Bilindiği üzere kişisel verilerin korunması hakkında üzerinde çalışılan bir yasa tasarısı var. Bu yasa yürürlüğe girdiğinde, bankaları bekleyen riskler daha net ortaya çıkacak.
Artık bankamıza internetten oturum açınca E-Devlet kapısına yani “turkiye.gov.tr”ye giriş yapabiliyoruz. E-Devlet portalına girdiğimizde çocuklarımızın okudukları okul ve sınıflardan trafik cezalarımıza, tapularımızdan trafik ve vergi borçlarımıza kadar birçok kişisel veriyi görebiliyoruz. Yani bütün mahrem bilgilerimize artık tek bir tık’ la erişebiliyoruz.
Merkezi kimlik doğrulama aslında uzun zamandır birçok organizasyon tarafından sunuluyor. Örneğin artık birçok uygulamaya üye olmadan doğrudan Facebook veya Gmail hesaplarımızla oturum açabiliyoruz. Ancak bu uygulamalar oyun, forum vs. gibi eften püften uygulamalar. Muhtemelen Gmail veya Facebook hesabınızla bankanıza oturum açmak istemezsiniz. Peki internet bankacılığı hesabınızla “turkiye. gov.tr” ye girmek ister misiniz?
İnternet bankacılığı pazarında çetin bir rekabet var. Bu sebeple bankalar farklı hizmetler üreterek birbirlerinden ayrışmaya çalışıyor. Bu kabul edilebilir bir durum. Vatandaşa Ptt aracılığı ile E-Devlet şifresi dağıtma süreci planlandığı gibi yürümeyince, bankalar burada bir fırsat görüp turkiye.gov.tr için erişimi yaygınlaştırma ve kimlik denetimi sorumluluğunu üstlenmiş olabilir.
Eyvallah, kabul. Anlaştık ama bu bankaları kimlik doğrulama otoritesi olarak tanımlayan bir yasal düzenleme var mı? Ulaştırma Bakanlığı ile bu servisi sağlayan bankalar arasında bir sözleşme olması gerekir. Ancak bu konuda bir şeffaflık olmadığı için, böyle bir sözleşme olup olmadığını, varsa da olası risk senaryoları karşısında tarafların yükümlülüklerini maalesef bilemiyoruz.
Her neyse, konunun hukuksal tarafını incelemek zaten benim işim değil. Ancak güvenlik riskleri açısından bu konuyu masaya yatırmak gerekir. Ülkemizde teknolojik yenilikler apar topar kabul edilir, ürünleştirilir ve her şey güle oynaya başlar. Güvenlik riskleri ise bir iki yıl sonra anlaşılıp tartışılmaya başlanır. Yaşanan bu süreç de tıpkı buna benziyor.
Bilindiği üzere Türkiye’de her yıl binlerce kişinin internet bankacılığı şifreleri çalınarak hesaplarına usulsüz giriş yapılıyor. Bu mağdurların eskiden sadece parası gidiyordu. Artık dolandırıcılar, mağdurların kişisel verilerine “turkive.gov.tr” üzerinden erişebilecek. Yani; “Hacker” lar bir taşla iki kuş vurmuş olacaklar. Bundan iyisi Şam’da kayısı.
Bu kişisel ve mahrem verilerin dolandırıcıların eline geçmesiyle birlikte ise vatandaşı, bankaları, kamu kuruluşlarını çok daha karmaşık fraud senaryoları bekliyor olacak.
Konuya “turkive.gov.tr” erişim servisi sağlayan bankalar açısından bakmak gerekirse; mevcut finansal fraud risklerinin üzerine, bir de kişisel verilerin korunması ile ilgili risk ve yükümlülükleri üstleniyor olacaklar.
Bilindiği üzere kişisel verilerin korunması hakkında üzerinde çalışılan bir yasa tasarısı var. Bu yasa yürürlüğe girdiğinde, bankaları bekleyen riskler daha net ortaya çıkacak. Şu aşamada müşterilerine “turkive.gov.tr” erişim servisi sağlayan veya sağlamayı planlayan tüm bankalar internet bankacılığı için kullandıkları kimlik denetimi katmanlarını mutlaka elden geçirmeliler.
Çünkü artık kişisel verilerimiz bankalara emanet!
Emre Sayın
LinkedIn: tr.linkedin.com/in/emresayin/tr