Bir üretim tesisinin BT yöneticisi düşünün: fabrika katında onlarca sensör, depo girişinde barkod okuyucular, toplantı odalarında akıllı ekranlar ve idari binalarda kurumsal Wi-Fi’ye bağlı yazıcılar. Bu cihazların büyük çoğunluğu, kurumsal güvenlik politikalarının tamamen dışında kalmaktadır. Satın alınırken güvenlik değil işlevsellik ön planda tutulmuş; kurulumdan sonra kimse şifresini değiştirmemiş, üretici güncellemelerini kimse takip etmemiştir. Bağlı cihazlar — yani nesnelerin interneti (IoT) kapsamındaki her türlü ağa dahil ekipman — bugün kurumsal ağın en zayıf halkasına dönüşmektedir.
IoT kavramı Türkiye iş dünyasında henüz yeni yeni tartışılmaya başlanmaktadır; ancak uygulamada bağlı cihazlar çoktan fabrikalara, depolara ve ofislere girmiştir. Endüstri 4.0 söylemi üretim sektöründe gündem oluştururken, sahadaki gerçeklik çoğu zaman bu söylemin gerisinde kalmaktadır. Bir cihazı ağa bağlamak artık teknik bilgi gerektirmiyor; bu durum hem hızı hem de denetimsizliği beraberinde getiriyor. Güvenlik ekipleri farkında olmadıkları cihazları koruyamaz. Sorun tam da buradan kaynaklanıyor: kurumsal ağda kaç cihazın bulunduğunu bilen BT departmanı sayısı oldukça azdır.
Bağlı cihazların güvenlik açısından kritik farkı, geleneksel bilgisayar sistemlerinden farklı bir yaşam döngüsüne sahip olmalarıdır. Bir sunucu veya iş istasyonu için yama yönetimi, antivirüs ve erişim denetimi standart prosedürlerdir. Oysa bir üretim bandındaki sıcaklık sensörü ya da depo kapısındaki RFID okuyucu için bu prosedürlerin hiçbiri uygulanmamaktadır. Üstelik bu cihazların büyük bölümü, üreticisi tarafından düzenli güvenlik güncellemesi almayan gömülü yazılımlarla çalışmaktadır. Saldırganlar için bu cihazlar, kurumsal ağa açılan ve kimsenin baktığı kapılardır. Bir cihazın ele geçirilmesi, o cihazın kendisiyle sınırlı kalmaz; ağ içinde yanal hareket imkânı doğurur ve kritik sistemlere erişim yolunu açabilir.
Bu riski yönetmek üç temel disiplin gerektiriyor. Birincisi cihaz envanteri: ağa bağlı her cihazın kayıt altına alınması, sorumlusunun belirlenmesi ve düzenli aralıklarla güncellenmesi. Envanter olmadan risk değerlendirmesi yapılamaz; bu yüzden başlangıç noktası her zaman ‘ağımızda ne var?’ sorusudur. İkincisi ağ segmentasyonu: IoT cihazlarının kurumsal sistemlerden ayrı bir ağ segmentine alınması. Bu yapı, bir cihazın ele geçirilmesi durumunda hasarın yayılmasını sınırlar. ERP sistemi, muhasebe yazılımı ve e-Fatura altyapısıyla aynı ağ segmentinde çalışan bir fabrika sensörü kabul edilemez bir risk oluşturmaktadır. Üçüncüsü güncelleme disiplini: üreticinin yayımladığı yazılım güncellemelerinin takip edilmesi ve zamanında uygulanması. Bu üç disiplin birbirini tamamlar; herhangi birinin eksikliği diğerlerinin etkisini azaltır.
Kurumsal ağ güvenliğini toplam sahip olma maliyeti (TCO) perspektifinden değerlendiren yöneticiler, IoT güvenlik yatırımını genellikle ertelenebilir bir kalem olarak görür. Oysa bir güvenlik ihlalinin maliyeti — operasyonel aksama, veri kaybı, yasal yükümlülükler ve itibar hasarı — önleyici yatırımın çok üzerinde olabilmektedir. e-Fatura ve e-Defter zorunlulukları nedeniyle kurumsal ağ artık doğrudan yasal yükümlülüklerle bağlantılıdır; bu altyapıyı etkileyen bir güvenlik olayı yalnızca operasyonel değil, yasal sonuçlar da doğurabilir. Yatırım gerekçesi (ROI analizi) bu çerçevede kurulduğunda, önleyici güvenlik harcaması çok daha somut bir değer ifade etmeye başlar.
Pratikte en büyük zorluk, kurumsal kültür ve sorumluluk belirsizliğidir. IoT cihazlarını satın alan birim çoğunlukla operasyondur; ancak ağ güvenliğinden sorumlu birim BT departmanıdır. Bu iki birim arasındaki koordinasyon eksikliği, cihazların BT’nin bilgisi dışında ağa eklenmesiyle sonuçlanmaktadır. Öte yandan segmentasyon ve envanter çalışmaları, mevcut ağ altyapısında değişiklik gerektirir; bu değişiklikler hem maliyet hem de operasyonel kesinti riski anlamına gelir. Küçük ve orta ölçekli işletmelerde BT kaynaklarının sınırlılığı bu süreci daha da zorlaştırmaktadır. Çözüm, teknik bir proje olarak değil, yönetim kararı gerektiren bir operasyonel risk meselesi olarak ele alınmasıdır.
IoT güvenliğini kurumsal gündemine almak isteyen yöneticiler için pratik başlangıç noktası şudur: önce envanter, sonra segmentasyon, ardından güncelleme politikası. Bu üç adımı tamamlamadan bulut ERP veya mobil erişim altyapısına yapılan yatırımların güvenlik değeri sınırlı kalacaktır. Bağlı cihaz sayısı arttıkça bu disiplinin kurumsal standartta uygulanması daha da kritik hale gelecektir. Güvenliği sonradan düşünmek, bu alanda lüks değil risktir.