Kişisel verilerin gizliliği ve güvenliği konusunda RSA firması tarafından yapılan araştırmaya göre geçmişte kişisel verilerinin en az bir kez ihlal edildiğini söyleyen katılımcıların oranı %45 olarak tespit edilmiş. Günümüz dijital dünyasında firmaların müşterileri ile sağlıklı bir güven ilişkisi yaratabilmeleri için kişisel verilerin korunması ve güvenliği konusunda öncü tedbirler almaları gerekiyor.

Sadece ülkemizde değil dünyanın hemen her ülkesinde hassas verilerin korunması amacıyla yasalar devreye alınmış ve firmalar da buna paralel olarak çalışmalarını hızlandırmış durumdadır. GDPR (Avrupa), PIPEDA (Kanada), APPI(Japonya), FSS (Rusya) gibi kanunları "Kişisel Verilerin Korunması Kanunu" eşleniği olarak sayabileceğimiz diğer ülke kanunlarına örnek olarak verebiliriz. Kanunlara uyum konusunda ise büyük veri sahiplerinin daha fazla zorlandığını gözlemliyoruz.

Büyük Veri konusunda teknoloji rüzgarı o kadar hızlı esti ki, teknolojiyi geliştirenler kişisel hakları bir kenara koyarak sensörlerden, kameralardan, çağrı merkezlerinden, web siteleri ve mobil uygulamalardan veri toplamaya başladılar. Özellikle sosyal medya platformlarında haberimizin olup izin verdiğimiz ya da haberimiz olmadan alınan pek çok bilgi bulut üzerinde büyük veri ortamlarına akar hale geldi. Verinin açık rıza olmadan toplanması, işlenmesi, toplandığı noktada erişim kısıtlarının olmaması ve yeterli güvenliğin sağlanmaması konuları uzun süre tartışıldı.

Neticesinde kural koyucular kontrolü sağlayabilmek için ilgili kanunları hızla devreye aldılar. Bir teknoloji lideri olarak biliyorum ki büyük veri ve yapay zeka konusundaki gelişmeler hızla devam edecektir ve etmelidir de, ama birey olarak da isteğim; kişisel verilerimin gizliliğinin korunması, güvenliğinin sağlanması ve ben istediğimde ilgili sistemlerden silinmesi ya da anonim hale getirilmesidir.

Kişisel verilerin korunması ve güvenliği nasıl sağlanabilir ?

Cevaba ulaşabilmek için öncelikle veri güvenliği konusunu kısaca anlamaya çalışalım.

Verinin Bulunduğu Evreler

Veri güvenliği açısından baktığımızda verinin bulunduğu evreleri 3 farklı kategoride inceleyebiliriz:

Duran Veri: Kullanımda olmayan, transfer edilmeyen ve belli bir dijital formatta saklanan veri olarak tanımlayabiliriz. Bu tip verilerin güvenliğinin sağlanması için genel olarak disk, dosya ya da veritabanı şifreleme teknolojileri kullanılmaktadır.

Hareket Eden Veri: Ağ üzerinde bir lokasyondan diğerine hareket eden veri olarak düşünebiliriz. Bu verilerin güvenliği için SSL, TLS, or IPSec VPNs gibi teknolojilerin tercih edildiğini görüyoruz.

İşlenen Veri: Uygulamalar tarafından kullanılan veri, işlenen veri olarak ifade edilebilir. Duran veri ile hareket eden veri arasında verinin bulunduğu her türlü aşama gibi düşünebiliriz. Veri güvenliğinin belki de en kırılgan olduğu aşamadır. Uygulamaların çoğu şifreli veri ile çalışacak şekilde tasarlanmamışlardır. Bu durum veri güvenliğini bu aşamada sağlayabilecek çözüm sayısını kısıtlamaktadır.

