Güvenlik Kameraları CRA Kapsamında Önemli Ürün mü?
Özet
Fiziksel güvenlik amacıyla satılan bağlı bir akıllı ev kamerası, planlama varsayımı olarak Önemli Sınıf I ürün olarak ele alınmalıdır. Aynı kamera donanımı başka bir amaçla satıldığında sınıf değişebilir: video aramalar, profesyonel CCTV, kayıt altyapısı, erişim kontrolü veya başka bir güvenlik ürünü.
Oluşturulacak ilk kayıt, tam kamera varyantı için bir sınıflandırma ve sınır notudur. Bu notta amaçlanan güvenlik işlevi, satış bağlamı, sağlanan dijital unsurlar, destek süresi ve rota gerekçesi adlandırılmalıdır.
Destek süresi kaydı; kameranın beklenen kullanımı, makul kullanıcı beklentileri, ürünün niteliği, kullanım amacı ve ilgili bileşenlerin desteğinden hareketle hazırlanır. CRA'nın alt sınırı en az beş yıldır; ancak ürünün beş yıldan kısa süre kullanılması bekleniyorsa istisna mümkündür ve bitiş tarihi en az ay ve yıl olarak satın alma sırasında açıkça belirtilmelidir.
Bir kamera sürümünü nasıl sınıflandırırsınız?
Kamera kasasından değil, tekliften başlayın. Rota; satış iddiasına, alıcının güvendiği işleve ve o sürümle birlikte sağlanan dijital unsurlara bağlıdır.
Video aramalar, toplantılar veya genel iletişim için satılır.
İletişim çevre birimidir; ev güvenliği izleme değildir.
Cihaz firmware'i, sürücü veya toplantı uygulaması entegrasyonu. Sağlanan izleme bulutu veya alarm iş akışı yoktur.
Ev gözetimi, bebek izleme, kapı zili güvenliği veya alarm entegrasyonu için satılır.
Alıcının güvendiği işlev ev güvenliği veya izlemedir.
O işlev için sağlanan firmware, yerel depolama, uygulama, üretici bulutu, güncelleme hizmeti ve güvenlik açığı yönetimi.
Profesyonel gözetim, kayıt altyapısı veya başka bir güvenlik ürününün parçası olarak satılır.
Kaydedici, VMS, güvenlik duvarı, VPN, erişim kontrolü, biyometri veya kimlik işlevi gerçek ürün olabilir.
Kamera artı kaydedici, yönetim sunucusu, kurulumcu bulutu, erişim kontrolü hizmeti veya güvenlik cihazı.
Diyagramı yönlendirme yardımcısı olarak kullanın; nihai sınıflandırma kaydı olarak değil. Yazılı kayıt, hâlâ tam iddiayı, kullanım amacını ve sevkiyat sınırını belirtmelidir. Akıllı ev kamerası için anahtar terim güvenlik işlevlerine sahip akıllı ev ürünleridir. Ev gözetimi, izinsiz giriş izleme, bebek izleme veya alarm entegrasyonu için satılan bir kamera bu kategoriye girer. Genel amaçlı bir web kamerası genellikle girmez.
Sonra, listelenen başka bir işlevin gerçek işi yapıp yapmadığını test edin. Önemli sınıflandırma, ürünün temel işlevini takip eder; içinde yer alan parçaları değil. Güvenlikle ilgili bir bileşenin gömülmesi, teklifin geri kalanını Önemli rotaya çekmez. Kamera aslında bir lens içeren güvenlik duvarı, VPN ağ geçidi, erişim kontrolü okuyucu, biyometrik kimlik doğrulama cihazı, kimlik yönetim sistemi veya ayrıcalıklı erişim yönetimi ürünü olarak satılıyorsa, önce o temel işlevi sınıflandırın.
Profesyonel gözetim için akıllı ev kategorisini zorlamayın. Profesyonel CCTV kamera, VMS veya NVR de CRA kapsamında dijital unsurlar içeren bir ürün olabilir ve yine güvenlik gereksinimleri, destek süresi planlaması, güvenlik açığı yönetimi ve teknik belgeler gerektirir. Sınıf; kullanım amacına, sevkiyat sınırına ve temel işleve bağlıdır.
Sınıflandırma notu şu dört soruyu yanıtlamalıdır:
- Kamera ev güvenliği, bebek izleme, kapı zili güvenliği veya alarm entegrasyonu için mi satılıyor?
- Kamera ürünün temel işlevi mi, yoksa güvenlik duvarı, VPN, erişim kontrolü, biyometri veya kimlik işlevi mi gerçek işi yapıyor?
- Amaçlanan işlev için hangi dijital unsurlar sağlanıyor: firmware, yerel depolama, uygulama, üretici bulutu, güncelleme hizmeti ve güvenlik açığı yönetimi?
- Hangi sistemler imalatçının teklifinin dışında: müşteri yönlendiricisi, üçüncü taraf kaydedici, kurulumcu ağı, dış kimlik sağlayıcı veya izleme merkezi?
Ürün sınırı ve sevk edilen unsurlar
Bir kamera üreticisi için uyumluluk sınırı nadiren yalnızca plastik kasadır. Sınır, piyasaya sürülen ürünü ve amaçlanan güvenlik işlevi için gerekli dijital unsurları takip etmelidir.
Varsayılan olarak kamera üreticisinin sınırı içinde yer alanlar: cihaz firmware'i ve üzerinde çalışan her hizmet, ağ arayüzü yığını, cihaz üzerindeki depolama, alıcıya kurması bildirilen eşlik uygulaması, ürünün belgelenmiş özelliklerini sağlayan herhangi bir üretici barındırmalı bulut, OTA güncelleme altyapısı ve ardındaki güvenlik açığı yönetim süreci.
Üretici o katmanı satmadıkça sınırın dışında kalanlar: alıcının ev yönlendiricisi, müşterinin seçtiği üçüncü taraf VMS veya NVR, kurulumcunun saha ağı, SSO için kullanılan dış kimlik sağlayıcı ve ayrı sözleşme kapsamındaki profesyonel izleme merkezi.
Bu ürünler başka imalatçılardan geldiğinde hiçbiri gerekmez. Kamera üreticisi kaydediciyi, VMS'yi, kimlik hizmetini veya bulut köprüsünü teklifinin bir parçası olarak da satıyorsa, her biri kendi ürün dosyası olan ayrı bir CRA ürünü olabilir.
Ürün dosyası · AB Uygunluk Beyannamesi · CE işaretlemesi · Destek süresi beyanı · Kullanıcı talimatları · Uygunluk değerlendirmesi kaydı
Kamera üreticisi, kameranın piyasaya sürülmesinden itibaren on yıl veya destek süresi boyunca, hangisi daha uzunsa, bunları saklar. Üçüncü taraf değerlendirme rotası kullanılıyorsa o çıktıyı aynı dosyada tutun.
