Serra Luck
VP – End User Business
Physical Access Control Solutions, HID Global
Fiziksel giriş kontrolü çoğu organizasyon için önemli bir unsurdur. Kapıların açılmasından otoparklara, binalara, güvenli odalara, ve hatta bilgisayar dosyalarına erişime kadar her şey için kullanılabilir. Geçtiğimiz 20 yıl boyunca teknoloji ve sistemlerin çoğu aynı kaldı, ancak güvenlik sağlayıcıları, teknolojideki gelişmelerle birlikte, mobil cihazlara güvenlik cihazı olarak yönelmeye başladılar. Klasik güvenlik kartları veya anahtarlarının yerini mobil uygulamalar almaya başladı. Ancak son kullanıcıların mobil erişimin yararları hakkında hâlâ tereddütleri var. Aşağıda okuyacağınız değerlendirmelerle, mobil erişim cihazları ile ilişkili bu endişelere açıklık getirmeyi amaçlıyoruz.
- Eğer bozuk değilse düzeltmeye çalışmayın. Öyle değil mi?
Bir organizasyonun fiziksel giriş kontrol sisteminin değiştirilmesi veya yenilenmesine ilişkin şöyle yaygın bir varsayım vardır: Mevcut yapı çöpe atılıp işe sıfırdan başlanmak zorunda kalınacaktır. Üst yönetimin geleneksel olarak önemli bir öncelik olarak görülmeyen veya güvenlik gibi hemen ilgi gerektirmeyen alanlara para harcanması konusundaki çekinceleri, genellikle bozuk değilse neden değiştirelim gibi bir anlayışa yol açar. Bununla birlikte durum derinlemesine incelendiğinde mevcut fiziksel erişim kontrol sistemlerinin değiştirilmesinin oldukça kolay olduğu görülecektir. Aslında çoğu güvenlik sistemi, kablolardan, panellere ve hatta yeniden kullanılan okuyuculara kadar her şeyi ile var olan bir altyapı üzerine kurulabilir. Böylece bina sakinlerinin yaşayacağı rahatsızlığın yanı sıra yenilemenin genel maliyeti de önemli ölçüde azalır. Hatta bazı tedarikçilerin ürünlerini geriye doğru uyumlu şekilde tasarlamaları, onların var olan altyapılara kolaylıkla entegre olmalarını da sağlar. Hatta kullanıcıların mobil cihazları da değişmeden kalır. Mobil erişim güvenliği, özel mobil cihazlar veya var olan sürümlere uygun yeni micro SD’ler gerektirmez. Mobil alanda yapılacak tek değişiklik ilgili uygulamanın indirilmesidir.
Tesis yöneticileri, haklı olarak, yüksek öncelikte olmayan bir tadilat çalışması için merkezlerinde rahatsızlık oluşmasını istemezler. Fakat güvenilir bir tedarikçi seçilmesi halinde ürünlerin mevcut sistemler içinde kurulumu basit ve kolay olacağı için, işlemin vereceği rahatsızlık en aza indirgenecektir.
- Akıllı telefon arızası = dışarıda kalma
Akıllı telefon kapsam dışında kaldığında ne olur? Binalarda, ağ kapsamının sinyal alamayacak kadar düşük olduğu noktalar bulunur. Ağ kapsama alanı düşükse, kullanıcı içerde kilitli mi kalacak ya da binanın dışında mı kalacak? Fiziksel bir giriş kontrolü okuyucusu ile mobil bir telefon arasındaki iletişim, çevrim dışı bir iletişimdir. Bu nedenle bina içindeki bu tür kör noktalar için kaygılanmaya hiç gerek yok.
Herkesin bildiği gibi akıllı telefonların pil ömrü kısadır, ayrıca Bluetooth aktif olduğunda bu sürenin daha da kısalacağı şeklinde bir yanılgı vardır. Mobil erişim, her ikisi de düşük enerji kullanan NFC (Near Field Communication – Yakın Alan İletişimi) veya BLE (Bluetooth Low Energy – Bluetooth Düşük Enerji) ile tasarlanmıştır, bu nedenle buradaki pil tüketim miktarı ihmal edilebilir düzeydedir.
- Akıllı telefonlar güvenli değildir
Tabii ki uzaktan “hack” lenebilen bir teknolojik cihaza erişim sağlamak, her zaman kullanıcısının üzerinde bulunan bir karta göre daha kolaydır. Aslında şu kesin ki mobil kimlikler eski sistemlerden daha güvenlidir. Bunun nedeni yüksek güvenlikli şifreleri, verileri ve veri gizliliği özelliklerini kullanmalarıdır, bütün bunların bir kimlik kartına eklenmesi çok zordur.
