Dünyanın dört bir yanında devletler Covid-19un yayılmasını yavaşlatmak, aşı ve temas takibi yapabilmek için özel uygulamalar ve çözümler geliştiriyor. Ancak geçtiğimiz günlerde Avustralya hükümetinin geliştirdiği uygulamada saptanan bir güvenlik açığı ile aşı kimliğiuygulamalarının güvenilirliği ile ilgili kaygılar yeniden gündeme geldi.
DWden Mehtap Demirİn haberine göre, yazılım şirketi NordVPNin Amerikada bin kişiyle gerçekleştirdiği araştırmada, katılımcıların yüzde 38i verilerinin çalınmasından endişe ederken; yüzde 35i aşı kimliğiyerine çip kullanmayı tercih edeceğini belirtiyor. Uzmanlar da hassas verilerin depolandığı uygulamaları hedef alabilecek olası siber saldırıların geri dönüşü olmayan sonuçlarına karşı uyarıyor.
E-Nabız ve HES uygulamaları verilerimizi koruyor mu?
Türkiyede e-Nabız ve Hayat Eve Sığar (HES) uygulaması üzerinden aşı sertifikası alınabiliyor. Uzmanlara göre, kişilerin hassas ve kritik bilgilerinin tutulduğu ve çalınmasının ciddi problemler yaratacağı bu sistemler ciddi bir gizlilik tehlikesi barındırıyor.
Bugüne dek uygulamaların zafiyetlerine ilişkin bir açıklama yapılmasa da ismini vermek istemeyen bir siber güvenlik uzmanına göre ufak bir araştırmayla bunları öngörmek mümkün. Zira, aşı kimliğialmanın mümkün olduğu e-Nabız sistemi birkaç kritik riski barındırıyor.
Birinci riski, e-Nabızda aşı kimliğialmaya çalışırken iki faktörlü kimlik doğrulamasının olmaması oluşturuyor. E-Nabız üyeliğiyle giriş yapan bir kullanıcı istese de bu doğrulama özelliğini etkin duruma getiremiyor. Bu da parolayı veya o anki bağlantıyı, oturumu elde eden kişinin hesaba giriş yapabileceği manasına geliyor. Bir saldırganın parolayı ya da o anki bağlantıyı elde ederek bilgilere erişebilmesi mümkün.
Bir diğer açık, parola sıfırlama alanında olan SMS doğrulama olayının bypass edilebilmesi. Yani TC kimlik ve telefon numarası bilinen birinin parolasını sıfırlayarak hesabına giriş yapmasını engellemek mümkün. Bunlar halihazırda gündelik hayatta pek çok kuruma verilen bilgiler.
İsmini vermek istemeyen siber güvenlik uzmanına göre en kritik risk ise Avrupa Birliği uyumlu aşı kimliğibölümünde ortaya çıkıyor. Her aşı kimliğineait bir ID numarası (sertifika tanımlayıcı numara) bulunuyor ve kullanıcılar bu numara ile aşı karnesine erişiyor. Ancak sıkıntı bu numaranın, internet üzerinde herhangi bir kullanıcının erişimine açık olmasında. Yani sadece kullanıcı tarafından erişilebilmesi gereken bu kod, URL üzerinden tüm dünyaya açık şekilde erişimde. Bu da brute force (hackerların deneme-yanılma yoluyla şifreleri çözebilmek için kullandığı bir saldırı tekniği) ve benzeri farklı atak teknikleriyle buradaki kullanıcılara ait sağlık kimliklerinerahatlıkla erişilebilmesine olanak sağlıyor.
Güvenli bir altyapı yok
Blockchain ve siber güvenlik danışmanı Ozan İnan, bir güvenlik zafiyeti olsa dahi Dünya Sağlık Örgütü (WHO) liderliğinde tüm ülkelerin salgınla mücadele ettiği hassas bir dönemde kimsenin bu zafiyetleri açıklamaya cesaret edemeyeceğini düşünüyor.
