Gittikçe akıllanan evler yavaş yavaş akıllı şehirleri oluşturuyor. Peki akıllı şehirlerdeki birbirine bağlı milyonlarca cihaza dair güvenlik riskleri neler? Siber güvenliğin artık sadece kişisel bilgisayarlarımızla sınırlı kalmayıp yaşamımızın neredeyse her anında önemli olacağı günler çok yakın. Kaspersky Türkiye Genel Müdürü İlkem Özar konuyla ilgili sorularımızı yanıtladı.
Akıllı şehirler ve siber güvenlik kavramlarını günümüz bağlamında tanımlayabilir misiniz?
Akıllı şehirler artık hayal olmaktan çıkıp gerçeğe dönüştü. Bu durum dijital ve fiziksel dünyalar arasında mükemmel bir denge sağlayarak, şehir sakinlerinin yaşam kalitesi artırmakla kalmıyor, aynı zamanda şehir hizmetlerini maksimize ederek küresel dijital ekonomide şehirleri güçlendirebiliyor. Bu da yatırımcılar için çekici bir hale getiriyor ve dinamik bir büyümeye önemli katkılarda bulunuyor. Akıllı şehirler, elektronik veri toplama sensörleri aracılığıyla kentsel alanlardaki varlıkları ve kaynakları etkili bir şekilde yönetiyor. Vatandaşlardan, cihazlardan ve varlıklardan elde edilen veriler, trafik ve ulaşım sistemlerinden enerji santrallerine, su kaynakları ağlarından atık yönetimine, polis teşkilatından bilgi sistemlerine, okullardan kütüphanelere, hastanelerden diğer toplum hizmetlerine kadar birçok alanda kullanılıyor.
Siber güvenlik, bu sistemleri, ağları ve programları dijital saldırılardan korumak için kritik bir rol oynuyor. Bu saldırılar genellikle hassas bilgilere erişmeyi, değiştirmeyi veya yok etmeyi amaçlıyor; aynı zamanda kullanıcılardan para talep etme veya normal iş süreçlerini aksatma potansiyelini de taşıyor. Günümüzde, kullanılan cihaz sayısındaki artış ve saldırganların daha yenilikçi olması nedeniyle etkili siber güvenlik önlemleri uygulamak daha da kritik ve zor bir hale geldi.
Siber güvenlik açısından akıllı şehirlerin başlıca riskleri nelerdir?
Birinci sıradaki risk, veri ihlalleridir. Akıllı şehirler, büyük miktarda kişisel bilgi ve kritik altyapı verisi toplar. Bu verilerin sızdırılması, gizlilik ihlallerine ve potansiyel kimlik hırsızlığına neden olabilir. İkinci olarak, altyapı zafiyetleri önemli bir tehdittir. Akıllı şehir altyapısının birbirine bağlı doğası, bir siber saldırının diğer sistemlere hızla yayılmasına neden olabilir. Bu durum, temel hizmetlerde aksaklıklara sebep olabilir, örneğin ulaşım, enerji ve su kaynağı gibi. Diğer bir risk, kötü amaçlı yazılım ve fidye saldırılarıdır. Akıllı şehir sistemleri, bu tür saldırılara açık olup işlemleri bozabilir ve hizmetlerin yeniden sağlanması için fidye ödemelerini talep edebilir. Yetkisiz erişim de önemli bir risktir. Hacker’lar, akıllı şehir sistemlerine yetkisiz erişim sağlamaya çalışabilir ve bu erişimi kullanarak işlemleri manipüle veya sabotaj yapabilir, bu da ciddi aksaklıklara ve zararlara yol açabilir. Bunun yanı sıra standartlaşma ve düzenleme eksikliği, farklı akıllı şehir sistemleri arasında standartlaştırılmış siber güvenlik önlemleri ve net düzenlemelerin olmamasına bağlı olarak şehir genelinde zayıflıklara ve tutarsızlıklara neden olabilir. Akıllı şehir sistemlerine erişimi olan çalışanlar veya taşeronlar tarafından oluşturulan riskleri de göz ardı etmemek önemli. Bu kişiler, ayrıcalıklarını kötüye kullanabilir veya güvenliği kasıtlı olarak tehlikeye atabilir. Son olarak, IoT cihazı zafiyetleri üzerinde durmalıyız. Akıllı şehirlerdeki Nesnelerin İnterneti (IoT) cihazları, zayıf güvenlik önlemlerine sahip olabilir ve saldırganlar tarafından kullanılarak daha geniş ağlara erişim sağlama riskini taşırlar. Bu risklere karşı etkili bir mücadele için güçlü ağ güvenliği, düzenli zafiyet değerlendirmeleri, çalışan eğitimleri, olay yanıt planları ve endüstri ortakları ile devlet kurumları arasında güçlü bir iş birliği gereklidir. Güvenli bir akıllı şehir geleceği için hep birlikte çalışmalı ve bu tehditlere karşı önlemlerimizi güçlendirmeliyiz.
