By 
biOnay Kurucu Ortağı Ümit Yaşar Usta: “biOnay cihazları sadece kimlik sahteciliğini önlemekle kalmıyor, aynı zamanda günlük e-imza ile süreçlerini dijitalleştiriyor, maliyetleri düşürüyor, inkar edilmezliği ve zamandan tasarrufu sağlıyor.”
Ümit Bey bize biraz kendinizden bahseder misiniz?
Deniz Harp Okulu Yöneylem Araştırma mezunuyum. Daha sonrasında Amerikan Deniz Kuvvetleri’ne ait Kaliforniya’daki NPS yüksek okulunda bilgisayar alanında master yaptım. Bilgisayara merakım ise lise yıllarında başladı. 1986 yılından beri bilgisayar programcılığı ve teknoloji dünyasıyla iç içe oldum. 2000 yılından itibaren ise bilişim güvenliği, kriptografi, akıllı (çipli) kartlar alanında ürün geliştirdim ve projelerde yer aldım. Türkiye’de ve yurt dışında güvenlik alanında ürün geliştirme ve müşteri projelerinde tecrübe edindim. Son 6 yıldır ise özellikle e-imza ve yeni kimlik alanında çözümler geliştiriyorum.
Başarıya ulaşmak için iyi bir mühendis olmak kadar piyasayı, müşterileri tanıyıp anlama, ürün geliştirme, platform geliştirme ve ürün pazarlama konularında insanların kendilerini geliştirmesi gerektiğine inanıyorum. Ürüne ve teknolojiye değil, müşterilerin ve kurumların ihtiyaçlarına odaklanmak gerekiyor. Güvenlik çözümlerinin kullanılabilir, standartlara uygun, geniş kitlelere hitap edebilen ve olası tehditleri önleyebilir olması lazım. Konu güvenlik olunca, teknolojinin yanı sıra, mutlaka yasal düzenlemeler ve mevzuatlar da önem arz ediyor. Çipli kimliklerle yakından ilgilenmemizin birincil sebebi, 80 milyon gibi geniş bir kitleye dağıtılmış olması ve tüm kurum ve kuruluşlarda kullanılabilir bir çözüm potansiyeli sunuyor olması. Üstelik bu çipli kimlik kartlarda parmak izi bulunması, KVK uyumlu biyometrik kimlik doğrulamayı mümkün kılıyor. Çipli kart projesi SGK’nın talebiyle TÜBİTAK tarafından sağlık kartı projesi olarak başlatılıyor ve uluslararası standartları temel alarak daha sonra nüfus kimlik kartları olarak evriliyor. Bu sayede geniş kitlelere hitap edebilen, yüksek güvenlik teknolojisine sahip, firma bağımsız, hukuksal altyapısı olan ve pek çok düzenleyici kurumca desteklenen (TÜBİTAK, BTK, KVKK, TSE, NVİ) ortak bir çözüm haline geliyor. Artık her kurumun kendine özgü kapalı çevrim, birbiriyle uyumsuz ve KVK ile çelişen biyometrik verileri merkezi veritabanlarında kayıt eden çözümler yerine, tüm kurumlarda geçerli olan ve yasal kanıt sunan, NVİ yönetiminde ve denetiminde biyometrik kimlik kartı doğrulama çözüm seçeneği var.
Kimlik sahteciliğiyle en sık hangi alanlarda karşılaşılıyor? Hem kurumlar hem de vatandaşlar bu konuda ne tür mağduriyetler yaşıyor?
Kimlik sahteciliği, maalesef bu tarz eylemlerden menfaat elde etmeye çalışan kötü niyetli kişilerce veya organize suç örgütlerince her alanda karşımıza çıkabiliyor. Tapuda sahte kimlik ve dublör kullanımıyla taşınmaz devri, noterlerde sahte kimlikle vekaletname çıkarılması, araç devri gibi sahtecilik girişimleri olabiliyor. Yine sınav merkezlerinde, ÖSYM ya da MEB gibi kurumların düzenlediği sınavlarda sahte kimlikler veya dublör kullanımıyla başkalarının hakları yenebiliyor. Dublör kullanımı da farklı sektörlerde çokça konuşulan bir husus. Hedef alınan kişinin fotoğrafına benzeyen birisi gerçek veya sahte kimlikle o kişi adına işlem yapabiliyor. Banka şubelerinde sahte kimlikle başkası adına hesap açılması, GSM bayilerinde sahte kimlikle başkası adına hat çıkarılması veya hat değişikliği hemen ilk akla gelen örnekler. SGK’nın anlaşmalı hastanelerde yine başkasına ait kimlik verileriyle alınan provizyonlar pek çok kayıp kaçağa sebep olabiliyor. Belediyelerin sosyal yardım dağıtımı veya kentsel dönüşüm projelerinde rıza alınması gibi pek çok senaryo daha sayılabilir. Kritik kurumların ziyaretçi kabul noktalarında sahte kimlikle içeri girilmesi, emniyet gibi kolluk kuvvetlerinin kontrol noktalarından sahte kimlikle geçilmesi gibi pek çok ulusal güvenliği ilgilendiren konularda da sahte kimlikler karşımıza çıkabiliyor. Abonelik işlemlerinde başkası adına başlatılan doğalgaz veya elektrik aboneliği üzerinden başkaları mağdur olabiliyor. Daha pek çok örnek saymak mümkün. Bunların tamamında hem hizmeti veren kurum zarar görebilir, maddi kayıp veya prestij kaybı olarak hem de gerçek hak sahibi vatandaş maddi zarar yaşayabilir veya uzun süren stresli adliye süreçleriyle kendini aklamak için mücadele etmek zorunda kalabilir. Ulusal güvenliği tehdit edebilecek hususlar ise hepimize zarar verir. SGK gibi kurumlarımızın yaşayabileceği maddi kayıplar da dolaylı olarak hepimize yük oluşturur.
