Aşı kimliği uygulamalarında veriler güvende mi?

Covid-19 ile mücadele kapsamında birçok ülkede kullanılan, aşı ve temas bilgilerinin yanı sıra pek çok kişisel verinin de yer aldığı aşı pasaportu uygulamalarında vatandaşların paylaştığı veriler ne derece güvende? 

SAĞLIK 01.11.2021, 16:04 Tugs Enkh
13
Aşı kimliği uygulamalarında veriler güvende mi?

Dünyanın dört bir yanında devletler Covid-19'un yayılmasını yavaşlatmak, aşı ve temas takibi yapabilmek için özel uygulamalar ve çözümler geliştiriyor. Ancak geçtiğimiz günlerde Avustralya hükümetinin geliştirdiği uygulamada saptanan bir güvenlik açığı ile aşı kimliği uygulamalarının güvenilirliği ile ilgili kaygılar yeniden gündeme geldi.

Yazılım şirketi NordVPN'in Amerika'da bin kişiyle gerçekleştirdiği araştırmada, katılımcıların yüzde 38'i verilerinin çalınmasından endişe ederken; yüzde 35'i aşı kimliği yerine çip kullanmayı tercih edeceğini belirtiyor. Uzmanlar da hassas verilerin depolandığı uygulamaları hedef alabilecek olası siber saldırıların geri dönüşü olmayan sonuçlarına karşı uyarıyor.

E-Nabız ve HES uygulamaları verilerimizi koruyor mu?

Türkiye'de e-Nabız ve Hayat Eve Sığar (HES) uygulaması üzerinden aşı sertifikası alınabiliyor. Uzmanlara göre, kişilerin hassas ve kritik bilgilerinin tutulduğu ve çalınmasının ciddi problemler yaratacağı bu sistemler ciddi bir gizlilik tehlikesi barındırıyor.

Bugüne dek uygulamaların zafiyetlerine ilişkin bir açıklama yapılmasa da ismini vermek istemeyen bir siber güvenlik uzmanına göre ufak bir araştırmayla bunları öngörmek mümkün. Zira, aşı kimliği almanın mümkün olduğu e-Nabız sistemi birkaç kritik riski barındırıyor.

Birinci riski, e-Nabız'da aşı kimliği almaya çalışırken iki faktörlü kimlik doğrulamasının olmaması oluşturuyor. E-Nabız üyeliğiyle giriş yapan bir kullanıcı istese de bu doğrulama özelliğini etkin duruma getiremiyor. Bu da parolayı veya o anki bağlantıyı, oturumu elde eden kişinin hesaba giriş yapabileceği manasına geliyor. Bir saldırganın parolayı ya da o anki bağlantıyı elde ederek bilgilere erişebilmesi mümkün.

Bir diğer açık, parola sıfırlama alanında olan SMS doğrulama olayının bypass edilebilmesi. Yani TC kimlik ve telefon numarası bilinen birinin parolasını sıfırlayarak hesabına giriş yapmasını engellemek mümkün. Bunlar halihazırda gündelik hayatta pek çok kuruma verilen bilgiler.

İsmini vermek istemeyen siber güvenlik uzmanına göre en kritik risk ise Avrupa Birliği uyumlu aşı kimliği bölümünde ortaya çıkıyor. Her aşı kimliğine ait bir ID numarası (sertifika tanımlayıcı numara) bulunuyor ve kullanıcılar bu numara ile aşı karnesine erişiyor. Ancak sıkıntı bu numaranın, internet üzerinde herhangi bir kullanıcının erişimine açık olmasında. Yani sadece kullanıcı tarafından erişilebilmesi gereken bu kod, URL üzerinden tüm dünyaya açık şekilde erişimde. Bu da "brute force" (hackerların deneme-yanılma yoluyla şifreleri çözebilmek için kullandığı bir saldırı tekniği) ve benzeri farklı atak teknikleriyle buradaki kullanıcılara ait sağlık kimliklerine rahatlıkla erişilebilmesine olanak sağlıyor.

