Raj Ananthanpillai, Trua Kurucusu ve CEO’su
Sosyal Güvenlik numaralarını ve diğer kişisel tanımlanabilir bilgileri çalan bilgisayar korsanları söz konusu olduğunda, Kongre üyeleri bile güvende değildir.
Öyleyse neden geri kalanımızın öyle olduğunu düşünelim?
Bilgisayar korsanları Mart ayında DC milletvekilleri ve sakinleri için bir sağlık pazarına eriştikten sonra, araştırmacılar dark web’de milletvekilleri, aileleri ve çalışanları için Sosyal Güvenlik numaralarını, doğum tarihlerini, adresleri ve telefon numaralarını keşfettiler.
Bilgisayar korsanları küstah ve acımasızdır. Çoğu işletme, ne kadar vicdanlı olursa olsun, PII aramak için onlara hevesle ve zekice saldıran siber suçlulara karşı bir kale görevi görecek donanıma sahip değildir.
Ve çoğu zaman, tam olarak peşinde oldukları şey budur. Bir 2021 IBM raporu, raporda incelenen tüm ihlallerin %44’üne PII’nin dahil edildiğini tespit etti ve bu da PII’yi kaybolan veya çalınan en yaygın kayıt türü haline getirdi. Bunu, müşteri verilerinden PII çıkarıldığında meydana gelen ihlallerin %28’iyle karşılaştırın.
Ve siber suçlular yavaşlamıyor. Aslında, Kimlik Hırsızlığı Kaynak Merkezi tarafından yapılan bir analize göre, ABD’de tahmini 89 milyon kişinin veri gizliliğinin kurbanı olduğu 2023’ün ilk çeyreğinde meşguldüler.
Açıkçası, bilgisayar korsanları PII’yi değerli görüyor. Bu nedenle, bu bilgiler bir işletme veya devlet kurumu tarafından ne kadar az tutulur ve depolanırsa o kadar iyidir. Soru şu: PII’nin bu kadar geniş bir alana yayılmasını ve bu kötü aktörler için cazip bir hedef haline gelmesini nasıl durdurabiliriz?
En azından birkaç seçenek dikkate alınmalıdır.
Birincisi, işletmelerin tüketicilerden gerçekten hangi bilgilere ihtiyaç duydukları ve bu verilerin bir kısmını yalnızca birinin kimliğini doğrulamak için toplayıp toplamadıkları konusunda ciddi bir şekilde düşünmeleri gerektiğidir.
Örneğin bir spor salonu sahibi olduğunuzu varsayalım. Spor salonu üyeliği başvurusunu tamamlayabilmeleri için birinin Sosyal Güvenlik numarasına gerçekten ihtiyacınız var mı? Ya da sağlıkçılar için, hastaların sigortası varken SSN’ye mi ihtiyacınız var?
Çünkü bir kez PII’ye sahip olduğunuzda, onu kesinlikle mümkün olduğunca güvenli tutmanız gerekir. Ancak haberlerde defalarca gördüğümüz gibi, verileri azimli ve zeki siber suçlulardan korumak kolay bir iş değil ve bir ihlal olduğunda işletmeler kendilerini sorumluluk riskine atıyorlar.
Elbette, şirketlerin bazen PII talep etmek için meşru sebepleri vardır. Örneğin işverenler, bordro amaçları için çalışanlardan gelen bu bilgilere ihtiyaç duyar. Bankalar, müşterilerin hesap oluşturduğunda Sosyal Güvenlik numaralarını almakla yükümlüdür.
Ancak çoğu durumda bilgiye ihtiyaç duyulmaz.
Tüketicilere, bir işletme Sosyal Güvenlik numaralarını veya doğum tarihlerini veya bilgisayar korsanlarının can attığı herhangi bir bilgiyi istediğinde soru sormalarını tavsiye ediyorum. İşletmenin buna neden ihtiyacı var? Nasıl kullanılacak?
İşletmeler kendilerine benzer sorular sormalıdır. Az önce kimlik doğrulaması için ihtiyaç duyduğunuz, ancak artık korumanız gereken bu bilgileri toplayıp depolamaktan daha iyi yollar yok mu?
Bu sorunun çözülebileceği ikinci bir yol, doğrulanmış dijital kimliğin daha yaygın bir şekilde benimsenmesi ve kullanılmasıdır. Doğrulanmış dijital kimlikle, kişilerin özel kişisel bilgilerini tekrar tekrar vermesi gerekmeyecek. Dijital kimlikleri oluşturulduğunda doğrulanması için bunu bir kez sağlayacaklardır. Bundan sonra, birisi kim olduğunu doğrulamak istediğinde, hassas bilgilerini tekrar tekrar paylaşmak yerine kimliğini gösterecek.
Bu sistemle, bireyin kişisel bilgilerinin siber suçluların eline geçme olasılığı daha düşük oluyor ve bu da insanların işletmeye olan güvenini kaybetme olasılığını azaltıyor. Bu arada işletmeler, kişinin kimliğinin doğrulandığını bilecek, ancak bilgileri saklama ve koruma sorumluluğunu üstlenmeleri gerekmeyecek.
Ancak şu anki haliyle, bu dijital kimliklerin kullanımı yaygınlaşmadı. Uğraştığımız diğer pek çok şey dijitalleşirken, güven doğrulama ve güvence hala analog dünyada.
Yine de bunun değişeceği kesin. Tüketiciler, giderek daha fazla veri açığa çıktıkça bunda ısrar edecekler ve bilgilerinin şüpheli savunmalarla çok sayıda yerde saklanmasına bir alternatif olduğunu öğrenecekler.
İşletmeler böyle bir değişime hazırlanmalı ve benimsemelidir.
Ne de olsa bu, kararlı bilgisayar korsanlarına onları hedeflemek için daha az neden verecektir.
yazar hakkında
Raj Ananthanpillai, dijital ortamlarda güven ve güvenliği, paylaşım ekonomisini, istihdamı ve iş gücü taramasını garanti eden gizliliği koruyan kimlik ve risk tarama platformları sağlayan Trua’nın Kurucusu ve CEO’sudur.
Raj’a çevrimiçi olarak https://www.linkedin.com/in/raj-ananthanpillai-endera/ adresinden ve şirketimizin web sitesi http://www.truame.com/ adresinden ulaşılabilir.