Bu riskleri azaltmak için hangi önlemler alınabilir?
Enerji ve su yönetimi, akıllı aydınlatma, alarm sistemleri, video gözetimi ve diğer IoT uygulamaları, akıllı şehirlerin temelini oluşturan kilit bileşenlerdir. Bu nedenle çevresel sürdürülebilirlik çabaları, ekipman üreticilerinden yazılım geliştiricilere, hizmet sağlayıcılardan uygulama geliştiren şirketlere kadar akıllı şehir ekosistemini kapsamalıdır. Bu bağlamda, IoT güvenliği zorluklarına yanıt vermek ve özellikle siber güvenlik ilkelerine dayanarak daha güvenilir ve güvenli hale getirmek için farklı seviyelerde faaliyetler ortaya çıkmalıdır. Şu anda, IoT platformlarının geliştirilmesi ve uygulanması konusunda bir standartlaştırma hareketi var. Bu, platformların daha güvenilir ve tasarıma dayalı hale getirilmesine olanak tanır. Akıllı şehirler, uzman IT, iş, hükümet ve özel sektördeki tüm paydaşların etkili bir şekilde birlikte çalıştığı zaman güvenliği sağlayabilir. Güvenlik, tek bir hizmet sağlayıcısından, hükümet departmanından veya özel sektörden yapılacak faaliyetlerle uçtan uca sağlanmalıdır.
Örneğin, güvenlik konusunda Kaspersky, IoT gateway’leri ve siber bağışıklık prensiplerine dayalı çözümleri tasarlayarak bu sürece katkıda bulunmaktadır. Siber Güvenlik Yaklaşımı, tehlikeye atılması neredeyse imkânsız ve potansiyel güvenlik açıklarının sayısını en aza indiren çözümler yaratmanın bir yoludur. Bu, akıllı şehirler için binaları ve kamu hizmetlerini korumak anlamına gelir. Örneğin, bir hastane akıllı şehir sistemine bağlanarak, bir hizmet sağlayıcı güvenilir veri alabilir ve analiz edebilir. Bu proje sayesinde hastane, bir mahalle örgütünün boruyu yasadışı olarak bağladığını ve suyu kendi ihtiyaçları için kullandığını tespit etti.
Akıllı şehirler için siber güvenlik uygulamaları, şifreleme ve katı şifre politikaları, zafiyet yönetimi, ağ segmentasyonu, Zero Trust modeli, güvenlik duvarları ve akıllı şehir sistemlerinin bağlı olduğu herhangi bir bulut altyapısı için özel koruma gibi temel önlemleri içermelidir. Ayrıca, IoT cihazlarını iş uygulamalarına bağlamak ve bunlar arasındaki iletişim ve veri transferini güvence altına almak için özel IoT güvenlik çözümleri ve güvenlik gateway’leri gibi yerinde olmalıdır. Akıllı şehir nesneleri ve sistemleriyle bağlantılı olan organizasyonlar, çeşitli tehditlere karşı uç nokta ve ağ korumasını algılamak ve yanıtlamak için bu tür güvenlik önlemlerini kullanabilirler.
Kamu ve özel sektör arasında akıllı şehirlerin siber güvenliğini iyileştirmek için hangi türde bir iş birliğinin olması gerektiğine inanıyorsunuz?
Kamu ve özel sektör arasında güçlü ve etkili bir iş birliği olmalıdır. Bu, akademi, hükümet ve iş dünyası arasında güçlü bir iş birliği anlamına gelir. Bu tür iş birliklerinin avantajları olarak ise; iş birliği, yeni düzenlemelerin oluşturulmasında etkili bir rol oynayabilir. Kamu ve özel sektör, bir araya gelerek güncel ve etkili düzenlemelerin tasarlanmasına katkıda bulunabilir. Yeni güvenlik yaklaşımlarını araştırma avantajı sunar. Birlikte çalışma, yeni güvenlik yaklaşımlarını keşfetmek ve geliştirmek için araştırma yapma fırsatı tanıyor. Bu, güvenlik alanındaki en son gelişmelerin takip edilmesini ve uygulanmasını sağlar. İş birliği, temel bilimsel araştırmaların yönünü belirlemede önemli bir rol oynayabilir. Bu, gelecekteki teknolojik ve bilimsel gelişmelerin öncüsü olabilir. Kamu ve özel sektör bir araya gelerek, yeni teknolojilerin mevcut altyapıya nasıl entegre edileceği konusunda stratejiler geliştirebilir ve uygulayabilir. İş birliği, sektördeki değişen ihtiyaçlara uygun olarak yeni personelin eğitimini sağlamak için önemli bir platform olabilir. Bu, işgücü becerilerini güncel tutma ve geliştirmeyi amaçlar. Bu iş birlikleri, kamu ve özel sektör arasındaki sinerjiyi artırarak, daha etkili çözümler geliştirmeye ve sürdürülebilir bir dijital geleceğin inşasına katkıda bulunmaya yöneliktir.