Siber güvenlik risk dosyası · Bileşen envanteri · Güvenlik açığı yönetim süreci · Açıklama politikası · Güvenli güncelleme mekanizması
Yayımlanmış tek iletişim noktasını, güvenli varsayılanlar için test kanıtını, imzalı güncelleme doğrulamasını ve destek süresinin gerekçesini ekleyin.
Bileşen durum tespiti kaydı · Tedarikçi uygunluk beyanı · Tedarikçi güvenlik danışmaları
Çip seçiminden kamera üreticisi sorumlu kalır. Bir çip, modül veya güvenli öğenin kendisi CRA ürünü olduğunda tedarikçinin uygunluk beyanı ve danışmaları, üreticinin durum tespitinin yerini almak yerine onu destekler.
Bileşen envanteri yeni güvenlik açıklarına karşı izlenir; güvenlik açığı süreci bulguları önceliklendirir; ücretsiz güvenlik güncellemeleri düzeltmeleri danışmalarla birlikte, mümkün olduğunda otomatik olarak dağıtır.
Aktif olarak istismar edilen bir kamera güvenlik açığı bir saati başlatır: 24 saat içinde erken uyarı, 72 saat içinde güvenlik açığı bildirimi ve düzeltici veya azaltıcı bir tedbir mevcut olduktan sonra 14 gün içinde nihai güvenlik açığı raporu. Ciddi bir güvenlik olayı, aynı 24 saatlik ve 72 saatlik adımlara ve olay bildiriminden sonraki bir ay içinde nihai olay raporuna sahip ayrı bir saatte ilerler.
Etkilenen kameraları çalıştıran haneler de üreticiden bilgi alır. Üretici, etkilenen sahiplere ve uygun olduğunda daha geniş müşteri tabanına neyin yanlış olduğunu ve kendilerinin uygulayabilecekleri adımları söyler: zorunlu firmware güncellemesi, uygulama yükseltmesi, parola sıfırlama, isteğe bağlı hizmet kapatma veya yeniden satıştan önce fabrika sıfırlaması.
Kamera mimarisi kontrol noktaları
Kamera sürüm dosyası, genel bir IoT kontrol listesini değil, gerçek video ürününü takip etmelidir. Pil ile çalışan bir Wi-Fi kamera, PoE dome kamera, hücresel dış mekân kamerası ve NVR ile birlikte satılan bir kamera; sınıf tartışmasını paylaşabilir ancak farklı mühendislik kayıtları gerektirir.
Diyagramı zorunlu bir kurulum modeli olarak değil, sürüm dosyası haritası olarak okuyun. Üreticinin yine kendi kamerası, uygulaması, bulut hizmeti, güncelleme yolu ve destek modeli için tam varyant sınırını yazması gerekir.
- Video ve kontrol yolu. Videoyu görüntüleyebilen, saklayabilen, dışa aktarabilen veya kontrol edebilen her yolu tanımlayın: yerel akış, Web UI, uygulama oturumu, bulut rölesi, paylaşım bağlantısı, destek dışa aktarımı ve NVR veya VMS uyumluluk iddiası.
- Yerel maruziyet. Kurulum sonrası ve güncelleme sonrası kamerayı tarayın. Hangi hizmetlerin erişilebilir olduğunu, hangilerinin kimlik doğrulama gerektirdiğini ve hangi akış veya yönetim yollarının devre dışı kaldığını gösterin.
- Müşteri sistemleri. Yönlendirici, kurulumcu ağı, üçüncü taraf kaydedici, dış kimlik sağlayıcı ve izleme merkezini, üretici o katmanı teklifin bir parçası olarak sağlamadıkça kamera üreticisinin ürününün dışında değerlendirin.
- Üretici tarafından sağlanan arka uçlar. Hesap hizmetini, imzalama hattını, olay veya bildirim hizmetini, destek portalını, ücretli özellik bayrağı hizmetini ve herhangi bir bulut ML yolunu içeri veya dışarı alın.
- Güncelleme yetkisi. Güncelleme yetkisini iki yönlü bir değişim olarak ele alın: kamera güncelleme meta verisini kontrol eder veya alır; güncelleme hizmeti ise tam o varyant için imzalı bir firmware veya uygulama paketi döndürür. İmzalı güncelleme, kurtarma yuvası, downgrade reddi ve kullanıcı bildirimi kayıtlarını sürümle birlikte saklayın.
- Tedarikçi girdileri. SoC, Wi-Fi modülü, medya yığını, AI modeli, P2P SDK ve önyükleyiciye birer sahip, sürüm, danışma izlemesi ve sürüm kararı atayın.
- Piyasa sonrası döngü. Güvenlik açığı raporları, ciddi olaylar, tedarikçi danışmaları ve saha arızaları; tehdit modelini, artık risk kaydını, teknik dosyayı ve bir sonraki sürüm kapısını güncellemelidir.
İşlenmiş kamera risk değerlendirmesi
Bu bölümün geri kalanını kopyalanacak bir kontrol listesi olarak değil, bir işlenmiş kamera örneği olarak okuyun. Amaç, bir kamera üreticisinin tek bir varyant için savunabilmesi gereken karar derinliğini göstermektir: yonga seti ve modül seçimleri, firmware derlemesi, bulut rölesi, OTA kanalı, gerçekten izlediğiniz tedarikçi danışmaları, kaydolduğunuz satış kanalı ve taahhüt ettiğiniz destek penceresi.
Hangi ürünü değerlendiriyoruz?
Gerçek bir cihaz değil, örnek niteliğindeki ürün: ExampleCo IndoorCam X1, AB'de ev güvenliği izleme için satılan bir iç mekân akıllı ev kamerası. 1080p video ve ses kaydeder, klipleri bir microSD kartta saklar, sahibine mobil uygulama üzerinden canlı video aktarır, kurulum sırasında yerel bir Web yönetim arayüzü açar, ilk kullanım eşleştirmesi için BLE kullanır, Wi-Fi ile bağlanır ve üreticiden imzalı firmware güncellemeleri alır.
Bu örnekteki ürün sınırı; kamera donanımını, gömülü firmware'i, microSD kaydını, mobil uygulama eşleştirme akışını, üretici bulut rölesini, hesap hizmetini, OTA güncelleme hizmetini, güvenlik danışma sürecini ve güvenlik açığı raporlama iletişimini kapsar. Müşterinin yönlendiricisini, üçüncü taraf VMS/NVR'yi, ev otomasyon platformunu veya profesyonel izleme merkezini kapsamaz.
Ürün, kapalı ev ortamında teknik olmayan ev kullanıcılarına yöneliktir. Endüstriyel CCTV, kamu alanı gözetimi, erişim kontrolü, biyometrik kimlik doğrulama veya kimlik doğrulama, işyeri izleme veya kritik altyapı güvenlik operasyonları için tasarlanmamıştır.
Tehdit tablosunu yazmadan önce, risk değerlendirmesini genellikle yönlendiren üç kamera yolunu test edin: video kustodisi, cihaz kimliği ve kurulum sonrası maruziyet. Bu diyagramlar, işlenmiş örneği genel bir tehdit listesi yerine mühendislik sorularına dönüştürür.
