Dijital Biz Dergisi | Editör

Şenol VATANSEVER

Nisan 2020

Video Konferans Uygulamalarının Siber Güvenliği Nasıl Sağlanır?

Dünya genelinde etkin olan koronavirüs salgını ile beraber yaşam ve iş yapış biçimlerimizi değiştirmek durumunda kaldık. Salgının alarm seviyesi düşene kadar artık zamanımızın neredeyse tamamını evde geçirerek hayatımızı idame ettirebilmemiz gerekiyor. Bu değişimin aslında sürpriz olmadığını, sadece beklenenden daha önce ve hızla gerçekleşmeye başladığını ifade edebilirim. Yaşadığımız her yeni günde artık bu değişime ayak uydurabilen ve ayak uyduramayan ülkeler ve işletmeler arasındaki uçurumlar daha da derinleşecek. Dijital dönüşüm her alanda olduğu gibi teknoloji ve e-devlet uygulamalarında da etkisini gösterecek ve zamanla Türkiye’de devletle ilgili işlemlerin tümü kamu kurumlarına gitmeden E-Devlet üzerinden yapılabilir hale gelecek.

Dünyadaki mesleklerin yüzde 60-65’inin önümüzdeki 15-20 yıl içerisinde yok olacağı öngörülüyordu, koronavirüsün hayatımıza ansızın girmesi ve devam edecek domino etkisiyle kanaatimce bu sürenin 8-10 yıllara kadar çekilmesinin önü sonuna kadar açıldı. Türkiye için de altını çizmem gerekirse, yeni gelecek mesleklere uygun insan kaynağı oluşturamazsak geniş kitlelere yayılmış işsizlik ve sosyal patlamalarla karşılaşabiliriz. İş bulana kadar herkesin en azından temel ihtiyaçlarını rahatlıkla karşılayabileceği Vatandaşlık Maaşı verilmesi gibi uygulamaların artık tartışılmaya başlanması gerektiğini belirtmek isterim.

Koronavirüs ile beraber milyarlarca insanın eve kapanması, video konferans uygulamalarına olan talebi olağanüstü düzeyde artırdı. Evden çalışma, görüntülü iş ve ekip toplantıları ve uzaktan eğitim için kullanılan bulut tabanlı bu uygulamalar arasında yer alan Zoom, son iki aydaki günlük aktif kullanıcı sayısını yüzde 67 artırarak en çok tercih edilenlerden biri haline geldi. Serbest çalışanlardan büyük holdinglere, öğrencilerden öğretmenlere; sağlık çalışanlarından devletlerin en üst kademedekilerine kadar görüntülü görüşme, çevrimiçi toplantı, konferans, ders, sohbet ve mobil iş birliği yapmak isteyen herkes kullanır hale geldi.

Zoom’un ne kadar güvenli ya da güvenilir olduğunu değerlendirmeye başlamadan önce Zoom’un gelişim sürecini gözden geçirmemiz sağlıklı olacaktır. Zoom, 1997-2007 yılları arasında video konferans yazılımı şirketi WebEx’te ve ardından Cisco’nun WebEx’i satın alması ile beraber 2007-2011 yılları arasında ise Cisco’da mühendislikten sorumlu başkan yardımcısı olarak çalışan Çinli Eric Yuan tarafından 2011 yılında kuruldu. 1970 yılında Çin’de doğan Eric Yuan, merkezi California’da bulunan Zoom Video Communications’ın CEO’su olarak görevine devam ediyor. 2019 yılında halka arz edilerek ABD borsalarında Nasdaq Endeksi’nde işlem görmeye başlayan şirketin geçen yılki gelirleri yüzde 88 arttı. Koronavirüs ile birlikte bu rakamların çok daha üst seviyelere çıktığı tahmin edilirken, Eric Yuan da dünyanın en zenginleri listesinde yükselişe geçti.

Toplamda 2 binin üzerinde çalışanı olan Zoom, Çin’de 700’den fazla kişiye istihdam sağlıyor. Şirketin, araştırma geliştirme gibi kilit bölümlere sahip olduğu Çin’deki operasyonlarını genişletmeye devam ettiği ifade ediliyor. Zoom ile ilgili olarak daha önce ortaya atılan iddialar da Çin bağlantısını ve yapılan görüşmelerin Pekin merkezi yönetimi tarafından takip edilebildiğini ortaya koyuyordu. Tabi bunların halen ispat edilmemiş iddialar olduğunun tekrar altını çizmek gerekir. Şu an Zoom’u değerlendiriyor olsak da tüm bu iddiaları tabi ki sadece Zoom’a ve Çin’e adreslememek gerekir. Çünkü, sosyal paylaşım platformları başta olmak üzere mobil uygulamaların da cihazlara kurulum aşamasında kullanıcılardan aslında ihtiyaçlarının olmadığı birçok erişim izni istediğini ve bu kapsamda kullanıcı verilerini topladığını hepimiz biliyoruz. Dolayısıyla Amerika, Avrupa, Rusya ve diğerlerini de göz ardı etmeyelim.

