Yeni Elektronik Bankacılık Yönetmeliği Davranışsal Biyometri Kullanımının Önünü Açıyor

Kimlik doğrulama güvenliğinin en önemli olduğu sektörlerden birinin elektronik bankacılık olduğunu belirtmeye gerek yok sanırım. Zaten, pratiğe yansımalardan da bu durum anlaşılıyor. Örneğin, iki faktörlü kimlik doğrulama, başka uygulamalarda ne yazık ki halâ acaba? sorusu ile karşılanabilirken bankacılık sektöründe BDDK düzenlemesi ile yıllardır zaten zorunlu tutuluyor.

Bankacılık sektörünün kimlik doğrulama konusunda önder ve yol açıcı olduğu 15 Mart 2020 tarihinde Resmi Gazete’de yayınlanan ve birkaç ay sonra uygulamaya alınacak olan yeni “Bankaların bilgi sistemleri ve elektronik bankacılık hizmetleri hakkındaki yönetmelik” ile de pekişmiş oldu.

Bu yazıda Securify Bilişim şirketi olarak uzun yıllardır üzerinde çalışmakta olduğumuz davranışsal biyometri konusu bağlamında yeni yönetmeliği inceleyeceğiz ve yönetmeliğin bu konuda ne tür yenilikler getirdiğini göreceğiz.

Ama önce davranışsal biyometri ile ilgili bir paragraf açmak gerekirse; çok uzaklardaki bir arkadaşınızı yüzünü görmeden sadece yürüyüşünden anında tanıdığınız hiç oldu mu? Nasıl ki bizim parmak izi, iris gibi fiziksel biyometri özelliklerimizin başkalarından ayırt edilebilir olduğundan hareketle kimlik doğrulama yöntemleri geliştirilmişse, yürüyüş şeklimiz veya klavyeyi tuşlamamızın da bize özel olmasından yola çıkılarak davranışsal biyometri teknikleri önerilmiştir. Bu tekniklerin tamamen arka planda kalarak, özel bir donanım gerektirmeden ve sürekli bir şekilde uygulanmasının mümkün olması gibi avantajlar sebebiyle bu konu son yıllarda oldukça dikkat ve ilgi çekmektedir.

Esas konumuza tekrar geri dönecek olursak; yeni yönetmelikte benim tespit edebildiğim davranışsal biyometri ile ilgili dört husus var:

  • Biyometrik kimlik doğrulama bileşeni: Kimlik doğrulama işlemlerinin gerçekleştirilmesini sağlamak amacıyla kullanılan bir kişiye özgü ölçülebilir biyolojik veya davranışsal karakteristiği” tanımı yapılarak iki bileşenden oluşan kimlik doğrulama mekanizmalarında davranışsal biyometrinin bir bileşen olarak kullanılmasının önünün açıldığını görüyoruz. Bu çok yerinde ve önemli bir gelişme. Zaten benzer düzenlemelerin Avrupa Banka Otoritesi tarafından da yapılmış olduğunu biliyoruz.
  • Müşterinin normal dışı davranış deseni gösterip göstermediği konusu, müşteri işlemleri esnasında analiz edilmesi gereken asgari risk unsurları kapsamı içerisine alınmıştır. Bizim değerlendirmemiz de davranışsal biyometrinin doğrudan bir kimlik doğrulama bileşeni olarak kullanılmaması durumunda dahi risk değerlendirmesinde kritik bir rol oynayabileceğinin son derece açık olduğu yönündedir.
  • Yönetmelik, “müşterinin bildiği unsurun, mobil bankacılık uygulaması ya da internet tarayıcısı tarafından hatırlanarak veya bu unsurun başka lokal kimlik doğrulama yöntemlerine bağlanarak otomatik olarak gönderilmemesi” gerektiğini belirtmektedir. Bu konudaki zorluk uygulamaların otomatik doldurma özelliğini kapatma girişimlerinin tarayıcılar veya tarayıcı eklentileri ile savuşturulabilir olmasıdır. Davranışsal biyometri ile müşterinin bildiği unsurun o an gerçekten de müşteri tarafından girildiğinin anlık doğrulaması yapılabilmektedir.
  • Ayrıcalıklı hesap yönetimi güvenliği bağlamında yönetmelik “Hesapların ortaklaşa kullanılmasının engellenmesi veya bu hesapları kullanan gerçek kişilere sorumluluk atayacak tekniklerin kullanılmasını” istemektedir. Her ne kadar zorda kaldığımız durumlarda parolamızı başkası ile paylaşmak kullanışlı bir acil çözüm olarak cazip gözükse de, güvenlik açısından bilhassa ayrıcalıklı hesaplar yönetiminde bu durum ciddi bir tehdittir. Davranışsal biyometri, bu zor problemi sizin arkadaşınız ile paylaştığınız parolanın arkadaşınız tarafından sizin gibi girilmediğini tespit ederek çözebilmektedir. Şaşırtıcı değil mi?

Yeni yönetmelik oldukça kapsamlı ve elbette davranışsal biyometrinin ötesinde pek çok farklı konuyu da içeriyor. Örneğin kimlik doğrulamada güvenlik problemleri sebebiyle SMS tabanlı tek kullanımlık kodların kullanımını yasaklıyor. Takdir edersiniz ki, Securify firması olarak davranışsal biyometri konusunda uzmanlaştığımız için bu yazıda bilhassa bu konu bağlamında yönetmeliği değerlendirdik. Bu yazıyı bu yeni gelişme sonrası memnuniyetimizin tezahürü olarak da düşünebilirsiniz.

Leave a Comment

Your email address will not be published. Required fields are marked *

*
*