Biyometri, Veri Güvenliği Sorunlarına Çözüm Sunabilecek mi?

Bir kişinin kimliğinin resmi belgelerde kanıtlanması tarihte ilk olarak İngiltere Kralı Beşinci Henry‘nin (aşağıda) hüküm sürdüğü 600 yıl öncesine uzanıyor. Bu tarihin öncesinde, bir kişinin kimliği tamamen ismi ve yerel tanınırlığından ibaretti. 15’inci yüzyılın başında yürürlüğe giren The Safe Conducts Act (Güvenli Uygulamalar Yasası), İngilizlerin yurt dışında Kral’ın bir vatandaşı olduklarını göstermelerinin ilk resmi yoluydu. Böylece, bilinen ilk pasaport da kullanılmaya başlanıyordu.

Ne kadar ilginçtir ki, o tarihten bu yana birçok ülkede çok az şey değişti… Ehliyetiniz bir ev satın almaktan uçağa binmeden önce girilen güvenlik kontrolüne kadar kimliğinizi temsil eden ana belgelerinden birini oluşturuyor. Telefon veya internet üzerinden işlemler yürütmek için kamuya açık olan isim, adres ve hangi liseye gittiğiniz gibi bilgiler kullanılıyor. Örneğin ABD’de güvende olmak istiyorsanız, size doğumda verilen sosyal güvenlik numarasını kullanıyorsunuz. Dokuz haneli sayıyı değiştirmek neredeyse imkânsız, diğer taraftan bugüne dek çalıntı kimlikler veya başka sebeplerden dolayı ifşa edilmiş bir bilgi olması da muhtemel. Eğer bir başka güvenlik basamağı eklemek istiyorsak, şifre kullanıyoruz. Ancak bugüne kadar yapılan sayısız araştırma birçok hesap için aynı şifrenin kullanıldığını gösteriyor. Uzmanlara güçlü güvenlik adımları arasında yer alan iki adımlı doğrulama (2FA) kullanımı da henüz istenen seviyede değil…

Yine de 600 yılın ardından güvenlik adına daha iyisini yapmalıyız…

Kimlik doğrulama ve güvenlik genellikle birbirinden farklı konseptler olarak görülmesine karşın esasen birbirleri ile güçlü bağlantıları var. Birçok tüketici ve şirket için bu çizgiler kimliğin güvenlikte daha güçlü bir yer edinebilmesi için birbirine karıştı. Bu yüzden, şirketler ve devletler tarafından benimsenecek yeni kimlik doğrulama sistemleri için mevcut bilgi ve teknolojilere ait birçok katmanın dengelenmesi gerekiyor. Bu sayede bireyler; potansiyel bir işveren, kredi sağlayıcı, eğitim kurumu vb. gibi yerlerde kimliklerini daha kolay doğrulayabilir.

Mevcut tüketici teknolojileri kimlik doğrulayıcı olarak kişinin bulunduğu yer (IP adresi/jeo-konum/mobil cihaz veya numara/uygulama veya sosyal ağ) ya da kişinin kendisi (biyometrik/genetik/davranış bilgileri) gibi dinamik veriler üretiyor. Bu yaklaşımlar, kimlik tanımlamanın gelecekte alacağı şekli bizlere gösteriyor olabilir. Aynı zamanda, yeni kimlik doğrulama yöntemlerinin bir kısmının eski sistemlere entegre olduğunu (teknolojik, iş ve sosyal sistemler) görebiliriz. Bu entegrasyon, gizlilikte artan erozyonlara da neden oluşturabiliyor.

Ekrana dokunarak veya genellikle arka kısımda konumlandırılan fiziksel tuş ya da bölüme basarak parmak izi okuma-ses-görüntü yakalama özelliğine sahip akıllı telefonların yaygınlaşması ile parmak izi, retina taraması ve yüz tanıması teknolojileri cebimize girmeye başladı. Biyometrinin kimlik tanımlamada geniş çaplı kullanımı güvenliği artıracak olsa da kendine has riskleri de beraberinde getiriyor. 

Endişeler…

Fiziksel biyometri konusunda beliren bir endişe, bu teknolojinin birçok finansal işlem türünde ve platformunda kullanılıp kullanılamayacağı… Örnek olması açısından ABD özelinde inceleyecek olursak dokuz haneli SSN kolay ve düşük seviyeli bir teknoloji. Eksi teknoloji kullanarak sosyal güvenlik numarasını (SSN) sabit hata girebilir veya doğrulanması için Hindistan’daki bir çağrı merkezi çalışanına iletebilirsiniz.  Retina taraması veya parmak izi ile kimliğinizi daha güvenli tanımlayabilirsiniz, ancak geleneksel sabit hat telefonlarda, eski bilgisayarlarda ve kullanıcının fiziksel olarak mevcut olmadığı durumlarda bu bir işinize yaramayacaklardır.

Tüketicinin mevcut olduğu ve olmadığı durumlarda fiziksel biyometrilerin daha fazla kullanıldığına tanık olduğumuz bu günlerde, gizlilik endişeleri de yükselebilir… Biyometrik veri, akıllı telefon veya ilgili herhangi bir cihazın içinde kalacak olsa da yüklenen mobil uygulamalar; kullanım şartları ve gizlilik politikası kapsamında bu verilere kolayca ulaşabilir.

