Eski bir atasözüne göre hayatta kesin olan iki şey vardır: ölüm ve vergiler. Black Hat konusunda kesin olan iki şey ise Charlie Miller ve Chris Valasek’in Jeep Hack’lemek konusunda konuşması ve bizim de bunu Kaspersky Daily bloğuna taşımamızdır (örneklerini burada, burada, burada ve burada görebilirsiniz).
İkili, bu yıl Los Angeles’ta gerçekleşen konferansta bir konuşma yaptı ancak Jeep Hack’lemek konusuna odaklanmaktansa otonom araçların güvenliğini sağlama konusuna odaklanmayı tercih ettiler. Ancak yine de Miller ve Valasek’in 2015 yılında gerçekleştirdikleri araştırma, Armstrong Teasdale ortaklarından olan ve Fiat Chrysler firmasına karşı açılan toplu davanın avukatlığını üstlenen Ijay Palansky’nin konuşmasının önemli parçalarından biriydi. Palansky’nin konuşması “IoT Siber Güvenlik Açıkları İçin Yasal Sorumluluk” adını taşıyordu.
Davayla ilgili mahkeme süreci devam ederken Palansky, ülkenin her yerinden avukatların bu konuyu dikkatli bir şekilde izlediği ve bu davanın, IoT’nin güvenli olmayan alanıyla ilgili daha çok dava açılmasına öncülük edebileceği konusunda dinleyicileri uyardı.
Geçmişte tüketicilere sunulan ve güvenlik açıklarına sahip olan ürünlerle ilgili vakaları ele almıştık. Bu vakalar, herkes tarafından izlenebilecek bebek kameralarından çocukları gözetleyen oyuncaklara ve ünlü Jeep hack’leme vakalarına kadar birçok ürünü kapsıyordu.
Bildirilen bunca olay ve bu olaylardan etkilenen müşterilere rağmen çok sayıda davanın açılmaması oldukça şaşırtıcı. Palansky’ye göre bu sorunun cevabı, Jeep vakasına kadar emsal bir durumun gösterilememiş olmasıydı.
Yeni davalar için emsal bir karar olmaması nedeniyle dava açan avukatlar, keşfedilmemiş bir bölgeye adım atmış oluyordu. Dolayısıyla bu dava, kayanın aşağıya yuvarlanmasını sağlayacak küçük etkiyi oluşturabilir. Bu etki, tüketiciler için de olumlu sonuçlar doğurabilir. Peki ya şirketlere ne olacak?
Jeep davasının mahkeme süreci biraz uzun sürecektir. Ancak şirketler, çıkacak kararı beklememelidir. Davalı konumundaki Fiat Chrysler’ın yanına katılmak istemeyen şirketler, bir an önce harekete geçmelidir. Peki şirketler, güvenlik açısından neler yapabilir?
Palansky’ye göre; geliştiricilerin, güvenlik konusu üzerinde daha ciddi bir şekilde durması ve hatalar için düzeltme ekleri çıkarıldığında kullanım şartları ve açıklamaları konusunda daha açık olması gerekir. Palansky, konuşmasında yeterli beceri ve kararlılıkla her şeyin hack’lenebileceği gerçeğini belirterek şirketlere iyi avukatlarla çalışmalarını önerdi. Bu avukatların yalnızca iyi olmalarının yeterli olmadığını, aynı zamanda teknolojiden de anlamaları gerektiğini vurguladı. Son olarak, bu avukatların ürün kullanımıyla ilgili müşteri iletişimleri konusunda tavsiyelerde bulunurken kullanım kılavuzları, eğitimler vb. hususlarda da şirketlere yardımcı olmaları gerektiğini ekledi.