Video kustodisi ayrıntıları: kaynak; kamera sensörü, mikrofon ve kodlayıcıdır. Görüntü ayar blobları, ses yolu, gizlilik maskesi, AI algılama girdileri ve akış profilleri bir firmware derlemesine bağlanır. Yerel izleme yolu ONVIF, RTSP, web önizleme veya tarayıcı içerir ve bir kimlik doğrulama ile maruziyet taramasıyla doğrulanır. Uzaktan izleme yolu bulut rölesi, P2P SDK veya sahip uygulamasını içerir ve bir token kapsam ve röle testiyle doğrulanır. Yerel medya yolu microSD klipleri ve çıkarılabilir depolamayı içerir, sıfırlama ve kart çıkarma testiyle doğrulanır. Destek yolu destek paketi ve tanılama dışa aktarımını içerir, redaksiyon kontrol listesiyle doğrulanır.
Sıfırlama, bağ koparma ve RMA silme testleri; yeniden satış, yenileme veya destek devrinden önce hangi videoların, tokenların ve hesap bağlantılarının kaldırıldığını kanıtlar.
Sahiplik, video kustodisinden ayrı bir kontroldür. Bir kamera korumalı bir akışa sahip olabilir; ancak bir eski sahip, paylaşılan kullanıcı veya kurtarılmış telefon devirden sonra erişimi sürdürürse yine başarısız olur.
Kimlik yaşam döngüsü ayrıntıları: sağlama, kamera anahtarını veya sertifikasını oluşturur, donanım kimliğini kaydeder ve üretim hata ayıklama erişimini kilitler. Sahip kurulumu, doğrulanmış bir hesap ve tek kullanımlık, kısa ömürlü bir QR, BLE veya uygulama talep tokeni kullanır ve kamera bağlandıktan sonra ilk kullanım penceresini kapatır. Normal işletim; parola sıfırlama, hesap kurtarma, kayıp telefon kurtarma, aile paylaşımı, misafir izleyiciler ve tarayıcı oturumları için aynı iptal modelini kullanır. Sahip devri yetkili bir bağ koparma yolu gerektirir; eski hesabı kaldırır, paylaşılan kullanıcıları iptal eder ve aktif oturumları sonlandırır; sonra kamera yeniden talep edilebilir. Fabrika sıfırlaması, RMA ve yenileme; ürün tasarımına göre hesap bağlantısını, kimlik bilgilerini, klipleri ve tanılamayı kaldırır. RMA işleme bir hırsızlık aklama yolu olmamalıdır.
Kötüye kullanım testleri: kurulum tokeni süresi dolar, tek kullanımlıktır ve sahip talebinden sonra yakındaki bir saldırgan tarafından yeniden kullanılamaz; eski telefon, misafir kullanıcı veya tarayıcı oturumu, kurtarmadan sonra canlı veya kayıtlı erişimi sürdüremez; yerel sıfırlama bulut bağı, hesap tokenları veya klipler bırakmaz.
Sahiplik test edildikten sonra, ağdan, uygulamadan, çıkarılabilir medyadan ve destek iş akışlarından hâlâ neyin erişilebilir olduğunu kontrol edin. Bu, maruziyet incelemesini genel bir port tarama sonucu yerine gerçek sevkiyat davranışına bağlar.
Erişim yüzeyi ayrıntıları: yerel LAN hizmetleri RTSP, ONVIF, Web UI ve keşif uç noktalarını içerir; sürüm kaydı maruziyet taramasıdır. Uzaktan izleme bulut rölesi, paylaşım ve cihaz kimliğini içerir; sürüm kaydı bulut token kapsam testidir. Çıkarılabilir medya microSD klipleri, sıfırlama davranışı ve depolama kararlarını içerir; sürüm kaydı microSD sıfırlama sonucudur. Destek tanılaması günlükler, çökme dökümleri ve destek modunu içerir; sürüm kaydı destek modu denetim örneğidir.
Hangi varlıkları koruyoruz?
Kameralar, aynı kasanın içinde çok farklı şeyleri korur. Bir çocuk odasının kayıtlı klipi, lensi pan eden bir sahip hesabı ve bu yıl sevk edilen her cihazı kontrol eden bir firmware imzalama anahtarı; hepsi tek bir ürünün arkasında yaşar. Bunları önce ayrı varlıklar olarak listeleyin; çünkü kontrol seti, test kanıtı ve sürüm kaydı bunlar arasında keskin biçimde ayrışır.
| Varlık | Neden önemli | Nerede bulunur |
|---|---|---|
| Canlı ve kayıtlı video/ses | Özel odaları, rutinleri, ziyaretçileri, çocukları, evcil hayvanları ve konuşmaları açığa çıkarır | Sensör, RAM, kodlayıcı, microSD, akış arabelleği, bulut rölesi |
| Sahip hesabı ve kurtarma faktörü | Ele geçirme; uzaktan izlemeyi, cihaz sıfırlamayı ve paylaşım değişikliklerini sağlayabilir | Mobil uygulama, kimlik hizmeti, e-posta/SMS kurtarma yolu |
| Cihaz-bulut kimlik bilgisi | Kalıcı güven tokeni; sahada dağıtılmış filo genelinde rotasyonu zor | Güvenli öğe veya korumalı depolama, hesap bağlama hizmeti |
| Firmware imzalama güven çapası | Kırılırsa güncelleme kanalı bir kötü amaçlı yazılım kanalı olabilir | Önyükleme zinciri, anahtar deposu, imzalama hizmeti, sürüm hattı |
| Yerel ağ konumu | Kamera ev LAN'ı içinde yer alır ve yerel eşleri görebilir | Wi-Fi arayüzü, DHCP kiralama, mDNS/SSDP görünümü |
| Tanılama ve destek paketi | Seri numaralarını, hesap kimliklerini, ağ adlarını ve çökme izlerini sızdırabilir | Cihaz günlükleri, destek portalı, dahili destek araçları |
| Kullanıcı talimatları ve destek tarihi | Güvenli kurulumu, güncelleme beklentilerini ve destek sonrası işlemi yönlendirir | Ambalaj, web kılavuzu, uygulama UI, ürün listelemesi |
Ana güven sınırları nerede?
