NESNELERİN İNTERNETİ: RİSK TEMELLİ YAKLAŞIM

Yıl 2019, Sayı: 19, 73 - 88, 14.06.2019

Mine Zeybek Ercan Nurcan Yılmaz

Öz

Son yıllarda hızla popüler bir teknoloji konsepti haline gelen “nesnelerin interneti” (Internet of Things, IoT), hali hazırda bazı zorluklar ve aşılması gereken problemleri olsa da özellikle 5G teknolojisinin de katkısıyla günlük hayatımızda önemli bir yer tutacaktır. Temel olarak basitten karmaşığa bir takım ana işlevleri olan ürün ya da cihazlar; birçok algılayıcı ve haberleşme arabirimi donanımı eklenerek algoritmalar ile desteklenmesi sonucunda matematiksel ve mantıksal özellikleri olan ve birbirleri ile “konuşabilen” akıllı cihazlar haline dönüşmüştür. Ancak bu yeni teknolojide güvenlik ve mahremiyet kavramları da dikkatle ele alınması gereken en önemli sorunlardandır. Güvenlik konusunda yapılan çok sayıda çalışma ve akademik tartışma bulunmasına rağmen, bahsi geçen akıllı cihazların ortak bir donanım, algoritma ya da arayüze sahip olmaması; hemen hepsi için geçerli bir güvenlik protokolü geliştirilmesinin önündeki en büyük engel olarak görünmektedir. Bu sebeple “nesnelerin interneti” teknolojisine sahip cihazların yaygınlaşıp ev ve iş yerlerinde yerlerini almasıyla birlikte, yeterli önlemler alınmazsa, son yıllarda sayısı oldukça artan ve küresel çapta gerçekleştirilmeye başlanan siber saldırılarda, başka bir boyuta geçilmesinin önünü açacağı düşünülmektedir. Makale kapsamında nesnelerin internetinin güvenliği konusunda yapılan çalışmalar incelenmiş, nesnelerin internetinin yapısı ve mimarisinden bahsedilip, nesnelerin internetine yönelik güvenlik tehditleri ile yaşanmış olaylar ele alınmış ve nesnelerin internetinin denetiminde değerlendirilebilecek kontroller belirtilerek, nesnelerin internetinin güvenliğine yönelik alınabilecek önlemler sunulmuştur.

Anahtar Kelimeler

Nesnelerin interneti, mahremiyet, bilgi güvenliği, siber saldırı, denetim kontrolleri, siber güvenlik

INTERNET OF THINGS: RISK-BASED APPROACH

Öz

Internet of Things (IoT), which has become a popular technology concept in recent years, will have an important place in our daily lives with the help of 5G technology, even though it already has some difficulties and problems to be overcome. In this new technology, basically, devices including from simple to complex main functions; security and privacy concepts are two of the most important issues to be handled with due to the fact that it is transformed into smart devices that have mathematical and logical features and can be talked to each other through the addition of many sensors and communication interface hardware. Although there are numerous studies and academic discussions about security of IoT, because of the fact that there is no common hardware, algorithm, or interface of these smart devices; developing a commonsecurity protocol for all of them is the biggest obstacle to achieve it. For this reason, devices with IoT technology take their places in the houses and workplaces, and if sufficient measures are not taken, it is thought that the cyber attacks, which have been increasing in recent years and are being carried out on a global scale and organized, will pave the way for another dimension. The previous studies on the security of the IoT were examined within the scope of this article. In addition, the structure, architecture and security threats of the IoT were discussed. The controls that can be evaluated for the audit of the Internet of Things are pointed out and also, the measures to ensure the safety of the IoT were presented.

Anahtar Kelimeler

Internet of Things, cyber security, privacy, data security, cyber attack, audit controls

