2018-19’da kimlik suçlarının doğrudan ve dolaylı olarak Avustralya‘ya maliyeti yaklaşık 3,1 milyar dolar oldu.
Bu tür maliyetleri karşılamak için federal hükümet, insanların pasaport, ehliyet veya Medicare kartı gibi belgeleri paylaşmak zorunda kalmadan kimliklerini kanıtlamalarına olanak sağlayacak bir ulusal dijital kimlik planı öneriyor.
Maliye Bakanı Katy Gallagher, yasa taslağının yıl sonuna kadar parlamentoya sunulmasının planlandığı tasarı taslağı için istişarelere başladı.
Ne önerdiğine ve genel olarak ne anlama gelebileceğine bakalım.
Ne Değişecek?
Dijital kimlik planı başlangıçta Avustralya Rekabet ve Tüketici Komisyonu ile Avustralya Bilgi Komiseri tarafından düzenlenecek ve sonunda yeni bir yönetim organı oluşturulacak.
Tasarı taslağı paketi, kuruluşların kişilerin kimliklerini nasıl sakladığına ilişkin güvenlik gereksinimlerine ilişkin güçlü güncellemelerin yanı sıra veri ihlalleri ve şüpheli kimlik sahtekarlığının raporlanmasını da içeriyor.
Gallagher, Avustralya Bilgi Endüstrisi Birliği’nde yaptığı konuşmada dört aşamalı bir sunumun ana hatlarını çizdi.
- Birinci aşama: mevzuatın oluşturulması ve özel ve kamu sağlayıcılarının akreditasyonunun sağlanması.
- İkinci aşama: federal hükümet hizmetlerinde kullanılmak üzere eyalet ve bölge tarafından verilen kimliklerin programa eklenmesi.
- Üçüncü aşama: dijital kimliğin özel sektöre tanınmasının sağlanması. Bu, örneğin kimlik belgelerinizi veya kopyalarınızı ibraz etmenize gerek kalmadan banka kredisine başvurmak için dijital kimliğinizi kullanmanıza olanak tanır.
- Dördüncü aşama: Akredite özel sektör dijital kimliklerinin belirli devlet hizmetlerine erişirken sizi doğrulamaya yardımcı olmasına izin verilmesi.
Nasıl çalışacak?
Genel halk için, gönüllü program, biyometrik bilgilerin (yüz izi gibi) kilidinin açılmasını gerektiren bir akıllı telefon uygulaması biçiminde gelecek.
Kimliğinizi katılımcı bir kuruluşa kanıtlamak için kuruluşun web sitesinde oturum açmalı ve doğrulama yöntemi olarak MyGovID’yi seçmelisiniz.
Daha sonra MyGovID uygulamanıza giriş yapacak ve kimliğinizin söz konusu kuruluşta doğrulanmasına izin vereceksiniz. Bu sayede ehliyet, pasaport vb. bilgilerinizi paylaşmanıza gerek kalmadan kuruma kimliğinizi doğrulayabilirsiniz.
100 puanlık kimlik ve belgelerin kopyalarının internette saklandığı günler geride kalacak.
Teklifin iyi tarafı
2022-23’teki Medibank, Optus ve Latitude veri ihlalleri, Avustralya’da kimlik koruma mevzuatının düzenleme ve uygulama eksikliğini ortaya koydu.
Tasarı taslağının memnuniyetle karşılanan kısmı, Avustralya Bilgi Komiseri’ne verilen yetkinin artırılmasının yanı sıra kuruluşların, kişilerin kişisel kimlik bilgilerini talep etme, saklama ve ifşa etme şekline ilişkin kısıtlamalardır.
Tasarı aynı zamanda asgari siber güvenlik standartlarını da ana hatlarıyla belirtiyor ve kimlik verileriyle ilgilenen kuruluşların düzenli olarak incelenmesini gerektiriyor.
Çözülmemiş MyGovID güvenlik kusurları
Taslak tasarıyı yayınlarken hükümet, halihazırda 6 milyondan fazla Avustralyalı ve 1,3 milyondan fazla işletme tarafından kullanılan gönüllü bir ulusal dijital kimliğin (MyGovID) altını çizdi.
