Aşı kimliği uygulamalarında veriler güvende mi?

Covid-19 ile mücadele kapsamında birçok ülkede kullanılan, aşı ve temas bilgilerinin yanı sıra pek çok kişisel verinin de yer aldığı aşı pasaportu uygulamalarında vatandaşların paylaştığı veriler ne derece güvende? 

SAĞLIK 01.11.2021, 16:04 Tugs Enkh
6
Aşı kimliği uygulamalarında veriler güvende mi?

Dünyanın dört bir yanında devletler Covid-19'un yayılmasını yavaşlatmak, aşı ve temas takibi yapabilmek için özel uygulamalar ve çözümler geliştiriyor. Ancak geçtiğimiz günlerde Avustralya hükümetinin geliştirdiği uygulamada saptanan bir güvenlik açığı ile aşı kimliği uygulamalarının güvenilirliği ile ilgili kaygılar yeniden gündeme geldi.

Yazılım şirketi NordVPN'in Amerika'da bin kişiyle gerçekleştirdiği araştırmada, katılımcıların yüzde 38'i verilerinin çalınmasından endişe ederken; yüzde 35'i aşı kimliği yerine çip kullanmayı tercih edeceğini belirtiyor. Uzmanlar da hassas verilerin depolandığı uygulamaları hedef alabilecek olası siber saldırıların geri dönüşü olmayan sonuçlarına karşı uyarıyor.

E-Nabız ve HES uygulamaları verilerimizi koruyor mu?

Türkiye'de e-Nabız ve Hayat Eve Sığar (HES) uygulaması üzerinden aşı sertifikası alınabiliyor. Uzmanlara göre, kişilerin hassas ve kritik bilgilerinin tutulduğu ve çalınmasının ciddi problemler yaratacağı bu sistemler ciddi bir gizlilik tehlikesi barındırıyor.

Bugüne dek uygulamaların zafiyetlerine ilişkin bir açıklama yapılmasa da ismini vermek istemeyen bir siber güvenlik uzmanına göre ufak bir araştırmayla bunları öngörmek mümkün. Zira, aşı kimliği almanın mümkün olduğu e-Nabız sistemi birkaç kritik riski barındırıyor.

Birinci riski, e-Nabız'da aşı kimliği almaya çalışırken iki faktörlü kimlik doğrulamasının olmaması oluşturuyor. E-Nabız üyeliğiyle giriş yapan bir kullanıcı istese de bu doğrulama özelliğini etkin duruma getiremiyor. Bu da parolayı veya o anki bağlantıyı, oturumu elde eden kişinin hesaba giriş yapabileceği manasına geliyor. Bir saldırganın parolayı ya da o anki bağlantıyı elde ederek bilgilere erişebilmesi mümkün.

Bir diğer açık, parola sıfırlama alanında olan SMS doğrulama olayının bypass edilebilmesi. Yani TC kimlik ve telefon numarası bilinen birinin parolasını sıfırlayarak hesabına giriş yapmasını engellemek mümkün. Bunlar halihazırda gündelik hayatta pek çok kuruma verilen bilgiler.

İsmini vermek istemeyen siber güvenlik uzmanına göre en kritik risk ise Avrupa Birliği uyumlu aşı kimliği bölümünde ortaya çıkıyor. Her aşı kimliğine ait bir ID numarası (sertifika tanımlayıcı numara) bulunuyor ve kullanıcılar bu numara ile aşı karnesine erişiyor. Ancak sıkıntı bu numaranın, internet üzerinde herhangi bir kullanıcının erişimine açık olmasında. Yani sadece kullanıcı tarafından erişilebilmesi gereken bu kod, URL üzerinden tüm dünyaya açık şekilde erişimde. Bu da "brute force" (hackerların deneme-yanılma yoluyla şifreleri çözebilmek için kullandığı bir saldırı tekniği) ve benzeri farklı atak teknikleriyle buradaki kullanıcılara ait sağlık kimliklerine rahatlıkla erişilebilmesine olanak sağlıyor.

