Teknoloji firmalarına ve ABD hükümetine göre, alıcılara bağlı cihazların siber güvenliği hakkında bilgi vermek için bilgilendirici etiketler oluşturma çabası ilerlemeye devam ediyor, ancak çok yavaş.
Geçen hafta Google, Nesnelerin İnterneti (IoT) cihazları için ürün etiketlerine nelerin dahil edilmesi gerektiğine ilişkin şirketin duruşunu özetleyen bir blog yazısı yayınladı. Asgari bir güvenlik temel çizgisi, uluslararası standartlara bağlılık ve güvenlik ortamının bilgisi değiştikçe etiketin değişmesine izin verilmesi de dahil olmak üzere sektöre rehberlik etmesi gereken beş ilkeyi tanımladı. Temellere odaklanan bir ifadeye duyulan ihtiyaç, standartların geliştirilmekte olduğu yavaş adımların altını çizmektedir.
Google’da Android Güvenlik ve Gizlilik mühendislik başkan yardımcısı Dave Kleidermacher, Nesnelerin İnterneti’nin çok sayıda ürün ve kategori içermesi nedeniyle IoT siber güvenlik etiketleme standartlarının “ilk aşamalarında” olmasının bir nedeni olduğunu söylüyor.
“IoT güvenliğinin basitleştirilmesi, endüstrinin üzerinde çalışmaya devam ettiği bir zorluk olmaya devam ediyor” diyor. “Bu, büyük ölçüde IoT’nin, çok farklı gerekli güvenlik seviyelerine sahip ampuller ve akıllı ekranlar gibi geniş bir ürün kategorisi yelpazesine sahip olmasından kaynaklanmaktadır.”
Google’ın yayınlanan açıklama Beyaz Saray’ın devlet ve özel sektörden teknoloji uzmanlarını IoT etiketlemesindeki ilerleme üzerine bir zirve için bir araya getirmesinden iki hafta sonra ve ABD Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) “Siber Güvenlik Etiketleme Programları Çalıştayı”nı düzenlemesinden bir yıldan fazla bir süre sonra geldi. Tüketiciler için: Nesnelerin İnterneti (IoT) Cihazları ve Yazılımı”, uygulamaların ve bağlı cihazların güvenlik durumunu ileten IoT ürün etiketleri oluşturma çabası.
Her iki toplantı da Biden yönetiminin Mayıs 2021’de, standartları geliştirmeyi zorunlu kılan “Ulusun Siber Güvenliğini İyileştirmeye İlişkin İcra Emri”ni yerine getirmeye çalışıyordu. Son toplantının amacı, Biden yönetimi olan herhangi bir bağlı cihazın güvenliğinden bahseden bir beslenme etiketi veya Energy Star benzeri bir sisteme doğru ilerlemeye devam etmekti. bir açıklamada söyledi.
“[The] Beyaz Saray 20 Ekim’de yaptığı açıklamada, “ulusal bir siber güvenlik etiketleme programının en iyi nasıl uygulanacağına, İnternet özellikli cihazlar için geliştirilmiş güvenlik standartlarının nasıl sağlanacağına ve dünya çapında tanınan bir etiketin nasıl oluşturulacağına odaklanan diyalog” dedi. Tüketicilerin daha bilinçli siber güvenlik seçimleri yapmasına yardımcı olmak için cihazları kolayca tanınan etiketlerle donatarak internete bağlanan tüketici cihazlarında güvenliği artıran güvenilir bir program.”
Basılı Etiketlere Hayır, Uluslararası Standartlara Evet
Google, blog gönderisinde ilerlemenin yavaş olduğunu belirtti. “Etiketlemenin tanımı, güvenlik ve mahremiyet açısından hangi etiketlemenin iletilmesi gerektiği, etiketin nerede olması gerektiği ve tüketici kabulünün nasıl sağlanacağı” da dahil olmak üzere, IoT ürün etiketlemesinin neredeyse tüm ayrıntıları havada.
Kleidemacher, güvenlik sürekli değiştiği için basılı etiketlerden kaçınılması gerektiğini ve herhangi bir etiketin yalnızca geçmişte bir noktayı belgeleyeceğini söylüyor.
“Etiketlerin dijital olması gerekiyor” diyor. “Bir cihazın güvenlik durumu birkaç gün içinde değişebileceğinden, basılı bir etiket sağlamak, potansiyel olarak eski bilgiler sağlayarak kullanıcıya istemeden zarar verebilir veya tüketicinin artık güvenli olmayan bir cihazı satın almasına neden olabilir.”
Google, potansiyel başlangıç yerleri olarak IoT odaklı Bağlantı Standartları Birliği (CSA) ve bir mobil cihaz endüstrisi grubu olan GSM Birliği tarafından oluşturulan güvenlik etiketi spesifikasyonlarına işaret etti.
Kleidemacher, “Tüketicilerin daha iyi satın alma kararları vermelerini sağlamak için yararlı, faydalı bilgiler sunabilmek, IoT güvenlik etiketlemesi etrafındaki fikir birliği oluşturmanın özüdür” diyor. “Geri kalanı, etiketin nasıl görünmesi gerektiği – yani ikili veya çok seviyeli – nerede olması gerektiği ve etiketin ne içermesi gerektiği de dahil olmak üzere hala tartışmaya açık.”
İkili Etiketler NIST’in Nod’unu Alır
Anlaşmazlık alanlarından biri, etiketlerin ikili olup olmayacağıdır – evet, bir ürün standartları karşılıyor mu, hayır, değil mi – yoksa bir dizi siber güvenlik derecelendirmesine izin veriyor mu? Son taslağında “Tüketici IoT Ürünleri için Siber Güvenlik Etiketlemesi için Önerilen Kriterler,” NIST, Eylül ayında temel standart için bir ikili etiket önerdi. Bir deyim Ekim ayında yayınlanan Biden yönetimi, “en yaygın ve çoğu zaman en riskli teknolojiler – yönlendiriciler ve ev kameraları” etiketleme standartlarını hızla geliştirmeyi taahhüt etti.
Google’dan Kleidermacher, ikili yaklaşımın Singapur gibi diğer ülkelerde benimsenen çok katmanlı etiketleme şemalarından saptığını belirtti. Şirket, Amerika Birleşik Devletleri ve diğer ülkelerin siber güvenliği kanıtlamak için standart bir küresel yaklaşım oluşturmak için endüstri ittifakları aracılığıyla çalışabileceğini umuyor.
“Bu kuruluşlar endüstri ve politika yapıcılar arasında köprü oluşturduğundan, bunun işbirliği, koordinasyon ve fikirlerin paylaşımı yoluyla hızlı bir şekilde benimsenmesine yardımcı olabileceğini umuyoruz” diyor. “Birçok ülke, düzenleme çabalarıyla asgari güvenlik temellerini şimdiden zorunlu kılmaya başladı, bu nedenle ABD’nin tutarlı, birlikte çalışabilir standartlar oluşturmak için uluslararası tartışmalara katılması zorunludur.”
