Siber GüvenliğinFiziksel Boyutu;Biyometrik GüvenlikOrkun ÖnenBaşar Özpulat—26 Nisan, 2018

2

Document Classification: KPMG Public

© 2018 KPMG Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.

Kimlik Doğrulama (Authentication)• Sizin bildiğiniz bir şey• Size ait olan bir şey• Sizin olduğunuz bir şey (biyometrik)

Çoklu doğrulama (MFA) uygulanmadığı takdirde yöntemlerin güvenilirliği tartışmaya ve uygulanma yöntemlerine göre değişiklik gösterir.

3

Document Classification: KPMG Public

© 2018 KPMG Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.

Pros:• Eşsizlik• Kullanım kolaylığı• Yeniden yapılandırma metotlarına ihtiyaç duymaması

Cons:• Değiştirilemezlik• Yakınsama ile kimlik doğrulama• Doğrulama metodu yerine öz datanın kullanılması• Maliyet

Biyometrik Güvenlik

4

Document Classification: KPMG Public

© 2018 KPMG Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.

Pros:• Ucuzluk• Kullanım kolaylığı• Hata oranı diğer biyometrik çözümlere

göre yüksektir.Cons:• Taklit edilebilirlik• Data sızıntısı• Kaybedilebilirlik

Parmak İziOptik Okuyucu – 2 boyutlu görüntü üzerinden çalışır.Kapasitif Okuyucu (CMOS) – Işık kullanmaz, elektrik akımı göndererek parmak izi şeklini çıkatır.Ultrason Okuyucu – Yüksek frekanslı ses dalgaları kullanarak derinin altındaki katmanı algılar. Diğer okuyuclar temiz yüzeye ihtiyaç duyarken ultrason okuyucularda ihtiyaç yoktur. En pahalı çözümdür.Termal Okuyucu – Parmak izi yüzeyindeki girintiler ve çıkıntıların arasındaki sıcaklık farklarını algılayarak çalışır. Ortam ısısı isabetlilik oranını etkilediği için çok fazla tercih edilmez.

5

Document Classification: KPMG Public

© 2018 KPMG Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.

Parmak İziTehdit Vektörleri• Sahte yetkilendirme (Confused Authorization) – Ön planda

«Giriş yapmak için parmağınızı okutun» olarak görünen bir uygulama, arka planda işlem gerçekleştirme yetkisi verebilir. Kimlik doğrulama ve yetki verme işlemlerini karıştırır.

• Güvensiz veri saklama – Üretici veya hizmet veren firmaların değiştirilemez parmak izi bilgilerini ne derecede güvenli sakladığı önemlidir.

• Doğrudan sensör erişimi – Sensör modülünün sıkılaştırmasının yetersiz olduğu durumlarda, saldırgan veya zararlı yazılım doğrudan sensör modülü ile iletişime geçerek bilgileri kopyalayabilir, silebilir veya tekrarlayabilir.

• Önceden yerleştirilmiş arka kapı (backdoor) – Cihaz üzerinde ayarlarda görünenden daha fazla parmak izi kaydı yapılabilir. Bu parmak izi de arka kapı olarak kullanılabilir.

6

Document Classification: KPMG Public

© 2018 KPMG Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.

Iris Okuyucu – Kamera gözün ön kısmının fotoğrafını alır ve eşleşme algoritmalarından geçirerek işleme alır.Retina Okuyucu – Göz arkasındaki kılcal damarlarının özgün dizilimini algılar. En düşük hata oranına sahiptir. (1/10,000,000)Avuç içi Okuyucu – Kan damarlarının özgün dizilimini algılar.

Pros:• Düşük hata payı • Taklit edilemezlik

Cons:• Maliyet• Kullanım zorluğu• Veri hırsızlığı

Göz ve Avuç İçi Tarama

7

Document Classification: KPMG Public

© 2018 KPMG Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.

Biyometrik Veri Sızıntıları

8

Document Classification: KPMG Public

© 2018 KPMG Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.

Geleceğin Biyometrik Kullanımları• Devamlı kimlik doğrulama

(continuous authentication)• Kullanıcı hareketleri, davranışsal

analizler, el yazısı ve tuşlama tanımlama

• İnkar edilemezlik

• Biohacker• DNA dizileme• DIY kit’ler

Teşekkürler

Document Classification: KPMG Public

KPMG adı ve KPMG logosu KPMG International Cooperative’in tescilli ticari markalarıdır.

Bu dokümanda yer alan bilgiler genel içeriklidir ve herhangi bir gerçek veya tüzel kişinin özel durumuna hitap etmemektedir. Doğru ve zamanında bilgi sağlamak için çalışmamıza rağmen, bilginin alındığı tarihte doğru olduğu veya gelecekte olmaya devam edeceği garantisi yoktur. Hiç kimse özel durumuna uygun bir uzman görüşü almaksızın, bu dokümanda yer alan bilgilere dayanarak hareket etmemelidir.

www.kpmg.com.tr

© 2018 KPMG Bağımsız Denetim ve SMMM A.Ş., bir İsviçre kuruluşu olan KPMG International Cooperative’e bağlı bağımsız üye firmalardan oluşan KPMG ağının üyesi bir Türk şirketidir. Tüm hakları saklıdır.