Erciyes Anadolu Holding Bilgi Teknolojileri Operasyon Direktörü
Mert Çakar
Erciyes Anadolu Holding Bilgi Teknolojileri Operasyon Direktörü Mert Çakar, Fintechtime Mayıs sayısı için yazdı ‘Çağımızın Önemli Gereksinimi “Uygulanabilir Teknoloji ve Yalın Kimlik Doğrulama Sanatı'”.
“Neredeyse tüm yazılarımda dile getirmeye çalıştığım ve hype kavramlar yerine, “uygulanabilirlik bakış açısıyla tasarlanan servislerin insanlara katma değerli hizmet sunumunda ne kadar kritik olduğuna binlerce kez şahitlik etmiş biri olarak” bu düsturun benim için yeri her şeyin önünde geliyor. İşte bu noktada, yardımımıza yine uygulanabilir teknoloji ekseninde yalınlaştırılmış güvenlik yaklaşımlarının koştuğunu söyleyebilirim.
Aslında derginin değerli okuyucularının takip ettiği üzere genellikle bir problemden bahsederken kendi penceremden mutlaka uygulanabilirliği yüksek olasılıklı bir çözüm sunmaya çalışıyorum. Bu hususta da her zaman olduğu gibi günümüz teknolojilerinden bahsederek çözüme yaklaşmaya çalışacağım.”
Günümüzdeki artan teknoloji kullanımı ile beraber birçok farklı uygulama ortaya çıkmış olup, bunların güvenli şekilde kullanımı ise ayrı bir uzmanlık alanı olmaya başlamıştır. Hele bir de kişisel verilerinizin güvenliğine değer veriyorsanız (ki verinin en değerli unsur olduğu göz önüne alındığında önem verilmemesini maalesef anlayamasam da çok fazla şahit oluyorum) yönetmeniz gereken parola sayısı için ayrı destanlar yazabiliriz. Teknolojiye yatkın ve aldığınız hizmetin kalitesine önem vermekteyseniz mutlaka birkaç rakip uygulamayı aynı anda kullanmanızla birlikte, bu artık yönetilememeye başlayan büyük bir problem oluveriyor.
Neredeyse tüm yazılarımda dile getirmeye çalıştığım ve hype kavramlar yerine, uygulanabilirlik bakış açısıyla tasarlanan servislerin insanlara katma değerli hizmet sunumunda ne kadar kritik olduğuna binlerce kez şahitlik etmiş biri olarak bu düsturun benim için yeri her şeyin önünde gelmektedir. İşte bu noktada, yardımımıza yine uygulanabilir teknoloji ekseninde yalınlaştırılmış güvenlik yaklaşımlarının koştuğunu söyleyebilirim.
Aslında derginin değerli okuyucularının takip ettiği üzere genellikle bir problemden bahsederken kendi penceremden mutlaka uygulanabilirliği yüksek olasılıklı bir çözüm sunmaya çalışıyorum. Bu hususta da her zaman olduğu gibi günümüz teknolojilerinden bahsederek çözüme yaklaşmaya çalışacağım.
Çözüm anlatımlarına geçmeden; geçmiş yazılarımda derinlemesine birkaç kere ele aldığım için detaya girmeyeceğim ama çok kısa ifade etmek gerekirse çağımız teknolojik altyapıları ve veri yönetişimi düşünüldüğünde, “Dijital Kimlik” kavramının çok önemli olduğuna inanan biri olarak ülkemizde Tübitak Bilgem UEKAE Blokzincir Araştırma Laboratuvarı tarafından bu sürece uzun zamandır mesai harcandığını ve blokzincir tabanlı dijital kimliklerimize kavuşacağımız zamanın çok uzak olmadığını ifade etmeliyim.
Biyometrik Veri ve Kimlik Doğrulama
Mobilitenin korkutucu şekilde ivmelenmesi beraberinde servis sunumlarında da her yerden her şeye erişimi norm haline getirmektedir. Bu erişim süreçlerinin ise oldukça yalın, parola hatırlama zorbalığından uzak ve güvenlikten ödün vermeyecek şekilde kurgulanması oldukça önemlidir. Tabi yazıldığı kadar kolay olmadığı ve bunun servis sunumu ile güvenli erişim bilgeliğinde önemli bir olgunluk düzeyi gerektirdiğini ifade etmeliyim. Biyometrik veri uygulamalarını etrafımızda geçmiş dönemde de görmekle birlikte, aslında başarılı örneklerini yeni yeni deneyimleyebildiğimizi ifade etmeliyim. Tabi bu noktada regülasyonların da ne ölçüde izin verdiğinin araştırılması dikkatlerden kaçırılmayacak önemli bir etken, zira geçmişte aksi uygulamaları düşündüğümde başarısızlıkla sonlanan girişimlere çok fazla kaynak tüketildiğine çokça şahit olduk.
