Davranışsal biyometri bir sonraki siber güvenlik silahı mı?

Siber suçluların ve yöntemlerinin giderek daha karmaşık hale geldiğini bilmek için benim gibi teknoloji uzmanı olmanıza gerek yok. Buna ayak uydurmak için güvenlik ve kimlik doğrulama yöntemlerinin de sürekli gelişmesi gerekir. 

İstemcilerden defalarca duyduğum ana sorun, bu ekstra kimlik doğrulama yöntemlerinin kullanıcı için hantal olabileceği ve bu yöntemlerin kullanılmasını tamamen geciktirebileceğidir. Aslında, Prove tarafından yakın zamanda yapılan bir anket, tüketicilerin %33'ünün çok faktörlü kimlik doğrulamayı (MFA) çok sinir bozucu buldukları için etkinleştirmediğini ortaya çıkardı. Muhtemelen sen de onlardan birisin. (Utanmanıza gerek yok - dost canlısı mahalleniz Undercover Geek bile arada bir ekstra güvenlik adımlarına karşı çıkıyor.)

Peki çözüm nedir? Artan sayıda endüstri uzmanı bunun davranışsal biyometrik kimlik doğrulaması olabileceğini düşünüyor. Ve para yalan söylemez. Pazar araştırma grubu IMARC'a göre küresel davranışsal biyometri pazarı 2022'de 3,6 milyar dolar değerindeydi. Bunun 2023-2028 döneminde %13,5'lik bir büyüme oranıyla 2028 yılına kadar 7,9 milyar ABD dolarına çıkmasını bekliyorlar.

Peki bu sizin için tam olarak ne anlama geliyor? Davranışsal biyometrinin yakında siber güvenlikte neden önemli olabileceğini içeriden öğreneceğim.

Davranışsal biyometri nedir?

Biyometri kelimesini duyduğunuzda muhtemelen aklınıza hemen yüz tanıma ve parmak izi taraması gibi şeyler gelir. Ancak bu biyometrinin yalnızca bir kategorisidir. Aslında kimlik doğrulama için kullanılabilecek, insan fizyolojisinin farklı kısımlarını açıklayan birkaç tane daha var. Biyometrinin üç ana kategorisi şunlardır:

• Morfolojik biyometri: Bu tür vücudunuzun benzersiz fiziksel özelliklerine odaklanır. Güvenlik tarayıcıları, daha önce bahsedilen yüz ve parmak izlerinden retinalara, kulaklara ve hatta damarlara kadar her şeyi tanıyacak şekilde eğitilebilir.

• Biyolojik biyometri: Bu tür esas olarak DNA tanımadır ve kan örnekleri veya diğer vücut sıvıları gibi insan fizyolojisinin unsurlarının toplanmasını gerektirir.

• Davranışsal biyometri: Bu tür, her kişiye özgü davranış kalıplarını tanımaya odaklanır. Pek çok kişi yürüyüşlerinin, seslerinin veya el yazılarının ne kadar benzersiz olduğunun farkında değildir, ancak güvenlik sistemleri bu işaretleyicileri kullanarak kimliğinizi tam olarak tespit edecek şekilde eğitilebilir. 

Muhtemelen fark ettiğiniz gibi, morfolojik şu anda en yaygın kullanılan biyometrik kimlik doğrulama türüdür, biyolojik biyometri ise biraz istilacı olduğundan genellikle yüksek riskli ortamlarda kullanılmaz. Gerçekçi olalım; şu anda kimlik doğrulama amacıyla telefonunuza ekstra bir uygulama indirmek istemiyorsanız, kaydolduğunuz her yeni site ve bundan sonra her oturum açışınızda bir şişe kan vermeyi gerçekten ister miydiniz? Evet… öyle düşünmedim. 

Bu bizi davranışsal biyometriye getiriyor. Henüz bu kadar yaygın değil, ancak bu durum yakında değişecek.  

Kimlik doğrulama için davranışsal biyometri nasıl kullanılabilir?