Ancak İnana göre aslında böyle bir açıklama şart da değil: Konuyu aşı kimliğiuygulamasından bağımsız ele almak lazım. Bugün dünya devi Facebook, Instagram gibi uygulamalarda yaşanan kesinti ve veri güvenliği sorunlarını ele alalım. HES de neticede bulut üzerinde çalışan bir uygulama. Çeşitli şifreleme teknikleriyle veri tabanlarına yazılan verileriniz bütünseldir. Yani dışarıdan atak yapan biri tüm verilerinize aynı anda erişebilir. Bugünün dünyasında bu verileri koruyabilmenin tek yolu ise verilerin ve şifrelerinin dağıtık yapılarda tutulmasına olanak veren blockchain tabanlı sistemler kullanmak. Oysa Türkiyede ya da dünyanın hiçbir ülkesinde aşı kimliklerinizi saklayan uygulamalar bu altyapıya sahip değil.
Platin Bilişim CEOsu Ayhan Bamyacı da uygulama ve mobil güvenlik konusuna vurgu yapıyor, Zincirin en zayıf halkası mobil uygulama tarafı diyor. Bamyacı, cep telefonlarına giren herhangi kötü bir yazılımın HES uygulaması içindeki tüm verileri riske atmaya yeterli olacağını paylaşıyor.
Elde edilen veriler ne zaman silinecek?
Türkiyede kullanılanuygulamada işlenen kişisel verilerin sorumluluğu Sağlık Bakanlığında. Bakanlık, sitesinde yayınladığı açıklamanın kişisel verilerin işlenme amaçları bölümünde, bu verilerin, pandemi ile mücadele süresiyle sınırlı olmak üzere işlendiği vurgusunu yapıyor.
Ancak, Platin Bilişim CEOsu Ayhan Bamyacıya göre Sağlık Bakanlığının verdiği güvence, verilerin güvenliğinden emin olabilmek için yeterli değil. Zira esas sorun HES kodunun paylaşıldığı her bir kurumun, elde ettiği verilerin süreç bitiminde silinmesiyle ilgili bir düzenlemenin olmaması. Bamyacı, HES kodunu, aşı kimliğiniziher yerde gösteriyorsunuz, bir kuruma girerken örneğin. Peki, o kurum bu kodu saklıyor mu? Bir yerlerde kullanabilir mi? Bilmiyoruz. Sonradan silmelerini zorunlu kılan bir düzenleme de yok, işin en zayıf tarafı bu diye konuşuyor.
Veriler farklı amaçlarla kullanılabilir
Peki, aşı kimliklerinde ve e-Nabız, HES gibi uygulamalarda yer alan sağlık verileri neden değerli? Uzmanlara göre sağlık verileriyle yapılabileceklerin sınırı yok, maliyeti ise sadece parasal değil. Bu veriler sadece virüsü taşıyan ya da aşı olmuş kişilere erişim manasına gelmiyor, kalp pili kullanan bir kişinin kullandığı kalp pilinin markasını öğrenmek ve hatta bu kişilere bir siber saldırı gerçekleştirmek dahi mümkün.
Blockchain ve siber güvenlik danışmanı Ozan İnan, verinin önemini, aşıyı bulanın bir ilaç şirketi değil; teknoloji şirketi olması gerçeğinden yola çıkarak açıklıyor. Verilerin tüm dünyada teknoloji şirketleri için hazine değerinde olduğunu söylüyor: Bugün veriyi işleyen, öğrenen makine ya da yapay zeka teknolojileri insanın lehine aşı bulmaya çalışıyor ancak yarın bu verileri kullanarak yeni bir virüs de çıkarabilir. Bu verilerin istenmeyen bir kuvvetin eline geçmesi geri dönüşü mümkün olmayan sonuçlara sebep olabilir. Öte yandan aşı gibi kritik ve evrensel bir konunun, formülü dahil kimlere nasıl etki yaptığı, yan etkileri gibi toplanan verilerin kontrolsüz güçlerin eline geçmesi salgının seyrini değiştirebilir. Riskler bunlar ancak bu risklerin maliyetini ölçmek ise mümkün değil. Zira, bugün bir ilaç şirketi, eldeki verileri kullanarak virüsün yeni bir varyantını dahi geliştirebilecek güçte.
Uzmanlara göre, kontrolsüz güçlerin elde edebileceği bu veriler dünya ekonomisini değiştirebilecek boyutta. Bu verileri siber ataklara karşı koruyan gerekli altyapılar ve düzenlemeler ise yeterli düzeyde değil.