Biyometrik veriler ile gerçekleştirilen kimlik doğrulamanın, kişinin kendisine özgü, benzeşmeyen (unique) ve kopyalanamayan ölçütler ile yapıldığı için oldukça güçlü bir doğrulama yöntemi olduğu kabul edilmektedir. Tabi kişinin kopyalanamayan bu verilerine ulaşmanın tek yolu fiziksel ele geçirme şeklinde yapılabileceği için, iyi tasarlanması ve yine güvenliğin temel yaklaşımlarından biri olan farklı dikey kontrol noktaları barındırma (örneğin canlılık kontrol ölçütleri) ekseninde kimlik doğrulama yapısının kurgulanması son derece önemlidir. Bu noktada kişinin fiziksel güvenliği de düşünülerek oluşturulan mevzuata dikkat etmek son derece elzemdir.
Biyometrik veriyi sadece fiziksel ölçümler olarak düşünmek sınırlı bir yaklaşım olacaktır. Zira son dönemlerde önemli bir mesafe kat edilen davranışsal güvenliğin en temel girdisi olan davranışsal veri ölçütleri önümüzdeki dönemde en çok kullanılacak veri doğrulama karakteristiklerinden olacağını düşündüğümü ifade etmeliyim.
Son olarak fiziksel kimlik ölçütleri her geçen gün çeşitlenmekle birlikte, yeni yöntemlerin kabul görmesi ve uygulanabilirlik endekslerinin oluşması biraz zaman alacaktır. Ve fakat halihazırda kabul görmüş ve kullanımı olan yöntemler arasında ise, Parmak İzi – Yüz Tanıma – İris Tanıma – Damar Tanıma – Konuşma Tanıma vb. başlıca olarak sayılabilir.
Giyilebilir Teknoloji Ürünleri ve Kimlik Doğrulama Yaklaşımları
Mobilitenin artmasına bağlı olarak hız kazanan hayatlarımızda, seyyar yaşam kültürünün önemli yaklaşımı doğrultusunda, yanımızda mümkün olduğunca az eşya taşıma ve kimlik doğrulama gerektiren işlemlerimizi basit ve hızlıca yapma güdüsünde oluyoruz. Hal böyle olunca kimlik doğrulama süreçlerinin de basit ve hızlı şekilde yapılabilmesi eğiliminin, yürütülen risk analizi çalışmaları doğrultusunda güvenlikten mümkün olduğunca ödün vermeden belki eşik değerler belirtilerek ve/veya risk kabulleri yapılarak son zamanlarda oldukça artmakta olduğunu gözlenmektedir. Kullanıcıların bu hususa yaklaşımını olgunlaştıramayan uygulamaları ve servisleri terk etmeye başladığı tespit edilmektedir.
Özellikle son dönemlerde başta genç nüfusun tercih etmesi ve akabinde sunduğu kolaylıklar nedeniyle toplumlarda yüksek kabul görme eğilimi sergileyen,
- Akıllı Saatler
- Akıllı Bileklikler
- Akıllı Gözlükler
- Akıllı Yüzükler
şeklinde sayabileceğimiz giyilebilir teknolojilerden “Akıllı Saatler ve Bilekliklerin” artık tümüyle kabul gördüğü ve uygulanabilir olduğu “Akıllı Gözlük ve Yüzüklerin” ise bir anlamda tutundurma çalışmalarının teknik ispatların sunumu (Proof of Concept) üzerinden gidildiği takip edilmektedir.
Tabi belirtmeden geçmemek adına, saymış olduğumuz akıllı cihazlardaki sensörler vasıtasıyla cihazın başkaları tarafından çalınması, ele geçirilmesi vb. durumlar düşünülerek kişiye özgü ölçümlerin geçmiş datası ile ara ara yapılan karşılaştırma fonksiyonlarının doğrulanması esası üzerine kimlik doğrulama servislerinin konumlandırılması önerilmektedir.
Tokenizasyon
Tüm bu kimlik doğrulama yapılarında kullanılan oldukça etkili ve önemli bir teknik olan tokenizasyondan kısaca bahsetmeden geçmek doğru olmayacaktır. Bu noktada amacımızın bilimsel bir makale yazmak olmadığı yaklaşımı ile kavramsala girmeden, konuyu özet ve çıktıya odaklanarak aktaracağım. İlgilenen okuyucularımız, artık çok fazla kaynak olduğu için konunun bilimsel ispatları dahil tüm derinlikleri ayrıca araştırabilirler. Basit ve anlaşılabilir bir tanım yapmak gerekirse tokenizasyon, özellikle kimlik doğrulamada kullanılan hassas verilerin birbiri ile entegre olan, doğrulama verisinin tüm süreçlerin tamamlanmasına kadar geçen farklı ortamlarda işlenmesi sırasında başkaları tarafından ele geçirilmesi halinde zafiyete uğramaması adına, önceden belirlenmiş bir algoritma ile yaratılan anahtar verisinin (token) oluşturulması ve işlem doğrulama yapısında hassas veri yerine kullanılmasıdır. Farklı tokenizasyon mimarileri olmakla birlikte, bu tekniklerin büyük çoğunluğu hassas verilerin üçüncü tarafların eline geçmesi riskini önemli ölçüde asgari seviyeye indirgemektedir. Tokenizasyon mimarileri halihazırda mobil cüzdanlar ve uygulamalar, elektronik ödeme yapısı kullanılan e-ticaret siteleri, elektronik sözleşme yönetimi ve özellikle son dönemde öne çıkan merkeziyetsiz ekosistemlerde (örneğin kripto varlık altyapıları, NFT vb.) yoğun olarak kullanılmaktadır.
