Fitnes takip cihazı ve akıllı saat gibi popüler giyilebilir teknoloji cihazlarını kişisel veya kurumsal olarak kullananlardansanız giyilebilir teknoloji cihazlarının siber suçlular için yeni hedefler olduğunu bilmeniz gerekiyor.
Hediye olarak giyilebilir bir teknoloji cihazı aldıysanız ne mutlu size. Artık bambaşka, takip edilebilen ve verilerle dolu bir hayat sizi bekliyor. Veya farklı bir deyişle artık korsanların hedeflerinden birisisiniz.
ESET güvenlik araştırmacılarından olan Stepsen Cobb, her dijital teknolojinin yaygınlaşmasıyla korsanların ve hırsızların hedefi haline geldiğini söyleyerek giyilebilir teknolojilerin kötü niyetli kişilerin odağında olduğuna dikkat çekiyor.
Bulunduğu pozisyonda giyilebilir teknoloji cihazlarına yönelik herhangi bir ihlal ile karşılaşmadığını dile getiren Cobb, şimdiye kadar güvenlikle ilgili problem yaşanmamış olmasının bu konudaki risklerin ufukta olmadığı anlamına gelmediğini belirtiyor.
Cobb, çocuklar için giyilebilir teknoloji cihazları üreten VTech ile 5 milyon ebeveyne ve 200 bin çocuğa ait bilgilerin veri ihlalinde hedef alınması konusunda yaşadıkları tecrübenin giyilebilir teknoloji cihazlarındaki güvenlik problemlerinin geleceğine dair işaretler verdiğini söylüyor.
VTech ve kullanıcılarının yaşadığı veri ihlalinde fotoğraf çekebilen cihazlardaki fotoğrafların sistemde yer alan bir açık üzerinden paylaşıldığını belirten Cobb, giyilebilir teknoloji cihazlarına yönelik ihlallerde sağlık ve konum ile ilgili verilerin hedef olabileceğini vurguluyor.
Giyilebilir teknoloji cihazlarındaki güvenlik özellikleri konusunda şimdiye kadar gölgede kalmış bazı detaylar bulunuyor. Nitekim Auth0 tarafından yapılan anket sonuçlarına göre tüketicilerin yüzde 52’sinin cihazların ihtiyaç duydukları güvenlik önlemlerine sahip olmadığını bilmesi ilginç detaylar arasında yer alıyor. Dolayısıyla henüz başlangıç aşamasında tüketicilerin cihazlarındaki güvenlik özelliklerine şüphe ile bakarak giyilebilir teknoloji pazarına adım attığını söyleyebilmek mümkün.
Ancak, VTech tarafından yaşanılan ihlal ve Cobb tarafından dile getirilen detaylar zincirin zayıf halkasının kullanıcılar olmadığını ortaya koyuyor. Giyilebilir teknoloji cihazlarında yaşanılan veri ihlallerinde en önemli güvenlik unsurunu bilgilerin toplandığı veri tabanları oluşturuyor.
Cobb, giyilebilir teknoloji cihazları tarafından toplanan kullanıcı bilgilerinde korsanlar tarafından genel olarak isim, adres, kişisel olarak tanımlanmış bilgi gibi detayları hedef alındığını belirtiyor. Bu verileri korsanların farklı amaçlarla kullanabilmesi mümkün. Ayrıca, giyilebilir teknoloji cihazlarında gerçek zamanlı olarak güncellenen konum bilgileri ile ne zaman evde olmadığınızı bilinmesi söz konusu olabilir. Facebook’ta tatil fotoğraflarının paylaşması sonrasında yaşanılan hırsızlık olayları giyilebilir teknoloji cihazları cihazlarındaki ihlaller sonrasında yaşanabilecek olaylarla benzer nitelikler taşıyor.
Giyilebilir teknoloji cihazı üreticilerinin veri tabanı konusunda gerekli önlemleri alması gerektiğine dikkat çeken Cobb, aksi takdirde FCA (Federal Trade Comission) tarafından uygulanan yaptırımlarla karşılaşabileceğini ifade ediyor.
Cobb, tüketicilerin verileri kullanan üçüncü parti uygulamaları değerlendirdiği gibi giyilebilir teknoloji cihazı üreticilerini değerlendirmesi gerektiğini vurguluyor. Bu bağlamda kullanım politikalarının kontrol edilmesi önem arz eden konuların başında geliyor. Kullanım politikasının bulunmadığı uygulamaları alternatif uygulamalarla değiştirmek bir diğer önemli detay.
Giyilebilir teknolojilerin kurumsal alanda kullanılması
Eğer sağlık verileri, şirkete ait ticari bilgiler, finansal veriler, avukat-müvekkil gizliliği gibi hassas verilere ilgilenen bir şirkette CIO olarak çalışıyorsanız kurumsal alanda giyilebilir teknoloji cihazlarının kullanılması konusunda bazı yasal zorunlulukların olabileceğini biliyor olmanız muhtemeldir.