Kaynakça

• Alam F., Mehmood R., Katib I., Albeshri A. (2016). Analysis of eight data mining algorthms for smarter internet of things (IoT). Procedia Computer Science, 437-447.
• Atamli A.W. ve Martin A. (2014). Threat-Based Security Analysis for The Internet of Things. IEEE, 35-43.
• Atzori L., Iera A., Morabito G. (2010). The Internet Of Things: A survey. Elsevier B.V.
• Banerjee M., Lee J., Choo K. K. R. (2018). A blockchain future for internet of things security: a position paper. Digital Communications and Networks, 149-160.
• Chou, D. C. (2015). Cloud computing risk and audit issues. Computer Standards & Interfaces, 137-142.
• Çavdar T., Öztürk E. (2017). Nesnelerin interneti için yeni bir mimari tasarımı. Sakarya Üniversitesi Fen Bilimleri Enstitüsü Dergisi, 39-48.
• Gökrem L., Bozuklu M. (2016). Nesnelerin İnterneti: Yapılan Çalışmalar ve Ülkemizdeki Mevcut Durum. Gaziosmanpaşa Bilimsel Araştırma Dergisi, 47-68.
• Görmüş S., Aydın H., Ulutaş G. (2018). Nesnelerin interneti teknolojisi için güvenlik: var olan mekanizmalar, protokoller ve yaşanılan zorlukların araştırılması. Gazi Üniversitesi Mühendislik Mimarlık Fakütesi Dergisi, 1247-1272.
• Gubbi J., Buyya R., Marusic S., Palaniswami M. (2013). Internet of Things (IoT): A Vision, Architectural Elements, and Future Directions. Future Generation Computer Systems, 1645-1660.
• Han J., Jeon Y., Kim J. (2015). Security Considerations for Secure and Trustworthy Smart Home System in the IoT Environment . IEEE, 1116-1118.
• Hussain R., Abdullah İ. (2018). Review of Different Encryptionand Decryption Techniques Used for Security and Privacy of IoT in Different Applications. IEEE, 293-297.
• İDKK (İç Denetim Koordinasyon Kurulu). (2014). Kamu Bilgi Teknolojileri Denetimi Rehberi, Ankara.
• Karlof C. ve Wagner D. (2003). Secure routing in wireless sensor networks: attacks and countermeasures. IEEE, 113127.
• Madakam S., Ramaswamy R., Tripathi S. (2015). Internet Of Things(IoT):A Literature Review. Journal of Computer and Communication, 167-173.
• Ray, P. P. (2018). A Survey on Internet of Things Architectures. Journal of King Saud University-Computer and Information Sciences, 291-319.
• Reyna A., Martín C., Chen J., Soler E., Díaz M. (2018). On blockchain and its integration with IoT. Challenges and opportunities. Future Generation Computer Systems, 173190.
• Rizvi S., Pfeffer J., Kurtz A., Rizvi M. (2018). Securing the Internet of Things (IoT): A Security Taxonomy for IoT. IEEE, 163-168.
• Săndescu C., Grigorescu O., Rughinish R., Deaconescu R., Călin M. (2018). Why IoT security is failing. The Need of a Test Driven Security Approach. IEEE.
• Suo H., Wan J., Zou C., Liu J. (2012). Security in the internet of things: a review. IEEE, 648-651.
• Şenol S., Arslan K.S. (2016). Secure Trusted IoT Gateway (STIG). Information Security Conference 2016. Ankara: researchgate.
• Ülker M., Canbay Y., Sağıroğlu Ş. (2017). Nesnelerin İnternetinin Kişisel, Kurumsal ve Ulusal Bilgi Güvenliği Açısından İncelenmesi. Türkiye Bilişim Vakfı Bilgisayar Bilimleri ve Mühendisliği Dergisi, 28-41.
• Weber, R. H. (2010). Internet of Things – New security and privacy challenges. ScienceDirect, 23-30.
• Wood A.D. ve Stankovic J.A. (2002). Denial of Service in Sensor Networks. IEEE, 48-56.
• Yılmaz, E. N. (2011). Education set design for smart home applications. Wiley, 631-638.
• BizTech (2017, 09 28). https://biztechmagazine.com/article/2017/09/5-keys-foolproof-iot-security adresinden alındı.
• Brandon, J. (2016, 06 01). CSO. https://www.csoonline.com/article/3077537/security-concerns-rising-for-internet-of-things-devices.html adresinden alındı.
• Buckle, C. (2016, 02 18). Globalwebindex. https://blog.globalwebindex.com/chart-of-the-day/digital-consumers-own-3-64-connected-devices/ adresinden alındı.
• Claveria, K. (2019, 3 7). VisionCritical. https://www.visioncritical.com/blog/internet-of-things-stats adresinden alındı.
• Cooke I., Raghu R.V. (2018). ISACA . https://www.isaca.org/JOURNAL/ARCHIVES/2018/VOLUME-5/Pages/auditing-the-iot.aspx?utm_referrer= adresinden alındı.
• Drozhzhin, A. (2015, 8 6). Kaspersky. https://www.kaspersky.com/blog/blackhat-jeep-cherokee-hack-explained/9493/ adresinden alındı.
