eetimes.com‘dan Stefani Munoz’un makalesine göre yıllar süren yoğun tartışmalar ve artan siber tehditlerin ardından, IoT (Nesnelerin İnterneti) düzenlemeleri nihayet hayata geçiyor. Dünyanın en büyük üç pazarı, bağlantılı cihazların güvenliğini sağlamak için farklı yöntemler benimsedi. Bu adım, 2030 yılına kadar evlerde ve ofislerdeki bağlantılı cihaz sayısının ikiye katlanacak olması göz önüne alındığında büyük önem taşıyor.

Avrupa’nın Siber Dayanıklılık Yasası ve Birleşik Krallık’ın Ürün Güvenliği ve Telekomünikasyon Altyapısı Yasası, üreticilere katı üretim gereklilikleri getiriyor. Öte yandan, Amerika Birleşik Devletleri’nin Siber Güven Markası programı, kendi kendini düzenleyen ve tüketici odaklı bir yaklaşım benimsiyor. Bu sırada, dünyanın geri kalanı da bu gelişmeleri yakından takip ediyor. Hindistan gibi bazı yükselen pazarlar, Avrupa tarzı bir yaklaşımı benimseme eğiliminde.

Hem üreticiler hem de kullanıcılar için riskler oldukça yüksek. Birden fazla uyum çerçevesi, üretim maliyetlerinden pazara sunum süresine kadar her şeyi etkileyen karmaşık bir gereklilikler ağını beraberinde getiriyor. Ancak, mikrofon ve kamera taşıyan cihazların artmasıyla birlikte tüketici gizliliği ve güvenliği daha fazla önem kazanıyor. Peki, bu düzenlemeler olgunlaştıkça, hangi model küresel standart haline gelecek?

Bağlantılı Cihaz Düzenlemelerine Giden Uzun ve Dolambaçlı Yol

Bu noktaya gelmek uzun zaman aldı. Varsayılan şifreler ve zayıf güncelleme altyapısı gibi sorunlarla boğuşan sektör içindekiler, uzun süredir ucuz cihazları elemek için asgari üretim standartları talep ediyordu. Pandemi sırasında uzaktan çalışmanın yaygınlaşmasıyla birlikte, siber saldırganlar da sürekli açık olan cihazları hedef almaya başladı. Bugün, IoT kritik altyapıyı ve hassas uygulamaları destekliyor. Politika yapıcılar, düşük güvenlikli cihazların uzun vadeli tehdidini artık fark etmiş durumda.

Avrupa, her zamanki gibi, ilk harekete geçen taraf oldu. Ticaret bloğu, 2022’de cihaz düzenlemelerini önerdi ve geçen Aralık ayında yasalaştırdı. Bu düzenlemeler, üreticileri internete bağlı ürünlerini yetkisiz erişimden korumakla yükümlü kılıyor. Bu da, bilinen güvenlik açıkları olmayan ürünler talep ediyor ve tasarım, geliştirme ve üretim süreçlerinde uygun güvenlik seviyesinin sağlanmasını zorunlu hale getiriyor.

Birleşik Krallık da benzer üretici talepleriyle hızla harekete geçti. Avrupa’dan birkaç ay sonra önerilen ve geçen Nisan ayında yasalaşan yasa, asgari güvenlik güncelleme süreleri (Avrupa’daki gibi ömür boyu değil) ve tüketicilere güvenlik sorunlarının bildirilmesini zorunlu kılıyor. Ayrıca, genel şifreler de yasaklandı. Cihazların ya rastgele bir şifreye sahip olması ya da başlangıçta benzersiz bir şifre oluşturması gerekiyor. Bu, siber saldırganların cihazlara hızlıca erişmesini, yerel ağları enfekte etmesini ve botnetler oluşturmasını engelleyen önemli bir adım.