Bir kamera aynı anda beş yerde bulunur: cihazın kendisi, odadaki herkesin çıkarabildiği microSD kart, telefonlarla ve bilinmeyen IoT eşleriyle paylaşılan ev ağı, sahadaki her kameraya dokunan üretici arka ucu ve canlı oturumu tutan sahip telefonu veya tarayıcısı. Her biri saldırgan fırsatını değiştirir ve farklı bir kontrol yüzeyi talep eder; bu nedenle güven sınırı modeli, birbirine bağlı olsalar bile bunları ayrı listeler.
| Ortam | Beklenen koruma | Olasılığı neden değiştirir |
|---|---|---|
| Kameranın içi | Fiziksel erişim sınırlıdır ancak onarım, hırsızlık, yeniden satış ve hata ayıklama pedleri vardır | Daha düşük uzaktan olasılık; anahtarlar çıkarılabilirse daha yüksek sonuç |
| microSD/yerel medya | Odaya erişimi olan herkes kartı çıkarabilir veya kopyalayabilir | Misafir, temizlikçi, kiracı veya yeniden satışı olan evlerde yerel erişim olasıdır |
| Ev ağı | Dizüstüler, telefonlar, TV'ler, yazıcılar ve bilinmeyen IoT cihazlarıyla paylaşılır | Tehlikeye giren bir eş; yerel yönetim, keşif veya akış hizmetlerine saldırabilir |
| Üretici arka ucu | İnternete açık ve kurulu filo genelinde paylaşılır | Bir arka uç hatası bir evden çoklara ölçeklenir |
| Sahip uç noktası | Telefonlar ve tarayıcılar oltalamaya, kötü amaçlı yazılıma ve hesap yeniden kullanımına açıktır | Hesap ele geçirme genellikle cihaz sertleştirmesini atlar |
Hangi tehditler önce değerlendirilmelidir?
Bu örnek, on altı ürüne özgü tehditle başlar. Amaç kapsamlı olmak değil; bir üreticinin savunabilmesi gereken izlenebilirlik düzeyini göstermektir.
| ID | Tehdit senaryosu | Risk altındaki varlık | Giriş noktası |
|---|---|---|---|
| T1 | Paylaşılan veya tahmin edilebilir bir ilk kullanım sırrı, saldırganın sahibin kurulumu bitirmesinden önce kamerayı talep etmesine olanak verir | Sahip hesabı, video akışı | BLE eşleştirme / yerel kurulum |
| T2 | Yerel Web yönetim arayüzü zayıf kimlik bilgilerini kabul eder veya kurulumdan sonra açık kalır | Yapılandırma, akış erişimi | Ev ağı |
| T3 | Çalınan bir mobil uygulama tokeni, parola sıfırlamasından sonra geçerli kalır ve kamera akışını açmaya devam eder | Sahip hesabı, canlı video/ses | Sahip uç noktası / bulut rölesi |
| T4 | P2P yedek yolu, STUN/TURN/ICE işleme, UPnP veya hole punching; röle yolu başarısız veya engellendiğinde kamerayı doğrudan açığa çıkarır | Firmware hizmetleri, akış erişimi | İnternete bitişik röle yolu |
| T5 | ONVIF/RTSP, LAN'da zayıf kimlik doğrulama veya keşfedilebilir akış URL'leriyle yanıt verir | Canlı video/ses | Ev ağı |
| T6 | Kurtarma yuvası imzasız, eski veya düşürülmüş bir firmware görüntüsü kabul eder | Firmware bütünlüğü, imzalama güven çapası | OTA / kurtarma yolu |
| T7 | UART/JTAG pedleri hırsızlık, onarım veya yeniden satışta önyükleme zamanı erişimine izin verir | Cihaz sırları, firmware, günlükler | Fiziksel hata ayıklama erişimi |
| T8 | microSD klipler, kart çıkarma sonrası veya kamera yeniden satıldıktan sonra okunabilir | Kayıtlı video/ses | Yerel medya |
| T9 | BLE eşleştirme, yakındaki bir saldırgana Wi-Fi kimlik bilgisini veya cihaz eşleştirme sırrını açığa çıkarır | Wi-Fi kimlik bilgisi, sahip hesabı | BLE kurulum penceresi |
| T10 | Destek paketleri seri, hesap, SSID, token parçaları veya özel çökme izleri içerir | Tanılama verisi, hesap bağlanabilirliği | Destek yüklemesi |
| T11 | Wi-Fi modülünde veya medya yığınında bir tedarikçi güvenlik açığı destek süresi boyunca tespit edilmez | Firmware, kullanılabilirlik, akış gizliliği | Tedarikçi danışma açığı |
| T12 | RMA veya yeniden satış sıfırlaması; hesap bağı, klipler veya cihaz kimlik bilgilerini silmekte başarısız olur | Sahip hesabı, kayıtlı medya, cihaz-bulut kimlik bilgisi | İade yolu |
| T13 | Keşif hizmetleri model, firmware, seri veya akış meta verilerini LAN'daki her cihaza açıklar | Cihaz parmak izi, akış maruziyeti | ONVIF / WS-Discovery / mDNS |
| T14 | RTSP akıcısı Web UI'dan farklı korunur ve yönetim sertleştirilmesinden sonra canlı bir akış erişilebilir kalır | Canlı video/ses | Yerel akış hizmeti |
| T15 | Üçüncü taraf bir P2P veya medya SDK kusuru; cihaz UID tahminine veya numaralandırmaya, cihaz taklidine veya akış oturumu ihlaline olanak verir | Canlı video/ses, cihaz kimlik bilgisi | Bulut rölesi / SDK |
| T16 | Kamera firmware'i, SBOM izleme sürecinde olmayan bir tedarikçinin ISP, Wi-Fi veya AI blobunu kullanır | Firmware bütünlüğü, güvenlik açığı yönetimi | Tedarikçi firmware'i |
İlk riskler nasıl sıralanmalı?
Kontrolleri seçmeden önce basit bir iç ölçüt kullanın. Bu örnekte olasılık maruziyete ve saldırgan fırsatına dayanır; etki gizlilik zararına, filo ölçeğine, kalıcılığa ve tehdidin bir güvenlik mekanizmasını tehlikeye atıp atmadığına dayanır. Tam etiketler, her kararın yanına yazılan gerekçeden daha az önemlidir.