MyGovID, kimliğinizi üç faktörden birini kullanarak doğrulayan, devlet tarafından verilen bir kimlik doğrulama uygulamasıdır: bildiğiniz bir şey (şifre gibi), olduğunuz bir şey (biyometrik tarama gibi) veya sahip olduğunuz bir şey (doğrulanmış bir telefon numarası gibi) , tek seferlik kodları alabileceğiniz yer). Ek faktörlerin eklenmesi doğrulamayı daha güvenli hale getirir.
2020 yılında güvenlik araştırmacıları, tasarımındaki güvenlik kusurları nedeniyle halkı MyGovID’nin kullanılmasına karşı uyardı. Bunların ele alınıp alınmadığı belli değil. Avustralya Vergi Dairesi, sorun dile getirildiğinde sorunu çözmeyi reddetti.
Avustralya’daki hükümetlerin de bilgilerimizin güvenliği konusunda kötü bir geçmişleri var.
Webber Insurance’a göre, bu yıl Ocak-Haziran ayları arasında kaydedilen 44 veri ihlalinden 14’ü hükümet yetkilileri tarafından bildirildi. Bunlar arasında İçişleri Bakanlığı ve Kuzey Bölgesi, Tazmanya, ACT ve NSW hükümetleri vardı.
ABC’nin geçen yıl bildirdiği üzere bu, Avustralya Vergi Dairesi, Ulusal Engellilik Sigorta Programı ve MyGov’u kapsayan veri ihlallerinin yanı sıra. Daha da endişe verici olanı, gizlilik yasasında bazı eyalet ve hükümet yetkililerinin zorunlu veri ihlali raporlamasından muaf kalmasına izin veren bir boşluk var. Bu nedenle, kaç tane hükümet veri ihlalinin meydana geldiğini bilmiyoruz.
Bilgisayar korsanları için bir tuzak.
Hükümet anlaşmanın üzerine düşeni güvenli bir şekilde yerine getirse bile önerilen plan yine de yalnızca telefonunuz kadar güvenli olacaktır. Zayıf bir şifreye sahip olmak, telefonunuzu kaybetmek veya telefonunuzun saldırıya uğraması, verilerinizin tehlikeye girmesine neden olabilir.
Ayrıca dağıtılmış tanımlama sistemlerini bu şekilde kolaylaştırmak, bilgisayar korsanları için karşı konulamaz bir hedef oluşturacaktır. Siber güvenlikte buna bal küpü veya bal tuzağı denir.
Ayılar için bal nasıl karşı konulmazsa, bu veri tuzakları da bilgisayar korsanları için karşı konulamaz. Verilerin güvenliğinin sağlanamaması, kimlik hırsızlığı ve gasp için tek adres haline gelecektir.
Belki de en endişe verici olanı önerilen planın hükümet gözetimine ne kadar benzediğidir. Tüm kişisel kimlik verilerimizi federal ve eyalet yetki alanları ile özel kuruluşlar arasında birbirine bağlayarak, federal hükümete hayatlarımızın tam denetimini vermiş olacağız.
2021’de Gözetim Mevzuatında Değişiklik (Tespit Et ve Engelle) Yasasında sessizce yapılanlar gibi yasada yapılan küçük değişiklikler, konumlarımızın izlenebileceği ve kamu ve özel kuruluşlarla tüm etkileşimlerimizin kaydedilebileceği anlamına gelebilir.
Ne yapabilirsiniz?
Tasarı taslağının birçok sorunu olduğu açık. Bununla birlikte, tüm umutlar kaybolmadı.
Hükümet, teklifiyle ilgili gerçek istişarelerde bulunmayı taahhüt etti. Ancak söz söylemek için fazla zamanınız yok: 10 Ekim’e kadar kamuya açık başvurular bekleniyor.
Bu son derece kısa danışma süresi, amaca uygun bir çözümün yaratılacağına dair pek güven vermiyor.
Dijital kimliklerimizi korumak, önerilen bu yasa tasarısının hoş karşılanan ve gecikmiş bir parçası olsa da, bunun yanlış yapılması daha da büyük ölçekte zarara yol açabilir.
Çeviren: Barış ARICAN
