Geçiş anahtarları ve biyometri uzun süredir siber güvenliğin yeni sınırı olarak görülüyor ve birçok kuruluş çalışanlarının bunları kullanmasını zorunlu kılıyor. Bu iki teknoloji tek başına kurumsal güvenlik için uzun bir yol açtı, kuruluşları veri ihlallerinden ve siber saldırılardan koruyarak şirketler için daha güvenli bir ortam oluşturdu.
Her teknoloji gibi, geçiş anahtarları ve biyometri de yakında geçerliliğini yitirecek. Sürekli değişen teknolojiler ve her zaman güvenlik açıklarından yararlanma yolunu bulan tehdit aktörleri nedeniyle. Burada, ofis alanlarındaki geçiş anahtarlarının ve biyometrinin etkilerine, bunların oluşturduğu potansiyel güvenlik açıklarına ve kullanıcı gizliliği üzerindeki etkilerine hızlı bir bakış bulacaksınız.
İyi ve Kötü: Tehlikeleri Aşmak
Şiva NathanOnymos’un Kurucusu ve CEO’su, alternatif kimlik doğrulama mekanizmalarının, özellikle de biyometrinin yaygınlık kazanacağı bir gelecek öngörüyor. Geçiş anahtarlarının ve biyometri kullanımının vurgulanması, “daha fazla web sitesi ve uygulamanın, çoğu biyometriyi içerecek şekilde şifreler için alternatif kimlik doğrulama mekanizmaları sunacağını” belirtiyor. İki büyük platform oyuncusu (Apple ve Google) geçiş anahtarlarının/FIDO’nun benimsenmesini artıracak”.
SlashNext’in 2022 Kimlik Avı Durumu Raporu keskin bir gerçeği vurguluyor: saldırıların %76’sı kimlik bilgileri toplamaya odaklanıyor ve güvenliğe yönelik kalıcı tehdidi vurguluyor. Geçiş anahtarları ve biyometri, her ne kadar zorlu olsa da, teknolojik gelişmelerin aynı derecede karmaşık tehdit aktörleriyle buluştuğu bir çağda zorluklarla karşı karşıyadır.
Çok faktörlü kimlik doğrulama (MFA), kullanıcıları şifreleri çeşitlendirmeye ve rutin değişiklikleri benimsemeye teşvik eden önemli bir savunma mekanizması olarak ortaya çıkıyor. Ancak kulağa ne kadar iyi gelse de bilgisayar korsanlarının MFA’yı atlatmak için kendi yöntemleri var ve bu teknolojilerden biri de sosyal mühendislik ve karanlık web erişimidir. Bilgisayar korsanları, sosyal mühendislik yoluyla çevrimiçi hesaplara ve bunlarla ilişkili teknolojilere erişebilir.
Dahası, satıcıların kullanıcılara ‘erişim’ reklamı yaptığı ve ilgili tarafların kurumsal hesaplara giriş bilgilerini 100 dolardan daha düşük bir ücret karşılığında satın alabileceği bu zorlu süreçte karanlık ağ çok önemli bir rol oynadı.
Şifre İkilemi: Gerçekleşmeyi Bekleyen Bir İhlal
Biyometri hâlâ daha güvenli bir seçenek olarak görülse de şifrelerin ve geçiş anahtarlarının kullanımı sıklıkla veri ihlalleriyle ilişkilendiriliyor. Raporlara göre bugüne kadarki en kapsamlı şifre koleksiyonu, yakın zamanda popüler bir hacker forumunda ortaya çıktı ve bir kullanıcı tarafından 8,4 milyar şifre içeren devasa 100 GB TXT dosyasında paylaşıldı.
