Yakın gelecekte, eIDAS 2.0 ile Avrupa, EUDI adı verilen bir kimlik cüzdanı sayesinde Avrupa vatandaşlarının kendilerini çevrimiçi olarak basit, özel ve güvenli bir şekilde tanımlamalarına olanak tanıyan, mobil bir uygulamada saklanabilecek dijital kimlikler için bir çerçeve uygulayacak. Cüzdan. Bu büyük gelişmeye, bu yeni ortama uyum sağlayacak dolandırıcılık faaliyetlerindeki artış da eşlik edecek. Bu bağlamda yasal ve teknik karşı önlemlerin hızla adapte olması ve dolandırıcılığın gelişimini öngörmesi gerekiyor.
Yeni dolandırıcılık teknikleri arasında: deepfake. Bu dijital görüntü ve video sahtekarlıkları, uzaktan kimlik doğrulama prosedürlerinin güvenliği ve bütünlüğüne yönelik giderek artan bir tehdit oluşturmaktadır. Bazı Üye Devletler, ulusal düzeyde (Fransa’daki PVID gibi) uzaktan kimlik doğrulamanın işlevsel ve güvenlik yönlerinin standartlaştırılması ve düzenlenmesi açısından büyük bir olgunluk sergilemiş olsa da, AB Devletlerinin çoğunluğu, kullanım senaryolarına bağlı olarak değişen düzeylerde gereksinimler gerektirir. Sonuç olarak Avrupa, en hafif tabirle parçalanmış, tutarsız ve belirsiz bir kimlik doğrulama ortamı sunuyor. Bu nedenle, hassas kişisel verilerin Avrupa düzeyinde güvenliğini garanti altına almak için ek önlemler gerekli ve beklenmektedir.
Dijital silahlanma yarışı: ufukta yeni tehditler
Şu anda uzaktan kimlik doğrulamaya karşı üç yeni saldırı yöntemi CISO’ları özellikle ilgilendiriyor:
- Enjeksiyon saldırısında, kontrolü ele geçirmek veya gizli bilgilere erişmek için güvenilir uygulamalara veya sistemlere kötü amaçlı kod veya veriler enjekte edilir. Yaygın bir örnek, kötü amaçlı SQL kodunun giriş alanlarına eklendiği SQL enjeksiyonlarıdır.
- Siber suçlular da sunum saldırısı yöntemini giderek daha fazla kullanıyor. Bu, sahte modeller veya örnekler sunarak biyometrik yüz tanıma sistemlerini aldatmayı amaçlamaktadır. Bunlar, orijinal biyometrik özellikler yerine sunulan fotoğraflar, maskeler veya sentetik parmak izleri olabilir.
- Kimlik belgesi saldırıları: Pasaport veya kimlik kartları gibi sahte veya değiştirilmiş kimlik belgelerinin sahte kimlik oluşturmak için kullanıldığı bir yöntem. Bu, belgelerin kendilerinin tahrif edilmesi veya içerdikleri bilgilerin değiştirilmesi yoluyla yapılabilir. Uzmanlar zaten bu yönteme karşı bir savunma stratejisi önermiş ve uzaktan kimlik doğrulama işlemi sırasında resmi bir kimlik belgesinin NFC çipinin taranmasını savunmuştu.
Siber savunma cephaneliği: Dolandırıcılıkla etkili bir şekilde mücadele etmenin anahtarı
Avrupa Siber Güvenlik Ajansı (ENISA), Mart 2024 1 tarihli Uzaktan Kimlik Doğrulamada İyi Uygulamalar raporunda bu tehditleri ve yeni saldırı tekniklerini vurguluyor. Amacı, eIDAS 2.0 yönetmeliği taslağında formüle edilen dijital kimliklere yönelik güvenlik gereksinimlerini somut önlemlerle desteklemektir.
Bu bağlamda ENISA, uzaktan kimlik doğrulama süreçleri için güncellenmiş güvenlik önlemlerini önermektedir. Rapor, olası önleme sistemleri ve yöntemlerine genel bir bakış sunuyor ve aynı zamanda kamu ile özel sektör arasında gerekli bir diyaloğun kurulmasına da yol açıyor. Ancak bu raporun kuruluşlar tarafından dolandırıcılıkla mücadelede tek çözüm olarak değerlendirilmemesi gerekiyor.
Önerilen önlemler arasında:
- Statik görüntü analizi yerine hareket algılama: Çoğu modern uzaktan kimlik doğrulama çözümü, gerçek kişileri dijital sahtekarlardan ayırmak için hareket algılamayı kullanmalıdır. Yazılım, göz hareketlerini, dudak hareketlerini ve yüz ifadelerini gerçek zamanlı olarak tanır.
- Meta Veri Analizi: Amaç, kullanıcının işletim sisteminde bir veya daha fazla donanım bileşeninin davranışını taklit eden bir sanal kamera veya donanım emülatörünün varlığını tespit etmektir. Bunun için uzaktan kimlik doğrulama oturumunun fotoğraf veya video akışının çözünürlüğü, GPS verileri, zaman damgası, ağ bilgileri ve işletim sistemi gibi çeşitli meta verileri incelenir.
- Yapay zeka destekli kimlik doğrulama: Yapay zeka kullanan sistemler, görüntü verilerindeki en küçük farklılıkları bile tanır ve derin sahtekarlıkları yüksek derecede güvenle tanımlayabilir. Milyonlarca doğru ve yanlış kimlik doğrulamasını temel alan eğitim, bu sistemlere ince ayar yapılmasına olanak tanır.
- Biyometrik Yüz Tanıma: 3D kontur analizi, göz takibi ve jestler gibi çeşitli biyometrik yüz özelliklerinin işlenmesi, kullanıcıları güvenilir bir şekilde tanımlayabilir.
İnsanlar ve makineler arasındaki etkileşime karşı koruma mekanizmaları
Önerilen çeşitli süreçler artık zengin ve incelikli bir tartışmayı ateşleyerek çok sayıda aydınlatıcı perspektif sunuyor. Belirli bir ülkede uyulması gereken uygulama veya düzenlemelere bağlı olarak her sürecin farklı etkileri vardır. Bu nedenle herkese uygun tek çözüm yaklaşımı, düzenleyici kurumların ve özel sektörün karşılaştığı zorlukları çözmeyecektir.
Bu nedenle ENISA, giderek artan siber riskler karşısında tehditlere ayak uydurabilmek için kimlik belgelerinin uzaktan doğrulanmasının yapay zeka tarafından desteklenen çok katmanlı bir güvenlik yaklaşımı gerektirdiğini vurguluyor. Şirketler, güvenlik olaylarını ve bunların maliyetli yönetimini etkili bir şekilde en aza indirmek için bu hassas alanda önleyici güvenlik önlemleri uygulamalıdır. Yüksek güvenlikli dijital kimliklere yönelik eIDAS 2.0’ın katı gereksinimlerini uygulamaya koymanın tek yolu budur.