Dijital Ekosistemde Amansız Mücadele; Kimlik Doğrulamada Güvenlik vs Rahatlık
Dünyada üç milyar internet kullanıcısı var ve bu kullanıcılar her geçen gün daha fazla interneti bankacılık işlemlerinde kullanıyor. Türkiye için konuşursak, pek çok bankada mobil bankacılık PC bazlı kullanımı geride bıraktı bile. Genç nüfusun bunda katkısı çok ancak istenilen seviyede değil. Yapılan araştırmalar güvenlik kaygısını en önemli engel olarak ortaya koyuyor. Güvenliği artırmak için geliştirilen her teknoloji müşteri deneyimine zarar veriyor, kullanıcı deneyiminin kalitesini azaltıyor. Avrupa Ödeme Konseyi’nin mottosu sayılabilecek “Convenience is a priority; security is indispensable” ilkesinde öngörülen dengenin nerede konumlanacağı ülkemiz açısından ödeme sistemlerinin geleceğini etkiliyor. Bu yazıda, son günlerde bankacılık sektöründe önemli tartışmaya yol açan kimlik doğrulama sistemlerine değineceğim ve güvenlik ile rahatlık arasında en uygun noktanın ne olması gerekeceğini tartışacağım.
Öncelikle şunu kabul edelim: Kimlik doğrulama mekanizmaları internet bankacılığına erişimine yönelik teknolojilerden daha yavaş gelişiyor. Finansal kurumlar çok yüksek sayıda müşteriyi internet bankacılığı kanalıyla tanıştırıyor tanıştırmasına ama bahsettiğim sorun yüksek sayıda müşterinin kullanımdan vazgeçmesine de neden oluyor. Bunun analizini yapabilmek için aşağıdaki sorulara cevap bulmamız gerekiyor.
- Finansal kurumlarda hangi kimlik doğrulama mekanizmaları uygulanıyor?
- Mobil ödeme cihazları bankaların doğrulama mekanizmalarından nasıl etkileniyor?
- Finansal kurumlar güvenli doğrulama için kullanıcı gizliliği ve rahatlık dengesini nasıl sağlıyor-sağlamalı?
Ping Identity adlı bağımsız şirketin araştırmasına göre, her üç müşteriden birisi bankasını güvenli ve elverişli bir internet bankacılığı deneyimi sunamadığı için terkediyormuş! Bu sorunu aşmak için teknolojide gelişmeler söz konusu ancak bunların adaptasyonu henüz oturmamış durumda. Türk bankalarına baktığımda küçük ve orta ölçekli bankaların özellikle bu teknolojileri içine alabilmesi ciddi bir yatırım gerektirebiliyor. Büyükler için de, alınabilecek ücret ve komisyonların sınırlandığı bir dünyada, operasyonel riskin yüksek olduğu bireysel müşteriler için yüksek yatırımları ne düzeyde yaparlar önemli bir soru işareti. Ama gerçek şu ki, yüz yüze iletişimin olmadığı, fiziksel kartın işlemden geçirilmediği, imzanın atılmadığı bir dünyada önlem almayıp sadece rahatlığı düşünürsek fraud riskimiz ciddi düzeyde artar.
1960’larda geliştirilen müşteri numarası (kullanıcı adı) şifre mekanizması, MIT’te yapılan bir araştırmaya göre alternatiflerine göre yeterince karmaşık olmaması, unutulma eğilimi, phishing- sosyal mühendislik gibi yöntemlerle çalınabilir olması, statik bir niteliği olması gibi pek çok soruna sahip. Bu mekanizmanın önümüzdeki 5 yılda kaybolacağını tahmin etmemek elde değil. Kaldı ki, bankalar(ımız) daha gelişmiş yöntemlere çoktan geçti ancak iki bileşenli kontrol mekanizması gerektiği zamanlarda hala kullanılabiliyor bu yöntem.
