Bilim kurgu filmlerinden fırlamış gibi görünen göz retinası taramaları, parmak izi okuyucuları veya üç boyutlu yüz tanıma sistemleri, bugün cebimizdeki akıllı telefonların sıradan birer özelliği haline geldi. Bir cihaza dokunmak veya sadece ona bakmak suretiyle kilitleri açmak, kullanıcı deneyimi açısından kusursuz bir konfordur.

Ancak siber güvenlik ve veri mahremiyeti penceresinden bakıldığında, biyometrik sistemler tarihin gördüğü en riskli ve geri dönüşü olmayan kumarıdır. Çünkü geleneksel bir şifre sızdırıldığında, sistem yöneticisi kullanıcılara “Lütfen parolanızı sıfırlayın” diyebilir. Ancak bir kurumun veritabanından milyonlarca insanın parmak izi veya yüz haritası sızdırıldığında, insanlara “Lütfen parmak izini değiştir” diyemezsiniz. Bu eşsiz ve değiştirilemez doğası, biyometrik veriyi hem siber saldırganlar için paha biçilemez bir hazineye hem de hukuk sistemleri için “Özel Nitelikli (Hassas) Veri” statüsüne dönüştürür.

Fotoğraf Değil, Matematik: Biyometrik Şablonların Çıkarılması

Birçok insan, telefonunun veya çalıştığı şirketin turnike sisteminin, kendi parmak izinin veya yüzünün yüksek çözünürlüklü bir fotoğrafını (JPEG veya PNG olarak) sakladığını zanneder. Eğer sistemler bu şekilde çalışsaydı, bu siber güvenliğin iflası olurdu. Güvenli bir biyometrik sistem, asla orijinal biyometrik verinin resmini saklamaz.

Siz parmağınızı okuyucuya koyduğunuzda, sistem önce görüntüyü alır. Ancak ardından bu görüntüyü bir “Özellik Çıkarımı” (Feature Extraction) algoritmasından geçirir. Parmak izinizdeki çizgilerin kesişim noktaları, kıvrım açıları ve çatal noktaları (minutiae noktaları) gibi spesifik alanlar koordinatlara ve sayılara dökülür. İşlem bittiğinde, elinizde bir parmak izi fotoğrafı değil; örneğin 011010110... şeklinde uzayıp giden bir matematiksel matris (şablon) kalır. Orijinal görüntü ise anında kalıcı olarak silinir. Veritabanında saklanan şey, sizin parmağınız değil, o parmağın sisteme yansıyan matematiksel gölgesidir.

Kaos ve İhtimal: Biyometrik Şifrelemenin Zorluğu

Önceki konularda parolaları korumak için tek yönlü şifreleme (Hashing) fonksiyonlarından bahsetmiştik. “123456” parolasının hash değeri her zaman aynıdır ve birebir eşleşme aranır. Ancak biyometride zorlayıcı bir fiziksel problem vardır: Hiçbir biyometrik tarama, bir öncekine %100 eşit olamaz. Parmağınızın okuyucuya temas açısı, o anki vücut ısınız, parmağınızdaki ufak bir yara veya yüz tanıma sistemindeki ortam ışığı, o an üretilen matematiksel şablonun sürekli değişmesine neden olur.

Birebir eşleşme arayan klasik şifreleme algoritmaları bu yüzden biyometride işe yaramaz. Bunun yerine “Toleranslı Eşleştirme” (Fuzzy Matching) adı verilen yapılar kullanılır. Sistem, veritabanındaki kayıtlı şablon ile o an okunan şablon arasındaki benzerlik oranına (örneğin %95 eşleşme) bakar. Bu durum, sızma testi (pentest) süreçlerinde “Yanlış Kabul” (False Accept) veya “Yanlış Red” (False Reject) oranlarının nasıl manipüle edilebileceği konusunda saldırganlara bir kapı aralar. Eğer sistemin tolerans eşiği çok düşük ayarlanmışsa, sisteme kayıtlı yüz şablonuna biraz benzeyen bir maske veya üç boyutlu bir modelle sistemi kandırmak (Spoofing) işten bile değildir.

Donanım Seviyesinde Hapishane: Güvenli Bölge (Secure Enclave) Mimarisi

Biyometrik verilerin çalınmasını engellemenin en etkili yolu, o verilerin çalınabileceği bir ağ ortamına (sunucuya) hiç çıkarılmamasıdır. Gelişmiş akıllı telefon üreticileri (Apple’ın FaceID/TouchID veya Android’in TrustZone mimarisi) bu veriyi korumak için “Güvenli Bölge” (Secure Enclave / TEE – Trusted Execution Environment) adı verilen bir çip mimarisi kullanır.

Bu mimaride, biyometrik veriyi işleyen ve matematiksel şablonu saklayan donanım birimi, işletim sisteminin (iOS veya Android) geri kalanından fiziksel olarak tamamen yalıtılmıştır. Siz telefonun kilidini açmak istediğinizde, işletim sistemi Güvenli Bölge’ye “Ekrana bakan bu kişi doğru kişi mi?” diye bir soru gönderir. Güvenli Bölge, kendi içinde sakladığı yüz haritası ile kameradan gelen anlık veriyi karşılaştırır ve işletim sistemine sadece “Evet” veya “Hayır” cevabını döndürür. İşletim sistemi veya kötü amaçlı bir uygulama, o Güvenli Bölge’nin içine girip yüzünüzün matematiksel haritasını asla çekemez. Veri, üretildiği donanımın içine hapsedilmiştir.

Hukukun Keskin Kılıcı: KVKK ve “Özel Nitelikli Veri” Kriterleri

Teknik taraf ne kadar güvenli olursa olsun, biyometrik veriyi merkezi bir sunucuda tutmaya başladığınız an işin rengi tamamen değişir. KVKK (Kişisel Verilerin Korunması Kanunu), biyometrik verileri “Özel Nitelikli Kişisel Veri” olarak sınıflandırır.

KVKK Kurulunun biyometrik verilerle ilgili aldığı emsal kararlar, “Ölçülülük” ve “Mutlak Zorunluluk” ilkelerine dayanır. Örneğin, bir spor salonu “Müşteriler kartını unutuyor, kapıya parmak izi okuyucu koyalım” diyemez. Kurul bu durumu şöyle yorumlar: Bir kapıyı açmak için manyetik kart veya şifre kullanmak gibi veriyi daha az ihlal eden yollar varken, sırf ‘kolaylık’ olsun diye insanın değiştirilemez bir parçasını kaydetmek ölçüsüzdür ve hukuka aykırıdır. Olası bir siber saldırıda bu özel nitelikli verilerin sızması, kuruma kesilecek cezayı ve hukuki yaptırımları astronomik seviyelere çıkarır.