Veri güvenliğini, işlenen veri dahil yukarıda ifade ettiğim tüm aşamalarda sağlayabilmek için "Veri formatını koruyarak şifreleme" teknolojisi üzerindeki çalışmalara odaklanıldığını görüyoruz. Bu konuda Microfocus firmasının "Voltage Secure Data" çözümü diğer çözümlerden ayrılan teknik üstünlükleri ile ön plana çıkmaktadır. Gelin, uygulamanın bazı özelliklerini birlikte inceleyelim:

Veri Formatını Koruyarak Şifreleme

Adından anlaşılacağı gibi bu şifreleme yönteminde şifrelemek istediğimiz metnin karakter uzunluğu, içerik formatı korunarak şifreleme yapılmaktadır. 16 karakter kredi kartı bilgisi yine 16 karakter aynı formatta üretilen şifrelenmiş veri ile değiştirilmektedir. Kolay anlaşılması için bazı veri tiplerinden örneklere yer verelim:

Bu yöntem ile şifrelemenin en büyük avantajı, uygulamalarda değişiklik yapma ihtiyacını minimuma indirmesidir. Ayrıca veri büyüklüğü de korunduğu için şifrelemeden kaynaklı disk alanı artışı da söz konusu olmayacaktır. Hepsinden önemlisi Duran, hareket halinde ya da işlenen veri aşamalarının tamamında hassas verilerin güvenliği sağlanacaktır.

Verileri tekrar açık olarak kullanmak isteyeceğimiz aşama uygulamalarımızdaki karar verme anları olacaktır ki o aşamada dahi sadece bu kararı almamızı sağlayacak karakterlerin şifrelerinin çözülmesi de mümkündür. Kredi kartında ilk 6 ve son 4 hanenin deşifre edilmesi ya da baştan şifrelenirken bu kural dışındaki alanların şifrelenmesi tercihe göre yapılabilmektedir.

NIST kurumunun 800-38G sayılı özel yayınında veri formatını koruyarak şifreleme için AES şifreleme yönteminde FFX - FF1 ve FFX - FF3 algoritmalarının kullanılmasını önermiştir. Voltage Secure Data çözümü FFX - FF1 algoritması ile geliştirilmiştir. Şifreleme için anahtar veri tabanı barındırmaz (Stateless Key Management), kimlik-tabanlı anahtar yönetimi üzerinde çalışır.

Web Servis API leri ya da İstemci API leri üzerinden şifreleme servislerine ulaşılabilmekte, ihtiyaca göre anlık şifreleme de yapılabilmektedir. Büyük veri ortamları ile (Hadoop, Snowflake...) kolaylıkla entegre olabilmekte, şirketlerin veri merkezinde çalışabildiği gibi istenirse bulut ortamlarından da kullanılabilmektedir.

Veri formatını koruyarak şifreleme özelliği ile asıl metne ya da metnin iş kararlarına temel teşkil eden parçasına istenildiğinde geri dönülebilmektedir. Verinin anonim hale getirilmesi isteniyor ise veri formatı korunarak verinin geri döndürülemeyecek şekilde (FPH) şifrelenmesi de mümkündür.

Voltage Secure Data çözümü ile uygulamalar da köklü değişiklikler yapılmak zorunda kalınmadan yasalara uyum sağlanabilecektir. Büyük veri platformlarındaki veriler üzerinde koşan analizlere devam edilirken duran ve işlenen verinin güvenliğinden emin olunacak ve kişisel gizlilik de gözetilmiş olacaktır.

Voltage Secure Data uygulamasının yurt dışında telekomdan, perakendeye, bankacılıktan havacılık sektörüne kadar çeşitli sektörlerin güvenlik ihtiyaçlarına yanıt verirken Türkiye’de de banka, sigorta, telekom, ilaç, hizmet ve havacılık sektörlerinde KVKK’ya uyum çalışmalarının bir parçası ve aynı zamanda genel anlamda veri güvenliğinin önemli bir çözümü haline geldiğini görüyoruz.

Kredi kartı, sağlık, özel ve genel kişisel verilerin korunması, anonim hale getirilmesi konusunda önemli bir teknolojik çözüm sunan Voltage Secure Data'nın, kural koyucuların onay vermesi durumunda verilerin bulut ortamlarında tutulması için de kilit bir rol üstleneceğini söyleyebiliriz.

Voltage Secure Data çözümü hakkında daha fazla teknik detaya ulaşmak, çözümü referans müşterilerden dinlemek, örnek kullanım senaryolarını incelemek için Beakwise teknik ekibine ulaşabilirsiniz.