Kullanıcıların mobil telefonu çalınırsa ne olur? Güvenlik kartlarında olduğu gibi, hırsızlık ihbar edildiği anda kimlik iptal edilebilir. Buna ek olarak kartlardan farkı, bu iptalin anında yapılabilmesi ve mobil kimliğin erişim sağlamayı hemen durdurabilmesidir. Ayrıca mobil cihazların güvenlik bilgileri dinamik olarak güncellenebilirken, kartlardaki verilerin değiştirilmesi zaman alır ve bunun ek maliyetleri de vardır. Bir kullanıcı, uygulamasını indirdikten sonra, bir onay kodu verildiğinde, kendi iç sisteminde bunu onaylatmak zorunda kalacaktır. Cihaz, ancak kayıt kodu onaylandıktan sonra bir mobil kimlik olarak kullanıma uygun olabilir.
- Büyük Birader (Big Brother)
Çalışanların mobil telefonlarına güvenlik kartının kurulumu, BT departmanı ve üst yönetime çalışan hareketlerinin yanısıra mobil alışkanlıklarını da izleme imkanı verir. Bu görüş, anlaşılabilir olmakla birlikte hiç de doğru değildir. Bir kuruluş, herhangi bir çalışanının özel akıllı telefonundaki kimlik uygulaması haricinde kişisel bilgilerine erişemez. Çoğu mobil giriş kontrol sağlayıcısı, uygulamanın pek çok ticari uygulamaya benzer şekilde bazı fonksiyonları yerine getirmesi için gerekli olan sınırlı bilgileri depolar. Bunlar, mobil cihazın kimliği ve işletim sisteminin sürümü gibi bilgilerdir. Konum verileri depolanmamalıdır, ancak uygulama kurulurken Gizlilik Politikasının kontrol edilmesi önemlidir, çünkü bu durum üreticiye göre değişebilir.
Pek çok güvenlik uygulaması, kullanıcı verilerinin korunmasını garanti altına almak için sandboxing tekniğini kullanacaktır. Bu teknik, izolasyon programlarından oluşur, bunlar sayesinde kötü amaçlı ve yetkisiz programlar bir kullanıcının telefonuna zarar veremez veya bilgilerini çalamaz. Mobil giriş uygulamasına bu teknik uygulanarak ve kısıtlı izin sağlanarak telefondaki içeriğin geri kalanının güvenliği sağlanır. Eğer bir birey uygulamanın izin alanının dışında kalan, kullanıcı konumu gibi bilgilere erişmeye kalkışırsa bu talep kolaylıkla reddedilebilir. Böylece, hem dışarıdaki hackerlerin hem de içerdeki ekip üyelerinin telefon kullanıcısının verilerine erişmesi engellenir.
- İşletim sistemi uyumsuzluğu
iOS mi Android mi? Android mi iOS mi? Neyse ki bu tartışma çoğu tedarikçinin önem verdiği ve bütün mobil işletim sistemlerine mobil erişim kimliği için aynı uyumluluğu sağlayacağı bir konudur. Android’in host temelli kart emülasyonu (HCE) Android uygulamalarının bir güvenlik unsuru gerekmeksizin temassız kartları taklit edebilmeleri sayesinde, mobil ağ operatörüne bağımlılık da ortadan kalkıyor. Böylece Android uygulamalarının NFC okuyucuları ve terminalleri ile doğrudan iletişim kurmasına izin veriliyor, herhangi bir mobil operatör uyumsuzluğu da ortadan kalkıyor.
Sonuç
Fiziksel giriş kontrolü sistemlerinin güncellenmesi ile ilgili olarak dikkate alınması gerekenler sadece mali konularla sınırlı değil. Bir çok mobil kimlik sağlayıcısının çözümlerinin mevcut fiziksel giriş altyapısına kolaylıkla eklenebildiği görülürken, bunun geleneksel kart veya güvenlik anahtarı kullanıcıları için mevcut olmayan bir çok ek faydası da vardır. Mobil cihazların sunduğu ek şifreli veriler, bir bireyin güvenlik kimliğinin geleneksel bir cihaza göre daha güvende tutulmasını sağlar.
Sonuçta son kullanıcıların kaygılarını anlamak ve gidermek, güvenlik sağlayıcısının görevidir. Geleneksel fiziksel giriş kontrolü sistemleri, güvenlik ve mekân koruması alanında hâlâ bir yere sahipler. Ancak günlük yaşamda mobil cihazların kullanımının artmasıyla birlikte geleneksel cihazların kullanımdan kalkmasının an meselesi olduğu da başka bir tartışma konusudur.