Şirketler bilmedikleri karakteristikleri anlayabilmek için müşteri verilerini analiz ederken, muhtemel davranışları öngörmeye çalışıyor. Örneğin kredi puanınıza, mesleğinize, yaş grubuna veya posta kodunuza göre pazarlamacılar sizin spesifik pazarlama demografiklerine uyduğunuzu saptayabilir. Yüz tarama algoritmalarının insanların cinsel tercihlerini yüksek doğrulukta saptayabildiği bugüne kadar yapılan araştırmalarla kanıtlandı (aynı zamanda ciddi etik ve gizlilik sorularını da beraberinde getirdi). Dahası, yüz tanıma algoritmaları aracılığıyla ırk, cinsiyet, yaş ve hatta ekonomik gelir ile sağlık durumunun bile tahmin edilebildiği anlaşıldı.
Devlet kurumları, şirketler, vb. topladıkları verileri bireyleri sınıflandırmak ve kategorize etmek için kullanabildiği, bu şekilde hedef pazarlamadan iş taramalarında ayrımcılığa kadar kullanabildiği görüldü.

Fütüristik detaylardan devam edersek davranış biyometriği, insanların olağan faaliyetlerindeki fark edilebilir desenler üzerine odaklanmak için belirirken, bireyler için ana tanımlayıcıların belirlenmesi için de kullanılıyor. Örneğin, bir kullanıcının klavye kullanımı veya fare hareketlerinde benzersiz desenler tespit edilebilir. İmza analiz teknolojisi kullanarak yazı basıncını veya “bakış odaklı davranışı” takip ederek gözlerinizinin cihazın ekranında nasıl ilerlediği takip edilebilir. Jeo-konum bilgisi bile bireyin sadece kendisine özgü takvimini ortaya koyarak davranışsal biyometrik veri olarak dengelenebilir.

Davranışsal biyometrikler davranışlarımızı takip edebildikleri süre uzadıkça ve hareketlere ait desenleri bulabildikçe daha güvenilir hale geliyor. Düzenli veri toplanmasına dayanan büyük veri analizleri gibi davranış biyometrileri de kolayca kimlik doğrulamanın sınırları dışında çıkabilir. Örneğin, kullanıcıların yazı yazma veya mesaj gönderme desenlerine ait verileri kullanan davranışsal biyometri çözümleri kullanıcı davranışlarında her Perşembe, Cuma veya Cumartesi gecesi değişimleri tespit edebilir. Aynı kullanıcının yerel bir kafedeki harcama alışkanlıklarını bilen üçüncü parti bir finansal uygulamadan satın alınan verilerle çapraz eşleştirme yapıldığı zaman, davranışsal biyometrinin kahve, çay, vb. endüstrisindeki değerini görebilirsiniz. Belki de öngörülen pazarlama sık kahve tüketen birinin pazarlama puanlarını istenen bir ekonomik demografi analizinde kullanıyor veya tercih edilen kahve markası için değerlendiriyor. Öte yandan, hayat sigortası veya sağlık sigortası şirketiniz çok farklı nedenlerden dolayı aynı bilgilere ilgi duyabilir.

“Bu yaklaşımın karanlık tarafı, sigorta şirketlerinden boşanma avukatlarına kadar her tarafın bu bilgileri kötüye kullanabileceğidir.”

Jeo-konum tabanlı biyometri desenleri spor salonunda ne kadar ve ne sıklıkta zaman geçirdiğinizi gösterebilir. Aynı zamanda ofiste ne kadar zaman harcadığınızı veya doktora ne zaman gittiğinizi, çocuklarınızı saat kaçta aldığınızı ortaya koyabilir. Davranışsal biyometriler, olağan desenlerde bir bozulma tespit ettiği zaman bayrak kaldıran pasif bir uyarıcı haline gelir. Benzer bir durum kredi kartı dolandırıcılığı tespit eden uzman sistemler için de geçerli. Bu sistemler kimlik hırsızlarını tespit etmek için güçlü bir araç olabilir. Bu yaklaşımın karanlık tarafı, sigorta şirketlerinden boşanma avukatlarına kadar her tarafın bu bilgileri kötüye kullanabileceğidir.

Bu husus, sorunun da düğüm noktasını temsil ediyor. Eğer toplum olarak daha iyi bir kimlik tanımlamasının gerçekleşmesini ve devletten özel sektöre kadar doğrulama kapasitesinin artmasını istiyorsak, hükümetler ve sanayiler daha fazla tüketici odaklı teknoloji kullanmak zorunda kalacağı gibi tüketicilere yönelik güven hissiyatını da artırmalıdır.

Pazarlamacıların bakış açısından, elde edilmek istenen bilgiler fazlasıyla değerli. Şirket ve hükümetler ile hizmet ettikleri kamuoyunu temin etmenin tek yolu, kimlik tanımlama ve güvenlikte bir adım öteye giderek bu tür tanımlama verilerinin ve onlardan elde edilen bilgilerin yasal tabanda kısıtlanmasını sağlamak olabilir.

Equifax veri ihlali, ABD’nin kişisel kimlik doğrulama sisteminde bir dönüm noktasıydı. 114 milyon ABD’li sosyal güvenlik numarasının etrafa saçıldığı küresel arenada, kimlik doğrulama rejimine ‘ek güvenlik’ entegre etmenin vakti geldi. Uzmanlara göre bunu yaparken, beklenmedik sonuçlar ve biyometri gibi yeni teknolojilerin istenmeyen kullanımları da göz önüne alınmalı.