biOnay cihazları nasıl çalışıyor? Kamu ve özel sektördeki kurumlar bu çözüme hangi senaryolarda ihtiyaç duyuyor?
biOnay cihazları TSE onaylı ve NVİ denetiminde kullanılan, KVK uyumlu, yasal kanıt oluşturan, parmak izi kimlik kartı doğrulama cihazıdır. Bu cihazlar dışarıdan müdahalelere, kurcalanmaya veya saldırılara karşı kendisini korur. Örneğin, kutusunu açmaya çalışırsanız, elektriksel veya yazılımsal bir saldırıda bulunursanız, cihaz bu saldırıyı algılar ve içerisindeki anahtarları silerek kullanılmaz hale gelir. biOnay cihazları içerisinde NVİ’den temin edilen güvenli erişim modülü (kripto karı) yer almaktadır. Bu kartlar her bir cihazda eşsizdir. Bu karta ulaşmak ise yukarıda saydığım güvenlik özellikleri sayesinde çok zordur.
İçişleri Bakanlığı yönetmeliği gereğince NVİ denetiminde ve TSE kontrolünde Bionay cihazı ortak kriterler güvenlik testlerinden geçer. Ortak kriterler uluslararası güvenlik standartları olarak bilinir ve birden yediye kadar değişik seviyelerde güvenlik sağlar. Piyasada bilinen çoğu güvenlik ürününde seviye iki veya üç yeterli görülür. biOnay cihazlarında ise TSE’nin isteri EAL 4+ seviyesidir. Testler 10-15 ay sürer, laboratuvar geliştirdiğiniz kaynak kodlarına kadar inceler ve aldığınız sertifikasyon tüm dünyada geçerlidir. Bu sayede cihaz güvenilir uç nokta cihazı olarak NVİ’nin kripto kartını içerisinde güvenle saklar ve kullanır. Sadece NVİ’nin bu kripto kartı sayesinde T.C. kimlik kartlarındaki temaslı çip ile konuşabilmek mümkündür. Parmak izi doğrulamada bu sayede cihaz üzerinde gerçekleşir, yani parmak izi bir merkeze gönderilmez, kayıt edilmez, KVK uyumludur. Cebinizde taşıdığınız TC kimlik kartı çipinizde yer alan parmak izleriniz biOnay cihazı üzerinde doğrulanabilir, cihazdan dışarı çıkmaz. biOnay cihazında yaptığınız yasal kimlik doğrulama sonucu yine NVİ kripto kartı ile elektronik olarak imzalanıp, Kimlik Doğrulama Hizmet Sağlayıcısı’na gönderilir ve orada yasal dijital kanıt olarak sekiz yıl saklanır.
biOnay KEC cihazları tapu müdürlükleri, Ziraat Bankası, Halkbank, İş Bankası, noterlikler ve bazı belediyelerde kullanılıyor. Tüm Türkiye’deki 973 adet tapu müdürlüklerimizin tamamında biOnay KEC cihazları kullanımda ve günde 10-20 bin adet parmak izi kimlik doğrulama yapılıyor. Yaklaşık dokuz aylık bir süreçte 2 milyon vatandaşımız tapu müdürlüklerinde parmak izi kimlik kartı doğrulamasıyla tanıştı. Noterliklerimizde ise günde 50-100 adet parmak izi doğrulama yapan noterlerimiz mevcut. Yine savunma sanayine ilişkin bir kurumumuzda ziyaretçi kabul noktalarında biOnay KEC cihazları kullanılıyor. Banka şubeleri, saha satış temsilcileri de müşteri kimlik tespiti için biOnay KEC’lerden faydalanıyor.
