Hindistan‘ın yeni belirlediği siber güvenlik yasası küresel güvenliğe büyük tehdit oluşturuyor. Yeniden tanımlama yasağı adı altında toplanan yeni yasa, güvenlik açıklarını araştırmaya engel oluyor. Bu durum da haliyle suçluları bu açıktan faydalanmaya teşvik ediyor.
Geçtiğimiz birkaç yılda gizliliğin kötüye kullanımı ve veri ihlali gibi durumlar milyarlarca kullanıcı tarafından erişilen dünyanın en büyük şirketlerine bile leke sürdü. Dünya çapında çok dikkat çeken ve oldukça fazla tepki toplayan bu haberlerden sonra ülkeler veri koruma kurallarını güçlendirerek vatandaşlarının gizlilik haklarını koruma altına almaya başladılar. 2016 yılında Avrupa Genel Veri Koruma Yönetmeliği (GDPR, Türkiye’de KVKK) ile gizlilik ve güvenlik garantisi sunarken, Kaliforniyalılar da toplanan verilerin silinmesini talep etme gibi gizlilik hakları aldılar.
Hint Veri Koruma Yasası
Mühendislik alanında gelişim gösteren Hindistan’ın 2019 Hint Veri Koruma Yasası belki diğerlerinden daha az önümüze geliyor fakat maddelerinin bir tanesi özellikle bizleri oldukça endişelendirdi. Yeni maddeye göre kullanıcı verilerinin kullanıcının direkt rızası (consent) olmadan yeniden tanımlanmasının suç olarak karşılık bulması söz konusu. Şu anlık olmasa da yakın gelecekte, kafamızı karıştıran bu yasa hepimizi etkileyecek gibi görünüyor. Çünkü, bu durum beyaz şapkalı hackerların ve araştırmacıların piyasadan çekilmesi, kötü niyetli hackerların ise daha az deneylenen bir ortamda çalışmaya başlaması anlamına geliyor.
Yeniden Tanımlama (Re-identification) Nedir?
Peki hakkındaki maddeye özellikle dikkat çektiğimiz yeniden tanımlama (re-identification) nedir? Kişisel verileriniz bir şirkette işlendiği zaman, konum izleri veya tıbbi kayıtlar gibi hassas veriler, pasaport numarası veya e-postanız gibi ayrıntılardan ayrı tanımlanır. Buna kimliksizleştirme (de-identification) denir. İşte yeniden tanımlama özelliği sayesinde, şirketler gerektiğinde kullanıcıların kimlikleri ve verileri arasında bağlantı kurabilir. Yasal taraflar tarafından kontrollü yapılan bu yeniden tanımlama teknik bir sıkıntı olmadığı sürece düzenli olarak gerçekleşir.
[button color=”red” size=”normal” alignment=”center” rel=”follow” openin=”newwindow” url=”https://www.gelecekburada.net/dijital-kimligimiz-3-katmandan-olusuyor/”]Dijital Kimliğimiz 3 Katmandan Oluşuyor[/button]
Öte yandan, siber dünya bilgi sistemlerindeki zayıflığı sömürmek için her an tetikte bekleyen potansiyel suçlularla dolu. Örneğin kötü niyetli bir kullanıcı, kimliksizleştirilmiş bir veritabanını ele geçirip verileri yeniden tanımlarsa bu çok tehlikeli durumlara yol açabilir.
Bu yasa dışı yeniden tanımlamayla ilgili Avustralya’da yaşanan bir olayı göz önüne alalım. 2018 yılında Victoria’nın toplu taşıma yetkilisi temassız banliyö kartlarının kullanım veri modellerini bir veri bilimi yarışmasının katılımcılarıyla paylaştı. Ertesi yıl bir grup bilim insanı herkes tarafından erişime açılan bu verilerin hatalı veri koruma önlemleri yüzünden bireysel yolcularla ilişkilendirilmesine izin verildiğini fark etti.
Eğer teknoloji iş bilir uzmanların elinde doğru bir biçimde kullanılırsa bu tür ihlal riskleri ortadan kaldırılabilir. Öncelikle şirketler sistemlerinin koruma kalitesini belirlemek için siber gizlilik ve güvenlik testleri yapmalılar. Bu testler genellikle veri kontrol eden kuruluşlarda çalışan uzmanlar tarafından yapılır. Araştırmacılar gerek gördükleri takdirde tamamen kamu yararını göz önünde bulundurarak şirketlerin bilgisi veya onayı olmadan da bu testleri yapabilirler. Bu tür testlerde veri koruma veya güvenliği konusunda zayıflık bulunursa suçlu her zaman direkt ele geçirilemeyebilir. Daha da kötüsü, yeni yasa tasarısıyla yazılım satıcıları veya sistem sahipleri bu tür güvenlik veya gizlilik araştırmalarına karşı yasal işlem başlatma hatta araştırmaları tamamen engelleme hakkına sahip olabilirler. Bu düzenlemeden sonra para cezası hatta hapis riskiyle karşı karşıya kalan hangi insan topluma yararlı olan bu araştırma faaliyetlerine cesaret edebilir ki? Ancak diğer tarafta, suçlu kişi her zaman suçlu olduğu için, bu tarz işlerde aktif olmaktan vazgeçmeyecektir. Bu durumu, hırsızlığı yasaklayıp güvenlik alarmlarını da ortadan kaldırmaya benzetebiliriz.
[button color=”red” size=”normal” alignment=”center” rel=”follow” openin=”newwindow” url=”https://www.gelecekburada.net/facebooka-bir-ceza-da-turkiyeden-geldi/”]KVKK, Facebook’a Ceza Yazdı[/button]
Bu tür bir yeniden tanımlama yasağının veri ihlalini önlemekten çok artırma riski de var, çünkü sistem sahipleri sistemlerini gizliliğe karşı daha az teşvik edebilirler. Bu şekilde bilgileri riske atmak yerine güvenlik araştırmacılarından doğrudan geri bildirim almak hem kullanıcıların hem de şirketlerin yararına bir durum. Asıl amaç araştırmaları engellemek yerine araştırmacıların güvenlik zayıflıklarına dair verilerini açıkça belirtmelerini sağlayarak mevcut sorunların hızlı bir şekilde çözüme ulaştırılması olmalıdır.
kaynak: WIRED
