Akıllı şehirleri koruyan siber güvenlik ne kadar akıllı?

Kaspersky Lab baş güvenlik araştırmacısı David Emm, siber güvenlik dünyasının akıllı şehirleri korumaya ne kadar hazır olduğunu araştırıyor.

Dünya her geçen gün daha da bağlantılı hale geliyor ve akıllı evlerdeki akıllı cihazlar artık toplumun kabul görmüş ve kökleşmiş bir parçası olsa da, akıllı şehirler fikri, kapsamlı acil durum planları gerektiren potansiyel tehlikelerle dolu bir kavram olmaya devam ediyor. Ancak akıllı şehirler  kaçınılmazdırlar, iş ve yaşam dengemizin gelişen unsurları olarak hep bizimle olacaklar .

Burada potansiyel tehlikeler tarafından baktığımızda, akıllı şehirlere güç sağlayan sensörler’in  bir hacker'ın rüyası  olduğunu görüyoruz ve bu bağlamda  IoT güvenlik krizi de makro ölçekte yaşanıyor ve kritik altyapıyı riske atıyor.

BU NOKTADA,Yönlendiriciler ve bebek monitörlerinden bağlı termostatlara ve garaj kapısı açıcılarına kadar her  tüketici akıllı cihazının güvenlik açıklarına sahip olduğu görülüyor . Ancak aynı güvenlik krizi makro ölçekte de kendini gösteriyor ve belediye çalışmalarını ve kamu güvenliği sensörlerini trafik ışıklarını istikrarsızlaştırabilecek, radyasyon sensörlerini zayıflatabilecek ve hatta su seviyesi verileri nedeniyle bir barajın taşmasına neden olmak gibi bir felaket yaratabilecek manipülasyonlara maruz bırakıyor. .

IBM Security ve veri güvenliği firması Threatcare'den araştırmacılar, akıllı şehir planlarını desteklemek için sistemler satan üç şirketin (Libelium, Echelon ve Battelle) sensör merkezlerini inceledi. Küresel olarak akıllı şehir harcamalarının şu anda 81 milyar sterlin civarında  olduğu  tahmin ediliyor ve üç şirketin hepsinin farklı etki alanları var. Örneğin Echelon, dünyadaki akıllı sokak aydınlatması dağıtımlarının en iyi tedarikçilerinden biridir.

Temelde farklılıklar olsa da, araştırmacıların analiz ettiği sistemler benzerdir. Bir belediye, bir dizi sensör kurarak ve verilerini entegre ederek, birbirine bağlı sorunların nasıl çözüleceği konusunda daha ayrıntılı bilgiler edinebilir. Bu sensörler hava durumu, hava kalitesi, trafik, radyasyon ve su seviyeleri gibi şeyleri izler ve trafik ve sokak lambaları, güvenlik sistemleri ve acil durum uyarıları gibi temel hizmetleri otomatik olarak bilgilendirmek için kullanılabilir.

Bu uyarı ve bilgilendirme sistemlerinde  siber güvenlik açığı sonucu yaşananlar şu şekilde karşımıza geliyor :

  2018 Ocak ayında yanlışlıkla bir füze uyarısı Hawaii sakinlerini karıştırırken, bir hacker 2017 yıında  Dallas'ın kasırga sirenlerini patlattı . 

Aslında, bu olaylar ve buna benzer diğerleri, IBM X-Force Red'den Daniel Crowley'e ve Threatcare'den Jennifer Savage'a ilk etapta bu sistemleri araştırmaları için ilham verdi. Buldukları şey onları dehşete düşürdü. Araştırmacılar, yalnızca ilk araştırmalarında, üç şirketin ürünlerinde sekiz kritik kusur da dahil olmak üzere toplam 17 yeni güvenlik açığı buldular.

Crowley, "Hub'lara odaklanmak istememizin nedeni, tüm sistemi yöneten merkezi otoriteyi kontrol ederseniz, dolaşan birçok bilgiyi manipüle edebilmenizdi" diyor. “Çok büyük bir güvenlik açığı alanı gibi görünüyor ve bilgisayarları her şeye koymaktan ve onlara kamu güvenliği ve endüstriyel kontrol sistemlerinin yönetimi gibi önemli işler vermekten bahsettiğimizde riskler yüksek. Başarısız olduklarında, yaşam ve geçim kaynağına zarar verebilir ve uygun güvenlik ve gizlilik önlemlerini almadığımızda, özellikle kaynaklara sahip saldırganlarla kötü şeyler olabilir.”