Tekrar Zoom’dan devam edecek olursam, uygulamanın Gizlilik Politikası’na onay vererek bizimle ilgili şu bilgileri toplamasına izin veriyoruz: Cihazımız, ağımız ve internet bağlantımız hakkında teknik bilgiler, IP adresimiz, MAC adresimiz, diğer cihaz kimliğimiz (UDID), cihaz türümüz, işletim sistemimizin türü ve sürümü, istemci sürümümüz, kamera türümüz, mikrofonumuz veya hoparlörümüz, bağlantı türümüz, yaklaşık konumumuz, Zoom’u nasıl kullandığımızla ilgili bilgiler, toplantımızın süresi, e-posta adresimiz, adımız, katılım ve ayrılma zamanlarımız, toplantımızın adı, toplantımızın tarihi ve saati, sohbet durumumuz vb. bolca kişisel verilerimiz.

Zoom, video konferans kontrolünün kullanıcılarda olduğunu ve toplantı kayıtlarını Zoom’un bulut sunucularında veya kullanıcıların kendi depolama birimlerinde tutabileceğini belirtiyor. Artan kaygıların bir nedeni de Zoom toplantısını başlatan yönetici kullanıcısının 100’ü bulan diğer kullanıcıların bilgi güvenliğini elinde bulundurmasından kaynaklanıyor. Yönetici kullanıcıların aktivitelerini izleyebiliyor. Bir kullanıcı Zoom aracılığıyla görüşmeyi kaydediyorsa, yöneticiler bu içeriğe erişebiliyor. Bir toplantı devam ederken veya tamamlandığında yöneticiler her bir kullanıcının işletim sistemini, IP adresini, konum verisini ve sohbet bilgisini görebiliyor.

Uygulamanın eriştiği kameralarla ilgili güvenlik açığı sebebiyle 2019 yılında Zoom çok zor günler geçirmişti. Bu açık sebebiyle kullanıcıların izni olmadan kameralarının etkinleştirilebildiği, hatta kullanıcılar uygulamayı kaldırsa dahi kameralarına erişimlerin devam edebildiği ortaya çıkmıştı. Zoom, kullanıcılarından özür dileyerek bu açığın giderildiğini duyurmuştu.

Zoom ile ilgili veri güvenliğine ilişkin tartışmalar, uygulamanın iOS sürümünün içerisine yerleştirilmiş Facebook kodları bulunması ve Zoom’u kullanıp Facebook’ta hesabı olmayan kullanıcıların bile saat dilimi, bulunduğu şehir ve cihazlarıyla ilgili bilgilerinin Facebook’a iletildiğinin ortaya çıkmasıyla daha da şiddetlendi. Bunun üzerine Zoom ve Zoom’un kurucusu Eric Yuan, özür açıklamasında bulundu ve 27 Mart’ta yayınladıkları güncellemeyle Facebook’a olan bu bilgi transferinin engellenebileceğini duyurdu.

Yaşanan bu skandallar zincirlerine Zoom görüşmelerinde ortaya çıkan, davetli olmayan kullanıcıların da katılabilmesi ve Zoom Bombalama (Zoom-Bombing) şeklinde ifade edilen taciz içerikleri paylaşımları da eklenince güvenlik kaygıları giderek arttı.

İngiltere Savunma Bakanlığı, ABD New York Eğitim Departmanı ve daha birçok kurum, bu platformun kullanımını sınırlandırdı ya da yasakladı. Tüm bu gelişmelere karşın Zoom’u ve diğer platformları kullanmak durumunda olan kurumlara ve kullanıcılara güvenlik risklerini azaltabilmeleri için şu tavsiyelerde bulunabilirim:

• Yazılımların en son (güncel) sürümlerini kullanmaları
• Yönetici kullanıcılarının Zoom’un Bekleme Odası (Waiting Room) özelliği ve Toplantı Kimliği (Meeting ID) şifresi ile kullanıcıları kontrollü olarak dahil etmeleri
• Kullanıcıları davet ederken bağlantılar yerine toplantı kimliklerini kullanmaları
• Kullanıcıların bağlantıları ya da toplantı kimliklerini sosyal medyada paylaşmamaları
• Kullanıcıların platformlara sosyal medya hesaplarını kullanarak giriş yapmamaları
• Kullanıcıların kameralarını kapalı tutmaları ve kameralarını kullanmadıkları zamanlarda bant vb. bir aparatla örtmeleri
• Sadece yönetici kullanıcılarının zorunlu hallerde kameraları açma yetkilerinin olması
• Ekran paylaşımlarını ve diğer izinleri yönetici kullanıcılarının bilgisayarları ile sınırlandırmaları
• Kullanıcıların görüşme esnasında kişisel verileri kaydetmemeleri ve hiçbir platformda paylaşmamaları

Bilişim Grubu olarak 2018 yılında ortaya koyduğumuz yüksek teknolojiyi, mutlu insanı ve dünya barışını temel alan ve hepimize önemli mesajlar veren Gelecek 5.0 yaklaşımımızın unsurlarının koronavirüs salgını ile beraber yaşanan tüm bu değişimler sonrası daha dikkatle değerlendirileceğine inanıyorum. Her alanda olduğu gibi özelikle teknoloji alanında da dışa bağımlılığın azaltılmasının, yerli ve mili teknolojilerin kullanımının artırılmasının önemini Zoom örneğinde de bir kez daha hep beraber yaşayarak tecrübe ediyoruz.