Ozan İnan

Ozan İnan

Güvenli bir altyapı yok

Blockchain ve siber güvenlik danışmanı Ozan İnan, bir güvenlik zafiyeti olsa dahi Dünya Sağlık Örgütü (WHO) liderliğinde tüm ülkelerin salgınla mücadele ettiği hassas bir dönemde kimsenin bu zafiyetleri açıklamaya cesaret edemeyeceğini düşünüyor.

Ancak İnan'a göre aslında böyle bir açıklama şart da değil: "Konuyu aşı kimliği uygulamasından bağımsız ele almak lazım. Bugün dünya devi Facebook, Instagram gibi uygulamalarda yaşanan kesinti ve veri güvenliği sorunlarını ele alalım. HES de neticede bulut üzerinde çalışan bir uygulama. Çeşitli şifreleme teknikleriyle veri tabanlarına yazılan verileriniz bütünseldir. Yani dışarıdan atak yapan biri tüm verilerinize aynı anda erişebilir. Bugünün dünyasında bu verileri koruyabilmenin tek yolu ise verilerin ve şifrelerinin dağıtık yapılarda tutulmasına olanak veren blockchain tabanlı sistemler kullanmak. Oysa Türkiye'de ya da dünyanın hiçbir ülkesinde aşı kimliklerinizi saklayan uygulamalar bu altyapıya sahip değil."

Ayhan Bamyacı

Ayhan Bamyacı

Platin Bilişim CEO'su Ayhan Bamyacı da uygulama ve mobil güvenlik konusuna vurgu yapıyor, "Zincirin en zayıf halkası mobil uygulama tarafı" diyor. Bamyacı, cep telefonlarına giren herhangi kötü bir yazılımın HES uygulaması içindeki tüm verileri riske atmaya yeterli olacağını paylaşıyor.

Elde edilen veriler ne zaman silinecek?

Türkiye'de kullanılan uygulamada işlenen kişisel verilerin sorumluluğu Sağlık Bakanlığı'nda. Bakanlık, sitesinde yayınladığı açıklamanın 'kişisel verilerin işlenme amaçları' bölümünde, bu verilerin, "pandemi ile mücadele süresiyle sınırlı olmak üzere" işlendiği vurgusunu yapıyor.

Ancak, Platin Bilişim CEO'su Ayhan Bamyacı'ya göre Sağlık Bakanlığı'nın verdiği güvence, verilerin güvenliğinden emin olabilmek için yeterli değil. Zira esas sorun HES kodunun paylaşıldığı her bir kurumun, elde ettiği verilerin süreç bitiminde silinmesiyle ilgili bir düzenlemenin olmaması. Bamyacı, "HES kodunu, aşı kimliğinizi her yerde gösteriyorsunuz, bir kuruma girerken örneğin. Peki, o kurum bu kodu saklıyor mu? Bir yerlerde kullanabilir mi? Bilmiyoruz. Sonradan silmelerini zorunlu kılan bir düzenleme de yok, işin en zayıf tarafı bu" diye konuşuyor.

Veriler farklı amaçlarla kullanılabilir

Peki, aşı kimliklerinde ve e-Nabız, HES gibi uygulamalarda yer alan sağlık verileri neden değerli? Uzmanlara göre sağlık verileriyle yapılabileceklerin sınırı yok, maliyeti ise sadece parasal değil. Bu veriler sadece virüsü taşıyan ya da aşı olmuş kişilere erişim manasına gelmiyor, kalp pili kullanan bir kişinin kullandığı kalp pilinin markasını öğrenmek ve hatta bu kişilere bir siber saldırı gerçekleştirmek dahi mümkün.

mRNA aşıları DNA'mızı neden etkilemez?