Akıllı şehirlerin siber güvenliğini geliştirmek için hangi politika ve düzenlemelere ihtiyaç duyulmakta?
Bu soruya, doğrudan yasa koyucuların düzenleyicilerin cevap vermesi daha iyi olurdu. Bir siber güvenlik şirketi olarak biz, akıllı şehirlerin siber güvenliği ile ilgili uygun politika ve düzenlemelerin defense -in-depth (Derinlemesine savunma – Bir bilgi teknolojisi sistemi boyunca birden fazla güvenlik kontrol katmanının yerleştirildiği bilgi güvenliğinde kullanılan bir kavramdır.) yaklaşımlarına dayanması gerektiğini söyleyebiliriz.
Bu konuda çalışan örnekler var mı?
Dünya genelinde birkaç inisiyatif hali hazırda bulunuyor ve buna İtalya’nın ortasında deprem riski taşıyan bir bölgeye odaklanan bir inisiyatifi örnek gösterebiliriz. Bu inisiyatif, jeneratörlerin lojistiğine, suyun nasıl dağıtıldığına ve deprem durumunda kurtarıcıların nasıl hareket ettiğine bakıyor. Her şey birbiriyle bağlantılı ve hesaplanmıştır.
Tehdit İstihbaratı hizmetlerini geliştirmek için neler yaptınız?
Kaspersky, Tehdit İstihbaratı ürün grubundaki tüm ürün ve hizmetlere sürekli yatırım yaparak teknolojik gelişimine odaklanıyor. Bu alanda dünya standartlarında güvenlik araştırmacılarından oluşan bir ekip kuruyor ve dünyanın farklı bölgelerinden yetenekli profesyonelleri bünyesine katmaya devam ediyor. Bu uzman ekip tarafından gerçekleştirilen araştırmalar, Kaspersky’nin özel tescilli raporları olan Tehdit İstihbaratı Raporları’nın temelini oluşturuyor. Tehdit İstihbaratı Raporları, Kaspersky’nin müşterilerine sunduğu bir hizmet olarak erişilebilen özel raporlar içeriyor. Bu raporlar, güvenlik tehditleri ve saldırılar konusunda derinlemesine analiz ve bilgi sağlayarak kurumların güvenlik stratejilerini güçlendirmelerine yardımcı oluyor. Kaspersky, Tehdit İstihbaratı’nı geliştirmek ve sürekli olarak iyileştirmek amacıyla düzenli olarak yatırım yapıyoruz. Bu yatırımlar, güncel tehditlerle başa çıkabilmek ve müşterilere en etkili güvenlik çözümlerini sunabilmek adına yapılıyor. Böylece Kaspersky, siber güvenlik alanında öncü bir konumunu sürdürüyor ve müşterilerine güvenli bir dijital deneyim sunma çabalarını sürdürülebilir yapıyor.
IoT cihazları için tasarlanan Kaspersky OS, tıpkı Windows’Un PC’lerde yaygınlaşması gibi bir standart haline gelebilir mi?
Benzetme kulağa hoş geliyor, ancak tam olarak doğru değil, çünkü IoT çok çeşitli tüketici ürünleri de dahil olmak üzere çok sayıda cihazı bir araya getiriyor. KasperskyOS tabanlı ürünler kurumsal sektörde kullanılıyor. Bu benzetme, Kaspersky IoT Secure Gateways’in kurumsal altyapıyı ve Kaspersky Thin Clients’ın son kullanıcıları koruduğu Endüstriyel IoT için bir dereceye kadar işe yarayabilir. Öte yandan, otomotiv endüstrisi ve kurumsal mobilite için çözümlerle ürün portföyümüzü ilerletiyoruz, ancak bunu Windows ile karşılaştırmak zor.
