Bağlantılı Yaşamda Nasıl Güvende Olacağız? «IoT ve Yaşam» Cem Ergül ISACA Istanbul Chapter, Başkan Yardımcısı İşNet A.Ş. CAE, İç Denetim Grup Müdürü
IoT nerede? Bilgisayarlar, Cep telefonları, Tabletler, Akıllı Saatler, Sağlıklı Yaşam Cihazları, Akıllı Televizyonlar, Akıllı Kombi ve Klimalar, (termostatlar) Akıllı Buzdolapları, Çamaşır Makineleri, Bulaşık Makineleri Tuvaletler (Akıllı sifonlar) Arabalar, dronlar, İHA ve SİHA lar...
IoT ile ilgili yaşanmış olaylar? Şubat 2017 de ünlü bir akıllı TV, televiyonlara reklam veren firmalara, kullanıcıların TV alışkanlıklarını gönderdi. Yine 2017 de smart TV lerdeki açıklar kırılarak kullanıcıların Facebook hesaplarına girildi. Nisan 2017 de tüm Dallas daki sirenler çaldı. Şehirdekiler kendini saldırı altında hissetti.
IoT ile ilgili yaşanmış olaylar? Çinde öğrenciler popüler bir arabayı kırarak, kapılarını açtı ve sileceklerini çalıştırdı. Amerikada bebekleri izleyen cihazlar kırılarak gece yarısı atılan çığlıklarla hepsi uyandırıldı. Akıllı tuvaletlerde sifonlar sürekli çalıştırılıp, gereksiz su sarfiyatı yapıldı.
Akıllı araçlar her yerde olacak. IoT yakın gelecekte?
IoT yakın gelecekte? Yapay zekanın son örneği insansı Robotlar geliyor.
Farkındalık Ne Durumda
IoT ve Güvenli Yaşam için Farkındalık 1. Üreticinin IoT güvenliği farkındalığı 2. Yazılımcının IoT güvenliği farkındalığı 3. Son kullanıcı IoT güvenliği farkındalığı
Zayıflıklar ve Kontroller Zayıflık 1. Güvenli olmayan Web Arayüzü Kontroller : HTTPS, İki faktörlü kimlik doğrulama, Güvenlik duvarı, Güçlü bir parola, Hesap kilitleme, IoT sistemi güvenlik duvarı ile kritik sistemlerden ayrılması
Zayıflıklar ve Kontroller Zayıflık 2. Yetersiz Otantikasyon/Otorizasyon Kontroller : Web uygulamaları için parola ve mümkünse kullanıcı adı değişikliği, İki faktörlü kimlik doğrulama, Güvenlik duvarı, Güçlü bir parola, Periyodik olarak yeni şifre gerektirme, Hesap kilitleme, IoT sistemi güvenlik duvarı ile kritik sistemlerden ayrılması, kullanıcı ayrıcalıklarının asgariye indirgenmesi.
Zayıflıklar ve Kontroller Zayıflık 3. Güvenli olmayan Network Servisleri Kontroller : Güvenlik duvarı, güvenlik duvarına yalnızca kendi istemci sistemlerinizden erişim, IoT sistemi güvenlik duvarı ile kritik sistemlerden ayrılması(ağ bölümlendirme teknolojisi )
Zayıflıklar ve Kontroller Zayıflık 4. Şifresiz Aktarım Yapılması Kontrol: HTTPS
Zayıflıklar ve Kontroller Zayıflık 5. Gizliliğin İhlali Kontroller : Hassas bilgileri sisteme girmemeli. Ör: Adres, Kredi Kartı, vb. Cihazların doğru çalışmasına yönelik bilgilerin ötesinde bilgi toplanmaması/girilmemesi
Zayıflıklar ve Kontroller Zayıflık 6. Güvenli Olmayan Bulut Arayüzü Kontroller : Web uygulamaları için parola ve mümkünse kullanıcı adı değişikliği, HTTPS, İki faktörlü kimlik doğrulama, Güvenlik duvarı, Güçlü bir parola, Periyodik olarak yeni şifre gerektirme, Hesap kilitleme, IoT sistemi güvenlik duvarı ile kritik sistemlerden ayrılması
Zayıflıklar ve Kontroller Zayıflık 7. Güvenli Olmayan Mobil Arayüzü Kontroller : PIN veya şifre kullanımı, ek güvenlik için istemci ve sunucuda da PIN yada Şifre kullanımı,touch ID yada yüz tanıma gibi iki faktörlü kimlik doğrulama,hesap kilitleme, Güçlü parola, Periyodik olarak yeni şifre gerektirme,mobil uygulamaya mutlaka gerekli olmayan hassas bilgileri girmeyin, ör. adres, kredi kartı vb.
Zayıflıklar ve Kontroller Zayıflık 8. Yetersiz Güvenlik Konfigürasyonu Kontroller : Güvenlikle olaylarının kaydı, Güvenlikle ilgili olaylar için herhangi bir uyarı ve bildirim yapılması, Güçlü parola isteyen güvenlik konfigürasyonu, Şifreleme için AES-256 gibi kabul edilen bir standart için ayarlanması
Zayıflıklar ve Kontroller Zayıflık 9. Güvenli olmayan Yazılım/Donanım Kontroller : Güncelleme doğrulama, Güvenli bir şekilde indirme, Planlı Güncelleme.
Zayıflık 10. Zayıf Fiziksel Güvenlik Kontroller : Zayıflıklar ve Kontroller Sisteminiz yerel olarak bağlanarak idari kabiliyetleri mümkün kılacak kapasiteye sahipse, bu özelliği etkinleştirmeyi düşünün, Kullanılmayan fiziksel bağlantı noktalarını yönetimsel arabirim aracılığıyla devre dışı bırakın
Vatandaş Sophia yanıtladı! Yapay Zeka Tehdit mi?
Teşekkür ederim. Cem Ergul ISACA Istanbul Chapter, Başkan Yardımcısı İşNet A.Ş. CAE, İç Denetim Grup Müdürü