Araştırmacılar, bir saldırganın bir cihaza erişmesini kolaylaştıracak tahmin edilebilir varsayılan şifreler, bir saldırganın kötü amaçlı yazılım komutları enjekte etmesine izin verebilecek hatalar ve bir saldırganın kimlik doğrulama kontrollerinden kaçınmasına izin verecek temel güvenlik açıkları buldular.

Birçok akıllı şehir planı, sensörleri bağlamak veya verileri buluta aktarmak için dahili bir şehir ağı yerine açık interneti kullanır ve bu da, potansiyel olarak herkesin bulması için cihazları herkese açık bir şekilde açıkta bırakır. Shodan ve Censys gibi IoT tarayıcıları üzerinde yapılan basit kontroller, internet üzerinde  dağıtılan binlerce savunmasız akıllı şehir ürünü ortaya çıkardı. Araştırmacılar, trafiği izlemek için savunmasız cihazlar kullandıklarını tespit ettikleri büyük bir ABD kentinden ve risk altındaki radyasyon dedektörlerine sahip bir Avrupa ülkesinden yetkililerle temasa geçti.

Threatcare'den Savage, "Akıllı şehir cihazlarını uygulamaya başlayan bir şehirde yaşıyorum" diyor. "Burada bir ev aldık ve evimizde IoT cihazlarının olmamasını seçebiliriz, kendi yolumuzdan çıkıp akıllı bir TV değil de aptal bir TV alabiliriz. Ama kameralı sokak lambaları olup olmadığını kontrol edemiyorum. onlara evimin hemen dışında giriyor ve şehrimin kullanabileceği araç hareketliliği  üzerinde hiçbir kontrolüm yok. Bir güvenlik araştırmacısı olarak, bir şehrin benim adıma bu tür kararlar alıyor olabileceği kanısına varıyorum."

Üç şirket, 17 hatanın tümü için yamalar hazırladı. Akıllı şehir teklifleri arasında yalnızca aydınlatmayı değil, aynı zamanda bina otomasyonunu ve ulaşımı da içeren Echelon, sorunlarını çözmek için IBM ile işbirliği yaptığını söylüyor. Sözcü Thomas Cook, WIRED'e, güvenlik açıklarını izleyen İç Güvenlik Bakanlığı Bilgisayar Acil Durum Hazırlık Ekibine atıfta bulunarak, "Echelon güvenlik açığını onayladı, hafifletme çözümleri geliştirdi, müşterileri bilgilendirdi ve DHS ICS-CERT'yi bilgilendirdi" dedi.

Battelle sözcüsü Katy Delaney, grubun bir teknoloji geliştirme kar amacı gütmeyen kuruluş olduğunu ve IBM araştırmacılarının bulduğu güvenlik açığının henüz devreye alınmamış olan Federal Karayolu İdaresi ile açık kaynaklı bir akıllı şehir merkezi işbirliğinde olduğunu belirtti. Delaney, WIRED'e verdiği demeçte, "IBM'in bu potansiyel güvenlik sorunlarını bulmak için önemli kaynaklarını kullanmasını takdir ediyoruz," dedi. "Geri bildirim istedik ve inceleme, iyileştirme ve yardım için teşekkür ederiz." Kapsamlı akıllı şehir teklifleri olan bir İspanyol şirketi olan Libelium, yaptığı açıklamada "Birkaç hafta önce (Temmuz 2018) Libelium, Meshlium Yönetici Sisteminde bulunan bazı web güvenlik açıkları hakkında IBM tarafından bilgilendirildi. ... Şirket anında harekete geçti ve tespit edilen tüm güvenlik açıkları 1 Ağustos'ta yayınlanan yeni bir yazılım sürümü ile otomatik olarak düzeltildi. Yönetici Sisteminden indirilmeye hazır."

Tüm kusurlar için kullanılabilir yamalara sahip olmak çok önemli bir adım olsa da, araştırmacılar, belediyelerin yamalamaya öncelik vermesini sağlamak için bu sorunlar hakkında farkındalığı artırmanın önemine dikkat çekiyor . Araştırmacıların incelediği akıllı şehir merkezleri, otomatik güncelleme yeteneklerine sahip değil; bu, hatalı bir güncelleme hayati altyapıyı istikrarsızlaştırabileceğinden endüstriyel kontrol cihazlarında ortak bir kurulum . Ancak dezavantajı, bu ürünleri kullanan her paydaşın yamaları proaktif olarak uygulaması gerekmesidir, aksi takdirde cihazlar savunmasız olmaya devam eder.