Fox Rothschild LLP partneri ve CPO’su Mark McCreary, kişisel verilerin korunması konusunda en fazla endişe duyduğu cihazların ses veya görüntü kaydı yapabilen Google Glass ve kamera gibi giyilebilir teknoloji cihazları olduğunu belirtiyor.
Çalışanların veri ihlaline neden olabilecek video kayıtlarında kötü bir niyet olmaması durumunda dahi (örneğin iş ortamında iş dışında öylece çekilen bir video) önemli bilgilerin yer aldığı ses ve görüntülerin şirketin bulut ortamı gibi güvenliği konusunda üzerinde düşünülmesi gereken farklı lokasyonlara yüklenmesi söz konusu olabilir.
McCreary, giyilebilir teknoloji kullanımının verinin kontrolünden çok kullanılan veriye ait birden fazla kopya olması konusunda olduğunu belirtiyor. Çalışanlarının şirket dışında Dropbox üzerinden iş dışında da verilere erişebilmesini sağladıklarını söyleyen McCreary, aynı konunun giyilebilir teknolojiler için geçerli olabileceğini vurguluyor.
Giyilebilir teknolojilerden gelebilecek tehditlerin sadece şirket içerisinden olamayabileceği McCreary tarafından dikkat çekilen detaylardan bir diğeri olarak ön plana çıkıyor. McCreary’e göre hedef alınan şirketlere yönelik ihlalleri giyilebilir teknolojiler kullanarak gerçekleştirebilmek çok daha kolay.
McCreary, özellikle şirketin önemli verilerinin olduğu durumlarda kayıt özelliği olan giyilebilir teknoloji cihazlarının tamamen veya tartışılması söz konusu olabilecek bazı bölgelerde kısmen yasaklanabileceğini belirtiyor.
İK ve giyilebilir teknoloji cihazları
Bazı şirketler Fitbit gibi takip cihazlarını çalışanlarına sağlık programları kapsamında sunmaktadır. XpertHR hukuk baş yazarı Beth Zoller, şirketlerin personellerine sunduğu imkanlarda verileri kontrol ve takip eden mercilerce ilgili olarak yasal konuların ön plana çıkabileceğini belirtiyor.
Giyilebilir teknoloji cihazlarının insan kaynakları alanında kullanılmasında özellikle kişisel sağlık verilerinin saklanması söz konusu olduğundan gizlilikle ilgili hassasiyetlerin ortaya çıktığını söyleyen Zoller, Zip dışındaki tüm Fitbit cihazlarının hareket takibinin yanında uyku zamanlarını dahi kaydediyor olmasının çalışanlar tarafından istenilecek bir durum olmayacağına dikkat çekiyor.
Şirketler tarafından sağlanan giyilebilir teknoloji cihazlarının çalışanların özel hayat ve iş ortamı konusunda tartışmalı konuları gündeme getirecek olması göz ardı edilmemesi gereken detaylardan bir diğeri olarak ön plana çıkıyor. Zoller, giyilebilir teknoloji cihazlarını kullanan çalışanlarda iş ve özel yaşantısı arasındaki çizginin daha bulanık hale geldiğini ifade ediyor.
Ses ve video kaydı yapabilen cihazların kullanımında çalışanların özel yaşantı gizliliğinin tehdit altında olması, kaydedilen verilere çalışanlar tarafından ulaşılamaması Zooler’in dile getirdiği rahatsızlar arasında yer alıyor.
Zooler’in göre iş hayatında giyilebilir teknoloji cihazlarını doğru şekilde kullanmanın en iyi yolunun politika oluşturulması olduğunu söylüyor. Oluşturulacak politikada çalışanların konumunun belirlenmesi, giyilebilir teknoloji cihazlarının ne şekilde kullanılacağı, çalışanların giyilebilir teknoloji cihazlarını kullanmasıyla ilgili eğitimleri alması gibi konuların yer alması gerekiyor. Ayrıca tüm bu yaklaşımların şirketin web sayfasında giyilebilir teknoloji kullanım rehberi olarak yer alması önem taşıyor.
Giyilebilir teknoloji pazarı büyük bir sektör haline gelmeye devam ediyor. Fakat henüz çok yeni bir pazar olması ve popülerliği ile bilinmesi bu alanda geliştirilen cihazların korsanlar tarafından ne zaman, nerede, nasıl cihazları hedef alacağı konusunda henüz pek fazla detay bulunmuyor. Cobb, her teknolojinin irdelendiğinde zayıf yönlerinin ortaya çıkabileceğine dikkat çekiyor ve ekliyor: “Giyilebilir teknolojiler ortaya çıkabilecek tehditlere karşı kullanıcıların dikkat etmesi gereken bir alan.”