunduğu bu grup kritik altyapıların güvenliği için uzman tavsiyeleri hazırladı. Ajans, “IoT için Temel Güvenlik Tavsiyeleri” raporunda, AB kurumları, IoT donanım üreticileri ve yazılım geliştiricileri için önlem prensipleri yayımladı.
Kaspersky Lab Gelecek Teknolojileri Lideri ve Baş Strateji Mimarı Andrey Doukhvalov, “Kaspersky Lab, kritik altyapı güvenliği alanında çok geniş bir tecrübeye sahip. ENISA’nın IoT güvenliği tavsiyelerine yaptığımız katkının, kurumların daha etkili siber güvenlik stratejleri geliştirmesine ve politika belirleyenlerin modern siber tehditlere karşı uygun yönetmelikler hazırlamasına yardımcı olacağına inanıyoruz” dedi.
Kaspersky Lab IoTSEC uzmanları tavsiyelerini, AB politikalarını belirleyenler ve IoT donanımları ile yazılımlarını geliştirenler olmak üzere iki ayrı grupla paylaştı. Kaspersky Lab’in AB politikalarını belirleyenlere yönelik temel güvenlik önerileri arasında şunlar yer aldı:
- Bütünsel yaklaşımlar yerine sektörlere özgü tavisyelere, kılavuzlara ve sertifika gereksinimlerine odaklanılmalı.
- AB ülkeleri için standartlar belirlenmeli. Uluslararası siber güvenlik standartları için AB genelinde bir IoT terminolojisi ve sınıflandırması oluşturulmalı.
- Endüstriyle aktif iş birlikleri yapılmalı. Politikaları belirlerken, AIOTI gibi endüstriyel kurumlar ve grupları kullanarak özel sektör de çalışmalara dahil edilmeli.
- IoT cihazlarına ilişkin siber güvenlik tehditlerine karşı kademeli bir savunma sistemi kurulmalı.
IoT sistemleriyle doğrudan çalışanların güvenliğini artırmak için Kaspersky Lab uzmanları şunları tavsiye ediyor:
- Tüm çalışanların siber güvenlik konusunda güncel bilgi ve beceriye sahip olduğundan emin olun ve düzenli olarak testlerden geçmelerini sağlayın.
- Güvenilir ve otomatik bir yama sistemiyle verilerle ortak çalışılabildiğinden emin olun. IoT donanım üreticileri ve yazılım geliştiricilerinin siber tedarik zinciri risk yönetimi prensiplerini uygulaması, tedarikçikeri ve ortaklarıyla siber güvenlik gereksinimlerini paylaşması gereklidir.
- Uygulama sürecinde kodların incelenmesini sağlayarak ürünün son sürümündeki hata sayısını azaltın. Böylece zararlı yazılım bulaştırma veya kimlik doğrulamayı atlatma teşebbüslerini de tepsit edebilirsiniz.
IoT bakımından hassas altyapılar için verilen tavsiyelerin tam listesini ENISA çalışmasında bulabilirsiniz. Kasperksy Lab’in Endüstriyel Siber Güvenlik alanındaki uzmanlığı hakkında daha fazla bilgi edinmek için https://ics.kaspersky.com/ adresini ziyaret edebilirsiniz.