Her kamera riskinin aynı kararı almaması için sürüm kapısı merdiveni kullanın:
| Kapı kararı | Bu kamera sürümü için anlamı |
|---|---|
| Sürümü engelle | Başarısız test geçene kadar kamera sevk edilmez: eşleştirme, akış kimlik doğrulaması, imzalı güncelleme doğrulaması, RMA silme veya tehdide bağlı olarak kurulum sonrası hizmet maruziyet taraması. |
| Belgesiz engelle | Sürüm yalnızca telafi edici bir kontrol, varyanta özgü bir sınırlama veya kurulumcu modu gerekçesi yazılı, gözden geçirilmiş ve kamera sürüm dosyasına sabitlenmiş olduğunda ilerleyebilir. |
| İzleme ile sevk et | Kamera sevk edilir; ancak sürüm dosyası aktif izleme sinyalini (tedarikçi CVE akışı, P2P SDK danışmaları, kötüye kullanım telemetrisi) ve destek süresi boyunca ona sahip olan mühendisi adlandırır. |
| Yönlendirmeye taşı | Maruziyet; ev ağına, sahip telefonuna veya kamera üreticisinin teklifi dışındaki üçüncü taraf kaydediciye bağlıysa dosya, müşteri tarafını kontrol etmeye çalışmak yerine kurulumcu veya kullanıcı yönlendirmesi tutar. |
| Kabul et | Bazı kamera yüzeyleri (belgelenmiş keşif yanıtları, LAN meta verisi) doğal artık risk taşır; bu yüzden dosya, minimizasyon kanıtını ve kalanı kabul etme gerekçesini kaydeder. |
| ID | Olasılık | Etki | Kapı kararı | Neden |
|---|---|---|---|---|
| T1 | Orta | Yüksek | Sürümü engelle | İlk kullanım ele geçirmesi gerçekçidir ve sahipliği zedeler |
| T2 | Yüksek | Orta | Sürümü engelle | Ev LAN'ları güvenilmeyen eşler ve tekrar kullanılan parolalar içerir |
| T3 | Orta | Yüksek | Sürümü engelle | Hesap tokeni hırsızlığı, kameraya dokunmadan uzaktan izleme verir |
| T4 | Düşük | Yüksek | Belgesiz engelle | Nadir yol; ancak doğrudan maruziyet ölçeklenebilir. Sevk edilen ürün belgelenmiş röle ve NAT geçişi kararı gerektirir |
| T5 | Orta | Yüksek | Sürümü engelle | Yerel akış maruziyeti doğrudan bir gizlilik başarısızlığıdır |
| T6 | Düşük | Yüksek | Sürümü engelle | Güncelleme ihlali kalıcıdır ve tüm filoyu kapsar |
| T7 | Orta | Orta | Belgesiz engelle | Fiziksel hata ayıklama hırsızlık, onarım veya yeniden satışta olasıdır; sürüm bir hata ayıklama kilidi veya servis gerekçesi gerektirir |
| T8 | Yüksek | Orta | Belgesiz engelle | Yerel kart çıkarma yaygındır; klipleri koruyun ya da çıkarılabilir medya sınırlamasını açıkça belgeleyin |
| T9 | Orta | Yüksek | Sürümü engelle | Eşleştirme kısa ömürlüdür ancak ev ağı kimlik bilgisini açığa çıkarır |
| T10 | Orta | Orta | Belgesiz engelle | Destek verisi sızıntılarını fark etmek zor olabilir; destek dışa aktarımı minimize edilmeli, redaksiyonlanmalı veya açıkça devre dışı bırakılmalıdır |
| T11 | Orta | Yüksek | İzleme ile sevk et | Destek süresi boyunca tedarikçi CVE'leri beklenir; sürüm bir sahip ve danışma izlemesi gerektirir |
| T12 | Orta | Yüksek | Sürümü engelle | İade ve yeniden satış yolları tüketici cihazları için öngörülebilir |
| T13 | Orta | Orta | Kabul et | Bazı LAN meta verisi belgelenmiş keşif protokollerine özgüdür; artık risk yalnızca maruziyet minimizasyonu ve desteklenen yerlerde isteğe bağlı keşif için kullanıcı yönlendirmesiyle kabul edilir |
| T14 | Orta | Yüksek | Sürümü engelle | Akış kimlik doğrulaması, belgelenmiş erişim modelinden daha zayıf olamaz |
| T15 | Düşük | Yüksek | İzleme ile sevk et | SDK veya röle zayıflıkları birçok cihazı etkileyebilir; sürüm sürüm sahipliği ve kötüye kullanım izlemesi gerektirir |
| T16 | Orta | Yüksek | Belgesiz engelle | Kapalı veya tedarikçi tarafından bakılan blobların; sürüm sahibi, danışma kanalı ve güncelleme yolu veya yazılı bir artık risk kararı olmalıdır |
Hangi tasarım kontrolleri risk tablosunu değiştirir?
Her kontrol satırını genel bir güvenli geliştirme kontrol listesine değil, belirli bir kamera testine bağlayın. Sürüm dosyası bir tehdit kimliğinden, sevk edilen kamera derlemesinde kontrolün çalıştığını kanıtlayan tam eşleştirme testine, akış kimlik doğrulama taramasına, imzalı güncelleme doğrulama günlüğüne, kurulum sonrası hizmet envanterine veya RMA silme kaydına işaret edebilmelidir.
| Tehditler | Tasarım kontrolü | Üreticinin saklaması gereken kanıt |
|---|---|---|
| T1, T2 | Cihaz başına kurulum sırrı, zorunlu sahip kaydı, paylaşılan varsayılan parola yok, kayıttan sonra kurulum arayüzü kapanır | Kurulum test günlüğü, kimlik bilgisi politikası, kimliksiz yönetim erişimi için negatif test |
| T3 | Kısa ömürlü uygulama tokenları, cihaz bağlı oturumlar, parola sıfırlamada sunucu tarafı iptal, oturum açma anomali izlemesi | Token ömrü politikası, iptal testleri, hesap kurtarma kötüye kullanım testleri |
| T4, T5 | UPnP'yi varsayılan olarak devre dışı bırak, kimlik doğrulamalı röle, kimlik doğrulamalı ONVIF/RTSP, kurulum sonrası hizmet envanteri | Ağ maruziyet taraması, akış kimlik doğrulama testleri, röle yapılandırma incelemesi |
| T6 | Güvenli önyükleme, imzalı OTA, monoton sürüm sayacı, kurtarma yuvası imza kontrolü, geri alma politikası | Önyükleme zinciri kanıtı, güncelleme doğrulama testleri, downgrade reddi testleri |
| T7 | Hata ayıklama için üretim sigortaları, mühürlü veya belgelenmiş hata ayıklama pedleri, okunabilir UART çıkışında sır yok | Donanım üretim kontrol listesi, hata ayıklama kilidi doğrulaması, sökme risk notu |
| T8 | Kamera varyantı destekliyorsa şifrelenmiş microSD kaydı (desteklenen modellerde Eufy, TP-Link Tapo); fabrika sıfırlamada güvenli silme; şifrelenmemiş kaydeden varyantlar için kılavuza ve uygulama içine basılmış açık kullanıcı uyarısı | Depolama tasarım notu, sıfırlama testi, kullanıcı talimatı ekran görüntüsü, uygulama içi uyarı yakalama |
| T9 | Kimlik doğrulamalı BLE eşleştirme, kısa eşleştirme penceresi, Wi-Fi sırrı asla açık olarak iletilmez, eşleştirme oran sınırları | Eşleştirme protokolü incelemesi, RF testi, başarısızlık modu testi |
| T10 | Destek paketi minimizasyonu, token redaksiyonu, yüklemeden önce kullanıcı onayı, saklama sınırı | Destek şeması, redaksiyon testleri, destek iş akışı kanıtı |
| T11 | SBOM izleme, satıcı danışma izleme, etkilenen bileşen triyajı, imzalı güncelleme sürüm süreci | SBOM diff günlüğü, tedarikçi danışma kaydı, triyaj kararları |
| T12 | RMA silme iş akışı, bulut bağ koparma, sıfırlamada kimlik bilgisi rotasyonu, yenilenmiş cihaz kontrol listesi | İade hattı kontrol listesi, sıfırlama kanıtı, bulut bağ koparma denetimi |
| T13, T14 | Kurulum sonrası hizmet envanteri, kimlik doğrulamalı akış URL'leri, keşif yanıt minimizasyonu, profil/sürüm test kanıtı | Maruziyet taramaları, ONVIF/RTSP kimlik doğrulama testleri, keşif yanıt denetimi |
| T15 | P2P SDK envanteri, oturum token kapsamı, cihaz UID entropisi, SDK danışma izlemesi, taklit ve kötüye kullanım vakası testleri | SDK sürüm kaydı, UID numaralandırma testi, cihaz taklit testi |
| T16 | ISP, Wi-Fi, kodlayıcı ve AI bileşenleri için tedarikçi firmware envanteri, bileşen sahibi ve güncelleme yolu | Tedarikçi parça listesi, danışma izleme kaydı, sürüm karar günlüğü |
Kontrollerden sonra hangi artık risk kalır?