Ayrıca biOnay cihazlarıyla uzaktan kimlik kartlarına 5070 sayılı elektronik imza kanuna uygun, bir gün süreli, düşük maliyetli e-imza yüklemek mümkün. Normalde 1 hafta 10 gün süren e-imza edinim süreci, 1-2 dakikaya indirilmiş oluyor. Ayrıca çoğu vatandaş ve kurum USB-token ile e-imza kullanımında sıkıntı yaşarken, biOnay KEC cihazı ile önce bir günlük e-imzanızı yüklüyorsunuz, hemen ardından biOnay KEC üzerinde sözleşmelere yasal imzanızı atabiliyorsunuz. Bu sayede kurumlar biOnay cihazını sadece kimlik sahteciliğini önlemek için kullanmıyor, aynı zamanda kağıt kullanımı, ıslak imza ve fiziksel arşiv yerine, 5070 sayılı kanuna uygun günlük e-imza ile süreçlerini dijitalleştiriyor, maliyetleri düşürüyor, inkar edilmezliği sağlıyor ve zamandan tasarruf ediyor.
biOnay KDHS nedir? Kimlik Doğrulama Hizmet Sağlayıcı nedir ve ne yapar?
Elektronik imzada düzenleyici ve denetleyici kurum olarak BTK ve e-imza üretmeye, dağıtmaya yetkili ESHS’leri yani Elektronik Sertifika Hizmet Sağlayıcıları çoğumuz duymuşuzdur. Benzer şekilde Kayıtlı Elektronik Posta (KEP) içinde KEP Hizmet Sağlayıcıları (KEPHS) mevcut. Benzer şekilde, biOnay cihazları ile yapılan yasal kimlik doğrulama kanıtlarının, NVİ denetimindeki Kimlik Doğrulama Hizmet Sağlayıcıları (KDHS) tarafından doğrulanması ve sekiz yıl yasal kanıt olarak arşivlenmesi gerekiyor. Burada tek fark, KDHS’ler için düzenleyici ve denetleyici kurum BTK değil NVİ’dir. Kimlik Doğrulama Hizmet Sağlayıcıları yine TSE sertifikasyonuna sahip Elektronik Kimlik Doğrulama Sistemi’nin yazılımlarını kurmak, işletmek, HSM cihazlarında NVİ’den aldığı kripto anahtarları güvenli olarak saklamak ve kullanmak ile yükümlüdür.
biOnay cihaz ile yapılan kimlik doğrulama işlem kaydı, biOnay cihaz içerisindeki NVİ’den alınan kripto kartı ile elektronik olarak imzalandığından bahsetmiştik. E-imzalı bu kimlik doğrulama bildirimi biOnay cihazı tarafından biOnay KDHS’ye gönderilir. biOnay KDHS hem cihazdan gelen kimlik doğrulama bildiriminin imzasını doğrular hem de KDHS olarak ikinci elektronik imzayı atar, yani bir nevi çift imzalı, çift onaylı bir yasal kanıt oluşur. Yapılan işlem güvenilir uç nokta cihazı olan biOnay cihazı ile imzalandıktan sonra, biOnay KDHS sunucularında doğrulanmış ve mühürlenmiş olur.
Sektörde ilk oldukları için tapu ve Ziraat Bankası gibi kurumlar kendisi KDHS olmayı tercih etmiş olsa da biOnay KEC kullanan kurumlar üçüncü parti, NVİ onaylı bir KDHS ile de çalışabilir. Nasıl ki kurumlar kendisi ESHS veya KEP Hizmet sağlayıcı olmuyor, bunun yerine BTK denetimindeki profesyonel ESHS ve KEPHS ile çalışıyorsa, kimlik doğrulama için de benzer yolda ilerleyerek bu işi bilen ve profesyonel olarak hizmet veren KDHS’lerle çalışacaktır. Dışarıdan KDHS kullanmak işin daha profesyonel yönetilmesinin yanı sıra, kurumlar için zaman ve maliyet tasarrufu da sağlayacaktır. Ayrıca bu konuda uzman personel istihdamıyla uğraşmayacaktır.
İş süreçlerinizde kullandığınız Turkcell’in bulut ve siber güvenlik altyapısından nasıl faydalanıyorsunuz? Kullandığınız bu hizmetlerle ilgili kazanımlarınız ve görüşleriniz neler?
biOnay KDHS hizmetlerinin gerek güvenlik gerekse 7×24 kesintisiz destek verebilmesi için dört katmanlı güvenlik sağlayabileceğimiz Turkcell bulut ve siber güvenlik altyapısını tercih ettik. Bu altyapı sayesinde çok hızlı olarak faaliyete geçebildik ve güvenliği en üst seviyeye taşıyabildik. Ayrıca kesintisiz hizmet sağlayabiliyor olmamız da bizim için bir zaruret. Orta vadede altyapımızı hızlıca büyütebilmemiz, bu konuda sunulan altyapının esnek olması da tercih sebeplerimiz arasında. Yine hibrid çözüm oluşturarak, özel bulut ve kritik olmayan servisler için açık bulut kombine edebiliyor olmak da önemli. Kritik servisler ve işlemler için kendi güvenlikli kabinlerimizi kullanabiliyoruz.
Comments