Aşı kimliği uygulamalarında veriler ne kadar güvende?

Covid-19 ile mücadele kapsamında birçok ülkede kullanılan, aşı ve temas bilgilerinin yanı sıra pek çok kişisel verinin de yer aldığı aşı pasaportu uygulamalarında vatandaşların paylaştığı veriler ne derece güvende?

Dünyanın dört bir yanında devletler Covid-19'un yayılmasını yavaşlatmak, aşı ve temas takibi yapabilmek için özel uygulamalar ve çözümler geliştiriyor. Ancak geçtiğimiz günlerde Avustralya hükümetinin geliştirdiği uygulamada saptanan bir güvenlik açığı ile aşı kimliğiuygulamalarının güvenilirliği ile ilgili kaygılar yeniden gündeme geldi.

Yazılım şirketi NordVPN'in Amerika'da bin kişiyle gerçekleştirdiği araştırmada, katılımcıların yüzde 38'i verilerinin çalınmasından endişe ederken; yüzde 35'i aşı kimliğiyerine çip kullanmayı tercih edeceğini belirtiyor. Uzmanlar da hassas verilerin depolandığı uygulamaları hedef alabilecek olası siber saldırıların geri dönüşü olmayan sonuçlarına karşı uyarıyor.

Türkiye'de e-Nabız ve Hayat Eve Sığar (HES) uygulaması üzerinden aşı sertifikası alınabiliyor. Uzmanlara göre, kişilerin hassas ve kritik bilgilerinin tutulduğu ve çalınmasının ciddi problemler yaratacağı bu sistemler ciddi bir gizlilik tehlikesi barındırıyor.

Bugüne dek uygulamaların zafiyetlerine ilişkin bir açıklama yapılmasa da ismini vermek istemeyen bir siber güvenlik uzmanına göre ufak bir araştırmayla bunları öngörmek mümkün. Zira, aşı kimliğialmanın mümkün olduğu e-Nabız sistemi birkaç kritik riski barındırıyor.

Birinci riski, e-Nabız'da aşı kimliğialmaya çalışırken iki faktörlü kimlik doğrulamasının olmaması oluşturuyor. E-Nabız üyeliğiyle giriş yapan bir kullanıcı istese de bu doğrulama özelliğini etkin duruma getiremiyor. Bu da parolayı veya o anki bağlantıyı, oturumu elde eden kişinin hesaba giriş yapabileceği manasına geliyor. Bir saldırganın parolayı ya da o anki bağlantıyı elde ederek bilgilere erişebilmesi mümkün.

Bir diğer açık, parola sıfırlama alanında olan SMS doğrulama olayının bypass edilebilmesi. Yani TC kimlik ve telefon numarası bilinen birinin parolasını sıfırlayarak hesabına giriş yapmasını engellemek mümkün. Bunlar halihazırda gündelik hayatta pek çok kuruma verilen bilgiler.

İsmini vermek istemeyen siber güvenlik uzmanına göre en kritik risk ise Avrupa Birliği uyumlu aşı kimliğibölümünde ortaya çıkıyor. Her aşı kimliğineait bir ID numarası (sertifika tanımlayıcı numara) bulunuyor ve kullanıcılar bu numara ile aşı karnesine erişiyor. Ancak sıkıntı bu numaranın, internet üzerinde herhangi bir kullanıcının erişimine açık olmasında. Yani sadece kullanıcı tarafından erişilebilmesi gereken bu kod, URL üzerinden tüm dünyaya açık şekilde erişimde. Bu da "brute force" (hackerların deneme-yanılma yoluyla şifreleri çözebilmek için kullandığı bir saldırı tekniği) ve benzeri farklı atak teknikleriyle buradaki kullanıcılara ait sağlık kimliklerinerahatlıkla erişilebilmesine olanak sağlıyor.

Blockchain ve siber güvenlik danışmanı Ozan İnan, bir güvenlik zafiyeti olsa dahi Dünya Sağlık Örgütü (WHO) liderliğinde tüm ülkelerin salgınla mücadele ettiği hassas bir dönemde kimsenin bu zafiyetleri açıklamaya cesaret edemeyeceğini düşünüyor.

