IoT siber güvenliğine bütünleşik bakış!

 IoT güvenliği alanında “One Stop Shop” olma hedefiyle çalışmalarını sürdüren CyberWhiz, yeni coğrafyalara açılma stratejisini hayata geçiriyor.

BThaber Röportaj: CyberWhiz IoT Cyber Security CEO’su Çağatay Büyüktopçu.

Ayhan Sevgi

İnternete bağlı çalışan, veri üreten ve bu verileri paylaşan cihazların sayısı ile çeşidi yüksek bir ivmeyle artmaya devam ediyor. Nesnelerin İnterneti (IoT) olarak adlandırılan bu teknolojilerin güvenliğinin sağlanması da farklı yaklaşımlar gerektiriyor. Şu an Dünya genelinde 100’den fazla ülkede 1’er milyondan fazla IoT cihazın ve mobil uygulama kullanıcısının güvenliğini sağlayan CyberWhiz, hızlı bir gelişim süreci geçirdi. Merkez ofisini İngiltere’ye taşıyarak buradan yeni coğrafyalara açılma stratejisini hayata geçirmeyi planlayan CyberWhiz’in CEO’su Çağatay Büyüktopçu sorularımızı yanıtladı.

• Dünyada geleneksel bilişim cihazlarının dışındaki cihazların internete bağlanma sayıları ve çeşidi hızla artıyor. Özellikle 5G ile birlikte bu gelişim daha da hızlanacak. Bu gelişim sürecini nasıl yorumluyorsunuz?

Her 1 saniyede 127 yeni IoT cihazının internete bağlandığı ve 2030 yılında toplamda 50 milyardan fazla aktif cihazın olmasının beklendiği bir dünyada yaşıyoruz. Bu IoT cihazlar Bluetooth, Wi-Fi, ve 5G gibi çeşitli altyapılarla haberleşiyor ve sadece kendi ekosistemleri içerisinde değil, başka cihazlarla, elektrik şebekeleriyle iletişime geçmeye başlıyorlar. Bu da IoT cihazlar özelindeki yönetilmesi gereken siber atak yüzeyini üstel olarak artırıyor. Bu nedenle hayatımızın her alanında dokunacağımız, kullanacağımız bu cihazların doğru bir siber güvenlik altyapısına sahip olması çok önemli hale geliyor.

• IT ve OT siber güvenliğine kıyasla IoT siber güvenliğine özel zorluklar nelerdir?

IoT cihazların bağlı olduğu networkler çoğunlukla kontrolümüz dışında. Fabrikalardaki OT networklerinde veya IT altyapılarında yaşanabilecek olası bir siber vakada görece daha hızlı aksiyon alınabilmesi mümkünken, farklı yerlerde çalışan IoT cihazlarında bu çok zor ve maliyetli olabilir. Sorunların yazılım güncellemeleriyle çözülemediği durumlarda, cihazların elektronik kartlarının değiştirilmesi veya ürünün enerjisinin aç-kapa yaptırılması gerekebilir. Böyle bir durumda Dünya’nın farklı yerlerinde milyonlarca farklı eve, sokağa dağılmış IoT cihazları için bu tarz aksiyonları almak zorunda kalmak ilgili firma için çok büyük bir mali ve operasyonel yük getirecektir.

• Eğer bir cihaza dışarıdan erişim varsa mutlaka dış saldırılar da olacaktır. Bu durumda nasıl bir bütünleşik güvenlik stratejisi ve yapısı oluşturulmalı?

Bütüncül bir IoT siber güvenliğinden bahsedebilmek için IoT’nin 3 saç ayağı olan uç cihaz, bu cihazı kontrol ya da monitör etmekte kullanılan mobil uygulama ve son olarak tüm bunların bağlı olduğu bulut servislerinin siber güvenlik altyapıları hem ayrı ayrı hem de uçtan uca ele alınmalıdır. Otomotiv, tüketici elektroniği, EV şarj istasyonları, biyomedikal gibi alanlarda ürün ve/veya mobil uygulama geliştiren firmalarımızın, marka imajını garanti altına alacak, sürdürülebilir bir IoT siber güvenliğine sahip olabilmesi için IoT ekosistemlerindeki cihaz ve mobil uygulamalarının her birinin hem ayrı ayrı hem de uçtan uca güvenliğinin planlanması gerekiyor. Yasal olarak ödenmesi gereken milyonlarca euroluk cezaların yanında, hiçbir marka ürettiği cihazın veya sorumluluğundaki mobil uygulamanın hacklenerek kullanıcıları mağdur etmesini ve marka imajına zarar vermesini istemez.

• CyberWhiz’in kuruluş amacı, stratejileri ve hedefleri konusunda bilgi verebilir misiniz?

CyberWhiz olarak amacımız IoT siber güvenliğinde “One Stop Shop” olmak. Sadece IoT siber güvenliğine odaklanıp, Blue Team’imizin geliştirdiği cihaz, mobil uygulama ve bulut güvenliği özelindeki yazılım ve donanım çözümlerimizle entegre edildiğimiz IoT bileşenini güvenli hale getirip; bu ürünlerden herhangi birini kullanan cihaz üreticilerimize ya da mobil uygulama sahiplerine Red Team’imizle her bir domaine özel periyodik zafiyet analizleri yaparak ilave bir penetrasyon test hizmeti ihtiyacına gerek bırakmadan; Purple Team’imiz ile de devreye girmeye başlayan IoT siber güvenlik regülasyonlarına uyum için gerekli altyapı ve süreçleri kurmalarını sağlayacak danışmanlık hizmetleri vermeyi hedefliyoruz. Özetle amacımız, bütüncül bir bakış açısıyla IoT siber güvenliğini ele almak.