Genellikle daha güvenli bir alternatif olarak kabul edilen biyometrik sistemler, kullanıcı gizliliğini sağlama konusunda riskli bir yolda ilerlemektedir. Bu yılın başlarında Federal Ticaret Komisyonu, kullanıcıları biyometrik bilgilerin kötüye kullanılması konusunda uyardı. FTC’nin Tüketiciyi Koruma Bürosu Direktörü Samuel Levine, biyometrik gözetimin artan karmaşıklığını ve yaygınlığını vurgulayarak mahremiyet ve sivil haklar konusunda yeni zorluklar ortaya çıkardı.
Bu arayışın temelinde FTC birkaç önemli nokta belirledi, biyometrik kimlik doğrulamanın devam eden kötüye kullanımına bağlı kalarak. Bu noktalar şunları içerir:
- Biyometrik verileri toplamadan önce potansiyel tüketici zararlarının değerlendirilmesinin ihmal edilmesi.
- Bilinen veya öngörülebilir risklere ilişkin eylemin geciktirilmesi ve bunları hafifletecek araçların uygulanmaması.
- Biyometrik bilgilerin gizli veya beklenmedik şekilde toplanması ve kullanılması.
- Biyometrik veri erişimiyle ilgili üçüncü taraf uygulamalarının ve yeteneklerinin değerlendirilmesinin ihmal edilmesi.
- Biyometrik bilgileri kullanan çalışanlar ve yükleniciler için yetersiz eğitim.
- Tüketicilerin zarar görmesini önlemek amacıyla biyometrik teknolojilerin izlenmemesi ve düzgün işleyişinin sağlanamaması.
Geçiş Anahtarlarının ve Biyometrinin Kullanımı: Yasal görünüm
Biyometrik veri koruması küresel bir spesifikliğe sahip değildir; yasal hükümlerin çoğu daha geniş kişisel veri koruma mevzuatına dayanmaktadır. Avrupa Üye Devletlerindeki Genel Veri Koruma Yönetmeliği (GDPR) biyometrik veri koruması için kapsamlı bir çerçeve sağlayan dikkate değer bir istisnadır. GDPR’nin etkisi İngiltere dahil 28 ülkeyi kapsıyor
ABD’de kapsamlı bir federal yasa olmamasına rağmen Illinois, Texas, California, New York ve Virginia gibi eyaletler biyometrik gizlilik yasalarını yürürlüğe koydu. ABD’de biyometrik veri korumasına ilişkin yasal çerçeve, rıza, veri ihlali bildirimi ve veri ihlali ve siber saldırı durumlarında uyumsuzluğa ilişkin cezalar gibi konulara odaklanarak hızla gelişiyor.
Hindistan’da Yüksek Mahkeme, özellikle Aadhaar kimlik belirleme programı bağlamında biyometrik verilerin düzenlenmesini etkileyerek gizliliği temel bir hak olarak tanıdı. Çin, benzersiz bir yaklaşım izleyerek, Siber Güvenlik Yasası ve Kişisel Bilgilerin Korunması Yasası (PIPL) gibi yasalar aracılığıyla tüketici gizliliğini ve devlet gözetimini dengeliyor.
Zorluklara ve devam eden gelişmelere rağmen, mahremiyetin önemi konusunda giderek artan bir küresel fikir birliği var. Avrupa’dan Brezilya’ya, Hindistan’a, Çin’e ve Afrika’ya kadar pek çok ülke, sağlam hesap verebilirlik ihtiyacını vurgulayan ve yetersiz veri koruması nedeniyle önemli para cezaları uygulayan gizlilik yasalarını yürürlüğe koydu veya güncelledi.
Siber güvenlik anlatısı ortaya çıktıkça gizlilik konusunda küresel bir fikir birliği ivme kazanıyor. GDPR’nin kişisel ve biyometrik verilerin korunması üzerindeki etkisinden kıtalar çapında katı gizlilik yasalarının yürürlüğe girmesine kadar, güçlü hesap verebilirlik çağrısı yankı buluyor. İnovasyon ve güvenlik arasındaki bu dinamik dansta kuruluşların uyanık kalması, kullanıcı verilerinin kutsallığını korurken yeni tehditlere uyum sağlaması gerekiyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.