Kontroller dosyayı kapatmaz. Kamera sevk edildikten sonra üretici, etkin yönetilen riskleri çalıştırmaya devam eder: firmware güncelleme kanalı, sahip hesabı ele geçirme yolları ve destek süresi boyunca Wi-Fi yığınında, medya kütüphanelerinde ve P2P SDK'lerinde ortaya çıkan tedarikçi CVE'lerinin uzun kuyruğu. Artık kayıt yalnızca üretici şu sinyallerin canlı izlemesine, yeni danışmaların triyaj kararlarına, kurulu kameralara fiilen ulaşan imzalı güncellemelere, gönderilen sahip bildirimlerine ve her birinin arkasındaki kayıtlı düzeltici eyleme işaret edebildiğinde inandırıcı olur.
| Artık alan | Neden kalır | İşletme kanıtı |
|---|---|---|
| Tehlikeye giren sahip uç noktası | Üretici kullanıcının telefonu, tarayıcısı, e-postası veya parola hijyenini tam kontrol edemez | MFA desteği, token iptali, şüpheli oturum açma uyarısı, kullanıcı yönlendirmesi |
| Sürüm sonrası keşfedilen tedarikçi açığı | Medya kütüphaneleri, Wi-Fi firmware'i, çekirdekler ve TLS kütüphaneleri CVE almaya devam edecek | SBOM izleme, tedarikçi danışma alımı, etki analizi, yama kaydı |
| Yerel fiziksel erişim | Bir evdeki kamera çalınabilir, satılabilir, onarılabilir veya misafirler erişebilir | Sıfırlama iş akışı, hata ayıklama kilidi kanıtı, depolama uyarısı, RMA silme kaydı |
| Ağ maruziyeti kayması | Firmware güncellemeleri, röle değişiklikleri veya özellik bayrakları hizmetleri yeniden açabilir | Sürüm bazında maruziyet taraması, hizmet envanteri, değişiklik onayı |
Sürüm kapısı, risk kaydının kendisidir. Aynı çalışmayı tekrar eden ayrı bir "güvenlik incelemesi yapıldı" kartı eklemeyin. Onayda sürüm sahibi, engellenmiş veya koşullu tehditlerden kapanış kanıtına işaret edebilmelidir: T1/T2/T5/T14 için eşleştirme ve akış testleri, T3 için token iptali, T6 için imzalı güncelleme testleri, T8 için depolama/sıfırlama kanıtı, T12 için RMA silme kanıtı ve T11/T16 için tedarikçi izlemesi.
Kavramdan desteğe kamera geliştirme sahipliği
Baş sahiplik, kamera ürün tanımından canlı desteğe geçtikçe değişir. Bu devri, ürün değişirken her aşamada bir baş sorumlu, bir tutulan kayıt ve bir inceleme kapısı atamak için kullanın.
Sahiplik ayrıntıları: Ürün ve güvenlik kavramda varyant sınır notuna sahiptir. Ürün güvenliği; firmware ve bulut ile birlikte mimaride güven sınırı haritasına, tehdit kaydına ve kapı merdivenine sahiptir. Firmware, bulut, uygulama ve tedarikçi sahipleri; uygulama sırasında imzalı güncelleme kurallarını, token ve oturum kontrollerini, bileşen manifestini, tedarikçi danışma akışlarını ve özellik bayrağı kararlarını sürdürür. QA ile ürün güvenliği; doğrulama sırasında maruziyet taramalarını, akış kimlik testlerini, video kustodi testlerini, sıfırlama veya RMA silme tatbikatlarını ve artık risk kararlarını sürdürür. Uyum ve sürüm sahibi; sürüm paketini, teknik dosya dizinini, talimatları, destek süresi beyanını, imzalı beyanı, ithalatçı paketini ve raporlama hazırlığını sürdürür. PSIRT, destek ve mühendislik; sürümden sonra alımı, tedarikçi danışma triyajını, kullanıcı bildirimlerini, imzalı düzeltmeleri, uç nokta emekliliğini, regresyon testlerini ve düzeltici eylem kayıtlarını sürdürür.
Devir ayrıntıları: mimari çalışmadan önce sınırı dondurun, uygulamadan önce tasarım niyetini dondurun, doğrulamadan önce adayı dondurun, sürümden önce kararı dondurun ve destek süresi boyunca sürümü işlevsel tutun. Gelen raporlar, tedarikçi danışmaları, olay sonuçları ve regresyon sonuçları; bir sonraki sınır notunu, tehdit kaydını ve bileşen manifestini yeniden açar.
İmalatçı kanıt haritası
Bir gözden geçiren veya onaylanmış kuruluş değerlendiricisi, kamera teknik dosyasını, bir kurulumcunun kutuyu incelediği gibi yürür: etiketli üründen, sağlanan dijital unsurlardan, alıcıya vaat edilen destek kanıtına kadar. Aşağıdaki satırlar, kamera üreticilerinin o yürüyüş için güncel tuttuğu kayıtları adlandırır; her satır, onaydan önce çekilmiş bir ekran görüntüsü değil, ürün klasöründe tutulan bir dosya olmalıdır.