• Bu doğrultuda ne tür ürün, çözüm ve hizmetler geliştiriyorsunuz?

Uç cihazlar için geliştirdiğimiz CyberWhiz Embedded çözümümüzle, cihazları yüksek güvenlik seviyesine çıkaran yazılım ve donanım çözümleri sunuyoruz. Bu çözümle, entegre edildiğimiz cihazı devreye giren regülasyonlara %100 uyumlu hale getirip EU marketine satılabilmesini mümkün kılıyoruz.  Mobil uygulama güvenliği için geliştirdiğimiz CyberWhiz Mobile çözümümüzle, entegre olduğumuz mobil uygulamaların siber dayanıklılığını artırıyoruz ve ilgili mobil uygulamayı OWASP Mobile Top 10’e %100 uyumlu hale getiriyoruz. Bulut tabanlı CyberWhiz Defence Center çözümümüz ile ise cihaz ve mobil uygulamalardan topladığımız güvenlik verilerini 7/24 izliyoruz ve herhangi bir siber risk tespit edilirse anında müdahale ediyoruz. Devreye girecek tüm IoT regülasyonları cihaz ve mobil uygulamaların siber güvenlik durumlarının, sahadaki yaşam döngüleri boyunca 7/24 izlenmesini zorunlu kılacağı için %100 IoT cihaz ve mobil uygulama odağında tasarlanmış Siber Savunma Merkezi’mizin tüm IoT cihaz üreticilerimizin ve mobil uygulama sahibi firmalarımızın ihtiyaçlarını karşılayacağını düşünüyoruz.

• Farklı teknoloji firmaları ile nasıl bir ekosistem oluşturacaksınız?

Bu sorunuzu 2 boyutta cevaplamak istiyorum. Firmalar tarafında; IoT cihazlarına donanım geliştiren her türlü firmayla siber güvenliği özelinde işbirliğine açığız. Örnek vermek gerekirse; otomotiv elektroniğinde kullanılan telematic kartlara CyberWhiz Embedded yazılım modülümüzü gömüp, geliştireceğimiz HIDS (Host Intrusion Detection System) algoritmalarımızla araç üzerindeki siber tehditleri tespit edip, bunları bandwidth’i ve payload’u minimize etmemize yarayacak edge AI algoritmalarımızla optimize ettikten sonra 5G altyapısıyla buluttaki CyberWhiz Defence Center’ımıza iletip 7/24 monitör edebilmek amacıyla bu özelde tecrübesi olan firmalarla işbirliği geliştirme sürecindeyiz.

Teknoloji özelinde ise; kısa vadeli ilk hedefimiz Post Quantum Crypto algoritmalarını ürünlerimize entegre etmek. NIST’in bu yıl içerisinde ilgili algoritmaları standartlaştırmasının ardından yarı iletken firmalarının PQC altyapısıyla geliştirecekleri yeni nesil HSM’lerle (Hardware Security Module) cihaz özelindeki yazılım ve donanım çözümlerimizi güncellemeyi hedefliyoruz. Eş zamanlı olarak CyberWhiz Mobile ve Defence Center arasındaki haberleşmeye de bu algoritmaları entegre edip mobil uygulama ve bulut arasındaki haberleşme trafiğini PQC uyumlu hale getirmeyi hayal ediyoruz. Ayrıca sadece IoT cihazlardan ve mobil uygulamalardan gelen siber güvenlik verilerini monitör ve analiz eden CyberWhiz Defence Center özelinde bir AI modeli geliştirip olası cihaz ve mobil uygulama ataklarının önden algılanabileceği bir sistem geliştirerek operatör bağımlılığı kalmayacak şekilde sistemi %100 otomatikleştirmeyi hedefliyoruz.

• CyberWhiz’ın farklı ülkelere genişleme stratejileri hakkında bilgi verebilir misiniz?

Öncelikli olarak İngiltere ve Avrupa pazarlarına penetre olmayı hedefliyoruz. İngiltere ve Avrupa’da bazı IoT siber güvenlik regülasyonları devreye girmeye başladı ve o pazarlara ihracat yapan Dünya’daki tüm IoT cihaz üreticilerinin cihaz ve mobil uygulamalarında gerekli siber güvenlik iyileştirmelerini yapmaları gerekiyor. Biz de bu sebeple merkezimizi İngiltere’ye taşıyıp, buradaki ihtiyaçları daha yakından ve hızlı karşılamayı hedefliyoruz. Şu an Dünya genelinde 100’den fazla ülkede 1’er milyondan fazla IoT cihazın ve mobil uygulama kullanıcısının güvenliğini sağlıyoruz. Ayda ortalama 7 milyonun üzerinde logu analiz ederek, akıllı cihaz ekosisteminde ihtiyaç duyulabilecek her türlü güvenlik hizmetini tek bir yerden sunuyoruz. Odak noktamız sadece IoT siber güvenliği.