• Estes, A. C. (2017, 03 22). https://gizmodo.com/this-nest-security-flaw-is-remarkably-dumb-1793524264 adresinden alındı.
• FDA. (2017, 08 29). https://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm573669.htm adresinden alındı
• Fearn, N. (2017, 2 1). internetofbusiness. https://internetofbusiness.com/consumers-security-risks-iot-devices/ adresinden alındı.
• Gartner. (2017, 2 7). https://www.gartner.com/en/newsroom/press-releases/2017-02-07-gartner-says-8-billion-connected-things-will-be-in-use-in-2017-up-31-percentfrom-2016 adresinden alındı.
• Gemalto. (2017, 10 31). gemalto. https://www.gemalto.com/press/Pages/Gemalto-survey-confirms-that-Consumers-lack-confidence-in-IoT-device-security-.aspx adresinden alındı.
• Gonzalez, M. H., Djurica J. (2015). ISACA. https://www.isaca-istanbul.org/nesnelerin-interneti-buyuk-firsat-saglarken-daha-cok-risk-ortaya-cikarir/ adresinden alındı.
• Greenberg, A. (2017, 8 2). https://www.wired.co.uk/article/amazon-echo-alexa-hack adresinden alındı.
• Greenberg, A. (2017, 8 16). https://www.wired.com/story/car-hack-shut-down-safety-features/ adresinden alındı.
• Greenough, J. (2015, 02 19). Businessinsider. https://www.businessinsider.com/connected-car-statistics-manufacturers-2015-2 adresinden alındı.
• Karakullukçu, E. (2017). Webtekno. https://www.webtekno.com/hackerlar-buyuk-hack-saldirisinda-evlerdeki-akilli-cihazlari-kullanmislar-h21383.html adresinden alındı.
• Kaspersky. (2017, 05 20). https://www.kaspersky.com.tr/about/press-releases/2017_turkiye-yi-de-kapsayan-bolgenin-siber-tehdit-trenleri-aciklandi adresinden alındı.
• Lamkin, P. (2017, 06 22). Forbes. https://www.forbes.com/sites/paullamkin/2017/06/22/wearable-tech-market-to-double-by-2021/#6aaf9b03d8f3 adresinden alındı.
• Lohrmann, D. (2017, 11 5). GT. https://www.govtech.com/blogs/lohrmann-on-cybersecurity/lack-of-trust-in-iot-security-means-more-regulation-is-coming.html adresinden alındı.
• Jekot M., Pavlosoglou Y. (2017). ISACA. https://www.isaca.org/Journal/archives/2017/Volume-6/Pages/an-iot-control-audit-methodology.aspx adresinden alındı.
• McGee, M. K. (2016, 01 11). https://www.databreachtoday.com/fitbit-hack-what-are-lessons-a-8793 adresinden alındı.
• NIST 800-53/AC-2. (tarih yok). NIST: https://nvd.nist.gov/800-53/Rev4/control/AC-2 adresinden alındı.
• NIST 800-53/CM-7. (tarih yok). NIST: https://nvd.nist.gov/800-53/Rev4/control/CM-7 adresinden alındı.
• NIST 800-53/IA-2. (tarih yok). NIST: https://nvd.nist.gov/80053/Rev4/control/IA-2 adresinden alındı.
• NIST 800-53/IA-3. (tarih yok). NIST: https://nvd.nist.gov/80053/Rev4/control/IA-3 adresinden alındı.
• NIST 800-53/PE-3. (tarih yok). NIST: https://nvd.nist.gov/80053/Rev4/control/PE-3 adresinden alındı.
• NIST 800-53/PL-2. (tarih yok). NIST: https://nvd.nist.gov/80053/Rev4/control/PL-2 adresinden alındı.
• NIST 800-53/PM-1. (tarih yok). NIST: https://nvd.nist.gov/800-53/Rev4/control/PM-1 adresinden alındı.
• NIST 800-53/PM-11. (tarih yok). NIST: https://nvd.nist.gov/800-53/Rev4/control/PM-11 adresinden alındı.
• NIST 800-53/SC15. (tarih yok). NIST: https://nvd.nist.gov/80053/Rev4/control/SC-15 adresinden alındı.
• NIST 800-53/SC-28. (tarih yok). NIST: https://nvd.nist.gov/800-53/Rev4/control/SC-28 adresinden alındı.
• NIST 800-53/SC-7. (tarih yok). NIST: https://nvd.nist.gov/80053/Rev4/control/SC-7 adresinden alındı.
• NIST 800-53/SC-8. (tarih yok). NIST: https://nvd.nist.gov/80053/Rev4/control/SC-8 adresinden alındı.
• Plummer, M. (2011, 6 10). abcnews. https://abcnews.go.com/US/california-computer-technician-trevor-harwell-suspected-spying-women/story?id=13806697 adresinden alındı.
• Trendmicro. (2017, 08 15). https://newsroom.trendmicro.com/press-release/commercial/trend-micro-reveals-top-ten-regions-affected-iot-security-threats adresinden alındı.
• Wang A. B. (2018, 12 20). washingtonpost. https://www.washingtonpost.com/technology/2018/12/20/nest-cam-baby-monitor-hacked-kidnap-threat-came-device-parents-say/?noredirect=on&utm_term=.4b3cea98a13b adresinden alındı.
• Wollerton, M. (2016, 8 9). https://www.cnet.com/news/have-a-smart-lock-yeah-it-can-probably-be-hacked/ adresinden alındı.