Endüstriyel kontrol korsanlığı, örneğin Rusya'nın bilinen en üretken ilgiyi almasıyla, son zamanlarda ulus devlet saldırganlarının ana odak noktası haline geldi. Devlet destekli Rus bilgisayar korsanları ABD şebekesini ve seçim altyapısını araştırdı ve denizaşırı ülkelerde hasara yol açarak Ukrayna'da iki kesintiye neden oldu ve kötü amaçlı yazılım kampanyalarıyla ülkedeki ödeme sistemlerini tehlikeye attı. Risk dünya çapında büyüdükçe, ABD'li yetkililer ABD altyapısının savunmasızlığını giderek daha fazla kabul ediyor ve İç Güvenlik Bakanlığı gibi kurumlar sistemik önlemleri uygulamak için çabalıyor.

Şehirler akıllı teknolojiye yatırım yapmaya devam edecek, daha fazla verinin genellikle daha fazla risk anlamına geleceğini ve bu güvenlik açıklarının düzeltilmesinin her zaman kolay olmadığını da gözardı etmeyeceklerdir.

Ve  çok da uzak olmayan bir gelecekte, tüm altyapıların bağlı kalmaya devam ettiği/edeceği, tamamen internete bağlı şehirler ve toplumlarda yaşayacağımız gözönünde tutulursa, siber riskler  akıllı bağlantıyı sorunsuz sürdürmek  için  her zaman dikkate alınması gereken yapılanmalar  olacaktır. Siber suçlular, akıllı şehirlerin sahip olduğu güvenlik açıklarından yararlanmaya çalışacak ve tüm nüfus, devlet daireleri ve büyük işletmeler potansiyel kurbanlar olduğundan, riskler  çok daha yüksek , bu bağlamda büyük ofis blokları ve kamu sektörü binaları, otoyollar ve yol ağlarının tümü durma noktasına getirilebilir.

Akıllı şehirlerle ilgili sorun

Siber güvenlik, geniş şehir ağları için kapsamlı testler ve araştırma ve geliştirme yoluyla elde edilen geniş kapsamlı teknolojik korumayı kapsayacak şekilde kişisel veya dahili kurumsal ağların çok ötesine geçmek zorunda kalacak. Siber güvenlik uzmanları, potansiyel olarak milyonlarca insanı ve sayısız ağı birbirine bağlı olarak koruyan yazılım çözümleri tasarlamak için çalışmalarını kesinlikle geliştireceklerdir.

Şu anda birçok cihaz evlerde, ofislerde ve kamusal alanlarda birlikte çalışıyor ancak bu cihazların kamu kullanımına sunulmadan önce çalışması veya test edilmesi gereken tek bir siber güvenlik standardı yok. Bağlantılı altyapı için bir güvenlik standardı olmadan, aynı zamanda büyük yetenekler sağlarken, kesinlikle bir felaket reçetesi olan geleceğe doğru yol alıyoruz.

Bu, mümkün olan en kısa sürede ele alınmalıdır. Uzun süredir var olan cihazların bağlantılı sürümleriyle giderek daha fazla uğraşıyoruz ve sonuç olarak dijital güvenlik tasarımlarına çok sık dahil edilmiyor.

Örneğin, CCTV kameralarını alın. Bu siber güvenlik risklerinin hayal bile edilemediği bir zamanda tasarlanan modelleri ve seri numaraları hala kameranın yan tarafına yazdırılıyor.

Bunlar temel kusurlar gibi görünebilir, ancak şu anda bulunduğumuz yer burasıdır. Bu temel bilgi, bir bilgisayar korsanının ürün hattındaki bir güvenlik açığını bulmak için ve kamera verilerine nasıl erişileceğini ve nasıl değiştirileceğini ve hatta aynı modelin diğer tüm CCTV kameralarının kontrolünü ele geçirmesini keşfetmesine olanak tanır.

Güvenlik düzenlemeleri 

Dünyanın her yerindeki hükümetler, akıllı aydınlatmadan ağ bağlantılı kapı sistemlerine kadar binalarda dolaşacak olan bağlantılı cihazlarda güvenliğin nasıl tasarlandığı ve sürdürüldüğü de dahil olmak üzere siber güvenlik düzenlemeleri belirlemek zorundadır.