Amerika Birleşik Devletleri ise farklı bir yol izledi. Zorunlu düzenlemeler yerine, piyasa güçlerinin güvenlik sorununu çözeceğine bahis oynadı. Eski Başkan Joe Biden, Siber Güven Markası adı altında, Energy Star benzeri bir program duyurdu. Bu programda, gönüllü sertifikasyon, tüketicilere hangi cihazların siber güvenlik standartlarını karşıladığını gösteriyor. Amaç, tüketici tercihlerinin şirketlerin kârlarını etkilemesi ve daha iyi güvenliği teşvik etmesi.

Yükselen Pazarlar Lideri Takip Ediyor

Liderler hareket ettiğinde, piyasa dinler. En büyük bağlantılı cihaz tüketicilerinden üçü, güvenliği farklı şekillerde ele alırken, diğer ülkelerin de bir sonraki adımlarını planlaması bekleniyor. İlk gelişmelere bakıldığında, çoğu ülke, Amerikan tarzı tüketici odaklı yaklaşımdan ziyade, Avrupa’nın üstten inme üretim zorunluluklarını tercih ediyor.

Hindistan bu konuda öncülük ediyor. 2023’te önerilen Tüketici IoT Cihazlarını Güvence Altına Alma Uygulama Kodu, AB standartlarını yansıtıyor ve benzer güvenlik-tasarım ilkelerini zorunlu kılıyor. Avustralya ise şu anda gönüllü bir kod altında çalışıyor, ancak Birleşik Krallık ilkeleriyle uyumlu zorunlu standartları değerlendiriyor.

Ancak, herkes bu yolu izlemiyor. Singapur’un Siber Güvenlik Etiketleme Programı, ABD’ye daha yakın bir gönüllü yaklaşım benimsiyor. Bu seçenek, ülkenin yasama iştahına bağlı olarak çekici olabilir, çünkü uygulanması daha kolaydır. Ancak, bu erken aşamalarda bile, yükselen pazarların Washington’dan çok Brüksel’den ilham aldığı açıkça görülüyor.

AB Etkisi: Yarının Standartlarını Belirlemek

Gelecekte neler olacağına dair bir ipucu almak için, farklı pazarların benzer bir teknoloji sorununu ve düzenleyici çözümü nasıl ele aldığına bakmak faydalı olacaktır. Veri gizliliği konusunda da Avrupa, 2016’da Genel Veri Koruma Yönetmeliği (GDPR) ile yine öncülük etti. Amerika Birleşik Devletleri ise federal eşikler belirlemekten kaçındı.

Sonuç? Büyük teknoloji şirketleri GDPR’yi küresel olarak uyguladı ve Brezilya’dan Hindistan’a kadar birçok ülke, kendi gizlilik yasalarını bu çerçeveye göre modelledi.

Avrupa’nın güvenlik ve gizlilik düzenlemelerinde lider olma ünü, onu yükselen pazarlar için doğal bir şablon haline getiriyor. Bu nedenle, Siber Dayanıklılık Yasası’nın yerel versiyonlarını görmek şaşırtıcı olmayacaktır. Cihazlar giderek daha kritik toplumsal işlevleri üstlendikçe, ülkeler muhtemelen isteğe bağlı temel standartlar yerine daha güçlü güvenceler sunan mevzuatı tercih edecektir.

Şirketler Şimdi Harekete Geçmeli

Ne olursa olsun, şirketlerin şimdi harekete geçmesi gerekiyor. En azından, tüketici sertifikasyonları yolda ve bu da cihaz ve platform güvenliğini artırmayı gerektiriyor. Avrupa’da, yasanın ana yükümlülüklerinin Aralık 2027’de yürürlüğe girmesiyle bir geçiş süreci var. Bu, şirketlere yeniden tasarım ve sorun giderme için iki yıldan biraz fazla bir süre tanıyor ki bu, daha önce de yazdığım gibi, çok fazla zaman değil.

Cihaz üreticileri bu pazara ve muhtemelen gelecek diğer pazarlara erişimlerini korumak istiyorlarsa, bugün güvenlik yatırımı yapmalı ve yarın küresel rekabetçiliklerini sağlamalılar.