Şifre üretici cihazlar (şifrematik vs.) üç-beş yıl önce piyasada önemli yere sahipti. Bu cihazlar regülasyonun gereksinimlerini karşılasa da, sürekli taşınması gerekliliği ve kötü amaçlı yazılımların bu cihazlara rahatlıkla sızabildiği gerçeği kullanım düzeyini azaltıyor (azalttı).
Biyometrik (fiziksel veya davranışsal bir iz’in saklanarak ve doğrulama sürecinde kontrol edildiği mekanizma) yöntemler şu an en popüler yöntemlerin başında geliyor. Biyolojik ve davranışsal karakter olarak ikiye bölünen bu yöntemlerden bazılarını sayarsak parmak izi, yüz tanıma, el ve parmak topografisini tanıma, iris yapısı, ses tanıma, ritim tespit etme gibi yöntemleri görebiliriz. Biyometrik yöntemlerin özellikle mobil cihazlarda yaygınlaşması teşvik edilmesi gerekmekle birlikte kişisel verilerin bir yerlerde saklanıyor olması pek çok kişide rahatsızlık oluşturabilmektedir.
3D Secure’da özellikle Visa ve Master tarafından yaygınlaştırılan ve riskleri önemli ölçüde azaltan bir metodoloji olarak göze çarpıyor. Bu konuda herkesin bir fikrinin olduğunu düşünüyorum.
Ekrana sahip kartlar, Visa ve Master tarafından yurtdışında uygulanması olan ve küçük bir LCD ekranın kart üzerine yerleştirilmesi suretiyle tek seferlik şifre üretilmesini sağlayan güvenli bir erişim yöntemi.
Yine dinamik CVV üreten kartlarda lityum-iyon pille çalışan karta küçük bir ekran yerleştirilmesi ve CVV üretme imkanı vermesiyle biliniyor. Pahalı bir alternatif olmasa ideal çözümlerden birisi olacak.
Genel olarak yöntemleri anlatmayı bitirmeden önce, Tokenization’a da değinmemiz gerekiyor. Son bir senedir ülkemizde oldukça fazla uygulanan bir yöntem olmasının en önemli sebebi cep telefonuyla kart numarasını güvenli olarak eşleştirmesine imkan veriyor.
İkinci soruya gelirsek, mobil cihazların dezavantajlarından birini hatırlamamız lazım. Mobil cihaz içindeki yazılımların güncellenmesinde ortaya çıkan riskler tehlike saçıyor zira PC işletim sistemlerindeki güvenlik güncellemeleri daha sistematik ve profesyonel bir şekilde yürütülüyor. Bu farklılık cep telefonlarını kötü amaçlı yazılımlara daha fazla maruz bırakıyor. Yine mobil cihazların oturumlarında toplanan veriler (IP, zaman, tarih, muhtelif veriler vs) bankacılık uygulamasındakiyle tutarlı olmayabiliyor (Kaynak Cybersource). (Örneğin IP adresinin lokasyon bilgisinin gerçek yerden değil sinyal aldığı network operatöründen gelmesi)
Dengelerin İçinde Denge Beğenelim?