| Kanıt alanı | Bir güvenlik kamerası için neyin kaydedileceği |
|---|---|
| Ürün kimliği | Model, firmware sürümleri, eşlik uygulaması, bulut hizmeti, donanım revizyonları |
| Kullanım amacı | Ürünün ev güvenliği, bebek izleme, kapı zili güvenliği veya profesyonel gözetim için satılıp satılmadığı |
| Risk değerlendirmesi | Kamera erişimi, video gizliliği, kimlik bilgisi kurulumu, yerel ağ maruziyeti, bulut API maruziyeti |
| SBOM ve donanım bileşeni kanıtı | Firmware paketleri, gömülü Linux/RTOS bileşenleri, görüntü işleme kütüphaneleri, Wi-Fi/Ethernet modülü firmware'i, SoC ve varsa güvenli öğe |
| Güvenli varsayılanlar | Paylaşılan varsayılan parola yok, güvenli ilk kullanım kurulumu, kimlik doğrulamalı yönetim erişimi, korumalı uzaktan erişim |
| Güncelleme mekanizması | İmzalı firmware güncellemeleri, geri alma stratejisi, destek süresi boyunca güncelleme kullanılabilirliği |
| Güvenlik açığı yönetimi | CVD politikası, raporlama iletişimi, triyaj iş akışı, güvenlik danışma süreci |
| Kullanıcı talimatları | Güvenli kurulum, hesap kurulumu, güncelleme ayarları, destek sonu açıklaması |
| İzlenebilirlik ve iletişim | Kamera model ve seri şeması, parti tanımlayıcı, ambalaj işaretleri, AB imalatçı veya ithalatçı iletişimi, alıcının satın alma öncesinde okuyabileceği yere basılmış destek süresi bitiş tarihi ve insan güvenlik ekibi tarafından yanıtlanan yayımlanmış güvenlik açığı raporlama adresi |
Uygunluk değerlendirmesi rotası
Uygunluk rotasını; kamera sınırı, risk değerlendirmesi, kontroller ve artık riskler netleştikten sonra seçin. Aksi takdirde rota kararı mühendislik kaydını geçebilir.
Önemli Sınıf I her durumda otomatik olarak bir Onaylanmış Kuruluş gerektirmez. Dahili kontrol rotası yalnızca, uygulanabilir gereksinimler için gerekli standartlar, ortak teknik özellikler veya şemalar tamamen uygulandığında kullanılabilir.
En az "önemli" güvence düzeyinde ilgili uyumlaştırılmış standartların, ortak teknik özelliklerin veya AB sertifikasyon şemalarının mevcut olduğunu ve uygulanabilir temel gereksinimleri karşıladığını doğrulayın. Yoksa, yalnızca kısmen uygulanıyorsa veya tüm ilgili gereksinimleri karşılamıyorsa, Modül B+C veya Modül H'yi kullanın.
Gerçek bir kamera sürümü için sürüm dosyasını üçüncü taraf inceleme gerekebilirmiş gibi hazırlayın, sonra uygulanabilir standartlar ve şemalar tam kamera ürünü için netleştiğinde rotayı netleştirin.
Seçilen rotayı; dayanılan referansları, karşıladıkları gereksinimleri ve üçüncü taraf rotayı zorunlu kılan boşlukları içeren sürüm onay kaydıyla birlikte saklayın.
İmalatçı sürüm onayı
Kamera AB pazarına sürülmeden önce onay; sınıflandırmayı, sınırı, tehdit modelini, kontrolleri, güncelleme yolunu ve piyasa sonrası süreci tek bir karara getirmelidir. Aşağıdaki tablo, bir gözden geçirenin gezinebileceği kısa bir sürüm dosyasıdır.
| Sürüm sorusu | Kameraya özgü kanıt |
|---|---|
| Bu ürün neden bir akıllı ev güvenlik kamerası olarak sınıflandırılıyor? | Kullanım amacı beyanı, satış kanalı, kurulum bağlamı, ürün varyantları ve sınıflandırma gerekçesi |
| Dijital unsurlar içeren ürün tam olarak nedir? | Kamera gövdesi, firmware, yerel arayüzler, mobil uygulama, ürünle birlikte sağlanan bulut işleme, güncelleme hizmeti ve hariç tutulan üçüncü taraf kurulum sistemleri |
| En yüksek riskli erişim yolları hangileri? | Yönetim UI, ONVIF/RTSP, yerel ağ keşfi, bulut API'leri, hesap kurtarma, uzaktan izleme, microSD erişimi, hata ayıklama portları ve servis kimlik bilgileri |
| Varsayılan olarak ne güvenli hâle getirildi? | Paylaşılan varsayılan parola yok, korumalı ilk kullanım kurulumu, kimlik doğrulamalı yönetim erişimi, açık hizmet incelemesi, şifreleme kararları ve güvenli uzaktan erişim |
| Kamera nasıl güvenli güncellenecek? | İmzalı firmware, anahtar saklama, geri alma davranışı, kısmi flash kurtarma, güncelleme kullanılabilirliği, kullanıcı bildirimi ve destek süresi boyunca ücretsiz güvenlik güncellemeleri |
| Güvenlik açıkları sevkiyattan sonra nasıl ele alınacak? | Genel iletişim, CVD politikası, triyaj iş akışı, SBOM izleme, tedarikçi danışma izleme, güvenlik danışma süreci, 24 saatlik erken uyarı hazırlığı, 72 saatlik bildirim hazırlığı ve nihai rapor kanıtı |
Ekonomik operatör devir kontrolleri
Sürüm dosyası, imalatçıdan ithalatçıya, dağıtıcıya ve özel marka satıcıya devri test edilebilir hâle getirmelidir. Kameralarda zayıf nokta genellikle yalnız CE işareti değildir; sevkiyatın, listelemenin, uygulamanın, bulut hizmetinin ve güncelleme kanalının değerlendirilen sürümle hâlâ uyumlu olup olmadığıdır.
Ekonomik operatör devir ayrıntıları: imalatçı veya özel marka üretici, tam kamera sürümü için imalatçı dosyasına sahiptir. İthalatçı, sevkiyatı AB pazarına sürmeden önce sınıflandırma gerekçesini, beyanı, CE işareti kontrolünü, teknik dosya dizinini, destek süresi beyanını, güvenlik açığı raporlama iletişimini, bileşen envanteri işlemesini, hedef dil talimatlarını ve ithalatçı kimliğini doğrular. Dağıtıcı, satıştan önce görünür özen sinyallerini kontrol eder: CE işareti, sağlanan belgeler, imalatçı ve ithalatçı izlenebilirliği, hedef dil talimatları, destek ve güncelleme beyanları, çevrimiçi listeleme tutarlılığı ve bilinen uygunsuzluk sinyalleri.
Durdurma koşulları: sürüm dosyası, izlenebilirlik, destek beyanı, uygulama veya bulut bağımlılığı, güncelleme kanalı veya bilinen güvenlik açığı; sürümün uygun olmadığını düşünmek için sebep verirse sevkiyatı veya listelemeyi duraklatın. Herhangi bir AB Yetkili Temsilcisi vekâletini ithalatçı veya dağıtıcı özeninden ayrı okuyun. İmalatçı rolü tetikleyicisi: kendi marka, firmware, uygulama, bulut, güncelleme kanalı, köprü, NVR paketi veya kullanım amacı değişiklikleri uygunluğu veya kullanım amacını etkileyebildiğinde yeni bir imalatçı rolü analizi yürütün. GDPR, RED siber güvenliği, biyometri, AI Act ve NIS2 sorularını CRA sınıflandırma cevabından ayrı tutun.
