Asansörlerde Uzaktan Erişim ve Uygulama Açıkları

Yayın TarihiOcak-Şubat, 2021 Erol Akçay-Liftinstituut Solutions LLC Teknik Direktörü Yazdır

Gelişen teknoloji ile beraber asansörlere uzaktan erişim bugün uygulanabilir bir seçenek olarak karşımıza çıkmaktadır. Uzaktan erişime ihtiyaç duyulmasının birçok sebebi bulunmaktadır;

  • Çeşitli şirketlerin farklı lokasyonlardaki binalarını hem asansör hem de diğer teçhizatı güvenlik kaygılarıyla görüntülenmesi ve yönetebilmesi
  • Asansörlerin serviste kalma performanslarının ve anlık arızaların görüntülenebilmesi, asansörlerin bakım performanslarının ölçülebilmesi

Esasen, kattan çağrı atama sisteminin bulunduğu asansör guruplarında ayrıca izleme ve müdahale uygulamaları kurulduğunda kapalı bir çevrimde, kumandalara zaten erişim sağlamak mümkündür.

Ana bilgisayara dışarıdan çeşitli uzaktan bağlantı uygulamaları veya benzeri yazılımlarla erişim sağlanması halinde asansörlerin uzaktan yönetilmesi mümkündür.

Bunun yanında global üreticiler tarafından henüz yeni yeni denenmeye başlayan, ana bilgisayar varlığı gerektirmeden internete bağlanan karşılıklı modüllerle sisteme erişim de mümkün hale gelmiştir. Bu tip erişimler çeşitli altyapılar üzerinden yapılabilmektedir. IBM, Amazon, Google gibi bulut sağlayıcıların global üreticiler için geliştirdiği modüller üzerinden kumandalara yerleştirilen modem bağlantılı donanımlara komut gönderilmesi veya herhangi bir internet tarayıcısı üzerinden erişilen ve standart http protokolleri kullanılarak haberleşeme sağlanabilen sistemler Otis, Kone, Schindler ve Mitsubishi gibi markalar tarafından kullanılmaya başlanmıştır.

Özellikle yeni geliştirilmeye başlanan IoT (Internet of Things – Nesnelerin interneti) tabanlı sistemler, akıllı asansörlerin doğmasını sağlamıştır. IoT sistemler, elektronik ekipmanların birbirleri ile haberleşmesine ve yapay zekâ yazılımları tarafından yönetilmesine olanak sağlayan haberleşme sistemleridir. Bu sistemler buzdolaplarından araba motorlarına kadar pek çok farklı düzenek için kullanılabildikleri gibi, doğrudan bir insan müdahalesi olmadan komut alabilme yeteneğine sahip aletler oluşmasına sebep olmaktadır. Bir kez veri alıp iletebilen bir sistem bir pek çok faydalı uygulama ile yönlendirilmeye açık hale gelir. Asansörler özelinde böyle bir erişim imkânı, asansörlerin seyahat edilen katlar, en çok hizmet verilen katlar, alınan çağrı sayısı gibi kullanıcı trafiğini ilgilendiren verilerin yanında, arıza kaynakları, en çok problem çıkaran parçalar ve arızaya sebep olması muhtemel parçalar gibi arıza önlemeye yönelik bilgilerin bir erişim noktasına aktarılmasını sağlar. Erişim noktasındaki bir yapay zekâ yazılımı verileri işleyerek asansörün arıza sayısını azaltacak önlemler alabilir. Bu önlemler önleyici bakımın bir teknisyen müdahalesi olmadan gerçekleştirilmesini sağladığı için maliyetlerin düşürülmesine yardımcı olur.

Verilerin internet üzerinden global merkezlerde değerlendirilmesi de önleyici bakımın etkinliğine yardımcı olmaktadır. Bir bulut yapılandırması ile verilerin depolanması ve aktarılması da henüz üreticilerin performansı optimize etmek için üzerinde çalıştıkları gelişime açık bir mecradır.

Bununla birlikte uzaktan erişimin yaygınlaşması beraberinde bazı güvenlik açıklarını da getirmektedir. Esasen duruma asansörlerde kullanılan sistemler başlığından ziyade hareket eden bilgisayarlara uzaktan erişim başlığı altında bakmak konuyla ilgili kaygıların daha iyi anlaşılmasını sağlayacaktır. Pek çok kez medyada haberlerini gördüğümüz veya bizzat kurbanı olduğumuz, ‘hack’lenme, virüslere maruz kalma, sistemin güvenlik açıklarının sömürülmesi olayları asansörler için de gayet olası bir durumdur.

Peki hareket eden bu bilgisayarlara erişimde için en yüksek riskli güvenlik açıkları nelerdir;

Uzaktan erişim sistemleri yazılımlara dayalıdır, dolayısıyla fiziken erişebileceğimiz altyapıları yoktur. Yazılımla kontrol edilen her sistemde olduğu gibi açıkları mevcuttur dolayısıyla ‘bug’lar, virüsler ve saldırılara açık sistemlerdir. Özellikle yazılım güncellemeleri, sistemin en zayıf olduğu zamanlardır. Güncellemeler potansiyel casusu yazılımların verileri farklı adreslere göndermesine veya asansörlerin belirsiz kaynaklardan komut almasına kapı açarlar. Günümüzde çok sıkı korunan nükleer tesislerde bile bu tip saldırılar yaşanırken nispeten güvelik kaygı düzeyi düşük asansör kumandalarında siber saldırıların gerçekleşmesi de çok da uzak bir olasılık değildir.

Diğer bir risk ise bulut erişimlerinde görülmektedir. Verilerin toplandığı ve kontrol edildiği bulut alanlarına yetkisiz erişim, asansörlerin üçüncü taraflarca manipüle edilmesine olanak verebilir. HTTP protokolleri gibi tarayıcı üzerinden gerçekleştirilen erişimler ise esasen internete erişimi olan herkesin sistemin kapısında durması demektir.

2019 yılı Nisan ayında National Elevator Industry (Amerika) bu tip tehditlerin önüne geçmek için bir dizi tavsiye yayınlamıştır. Ayrıca Avrupa Asansör Derneği (ELA) ve Pasifik Asya Asansör ve Yürüyen Merdiven Derneği (PALEA) ile Çin Asansör Derneği (CEA) gibi kuruluşlar da bu tavsiyeleri dikkate alacaklarını belirtmişlerdir. Tavsiye dokümanı genel olarak ISO 14798:2009 Asansörler ve Yürüyen Merdivenler için Risk Değerlendirmesi standardında bir geliştirme yapmayı öngörmektedir. Yazılım temelli erişimlerde 1’den fazla güvenlik bariyeri konulması ve erişimin aşamalara ayrılması (örneğin bankalarda web sitelerine erişim için bir şifre ve telefona gelen SMS’in onaylanması metodu gibi) bir risk eleme metodu olarak tavsiye edilmektedir. Ayrıca IEC 62443 Siber Güvenlik Çerçeve standardının asansörlere adaptasyonu da tavsiyelerden bir diğeridir.<

Riskleri olduğu için uzaktan erişimin ortadan kaldırılması tabii ki düşünülebilir değildir. Sistemin getirdiği faydalar gelecekte kaçınılmaz ihtiyaçlar haline dönüşecektir. Bununla birlikte asansör üreticilerinin esas uzmanlık alanı olmayan bu risk değerlendirmeleri konusunda farkındalıklarını artırmaları gereklidir. Gelecekte yaşanması olası bir siber saldırının bir terör eylemi planının parçası olma ihtimali kesinlikle göz ardı edilmemelidir.