Blockchain ve siber güvenlik danışmanı Ozan İnan, verinin önemini, aşıyı bulanın bir ilaç şirketi değil; teknoloji şirketi olması gerçeğinden yola çıkarak açıklıyor. Verilerin tüm dünyada teknoloji şirketleri için hazine değerinde olduğunu söylüyor: "Bugün veriyi işleyen, öğrenen makine ya da yapay zeka teknolojileri insanın lehine aşı bulmaya çalışıyor ancak yarın bu verileri kullanarak yeni bir virüs de çıkarabilir. Bu verilerin istenmeyen bir kuvvetin eline geçmesi geri dönüşü mümkün olmayan sonuçlara sebep olabilir. Öte yandan aşı gibi kritik ve evrensel bir konunun, formülü dahil kimlere nasıl etki yaptığı, yan etkileri gibi toplanan verilerin kontrolsüz güçlerin eline geçmesi salgının seyrini değiştirebilir. Riskler bunlar ancak bu risklerin maliyetini ölçmek ise mümkün değil. Zira, bugün bir ilaç şirketi, eldeki verileri kullanarak virüsün yeni bir varyantını dahi geliştirebilecek güçte."

Uzmanlara göre, kontrolsüz güçlerin elde edebileceği bu veriler dünya ekonomisini değiştirebilecek boyutta. Bu verileri siber ataklara karşı koruyan gerekli altyapılar ve düzenlemeler ise yeterli düzeyde değil.

Yorumlar (0)
Puan Durumu
Takımlar O P
1. Trabzonspor 14 36
2. Konyaspor 14 26
3. Hatayspor 14 26
4. Fenerbahçe 14 24
5. Alanyaspor 14 24
6. Başakşehir 14 22
7. Karagümrük 14 22
8. Galatasaray 14 22
9. Adana Demirspor 14 20
10. Beşiktaş 14 20
11. Antalyaspor 14 18
12. Gaziantep FK 14 18
13. Altay 14 17
14. Sivasspor 14 16
15. Giresunspor 14 16
16. Kayserispor 14 16
17. Öznur Kablo Yeni Malatya 14 13
18. Göztepe 14 11
19. Kasımpaşa 14 10
20. Rizespor 14 10
Takımlar O P
1. Ümraniye 13 27
2. Ankaragücü 14 27
3. Eyüpspor 14 27
4. Bandırmaspor 13 25
5. Erzurumspor 12 25
6. İstanbulspor 13 20
7. Tuzlaspor 12 20
8. Kocaelispor 13 20
9. Samsunspor 13 19
10. Adanaspor 14 18
11. Menemenspor 13 17
12. Gençlerbirliği 13 17
13. Boluspor 13 16
14. Denizlispor 13 15
15. Bursaspor 13 14
16. Manisa FK 14 14
17. Ankara Keçiörengücü 13 13
18. Altınordu 14 13
19. Balıkesirspor 13 7
Takımlar O P
1. Chelsea 13 30
2. Man City 13 29
3. Liverpool 13 28
4. West Ham 13 23
5. Arsenal 13 23
6. Wolverhampton 13 20
7. Tottenham 12 19
8. M. United 13 18
9. Brighton 13 18
10. Leicester City 13 18
11. Brentford 13 16
12. Crystal Palace 14 16
13. Aston Villa 13 16
14. Everton 13 15
15. Leeds United 14 15
16. Southampton 13 14
17. Watford 13 13
18. Norwich City 14 10
19. Burnley 12 9
20. Newcastle 14 7
Takımlar O P
1. Real Madrid 14 33
2. Atletico Madrid 14 29
3. Real Sociedad 15 29
4. Sevilla 14 28
5. Real Betis 15 27
6. Rayo Vallecano 15 24
7. Barcelona 14 23
8. Athletic Bilbao 14 20
9. Espanyol 15 20
10. Osasuna 15 20
11. Valencia 15 19
12. Villarreal 14 16
13. Celta de Vigo 15 16
14. Mallorca 15 16
15. Deportivo Alaves 14 14
16. Granada 14 12
17. Elche 15 12
18. Cádiz 15 12
19. Getafe 15 10
20. Levante 15 7
Günün Karikatürü Tümü
Namaz Vakti 02 Aralık 2021
İmsak
Güneş
Öğle
İkindi
Akşam
Yatsı