Aşağıdaki şekli bir rol kontrol listesi olarak kullanın. İlk devir diyagramı sevkiyat ve listeleme akışını gösterir; bu şekil ithalatçı, dağıtıcı, AB Yetkili Temsilcisi, özel marka satıcı ve bitişik mevzuat gözden geçireninin sahip olduğu kontrolleri ayırır.
Her rol paneli, operatörün çalıştırması gereken doğrulamaları ve sevkiyat, listeleme veya sürümü duraklatan durdurma koşulunu eşleştirir. İthalatçı ve dağıtıcı CRA akışının kendisinde yer alır. AB Yetkili Temsilcisi yalnızca imalatçı AB dışındayken uygulanır ve ithalatçı veya dağıtıcı özeninden ayrı okunur. Özel marka satıcı kontrolleri; bir değişiklik uygunluğu veya kullanım amacını etkileyebiliyorsa imalatçı rolü oluşturabilir; sınıflandırma, uygunluk beyanı, teknik belge, raporlama süreci ve destek süresi planı gayri resmî bir tedarikçi sözü olarak devralınamaz. Bitişik mevzuatlar (GDPR, RED siber güvenliği, AI Act, NIS2) CRA sınıflandırma cevabının dışında kalır ve kendi ayrı değerlendirmelerine ihtiyaç duyar.
Sıkça Sorulan Sorular
Akıllı güvenlik kameraları CRA kapsamında Sınıf I mi yoksa Kritik mi?
Akıllı ev güvenlik kameraları, temel işlevi akıllı ev fiziksel güvenliği olduğunda genellikle Önemli Sınıf I'dir. Bir kamera, video işlediği veya hassas bir ağda bulunduğu için Kritik olmaz.
Sınıflandırma kaydı: tam kamera varyantını, satış iddiasını, amaçlanan güvenlik işlevini, sağlanan dijital unsurları ve rota gerekçesini adlandıran bir not.
Bir akıllı ev güvenlik kamerası Onaylanmış Kuruluş gerektirir mi?
Her zaman değil. Pratik test, imalatçının uygulanabilir standartlara, ortak teknik özelliklere veya kameranın temel siber güvenlik gereksinimleri için niteleyici siber güvenlik sertifikasyon şeması kapsamına tam olarak güvenip güvenemediğidir. Bu kapsam eksik veya kısmiyse dahili kontrolü varsaymak yerine üçüncü taraf rotayı planlayın.
Uygunluk rotası kaydı: tam kamera ürünü için dayanılan referansları, karşıladıkları gereksinimleri, varsa boşlukları ve seçilen rotayı listeleyin.
Profesyonel bir CCTV kamerası veya NVR otomatik olarak aynı kategoride mi?
Hayır. Profesyonel gözetimi yalnızca "kamera" kelimesiyle sınıflandırmayın. CCTV kamera, VMS veya NVR de dijital unsurlar içeren bir ürün olabilir ve hâlâ CRA güvenlik çalışmasına ihtiyaç duyabilir; ancak rota kullanım amacına, sağlanan unsurlara ve müşterinin güvendiği işleve bağlıdır.
Sınır kaydı: kamerayı, kaydediciyi, VMS'yi, kurulumcu bulutunu, uzaktan erişim yolunu ve teklifle birlikte sağlanan herhangi bir ayrı ürünü kapsayan profesyonel gözetim varyant notu.
Kamera yüz tanıma, erişim kontrolü, güvenlik duvarı veya VPN özellikleri içeriyorsa ne olur?
Bunu bir sınıflandırma uyarı işareti olarak ele alın. Kamera esas olarak bir akıllı ev güvenlik kamerasıysa, bu özellikler kamera risk değerlendirmesinin parçası olabilir. Ürün esas olarak bir erişim kontrolü okuyucu, biyometrik kimlik doğrulama cihazı, VPN ağ geçidi, güvenlik duvarı, IDS/IPS veya listelenen başka bir siber güvenlik ürünüyse, önce o temel işlevi sınıflandırın ve ürünü kamera kategorisine zorlamayın. Bu önemlidir çünkü bazı kategoriler daha sıkı bir rota taşır; örneğin güvenlik duvarları ve IDS/IPS Sınıf II'dir.
Yeniden kontrol tetikleyicisi: kamera yalnızca video izleme değil kimlik, erişim, ağ filtreleme, VPN erişimi veya saldırı tespiti kontrol ediyorsa ayrı bir temel işlev kontrolü açın.
Bulut video depolama ürün sınırını değiştirir mi?
Bulut depolama otomatik olarak sınıfı değiştirmez. İmalatçı tarafından sağlanan bulut işleme imalatçı tarafından veya sorumluluğunda tasarlanmışsa ve kamera onsuz işlevlerinden birini yerine getiremiyorsa, o işlemeyi ürün sınırının, kanıtın ve risk değerlendirmesinin parçası olarak değerlendirin. Ürün sınıflandırması, listelenen başka bir işlev birincil olmadıkça yine kameranın temel işlevini takip eder.
Sınır kaydı: kamerayla birlikte hangi bulut hizmetlerinin sağlandığını, onlar olmadan hangi işlevlerin başarısız olduğunu, hangi verileri işlediğini ve hangi sistemlerin imalatçının teklifinin dışında olduğunu gösteren bir bulut bağımlılığı haritası.
ONVIF, RTSP veya yerel Web yönetimi kurulumdan sonra etkin kalmalı mı?
Yalnızca sürümün o yüzey için belgelenmiş bir erişim modeli varsa. Bir tüketici kamerası meşru kurulum, kurulumcu veya kaydedici kullanımı için yerel akış veya yönetim açabilir; ancak sürüm dosyası, kayıt sonrası yüzeyin erişilebilir kalıp kalmadığını, hangi kimlik doğrulamasıyla korunduğunu, taşıma şifrelemesi kullanılıp kullanılmadığını ve hangi kullanıcı ayarı veya varyant iddiasının onu meşrulaştırdığını göstermelidir.
Test eseri: kurulum sonrası ve güncelleme sonrası hizmet taramaları, ONVIF/RTSP kimlik doğrulama testleri, keşif yanıt incelemesi ve her yerel yüzey için sürüm kararı.
Risk değerlendirmesi ne zaman güncellenmelidir?
Yayımlanan kamera durumu güveni etkileyecek biçimde değiştiğinde her zaman güncelleyin: yeni bir ONVIF profili, uzaktan izleme modu, hesap kurtarma akışı, bulut rölesi, OTA kanalı, yonga seti, firmware tabanı, mobil uygulama kimlik doğrulama değişikliği, destek paketi alanı veya fabrika sıfırlama davranışı. Değişen özellik bir saldırı yolunu yeniden açıyorsa bir sürüm notu yeterli değildir.
Yeniden kontrol tetikleyicisi: erişimi, güncelleme yetkisini, saklanan videoyu, hesap bağını, destek verisini veya sıfırlama davranışını değiştiren herhangi bir özellik veya tedarikçi değişikliği, sınırı ve risk değerlendirmesini yeniden açar.