Toplanan veriler güvende mi?

Yüksek güvenlik içeren biyometrik sistemlerde bilgilerin korunması oldukça büyük önem taşıyor. Güvenlik sorunlarını sıfıra indirmek mümkün değil ancak çift katmanlı güvenlik teknolojileriyle risk en aza indirgenebilir.

Netaş Kamu Satış ve Ankara Bölge Direktörü Ahmet Şüküroğlu bu konuda çoklu güvenlik sistemlerinin güvenliği en üst düzeye çıkarttığını belirtti: “SGK biyometrik kimlik doğrulama sistemi için geliştirilen ve dünya standartlarında çift katmanlı güvenlik teknolojisini barındıran yapı, kullanıcıların kimlik bilgilerinin harici bir kaynak tarafından ele geçirilme riskini oldukça azaltıyor. Biyometrik kimlik doğrulama sistemi bileşenlerinden, istemci ünitesinden merkezi sunucu ünitelerine kadar çoklu güvenlik mekanizmaları ile koruma sağlanıyor. Sistem kapsamında vatandaşların biyometrik bilgileri SGK merkezinde bulunan sunucularda kriptolu olarak saklanıyor. Bunların başında biyometrik verinin bir özetinin çıkarılması ve şifrelenmesi geliyor. Ayrıca, gerek biyometrik okuyucuların olduğu terminaller, gerekse sunucular arasında günümüzde birçok gelişmiş ülkede kullanılan ve karşılıklı kimlik doğrulama olarak ifade edebileceğimiz bir mekanizma da kullanılıyor.”
Veriler sadece sensörler tarafından okunup, kullanılabiliyor
Şüküroğlu, sözlerine şöyle devam etti: “Ayrıca oluşturulan damar izi kayıtları sensörler tarafından da şifreleniyor. Bu veriler ancak sensör tarafından okunup kullanılabiliyor. Cihaz üzerinde yapılan doğrulamalar merkezi sunucularda yapılan doğrulamalara göre hem daha güvenli hem daha hızlı oluyor. Merkezi doğrulama işlemlerinde her sensör için belirli oranda kapasite ayırmak gerekirken, bu sistemlerdeki sensörlerin üzerinde kendi işlemcileri bulunduğundan, sensör sayısı arttıkça sistemin gücü de artıyor.”
SmartSoft Ürün Müdürü Merih Keskin, “Toplanan veriler şu anda kişilerin rızası ile veri merkezlerinde şifrenlenmiş bir şekilde tutulmaktadır. Bu veri merkezlerinin giriş ve çıkışları yine avuç içi damar izi biyometrik geçiş kontrol sistemleri ile denetlenmektedir. Her giriş-çıkış sisteme kaydedilmektedir. İlerleyen günlerde şifrelenmiş avuç içi damar izi verisi karta yazıldığında, kartın sorumluluğu dolayısıyla biyometrik verinin sorumluluğu da kart sahibinde olacaktır” dedi.
Birçok sensör ve çözümlerde güvenlik açıkları bulunuyor
“Biyometrik sensörler yüksek güvenlik gereken ortamlarda kullanılmaktadırlar. Sınır güvenliği, kritik altyapı, kimlik yönetimi ve bankacılık projeleri en başlıcalarıdır” diyen Ölçsan Genel Müdürü Burak Sondal, şunları ekledi: “Sensörler, terminaller ve çözümler güvenlik ataklarına karşı koyabilmelidirler. Yaygın olarak kullanılan güvenlik inceleme ve sertifikasyon standartları bulunmuyor. Sınırlı sayıda sertifikasyon laboratuvarı, ürün ve sistem incelemesi yapabilmektedir. Biyometrik sensörlerde en yaygın güvenlik standardı FIPS201ve NIST tarafından verilen FBI IQS olup tüm sensör üreticileri bu sertifikasyonlardan geçerek güvenilirlik kriterlerini belgelemektedirler.”
Sondal, güvenlik açıklarına dikkat çekti: “Artan güvenlik tehditlerine karşı sertifikası olmayan ve güvenlik politikaları barındırmayan sensörler tehditlere açık. Piyasadaki birçok sensör ise ataklara karşı hiçbir güvenlik içermemektedir. Bu ataklara karşı sürekli olarak sensör güvenliğini ve ataklara karşı dayanıklılığını artırmak gerekmektedir. İstenen güvenlik seviyelerini sağlayabilmek için sertifikasyon organizasyonları ve uluslararası kuruluş/derneklerle birlikte çalışarak biyometrik koruma profillerini oluşturmak, inceleme kriterlerini belirlemek ve sertifikasyon kurumlarını desteklemek gerekmektedir.
Proline e-ID ve Biyometrik Çözümler Departman Yöneticisi Serdal Karakaş, biyometrik sistemlerde güvenlikle ilgili şunları söyledi: “Her sistemde olduğu gibi biyometrik sistemlerde de verilerin güvenliği sistem yöneticilerinin sorumluluğundadır. Bunun için tıpkı menkullerin kasa altında saklanması gibi, devletlerin ya da kurumların da güvenli ortamlarda bu bilgiyi saklaması, bilgiye erişimin birtakım standartlar çerçevesinde olması ve rol bazlı erişimlerin belirlenmesi gereklidir. Zira önem teşkil eden biyometrik bilgiye nerede, ne zaman, nasıl ve kim tarafından erişileceğini o bilgiyi kullandırmakla sorumlu taraflar belirler. Parmak damar izi doğrulamasının yapılabilmesini sağlayan BioPOS cihazı bu alandaki en modern teknolojiler arasındadır. Dünya standartlarında çift katmanlı güvenlik teknolojisini barındıran cihaz, vatandaşların kimlik bilgilerinin harici bir kaynak tarafından ele geçirilme riskini düşük seviyeye indirmektedir.”

Güvenlik prosedürü zorunlu hale getirilmeli

“Toplanan verilerin korunması daha çok biyometrik teknolojiyi sunan ve teknolojiyi kullanan kurumların inisiyatifinde. Genellikle tüm veriler yedeklenerek veritabanlarında saklanıyor” diyen Sestek Genel Müdürü Serdar Karadayı, şunları söyledi: “Bu verileri özel formatlara dönüştürerek saklamak mümkün. Örneğin alınan veriler şifreli bir biçimde model dosyalara aktarılabiliyor. Bu da dosyaların güvenli bir biçimde depolanmasına katkıda bulunuyor. Önümüzdeki dönemde biyometrik teknolojilerin yaygınlaşmasıyla birlikte, toplanan verilerin korunması ve saklanmasına yönelik yaptırımlar netlik kazanacaktır. Belirlenen güvenlik prosedürü verilerin korunmasını kurumların inisiyatifine bırakmak yerine her kurum için uyulması zorunlu kurallar getirecektir.”