Ozan İnan

Ozan İnan

Güvenli bir altyapı yok

Blockchain ve siber güvenlik danışmanı Ozan İnan, bir güvenlik zafiyeti olsa dahi Dünya Sağlık Örgütü (WHO) liderliğinde tüm ülkelerin salgınla mücadele ettiği hassas bir dönemde kimsenin bu zafiyetleri açıklamaya cesaret edemeyeceğini düşünüyor.

Ancak İnan'a göre aslında böyle bir açıklama şart da değil: "Konuyu aşı kimliği uygulamasından bağımsız ele almak lazım. Bugün dünya devi Facebook, Instagram gibi uygulamalarda yaşanan kesinti ve veri güvenliği sorunlarını ele alalım. HES de neticede bulut üzerinde çalışan bir uygulama. Çeşitli şifreleme teknikleriyle veri tabanlarına yazılan verileriniz bütünseldir. Yani dışarıdan atak yapan biri tüm verilerinize aynı anda erişebilir. Bugünün dünyasında bu verileri koruyabilmenin tek yolu ise verilerin ve şifrelerinin dağıtık yapılarda tutulmasına olanak veren blockchain tabanlı sistemler kullanmak. Oysa Türkiye'de ya da dünyanın hiçbir ülkesinde aşı kimliklerinizi saklayan uygulamalar bu altyapıya sahip değil."

Ayhan Bamyacı

Ayhan Bamyacı

Platin Bilişim CEO'su Ayhan Bamyacı da uygulama ve mobil güvenlik konusuna vurgu yapıyor, "Zincirin en zayıf halkası mobil uygulama tarafı" diyor. Bamyacı, cep telefonlarına giren herhangi kötü bir yazılımın HES uygulaması içindeki tüm verileri riske atmaya yeterli olacağını paylaşıyor.

Elde edilen veriler ne zaman silinecek?

Türkiye'de kullanılan uygulamada işlenen kişisel verilerin sorumluluğu Sağlık Bakanlığı'nda. Bakanlık, sitesinde yayınladığı açıklamanın 'kişisel verilerin işlenme amaçları' bölümünde, bu verilerin, "pandemi ile mücadele süresiyle sınırlı olmak üzere" işlendiği vurgusunu yapıyor.

Ancak, Platin Bilişim CEO'su Ayhan Bamyacı'ya göre Sağlık Bakanlığı'nın verdiği güvence, verilerin güvenliğinden emin olabilmek için yeterli değil. Zira esas sorun HES kodunun paylaşıldığı her bir kurumun, elde ettiği verilerin süreç bitiminde silinmesiyle ilgili bir düzenlemenin olmaması. Bamyacı, "HES kodunu, aşı kimliğinizi her yerde gösteriyorsunuz, bir kuruma girerken örneğin. Peki, o kurum bu kodu saklıyor mu? Bir yerlerde kullanabilir mi? Bilmiyoruz. Sonradan silmelerini zorunlu kılan bir düzenleme de yok, işin en zayıf tarafı bu" diye konuşuyor.

Veriler farklı amaçlarla kullanılabilir

Peki, aşı kimliklerinde ve e-Nabız, HES gibi uygulamalarda yer alan sağlık verileri neden değerli? Uzmanlara göre sağlık verileriyle yapılabileceklerin sınırı yok, maliyeti ise sadece parasal değil. Bu veriler sadece virüsü taşıyan ya da aşı olmuş kişilere erişim manasına gelmiyor, kalp pili kullanan bir kişinin kullandığı kalp pilinin markasını öğrenmek ve hatta bu kişilere bir siber saldırı gerçekleştirmek dahi mümkün.

mRNA aşıları DNA'mızı neden etkilemez?

