Arçelik Global Siber Güvenlik Kıdemli Yöneticisi Çağatay Büyüktopçu: “UÇTAN UCA IoT SİBER GÜVENLİK HİZMETLERİNE İHTİYAÇ VAR”

“Siber güvenlik Arçelik için çok önemli. Bu alana çok büyük yatırımlar yapıyoruz. Ben bugün IoT siber güvenliği ile ilgili tarafı anlatacağım. IoT siber güvenliği kritik, çünkü Arçelik globalde 30 milyona yakın ürün üretiyor. Bunun şu an için 1,5 milyona yakını internete bağlanabilir, IoT uyumlu ürünler. Çok yakın bir gelecekte de yıllık 5 milyon adetlik IoT uyumlu ürün üretim adedine ulaşmayı öngörüyoruz. Arçelik 150’den fazla ülkeye ihracat yapan bir şirket. Ürünlerimizin kullanım alanları çok geniş bir coğrafyaya yayılmış durumda. IoT uyumlu ürün çeşitliliğimiz de her geçen gün artıyor. Farklı teknik altyapılara sahip birçok farklı IoT ürün tasarlıyoruz. Embedded Android tabanlı Smart TV’lerimiz, Wi-Fi’lı beyaz eşyalarımız, Bluetooth’lu küçük ev aletlerimiz, Embedded Linux tabanlı fırınlarımız, dışardan ekosistemimize dahil ettiğimiz üçüncü parti bağlantılı ürünlerimiz var. Buluttan buluta entegrasyon yaptığımız IoT altyapılarımız var.

Dolayısıyla IoT uyumlu ürünlerin artan üretim adetleri, artan coğrafi yayılımları ve artan teknik çeşitlilikleri nedeniyle IoT ürünlerin uçtan uca siber güvenlik altyapılarının doğru bir şekilde tasarlanması ve ürünlerin yaşam döngüsü boyunca sağlıklı bir şekilde yönetilebilmeleri her geçen gün daha da önemli hale gelmektedir.

Ayrıca çok yakın gelecekte IoT siber güvenliği ile ilgili birçok farklı regülasyonun da devreye girmesi beklenmektedir. 1 Ağustos 2024’ten itibaren devreye girecek yeni RED direktiflerine göre Avrupa Birliği ülkelerine bağlantılı ürün ihracatı için, ürününüzün belirli IoT siber güvenlik yetkinliklerine sahip olması ve bunun da akredite bir laboratuvardan resmi bir şekilde onay almış olması gerekmektedir.

Bu nerenle de IoT siber güvenliğine, ürünlerimize, bunların mobil aplikasyonlarına, ilgili bulut servislerine çok büyük yatırım yapıyoruz. 2016’da bağlantılı beyaz eşya ürünlerine HSM(Hardware Security Module) entegresi ekleyen sektördeki ilk şirket olmamız bunun reel örneklerinden sadece biri olarak gösterilebilir.

Bütün bu ürünlerin, mobil uygulamaların ve bulut servislerinin elektronik sistem altyapıları, uçtan uca IoT altyapıları ve en nihayetinde siber güvenlik tasarım altyapıları tamamen Arçelik AR-GE Merkezlerimizde inhouse olarak tasarlanmaktadır. IoT Siber Güvenlik ekibi bünyesinde oluşturduğumuz IoT Red Team ile sürekli olarak ürünlerimizin ve servislerimizin uçtan uca zafiyet analizlerini gerçekleştiriyoruz.

Sektördeki diğer siber güvenlik şirketlerinden beklentilerimiz:

• Uçtan uca bir IoT siber güvenlik hizmetinin olması.
• Ürün, mobil uygulama ve bulut servislerinde hem ayrı ayrı hem de uçtan uca bu zafiyet analizlerini farklı iletişim protokolleri, farklı işletim sahiplerine sahip ürünler için de nitelikli bir şekilde gerçekleştirebilmeleri.
• IT siber güvenliğindeki bakış açısının üzerine IoT ürün ve servislerine yönelik bazı özel test ve analizlerin yapılabilmesi. Bununla ilgili yetkin insan kaynaklarının ve ekipman altyapılarının geliştirilmesi.

Örneğin mobil aplikasyon güvenliğiyle ilgili bir hizmet veriliyorsa standart bir mobil aplikasyon güvenliği değil de bir IoT cihazla haberleşen mobil aplikasyonda bulunan bazı haberleşme protokollerine hâkim olup olmadığı gibi konular bizim için IoT siber güvenlik sektöründe beklediğimiz kritik noktalar.

Son olarak uçtan uca bir IoT siber güvenliği için tak-çalıştır bir çözüm bulunmamaktadır. Bunu ürüne ve sisteme uçtan uca entegre edebilmek için ciddi bir mühendislik eforuna ihtiyaç duyulmaktadır. O yüzden IoT siber güvenliğinde bir çözümü alıp herhangi bir domaine entegre ettikten sonra ‘ben güvenliyim’ diye düşünmek çok sağlıklı olmamaktadır. Çünkü genelde hacker’ler IoT cihazlara üç yönden yaklaşmaktadırlar. Birincisi “IoT as a Target” şeklinde özetlenen, bizzat evdeki IoT cihazının kendisini hedef alan, siz evde yokken cihazlarınızın kontrolünü ele geçirerek çeşitli zafiyetler yaratmayı hedefleyerek. İkincisi, “IoT as a Tool” şeklinde özetlenen, cihazları belirli bir sunucuya vs yönlendirerek başka hedeflere yapılacak ataklarda araç olarak kullanmalarını sağlayarak(2016’daki Mirai botnet atağı tamamen bu şekilde gerçekleşmişti). Üçüncüsü ise “IoT as a Witness” şeklinde özetlenen, cihazdaki kişisel verilerin alınmasını hedefleyerek.

Arçelik olarak IoT uyumlu cihazlarımızın siber güvenlik altyapılarını sürdürülebilir ve scale edebilir şekilde, en iyi teknolojileri geliştirip ürün ve servislerimize adapte etmeye devam ederek, bunları ulusal ve uluslararası sertifikasyonlarla belgelendirerek, IoT siber güvenliği özelinde Türkiye’de bir ekosistem oluşturulmasına ve yetkin insan kaynağı yetiştirilmesine destekler de vererek ilerlemeye devam ediyoruz.”