Bulut tabanlı p2p video yönetim platformları, DVR,NVR, IP kamera, video intercom, access control vb ürün grubunu yönetmek için geliştirilmiş , donanım kullanıcısı müşterilerine genellikle ücretsiz hizmet vermeyi amaçlar. Bu platformları, satın alınan donanım ile kullanabilmek için yapılması gereken, hesap oluşturup, cihazlarınızı bu platforma Cihaz verifikasyon kodu, video yönetim platform adresi gibi bilgilerle ya da QR kod okutarak eklemektir.
Uzaktan mobil ortamdan cihazlarınızın canlı görüntülerini izlemeyi(live video), geçmişe yönelik kayıtlı görüntüleri izlemeyi (playback) , cihazlar tarafından üretilen alarmları almayı vb destekler. Cihazlarınızın video yanında ses özelliğine sahip olması halinde (dahili mikrofon ya da harici mikrofon ile desteklenmesi) video ve ses gerçek zamanlı bulut tabanlı video yönetim platformu üzerinden elde edilir.
Ancak bu ortam ne kadar güvenli ?
Tüm video,ses akışı bulut üzerinden hizmet veren sunucular üzerinden kullanıcılara akıtılmaktadır. Bu sunucular aslında proxy görevi görmektedir. Bu esnada ;
1- kişisel veriler olan video, ses 3.parti kişiler tarafından kullanılıp kullanılmadığı bilinmemektedir. Kişi – Cihaz eşleşmesi yapıldığından, hangi cihazların kime ait olduğu bilgisi de kritik öneme sahiptir. Kişi-Cihaz eşleşmesi, telefon onay kodu, ad,soyad,eposta ile yapılmaktadır. Video,ses vb verilerin 3.parti kişilerce kullanılıp kullanılmadığı, ülkemizdeki yetkili kurum(lar) tarafından denetlenememektedir.
2- son zamanlarda Zoom uzak toplantı uygulaması esnasındaki görüşmelerin, kullanıcı verilerinin AI(yapay zeka) geliştirmeler esnasında, Dataset (veri seti) olarak kullanıldığı haberleri çıktı. Sonrasında zoom açıklama yaparak, verileri kullanmayacağını yayınladı. Bu kapsamda elde edilmesi mümkün olan video,ses dosyalarının geliştirme çalışmaları esnasında kullanılıp kullanılmadığı bilinmemektedir.
3- Cihazlarda(IP kamera,nvr,dvr vb) packet sniff eden uygulamalar olması halinde, aynı ağdaki cihazlara ait paketlerin sniff edilmesi halinde, clear text(açık metin) olarak çalışan ağ protokolleri ile ilgili uygulamalar esnasında gönderilen kullanıcı adı ve şifre gibi kullanıcı verilerinin elde edilebileceği, (kameralar,kayıt cihazları üzerinde de bir işletim sistemi (os) bulunmaktadır)
4- Kritik noktalarda kullanılan access control (geçiş kontrol) cihazlarının koruduğu kapı, turnike vb uzaktan açılabileceği,
5- access control cihazları üzerinde tutulan biyometrik verinin (yüz, parmak izi) bu sunuculara gönderilip gönderilmediği gibi birçok soru işareti ortaya çıkmaktadır.
6- Herhangi bir siber saldırıya karşı ne kadar dayanıklı, zaafiyet testleri hangi periyotlar ile yapılıyor ? Dünya tarafından akredite bulut sertifikasyonları ve yazılım geliştirme sertifikasyonlarına sahip mi, herhangi bir zaafiyetten kaynaklı olarak kişisel verilerin (video,ses vb.) atak yapan kişi, gruplarca elde edilebileceği ve daha birçok soru işareti oluşmaktadır.
“Bedava Peynir yalnızca Fare kapanında olur” sözünü unutmamak gerekir diye düşünüyorum.
Peki ne yapmak gerekiyor ?
En azından yabancı üreticiler için, Ülkemiz tarafından gerekli düzenlemeler yapılarak, sunucuların Türkiye’de bulundurulmasının istenmesi, üretici tarafından yetkili ataması istenmesi, tanımlı standartlar ile denetlemelerinin belirli periyotlar ile yapılması.
Stratejik plan kapsamında; “Gerçek” Yerli ve Milli yazılımlar ile bu hizmetlerin kullanıcılara cüzi bir ücretle sağlanması. Bu hizmetin ülkemiz de olmasının yanı sıra, yurt dışında da kullanılması sağlanarak, Ülkemize gelir elde etme yolu olarak kullanılabileceği.
Kullanılan elektronik güvenlik cihazları ve yazılımlar için siber güvenlik standardı yayınlanarak, ülke genelinde kullanılacak olan cihazların testlere tabi tutulması ve kullanımının onaylanması.