Ancak İnan'a göre aslında böyle bir açıklama şart da değil: "Konuyu aşı kimliğiuygulamasından bağımsız ele almak lazım. Bugün dünya devi Facebook, Instagram gibi uygulamalarda yaşanan kesinti ve veri güvenliği sorunlarını ele alalım. HES de neticede bulut üzerinde çalışan bir uygulama. Çeşitli şifreleme teknikleriyle veri tabanlarına yazılan verileriniz bütünseldir. Yani dışarıdan atak yapan biri tüm verilerinize aynı anda erişebilir. Bugünün dünyasında bu verileri koruyabilmenin tek yolu ise verilerin ve şifrelerinin dağıtık yapılarda tutulmasına olanak veren blockchain tabanlı sistemler kullanmak. Oysa Türkiye'de ya da dünyanın hiçbir ülkesinde aşı kimliklerinizi saklayan uygulamalar bu altyapıya sahip değil."

Platin Bilişim CEO'su Ayhan Bamyacı da uygulama ve mobil güvenlik konusuna vurgu yapıyor, "Zincirin en zayıf halkası mobil uygulama tarafı" diyor. Bamyacı, cep telefonlarına giren herhangi kötü bir yazılımın HES uygulaması içindeki tüm verileri riske atmaya yeterli olacağını paylaşıyor.

Türkiye'de kullanılanuygulamada işlenen kişisel verilerin sorumluluğu Sağlık Bakanlığı'nda. Bakanlık, sitesinde yayınladığı açıklamanın 'kişisel verilerin işlenme amaçları' bölümünde, bu verilerin, "pandemi ile mücadele süresiyle sınırlı olmak üzere" işlendiği vurgusunu yapıyor.

Ancak, Platin Bilişim CEO'su Ayhan Bamyacı'ya göre Sağlık Bakanlığı'nın verdiği güvence, verilerin güvenliğinden emin olabilmek için yeterli değil. Zira esas sorun HES kodunun paylaşıldığı her bir kurumun, elde ettiği verilerin süreç bitiminde silinmesiyle ilgili bir düzenlemenin olmaması. Bamyacı, "HES kodunu, aşı kimliğiniziher yerde gösteriyorsunuz, bir kuruma girerken örneğin. Peki, o kurum bu kodu saklıyor mu? Bir yerlerde kullanabilir mi? Bilmiyoruz. Sonradan silmelerini zorunlu kılan bir düzenleme de yok, işin en zayıf tarafı bu" diye konuşuyor.

Peki, aşı kimliklerinde ve e-Nabız, HES gibi uygulamalarda yer alan sağlık verileri neden değerli? Uzmanlara göre sağlık verileriyle yapılabileceklerin sınırı yok, maliyeti ise sadece parasal değil. Bu veriler sadece virüsü taşıyan ya da aşı olmuş kişilere erişim manasına gelmiyor, kalp pili kullanan bir kişinin kullandığı kalp pilinin markasını öğrenmek ve hatta bu kişilere bir siber saldırı gerçekleştirmek dahi mümkün.

Blockchain ve siber güvenlik danışmanı Ozan İnan, verinin önemini, aşıyı bulanın bir ilaç şirketi değil; teknoloji şirketi olması gerçeğinden yola çıkarak açıklıyor. Verilerin tüm dünyada teknoloji şirketleri için hazine değerinde olduğunu söylüyor: "Bugün veriyi işleyen, öğrenen makine ya da yapay zeka teknolojileri insanın lehine aşı bulmaya çalışıyor ancak yarın bu verileri kullanarak yeni bir virüs de çıkarabilir. Bu verilerin istenmeyen bir kuvvetin eline geçmesi geri dönüşü mümkün olmayan sonuçlara sebep olabilir. Öte yandan aşı gibi kritik ve evrensel bir konunun, formülü dahil kimlere nasıl etki yaptığı, yan etkileri gibi toplanan verilerin kontrolsüz güçlerin eline geçmesi salgının seyrini değiştirebilir. Riskler bunlar ancak bu risklerin maliyetini ölçmek ise mümkün değil. Zira, bugün bir ilaç şirketi, eldeki verileri kullanarak virüsün yeni bir varyantını dahi geliştirebilecek güçte."

Uzmanlara göre, kontrolsüz güçlerin elde edebileceği bu veriler dünya ekonomisini değiştirebilecek boyutta. Bu verileri siber ataklara karşı koruyan gerekli altyapılar ve düzenlemeler ise yeterli düzeyde değil.

 

Mehtap Demir

© Deutsche Welle Türkçe

Sağlık Haberleri