Bilgi Güvenliği ve Etik: Kişisel bilgilerin gizliliği ve biyometrik kimlik doğrulaması
Etik konusunun en güzel örneklerinden biri; hasta – doktor ilişkilerinin gizliliğidir. Bu gizlilik, birçok ülkede mahkeme kararlarıyla dahi delinemiyor. Doktorlar hiçbir şekilde hasta kayıtlarını 3. Şahıslar ile paylaşmıyor/paylaşamıyor. Hatta mesleği gereği kişilerin özel bilgilerini bilenler ve öğrenenler bu bilgiler suç unsuru taşısa dahi bu bilgileri açık edemiyorlar.
Evet, yukarıda örneğini verdiğim ve buna benzer şekilde hukuk, emniyet gibi diğer birçok alanda da olması gereken etik kuralları da ülkemizde pek uygulanmıyor. Ancak bu alanlarda uyulmasa/uygulanmasa dahi bir kanun, etik ve toplumsal bir uzlaşıdan söz etmek mümkün, en azından. Esas konumuz olan bilgi güvenliğine geldiğimizdeyse, maalesef, ne kanunlarımız yeterli ne de yazılı olmayan bir etikten bahsedebiliyoruz.
Malum, günümüz popüler konularından biri biyometrik kimlik doğrulama uygulamaları. Seneler önce bir banka müşterilerinin iris bilgilerini kayıt ederek biyometrik kimlik kontrolü alanına adım atmış, hatta birkaç şubesinde de bunu pilot olarak uygulamış ve gelen şikâyetler üzerine sistemi kaldırmıştı. Son olarak iki banka, damar haritası bilgilerini kullanarak kimlik doğrulamak üzere ATM makinelerini düzenlediklerini ve bu uygulamayı genele yaymayı amaçladıklarını açıkladılar.
Maalesef, sektörümüzde yerleşmiş bir genel etik anlayışı olmadığı gibi kanunlarda da belirlenen bu uygulamanın sınırlarının belirlenmemiş olması suyu biraz bulandırıyor. Örneğin, bir bina girişinde sizden kimliğinizi alıp, resminizi ve parmak izinizi almaya varan güvenlik önlemleri de görmüştüm zamanında. Şimdi bir başka kurum çıkıp, ”Şirketimizin güvenliği için, biz ‘Y’ uygulaması için kişilerin gen haritalarını çıkartacağız ve buna göre kimlik doğrulama yapacağız” derse buna kim dur diyebilir?
İşin teknik tarafını tamamen bir yana bırakırsak –ki bu işin en önemli kısımlarından biri; biyometrik kimlik bilgilerinin toplanma, saklanma ve işlenme şekli ve dolayısıyla bu aşamalardaki güvenlik önlemlerinin sıkılığı- bu bilgilerin kimlerin elinde nasıl kullanılabileceği bilgisi de önem arz ediyor. Evet, son uygulamada damar haritası seçildiği için ve isteğe bağlı bir uygulama olduğu için bunu uç örnek olarak almak mümkün değil. Ancak bu uç örneklerin çıkabileceği ve şu an elimizde ne yazılı ne de etik bir kural olmadığı gerçeğini değiştirmiyor. Yani kötü niyet bu alanda istediği gibi top oynatabilir.
Diğer bir yönden, aynı tarzda bilgileri, parmak izi, damar haritası, iris tarama ve benzeri bilgileri birden fazla kurumun istemesi güvenlik açısından başka riskler doğuracaktır. Aslında bu da bizi ortak bir veri tabanı kullanımına doğru itecektir ki, henüz Mernis projesinin tehlikeleri ve doğru yönetilip yönetilmediği tartışma konusu dahi olmamışken bunun ne kadar kritik bir şey olduğu tartışma götürmez bir gerçektir.
Sonuç olarak, bilgi güvenliği alanındaki etik tartışmaları bu kadar kısa bir yazıda incelenemeyecek kadar geniş bir konudur. Bunun yanında biyometrik kimlik kontrolü bilgilerinden hareketle bunun ne kadar önemli olduğu çok daha kolay anlaşılmaktadır. Türkiye’nin acil olarak iyi tasarlanmış bir bilişim yasası ve belki de yazılı hale getirilmiş bir bilgi güvenliği etiğine ihtiyacı açıkça gözükmektedir. Biyometrik kimlik kontrolü tartışmaları beklide bunun yolunu açar ve sonuç olarak hepimizi tatmin edebilecek bir sonuç elde etmiş oluruz.
Not: Kesin bir kaynak bulamamakla birlikte kötü niyetli kullanımların mevcut yasalarla önlenebileceğini bende tahmin edebiliyorum. Ancak bir hukukçu olmamama rağmen bunun epeyce bir zaman alacağını ve bu esnada birçok kişi bu bilgilerini vermiş olacağını da tahmin etmek zor değil.
- Yorum yazmak için giriş yapın veya kayıt olun
