Neden IoT kuralları? İkinci dünya savaşında endüstriyel üretimi felce uğratmak için güç kaynakları bombalanmıştı. Günümüzde ‘Internet of Things’ olarak bilinen ve Türkçeye ‘Nesnelerin İnterneti’ olarak tercüme olunan sistemin altyapısına yönelik saldırılar daha geniş çapta kesintilere neden oluyor- bombalar olmadan.
Tehlike ciddi. Amerikan Ülke Emniyeti birimi yakın bir zamanda “ güvenlik üzerinde stratejik bir odaklanma sağlayacak ve güvenilirlik iskeletini IoT ekosistemini desekleyecek şekilde güçlendirecek “ kurallar yayınladı. Açıklama güvenliğin neden tam teşekküllü bir çaba olması gerektiğini gösteriyor.
“Bir firmanın bir cihazın tasarımından sorumlu olduğu, başka bir firmanın bileşen yazılımını sağladığı, bir diğerinin cihazın bir araya getirildiği bir ağı yönettiği, ve bir başkasının cihazın dağıtımını sağladığı bir dünyada güvenlikle ilgili kararlardan kimin sorumlu olacağı belli olmayabilir” deniliyor raporda.
Siber saldırıların azaltılması için DHS kuralları
Bu bağlamda DHS (Department for Homeland Security – Ülke Güvenliği Birimi)’nin sunduğu üç teklifin son zamanlarda gerçekleşen bir siber saldırılara karşı ve bu tip saldırılardan korunmayı sağlayan teknolojilere yönelik olarak nasıl uygulanabileceğini görerek münazara edelim.
Ukrayna’daki güç şebekesi yakın bir zamanda ciddi güç zayiatlarına sebep olacak şekilde siber saldırıya maruz kaldı. Saldırı, alt birim trafoları kontrol eden ‘uzak terminal üniteleri (RTU)’ni hedef almıştı. Saldırganlar RTU yazılımını zararlı kodlarla bozmuş, güç kaynağını kapatmalarına sebep olmuşlardı. İşleri daha da kötüleştirmek için kontrol ünitelerindeki kritik sistem dosyaları silindi ve böylece uzaktan test ve tamir işlemine engel olundu. Servis mühendisleri güç kaynağını tekrar sağlayabilmek için RTU’ları şahsen kapatmak zorunda kaldılar.
Tavsiyeler ve güvenlik çözümleri
-
Güvenliği benzersiz, güçlü kullanıcı adı ve şifrelerle etkinleştirme
Bir çok güç dağıtım sistemlerinde iki tip ağa bağlanma (login) yöntemi vardır : biri yönetici ve diğeri ekipmana ait SCADA (Denetleme Kontrol ve Veri Toplama – Supervisory Control And Data Acquisition) tabanlı ayrı bir bağlantı. Bu ağlar genellikle birbirlerinden firewall’larla ayrılarak daha iyi izolasyon sağlanır ve saldırıya uğrama riski azaltılmış olur. ‘Pishing’ olarak bilinen kimlik avı saldırıları çalışanların ağ girişi bilgilerini açığa çıkarmak için bu ağa eşlik eden elektrik tesislerini hedef alır. Bunlar daha sonra firmanın SCADA ağı üzerindeki güç dağıtım vitesine saldırmak için kullanılırlar. Sosyal hackleme ve ‘spear phishing’ olarak bilinen kimlik avı saldırılarına karşı korunma, ağ güvenliği kadar kritik önem taşır.
- Çalışanları ‘Phishing’ saldırılarına karşı tetikte olacak şekilde eğitin.
- Diceware ve XKpasswd gibi alternatifler dahilinde kullanılabilecek güçlü şifreler kullanın.
- Ücretsiz ve açık kaynaklı şifre yöneticisi olan ‘KeePass’ gibi farklı uygulamalar kullanarak benzersiz şifreler üretebilirsiniz.
-
Cihazı, teknik olarak güvenilir ve ekonomik olarak uygun olan en son işletim sistemleriyle kurun.
Wind River Linux, IoT için optimize edilmiş ticari bir Linux dağıtımıdır. Cihaz farklı IoT cihazları, ağlar ve dağıtım görevleri için kullanılabilecek tek çalışma zamanı sistemine ve teknik altyapıya sahiptir.
-
Cihazın korunmasını ve sağlamlığını güçlendirmek için güvenlikli donanım kullanın
IoT cihaz sağlamlığı, ihtiva ettiği verinin bir saldırgan tarafından değiştirilmediğini ya da silinmediğini garanti eder. Cihaz hareket halinde, durağan ve işlem halinde olmak üzere farklı datalar içerir. Bu aynı zamanda IoT cihazı ve bu cihazın programlama verisi (işletim sistemi, uygulamalar ve konfigürasyon dosyaları) tarafından üretilen veriyi de içerir. Eğer bu verinin herhangi bir bölümü çökerse, IoT cihazı istenildiği gibi çalışmayacak ve eğer veri bütünlüğü bozulmuşsa saldırgan için bir araç olmayacaktır.
Bir IoT cihazını bilinen, onaylanmış bir yazılımla çalıştırmak güvenlik ve güvenilirlik için temel koşuldur. Onaylama sistemde yüklü olan kritik datayı, çalıştırma kodunu ve uygulama kodunu içerir. Güvenilir bir platform, onaylı dağıtım kanallarından satın alınmış bir IoT donanımı anlamına gelir. Güvenilir bir cihaz ilk olarak onaylı bir dağıtım ağından satın alınan, açılması güç paketleme sistemine dokunulmadığından emin olunan cihazdır.
Güvenilir bir platform, IoT cihazını çalıştırma yazılımını doğrulayan bir yöntem sağlar. Platform öncelikle çalıştırma işlemi esnasında dijital imzaları kullanarak yazılımın ilk bölümünü doğrular. Bu mekanizma, cihazın donanımına yerleşik olduğu için değiştirilemez. Güvenilir platform mesaj derlemesini yeniden işleyerek, ilişkilendirilmiş dijital imzayı ‘public key (genel anahtar)’ ile deşifre ederek ve mesaj derlemlerini karşılaştırarak sözkonusu dijital imzayı doğrular. Eğer mesaj derlemleri birbirlerine uyuyorsa, yazılımın güvenilirliği onaylanmış olur.
Güvenilir çalıştırma kişisel imajların ve datanın daha önce doğrulanmış yazılım tarafından onaylandığı bir çalıştırma işlemi sürecidir.
DHS (Department for Homeland Security)’nin raporunda “ Ulusumuz IoT cihazlarının güvenliğin pek az göz önünde bulundurulduğu bir dağıtım şekliyle yayılımını kabul edemez. Kritik altyapımıza, kişisel gizliliğimize ve ekonomimize yönelik potansiyel tehlike göz önünde bulundurulduğunda sonuçları oldukça yüksek olacaktır” deniliyor.
