Avuç İçinde Güvenlik Endişesi
BioPOS Yöneticisi Karakaş: "Hiçbir sistemin yüzde yüz güvenli olduğunu iddia edemeyiz. Bu nedenle her sistemin bir güvenlik açığı vardır ancak bunu doğru yöntemlerle koruma altına almak sistem ...
CÜNEYT ATEŞ - Özel hastanelerde kullanılmaya başlanılan "Biyometrik Kimlik Doğrulama Sistemi" beraberinde güvenlik endişelerini de getiriyor.
Biyometrik çözümler konusunda uzman yönetici Serdal Karakaş, AA muhabirine konuyla ilgili yaptığı açıklamada, en güvenli biyometrik doğrulama sisteminin, benzersiz olan DNA olduğunu ancak hem uygulama hem de maliyet güçlüğü dolayısıyla tercih edilemediğini söyledi.
DNA'dan sonra en güvenli sistemin retina taraması olduğuna vurgu yapan Karakaş, bu yöntemle retina arkasında bulunan kılcal damarların yapısının taranarak bir harita çıkarıldığını ve belirli bir algoritmadan geçirilen bu haritanın kişinin biyometrik retina bilgisi haline getirildiğini anlattı. Karakaş, "Tek yumurta ikizlerini de ayırt edebilecek bir biyometrik veri olan retinanın doğruluğu kuşkusuz oldukça yüksektir" diye konuştu.
Damar izi teknolojisinin ise Uzakdoğu'da hayat bulan ve şu an hali hazırda birçok ülkede kullanılan, el veya parmak üzerindeki damarların birbirine olan üç boyutlu mesafesi ve uzunluğu-kısalığını bir algoritma ile matematiksel olarak kaydeden doğrulama yöntemi olduğunu ifade eden Karakaş, "Elde veya parmakta bulunan damarlar kişiye özgü olduğundan geçerliliği olan bir yöntemdir. Retina yönteminin aksine elden örnek resim alınması daha kolay olduğundan ve retinaya göre maliyeti daha uygun olduğundan damar izi yönteminin kullanımı her geçen gün artmakta" görüşünü dile getirdi.
Karakaş, sistemin güvenliği ile ilgili olarak da şu bilgileri paylaştı:
"Hiçbir sistemin yüzde yüz güvenli olduğunu iddia edemeyiz. Zira sistemlerin doğasına aykırı olan bu durum, insanoğlunun sürekli bir gelişim içerisinde olmasına da engel teşkil eder. Bu nedenle her sistemin bir güvenlik açığı vardır ancak bunu doğru yöntemlerle koruma altına almak sistem yöneticilerinin sorumluluğundadır. Bunun için tıpkı menkullerin kasa altında saklanması gibi, devletlerin ya da kurumların da güvenli ortamlarda bu bilgiyi saklaması, bilgiye erişimin bir takım standartlar çerçevesinde olması ve rol bazlı erişimlerin belirlenmesi gereklidir. Zira önem teşkil eden biyometrik bilgiye; nerede, ne zaman, nasıl ve kim tarafından erişileceğini o bilgiyi kullandırmakla sorumlu taraflar belirler.
İşte bu noktada SGK Biyometrik Kimlik Doğrulama Sistemi için geliştirilen ve dünya standartlarında çift katmanlı güvenlik teknolojisini barındıran yapı, vatandaşların kimlik bilgilerinin harici bir kaynak tarafından ele geçirilme riskini düşük seviyeye indiriyor. Biyometrik Kimlik Doğrulama Sistemi bileşenlerinden istemci ünitesinden merkezi sunucu ünitelerine kadar çoklu güvenlik mekanizmaları ile koruma sağlanıyor.
Sistem kapsamında vatandaşların biyometrik bilgileri SGK merkezinde bulunan sunucularda kriptolu olarak saklanıyor. Bunların başında biyometrik verinin bir özetinin çıkarılması ve AES256 ile şifrelenmesi gelmekte. Veri merkez sunucularına taşınırken 128 bit SSL ile şifrelenmekte. Ayrıca, gerek biyometrik okuyucuların olduğu terminaller, gerekse sunucular arasında günümüzde birçok gelişmiş ülkede kullanılan ve karşılıklı kimlik doğrulama olarak ifade edebileceğimiz "Mutual Authentication" mekanizması kullanılmakta.
1 Eylül 2013 tarihinde tüm özel hastanelerde yürürlüğe giren Sosyal Güvenlik Kurumu Biyometrik Kimlik Doğrulama Projesi için gereken cihaz entegrasyonları ve testler 1 Aralık itibariyle pek çok hastanede tamamlanmış olup, sistem aktif olarak da kullanılmaktadır."
-Güvenlik tartışmaları-
AA muhabirinin internetten derlediği bilgilere göre, siber korsanlar; kişinin retina, parmak ya da damar izi bilgilerinin dijitalleştirilmiş ve bir anlamda kodlanmış bilgilerine çeşitli yöntemlerle ulaşabiliyor.
Ancak bundan sonrası bilim kurgu filmleri aratmayan detaylar içeriyor. İlgili haberlere göre korsanlar, ellerindeki yasa dışı yoldan edinilmiş verileri bir anlamda yasal hale getirmek için estetik ameliyattan lateks el ya da parmak üretimine kadar birçok yol deneyebilir. Ancak bundan daha tehlikeli olanı; oturdukları yerden herhangi bir kişinin biyometrik kimlik bilgilerini değiştirebilme ya da biyokimlik bilgileri ile açılabilecek dosyalara ulaşabilme ihtimalleri.
Siber saldırganın, kişisel veriyi kullanabilmesi için önce şifresini çözmesi ardından değişiklik yaparak yeniden şifrelemesi gerekiyor. Bazı biyometrik şirketleri de kişiden alınan ilk örnekleri klonlayarak sonrasında karşılaştırmak için başka bir sunucuya daha kopyalıyor. Böylece çalınmış bir biyometrik veri ile giriş yapılmak istenirse sistem karşılaştırma yaparak buna izin vermiyor.
Öte yandan ABD'de çeşitli okullarda öğrencilerin yanlarında para taşımasına gerek kalmadan okul kantininden parmak izi ile alışveriş yapabilmesi için hazırlanan sisteme yönelik açılan dava sonucu bazı okullarda uygulamaya son verildi. - Ankara