Size davranışsal biyometri hakkında oldukça iyi bir fikir verdim, ama uygulamada nasıl görünüyor? Pratik olarak, kullanıcıları tanımlamak için bireysel özellikleri, alışkanlıkları ve kalıpları tespit edebilir. Kullanıcılar bir kimlik doğrulama sistemine sahip bir sunucuyla iletişim kurduğunda, bu sistem onların davranışlarının birçok yönünü izleyecek ve benzersiz davranışlarından, kalıplarından ve teknolojiyle nasıl etkileşimde bulunduklarından kim olduklarını öğrenecek. Bu, hesaplara yetkisiz erişimi engellemenin etkili bir yolu olmasını sağlar. Sistem, kullanıcının benzersiz davranış kalıplarına çok aşina olacağından, bunları taklit etmek çok daha zor hale gelir. 

Biyometrik kimlik doğrulama sisteminin dikkat edebileceği davranış kalıpları türleri arasında şunlar bulunur:

• Yazma kalıpları: Bu yalnızca yazma hızınızı değil aynı zamanda yazma şeklinizin ritmi olan kadansı da izler. Örneğin, bir sonraki tuşa basmadan önce tuşlara basmak için ne kadar zaman harcadığınız. 

• Dokunmatik ekran basıncı: Bu , kullanım sırasında cihazınızın ekranına dokunduğunuzda veya ekranı kaydırdığınızda   ne kadar kuvvet kullandığınızı ölçer .

• Cihaz eğimi: Cihazınızı kullanırken hangi yöne eğdiğiniz ve onu tuttuğunuz el. 

• Fare hareketleri: Fare hareketlerinden minik el hareketlerinden tıklama hızına kadar pek çok bilgi toplanabilir.

Davranışsal biyometrinin faydaları ve kullanım durumları

Bir kimlik doğrulama yöntemi olarak davranışsal biyometri, hantallığın tam tersidir. Onu benimseyen içerdekilerime göre asıl çekiciliği pasif olmasıdır. Kullanıcının kurulumu yapmak için herhangi bir ekstra adım atmasına gerek yoktur; tek yapması gereken bir web sitesini, uygulamayı veya platformu normalde kullandığı şekilde kullanmaktır. Ek uygulama indirmeye, yüzlerinin fotoğrafını çekmeye veya parmak izi doğrulama verilerini vermeye gerek yok. Her şey arka planda oluyor. Bu kullanım kolaylığı ve güçlendirilmiş güvenlik, hem işletme sahiplerine hem de müşterilere (ve dürüst olmak gerekirse bana) hitap ediyor. 

Bir diğer önemli çekicilik de, yine kullanıcıdan herhangi bir ekstra girişe gerek kalmadan, sürekli olarak kimlik doğrulaması yapabilme ve doğru kullanıcının mevcut olduğunu doğrulayabilme yeteneğidir. Sürekli kimlik doğrulama, kullanıcıdan tekrar oturum açmasını veya konum değişikliğini onaylamasını istemek yerine, kim olduğunu belirlemek için kullanıcı davranışını sürekli olarak değerlendirir. 

Davranışsal kimlik doğrulama muhtemelen tüm sektörlerde ilgi görecektir ancak özellikle etkili olacağı sektörler arasında şunlar yer almaktadır:

• Doğru kimlik doğrulamanın son derece önemli olduğu sağlık hizmetleri ve uzaktan hizmet sektörleri.
• Bankacılık ve e-ticaret endüstrileri her zaman dolandırıcılığı durdurmak için en etkili yöntemleri arıyor.
• Kimlik doğrulama ve gizliliğin şu ana kadar zorlu olduğu IoT ve akıllı cihazlar.

Etik ve endişeler

Her heyecan verici yeni teknolojinin artıları ve eksileri vardır ve davranışsal biyometri de bir istisna değildir. Temaslarımın çoğu davranışsal biyometri konusunda heyecanlanırken, diğerleri bunu biraz ürkütücü bulmadan edemiyor. Halihazırda çerezler ve kulağa daha az hoş gelen diğer takip araçları aracılığıyla çevrimiçi olarak izlendikleri durumdan zaten rahatsızlar. Davranışın potansiyel olarak daha mahrem yönlerini izlemek, bazılarının rahatsızlık düzeyini anlaşılır şekilde artırır. Temel endişeler gizlilik ve verilerin potansiyel olarak kötüye kullanılmasıyla ilgilidir. 

