.png "English"){kind=small}
Finansal kapitalizmin dijitalleşme süreciyle birlikte evrildiği ve bankacılık pratiklerinin "kullanıcı deneyimi" (UX) fetişizmi altında yeniden kurgulandığı günümüz konjonktüründe, biyometrik doğrulama teknolojilerinin —yüz tanıma, retina tarama, ses imzası ve parmak izi gibi— rutin para transferlerine (IBAN işlemleri) entegre edilmesi meselesi, salt teknolojik bir inovasyon veya pratik bir kolaylık olarak değil, bilakis bireyin mahremiyet alanına yönelik tarihin gördüğü en sofistike ve telafisi gayrimümkün "dijital kuşatma" harekatı olarak okunmalıdır; zira güvenlik mimarisinin epistemolojik temellerine inildiğinde, bir güvenlik protokolünün güvenilirliği onun "yenilenebilirlik" kapasitesiyle doğru orantılıdır ki bu temel aksiyom üzerinden düşünüldüğünde, parolanın ifşası durumunda değiştirilebilir olması veya kaybedilen bir donanımsal anahtarın (token) iptal edilip yenisiyle ikame edilebilmesi yetisi, sistemin sürdürülebilirliğini sağlayan yegane mekanizmadır, oysa biyometrik veriler insanın biyolojik varoluşunun "sabit" ve "değiştirilemez" yapıtaşlarıdır ve bu verilerin bir kez siber saldırganların eline geçmesi durumunda —ki hiçbir dijital sistemin mutlak sızdırmazlık (impenetrability) vaadinde bulunamayacağı, en güvenli addedilen devlet veritabanlarının dahi hacklendiği bir çağda teknik bir realitedir— bireyin dijital kimliğinin geçici bir süre için değil, ebediyen ve geri döndürülemez bir biçimde "kompromize" edilmesi, yani bir daha asla kapatılamayacak bir güvenlik deliğinin açılması sonucunu doğurur, bu da alınan hizmetin (basit bir para transferi) niteliği ile göze alınan riskin (ömür boyu sürecek kimlik hırsızlığı) boyutu arasında akıl almaz bir "orantısızlık" (disproportionality) yaratmaktadır.
Meseleyi biraz daha derinleştirip siber güvenlik literatüründeki "Something you have" (Sahip olduğun şey: Kart/Telefon), "Something you know" (Bildiğin şey: Parola) ve "Something you are" (Olduğun şey: Biyometrik veri) ayrımı üzerinden irdelediğimizde, bankaların maliyetleri düşürmek ve operasyonel hızı artırmak adına en mahrem ve en savunmasız kategori olan "Something you are" katmanına bu denli yüklenmesi, aslında güvenliği artırmaktan ziyade, bir dolandırıcılık vakası yaşandığında ispat yükümlülüğünü (burden of proof) tamamen müşteriye yıkarak kurumsal sorumluluktan kaçma stratejisinin bir tezahürüdür; nitekim geleneksel dolandırıcılık vakalarında müşteri "Şifremi ben vermedim, sisteminizden çalınmış" savunmasını yapabilirken, işlemin biyometrik onayla yapıldığı bir senaryoda bankanın "İşlemi yüzünüzle/parmağınızla onaylamışsınız, bu veriyi taklit etmek imkansızdır, dolayısıyla sorumluluk sizdedir" şeklindeki savunması, müşteriyi hukuki açıdan çaresiz bırakan ve teknik olarak yanlışlanması çok zor olan bir "fait accompli" (oldu bitti) durumu yaratmaktadır, fakat işin aslı hiç de bankaların iddia ettiği gibi değildir çünkü teknolojinin diyalektik ilerleyişi, düne kadar "taklit edilemez" addedilen biyometrik verileri bugün Deepfake (Derin Sahte), GAN (Generative Adversarial Networks) ve sentetik medya üretim araçları marifetiyle, bireyin fiziksel mevcudiyetine dahi gerek duymadan manipüle edilebilir birer "emtia" haline dönüştürmüştür ve internette dolaşan yüksek çözünürlüklü fotoğraflarınızdan, sosyal medyadaki videolarınızdan veya ses kayıtlarınızdan yola çıkarak oluşturulan "dijital ikizler", en gelişmiş "liveness detection" (canlılık algılama) sensörlerini dahi atlatabilecek kapasiteye ulaşmıştır.
Bu bağlamda, biyometrik verinin "biricikliği" (uniqueness) argümanı çökmüş, yerini "kopyalanabilir biyolojik imza" gerçeğine bırakmıştır ki bu durum, bizi panoptikon benzeri bir gözetim toplumuna doğru sürüklemekle kalmayıp, aynı zamanda finansal sistemin güvenliğini paradoksal bir biçimde zayıflatmaktadır, çünkü bir hackerın parolanızı çalması için aktif bir eylemde bulunması (phishing, keylogging vb.) gerekirken, yüz verinizin çalınması için sosyal medya hesabınıza bakması veya halka açık bir alanda yüksek çözünürlüklü bir kamera tarafından kayda alınmanız yeterlidir, yani saldırı yüzeyi (attack surface) dramatik bir biçimde genişlemiştir ve bu genişleme, kullanıcının kontrolü dışında gerçekleşen pasif bir süreçtir. Dahası, bu verilerin saklanma koşulları tam bir "kara kutu" (black box) muammasıdır; bankaların veya aracı kurumların sunucularında tutulan bu hassas verilerin hangi şifreleme algoritmalarıyla (AES-256, Hash, Salt vb.) korunduğu, bu verilerin ham haliyle mi yoksa matematiksel bir şablon (template) olarak mı saklandığı, üçüncü taraf (third-party) işleyicilerle paylaşılıp paylaşılmadığı ve en önemlisi, bu veritabanlarının "master key" (ana anahtar) niteliğindeki yapısının içeriden gelebilecek tehditlere (insider threats) karşı ne kadar dayanıklı olduğu konuları, son kullanıcı nezdinde tam bir belirsizlik teşkil etmektedir, ki tarihteki büyük veri sızıntılarına (Equifax, Yahoo, yerel nüfus idaresi sızıntıları) bakıldığında, merkezi veritabanlarının her zaman cazip bir hedef olduğu ve "toplanan her verinin eninde sonunda sızacağı" yönündeki siber güvenlik yasasının biyometrik veriler için de geçerli olduğu yadsınamaz bir hakikattir.
Hal böyleyken, eldeki mevcut teknolojiler arasında rüştünü ispat etmiş, denetlenebilir, yönetilebilir ve en önemlisi bir kriz anında müdahale edilebilir (revocable) olan OTP (Tek Kullanımlık Şifre), TOTP (Zaman Bazlı Tek Kullanımlık Şifre), FIDO2 tabanlı donanımsal anahtarlar veya mobil imza gibi asimetrik şifreleme yöntemleri mevcutken; bankaların ve finansal otoritelerin biyometrik doğrulamayı bir "zorunluluk" veya "vazgeçilmez bir standart" olarak dayatması, rasyonel akılla ve risk yönetimi prensipleriyle bağdaşmayan, tamamen "tekno-çözümcülük" (techno-solutionism) ideolojisinin bir ürünüdür ve bu ideoloji, her türlü toplumsal ve güvenlik sorununu teknolojik bir "yama" ile çözebileceğini varsayarak, sorunun kökenindeki asıl parametreleri (veri minimizasyonu ilkesi, mahremiyet hakkı, unutulma hakkı) görmezden gelmektedir...
0 yorum:
Yorum Gönder