Konut, ticari ve kamusal alanlarda akıllı teknoloji uygulamakla görevli kuruluşlar için, bunun nasıl yapılacağına ilişkin planlar, insan operatörlerin bu akıllı alanları nasıl güvenli bir şekilde uygulayıp bakımını yaptığı da dahil olmak üzere tasarım ve planlama aşamasının bir parçası olmak zorunda kalacak.

Akıllı şehirlerin tüm bağlantılı yönlerinin, tamamı kapsamlı planlama ve tasarımdan geçmiş olan aynı standartlarda çalışması ayrılmaz bir bütündür. 

Her zamankinden daha güvenli olduklarından emin olmak için kapsamlı bir incelemeye ihtiyaç duyan sadece ağlar ve cihazlar değil, her gün onlarla birlikte çalışan ve yaşayan insanların da kesinlikle daha fazla farkındalığa ihtiyacı olacak. Bunun nedeni, gitgide daha fazla verinin sonsuza kadar paylaşılacak olması ve bunun değerinin yükselecek  olmasıdır.

İnsanları zararlı bağlantılara tıklamaları veya yanlışlıkla tehlikeli yazılımlar yüklemeleri için kandıran bireysel hatalar ve kimlik avı saldırılarına maruz kalmak, toplumumuzun karşı karşıya olduğu büyük bir sorunve  kimlik avı saldırıları siber suçlular tarafından çok başarılı bir şekilde kullanılmaya  devam ediyor. Geçen yıl, İngiltere'de yaklaşık 65.000 küçük işletmenin siber saldırılara maruz kaldığı tahmin ediliyordu. Bu saldırıların çoğu çalışanların bilgisayar korsanlığı girişiminin ne olduğunu nasıl tespit edecekleri konusunda bilgi eksikliği nedeniyle başarılı oldu 

Siber suçlulara karşı nasıl savunulacağına dair farkındalığın ve bilginin yayılmasını sağlamak hükümetlerin ve siber güvenlik firmalarının sorumluluğundadır.

Sonuç

Başka ne yapılabilir?

Farkındalığı yaymanın ve tüm cihazlar ve ağlar için hükümet  tarafından kalite kontrol standartlarını getirmenin yanı sıra, tüm cihazlar için düzenli güncellemelerin ve yamaların otomatik olarak mevcut olması zorunludur, çünkü bu, bilgisayar korsanlarının olası giriş pencerelerini ortadan kaldırmaya yardımcı olacaktır.

Şu anda IoT ürünleri ve cihazları otomatik güncellemeler almıyor ve bir kez ihlal edildiğinde tüm ağları çökertmek için kullanılabiliyor. Bu, endüstri standartlarının getirilmesinin ve uygulanmasının ne kadar ayrılmaz olduğunu bir kez daha gösteriyor.

Bu nedenle, gerçekten akıllı şehirlere ve akıllara durgunluk veren teknolojiye sahip olmak çekici ve fütüristik bir konsept olmaya devam ederken, bu gelişmiş dünyaya adım atmanın güvenli olmasını sağlamak için atılması gereken birçok adım var.

Siber suçlular, akıllı şehirlerin onlara sunduğu siber güvenlik açıkları   sonucunda oluşturdukları tahribatlarla  yüksek finansal kazanç ihtimali ile sistemlerimize saldırıyorlar  ancak  bizler, alınacak  tedbirlerle  güvenli olmayan ve kolayca hacklenebilir ağlara bağlı kalmak zorunda kalmamalıyız.

Sevgiyle ve Sağlıkla Kalın.

ncmozdmr

Kaynaklar :

1.    smartcitiesworld net/opinions/how-smart-is-the-cybersecurity-protecting-smart-cities

How smart is the cybersecurity protecting smart cities?

Opinions

02 Jan 2020

by David Emm: Principal Security Researcher, Kaspersky Lab

 

2.    www wiredcom/story/sensor-hubs-smart-cities-vulnerabilities-hacks/

The Sensors That Power Smart Cities Are a Hacker's Dream

SECURITY

08.09.2018

Lily Hay Newman

 

3.    www wired com/category/artificial-intelligence/

The Artificial Intelligence Database

 

Hüsnü Baysal’ın katkılarıyla