Büyük bir yüzdenin mahremiyet konusunda endişe duyduğu çevrimiçi bir ortamda, bir şirketin davranışlarının her unsurunu takip ederek kim olduklarına dair bir profil veya şablon oluşturması herkes için rahat olmayacaktır. AB'nin Vatandaş Hakları ve Anayasa İşleri Politika Departmanı tarafından yapılan bir araştırma, her türlü biyometrik veri toplamanın insanın özerkliğine nasıl müdahale etme potansiyeline sahip olduğunu vurguluyor:

"Bu şablon oluşturulduğunda ve saklandığında, gelecekte ona sahip olan herkes, o kişiyi dünyanın herhangi bir yerinde ve potansiyel olarak herhangi bir amaç için takip etme ve tanıma gücüne sahip olacak."

Toplanan veriler aynı zamanda belirli profil türlerine göre ayrımcılık yapmaktan, üretkenliği artırma kisvesi altında çalışan davranışlarının tüm yönlerini izlemeye kadar kötüye kullanılma riskiyle de karşı karşıyadır. (İlginçtir ki, bu tür bir gözetim, çalışanları kaygılı ve mutsuz ederken işverenler üzerinde de geri tepme eğilimindedir . İnsanlar tüm gün gözetlenmekten ve tuvalet molalarının sınırlı olmasından hoşlanmazlar. Kim bilebilirdi ki?) Aynı zamanda "işlevlerin bozulması" potansiyeli de vardır. Kullanıcı verilerinin başlangıçta kabul ettikleri amaç dışında başka bir amaç için kullanılması. 

Sonra doğruluk sorunu var. Gelişen tüm teknolojiler gibi davranışsal biyometri de her zaman kusursuz değildir ve yanlış negatif ve pozitif sonuç riski mevcuttur. Örneğin, bir kişinin davranışı bir yaralanma veya hastalık nedeniyle değişirse, sistem bu kişiyi kötü niyetli bir aktör olarak tanımlayabilir. 

Bu potansiyel olumsuzluklar nedeniyle şirketlere, davranışsal biyometriyi benimsemeden önce potansiyel riskleri ve zorlukları tartmalarını tavsiye ediyorum. 

Davranışsal biyometri pazarındaki kilit oyuncular

Davranışsal biyometriyi potansiyel olarak benimsemekle ilgileniyorsanız, önde gelen oyunculardan birkaçına ve sunduklarına hızlıca göz atalım:

• Biocatch: Biocatch, davranışsal öngörüler, cihaz parmak izi alma ve ağ analizlerinin bir kombinasyonu aracılığıyla gelişmiş sahtekarlığa karşı koruma sunar.
• LexisNexis: LexisNexis BehavioSec çözümü güveni, müşteri deneyimini ve işi geliştirirken sahtekarlığı, karmaşıklığı ve tutarlılığı azaltmayı vaat ediyor.
• SecureAuth: MFA araçları, kullanıcılar için profiller oluşturmak amacıyla tuş vuruşlarını, fare hareketlerini ve diğer davranışları analiz eder.

Sınırları olan biyometri

Davranışsal biyometri, İnternet'te kimlik doğrulamayı geliştirmek ve siber güvenliği güçlendirmek için sayısız olasılığa sahip, hiç şüphesiz heyecan verici bir çözümdür. Bir kimlik doğrulama yöntemi, kullanıcı dostu olmakla birlikte nadiren ileri düzeyde güvenlik sağlar. Ancak diğer tüm teknolojiler gibi kusursuz değildir ve bir miktar kötüye kullanım potansiyeli vardır. Bu nedenle şirketler, bu işe girişmeden önce davranışsal biyometrinin kendi iş modelleri ve güvenlik uygulamaları açısından anlamlı olup olmayacağını düşünmelidir.