Blockchain ve siber güvenlik danışmanı Ozan İnan, verinin önemini, aşıyı bulanın bir ilaç şirketi değil; teknoloji şirketi olması gerçeğinden yola çıkarak açıklıyor. Verilerin tüm dünyada teknoloji şirketleri için hazine değerinde olduğunu söylüyor: "Bugün veriyi işleyen, öğrenen makine ya da yapay zeka teknolojileri insanın lehine aşı bulmaya çalışıyor ancak yarın bu verileri kullanarak yeni bir virüs de çıkarabilir. Bu verilerin istenmeyen bir kuvvetin eline geçmesi geri dönüşü mümkün olmayan sonuçlara sebep olabilir. Öte yandan aşı gibi kritik ve evrensel bir konunun, formülü dahil kimlere nasıl etki yaptığı, yan etkileri gibi toplanan verilerin kontrolsüz güçlerin eline geçmesi salgının seyrini değiştirebilir. Riskler bunlar ancak bu risklerin maliyetini ölçmek ise mümkün değil. Zira, bugün bir ilaç şirketi, eldeki verileri kullanarak virüsün yeni bir varyantını dahi geliştirebilecek güçte."

Uzmanlara göre, kontrolsüz güçlerin elde edebileceği bu veriler dünya ekonomisini değiştirebilecek boyutta. Bu verileri siber ataklara karşı koruyan gerekli altyapılar ve düzenlemeler ise yeterli düzeyde değil.

Yorumlar (0)
Puan Durumu
Takımlar O P
1. Trabzonspor 38 81
2. Fenerbahçe 38 73
3. Konyaspor 38 68
4. Başakşehir 38 65
5. Alanyaspor 38 64
6. Beşiktaş 38 59
7. Antalyaspor 38 59
8. Karagümrük 38 57
9. Adana Demirspor 38 55
10. Sivasspor 38 54
11. Kasımpaşa 38 53
12. Hatayspor 38 53
13. Galatasaray 38 52
14. Kayserispor 38 47
15. Gaziantep FK 38 46
16. Giresunspor 38 45
17. Rizespor 38 36
18. Altay 38 34
19. Göztepe 38 28
20. Ö.K Yeni Malatya 38 20
Takımlar O P
1. Ankaragücü 36 70
2. Ümraniye 36 70
3. Bandırmaspor 36 62
4. İstanbulspor 36 60
5. Erzurumspor 36 58
6. Eyüpspor 36 57
7. Samsunspor 36 51
8. Boluspor 36 50
9. Manisa Futbol Kulübü 36 49
10. Tuzlaspor 36 49
11. Denizlispor 36 49
12. Keçiörengücü 36 48
13. Gençlerbirliği 36 48
14. Altınordu 36 45
15. Adanaspor 36 45
16. Kocaelispor 36 44
17. Bursaspor 36 44
18. Menemen Belediyespor 36 38
19. Balıkesirspor 36 12
Takımlar O P
1. M.City 38 93
2. Liverpool 38 92
3. Chelsea 38 74
4. Tottenham 38 71
5. Arsenal 38 69
6. M. United 38 58
7. West Ham United 38 56
8. Leicester City 38 52
9. Brighton 38 51
10. Wolverhampton Wanderers 38 51
11. Newcastle 38 49
12. Crystal Palace 38 48
13. Brentford 38 46
14. Aston Villa 38 45
15. Southampton 38 40
16. Everton 38 39
17. Leeds United 38 38
18. Burnley 38 35
19. Watford 38 23
20. Norwich City 38 22
Takımlar O P
1. Real Madrid 38 86
2. Barcelona 38 73
3. Atletico Madrid 38 71
4. Sevilla 38 70
5. Real Betis 38 65
6. Real Sociedad 38 62
7. Villarreal 38 59
8. Athletic Bilbao 38 55
9. Valencia 38 48
10. Osasuna 38 47
11. Celta Vigo 38 46
12. Rayo Vallecano 38 42
13. Elche 38 42
14. Espanyol 38 42
15. Getafe 38 39
16. Mallorca 38 39
17. Cadiz 38 39
18. Granada 38 38
19. Levante 38 35
20. Deportivo Alaves 38 31
Günün Karikatürü Tümü
Namaz Vakti 25 Haziran 2022
İmsak
Güneş
Öğle
İkindi
Akşam
Yatsı