Güvenlik ile rahatlık arasında dengeyi aramak önemli demiştik. Peki müşteri mahremiyeti ile rahatlık arasındaki denge? Biyometrik yöntemler oldukça gelişmiş olmasına karşın insanlarda acaba bir yerde biyolojik datamız saklanıyor mu korkusu olabilir. Yine bazı kullanıcılar bunun başkası tarafından bilinebilir bir obje olmasını hiç istemeyebilir. Bu bilgiler istenmeyen amaçlar için kullanılabilir korkusu olabilir. Biyometrik yöntemlerdeki bu sorunu engellemek amacıyla Trusted Execution Environment adı verilen ve söz konusu datanın saklanmasını ve ulaşılabilirliğini engelleyen mekanizmalar kullanılabilir. Yine biyometrik datanın finansal kuruluş yerine müşteri tarafında saklanmasını sağlayan mekanizmalar düşünülebilir (Mevzuatımız bunu açıkça desteklemiyor farkındayım)
Yine rahatlığa gelirsek, güçlü kimlik doğrulama mekanizmaları müşteri deneyimini zayıflatır. Örneğin Şifrematikleri taşımak veya karmaşık şifreler girmeye zorlamak kullanıcıyı uzaklaştırabiliyor. Biyometrik yöntemlerinde çok rahat olduğu söylenemez ancak son yıllarda bu konuda oldukça iyi gelişmeler söz konusu. Daha rahat ve düşük maliyetli yöntemler kullanıcı deneyimini artırıyor. Özellikle belirli bir yaşın üzerindeki müşteriler açısından Biyometrik yöntemler bence şart. ABD’nin Oyak’ı denilen USAA emekli askerler için bu yöntemleri yaygınlaştırmayı başarmış mesela. Burada ses tanıma teknolojisinden ziyade yüz algılama teknolojilerinden bahsediyorum.
Kabul etmeliyiz ki, milli veya evrensel bir çözüm yok. Her bankanın kendi ölçeği, öncelikleri ve stratejileri çerçevesinde bir kimlik doğrulama yöntemi belirliyor. Buna maliyeti, müşterilerin demografik özelliklerini ve korunacak verinin riskini de katarsak farklılaşmanın şart olduğunu anlıyoruz.
Bu kadar bilgiyi verdikten sonra değerlendirme yapma safhasına geçebiliriz. Öncelikle her türlü işlem için iki bileşenli doğrulama mekanizmalarının ne kadar gerekli olduğu tartışılmalı. İdeal olanın işlemler için olduğu kadar sisteme giriş için de risk bazlı bir doğrulama mekanizması olduğuna inanıyorum. Biz de, sisteme giriş için dâhi vazgeçilmez kurallar söz konusu. Bu durum güvenli doğrulama mekanizmalarında bankaların daha yenilikçi olmasını engelliyor. Neticede risk bazlı doğrulama sistemlerinin yaygınlaşması ve ideal yapıda konumlanması gerekiyor.
Biyometrik doğrulama mekanizmaları desteklenmeli ve bankalarda buna daha fazla yatırım yapmalı. Ancak verinin saklanmasına yönelik yukarıda bahsettiğim metotlar geliştirilmeli ki insanlardaki korku azalsın.
Finansal kurumların müşterilerin aygıtlarının kötü amaçlı yazılımlara maruz kalabileceği gerçeğini hiç unutmaması gerekiyor. Bazı bankalarımızın başarıyla yaptığı gibi katmanlandırılmış uygulamalar farklı faktörlerin farklı noktalarda devreye girmesiyle bu sorun önemli ölçüde çözülebilir.
Eğer bir finansal kuruluş kimlik doğrulama sürecinde önemli yol kat etmek istiyorsa, müşteri numarası/şifreyi ortadan kaldırmayı kendisine strateji olarak kabul ettirmeli. Alternatif olarak Biyometrik yöntemler ve dinamik CVV teknolojisi bugünden geleceğe baktığımızda ideal çözüm olarak görülüyor.
Kaynakça
- Goode, J. (2015), The banking loyalty conundrum: security versus convenience. http://betanews.com/2015/01/06/the-banking-loyalty-conundrumsecurity-versus-convenience/
- Yadron, D. (2014), Man Behind the First Computer Password: It’s Become a Nightmare. http://blogs.wsj.com/digits/2014/05/21/the-man-behind-thefirst-computer-password-its-become-a-nightmare
- Khan, A. (2013). Fraud Management in the Mobile Space. Retrieved fromhttps://www.merchantriskcouncil.org/Documents/MRC%20White%20Paper%20-%20CyberSource%20-%20Mobile%20Fraud.pdf
- Harris, A & Yen, D. (2012). Biometric authentication: Assuring access to information. Information Management & Computer Security.