ABAKÜS

Vatandaşlık Kartı Projesi ile ilgili 2007/16 sayılı Başbakanlık genelgesi Resmi Gazete’de yayımlandı. Genelgeye göre TÜBİTAK Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE) tarafından -başlangıç olarak sağlık ve sosyal hizmetler alanlarında kullanılmak üzere- vatandaşlık kartı ve kart okuyucular geliştirilecek.Kart ve kart okuyucuların UEKAE’de testleri tamamlandıktan sonra bir ilçede 10 bin vatandaşı kapsayan ilk pilot uygulama gerçekleştirilecek, ardından uygulama 300 bin vatandaşı kapsayacak şekilde genişletilecek. Vatandaşlık kartının basımı, dağıtımı ve sağlık hizmetlerinde kullanımına yönelik süreçlerin de test edilmesi açısından, Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü ve Sağlık Bakanlığı da pilot uygulamaya katılacak. Projenin son kısmında ise vatandaşlık kartı, nüfus kağıdının yerini alacak.
Söz konusu vatandaşlık kartlarını nüfus kağıdından ayıran en önemli özellik kartın biyometrik veriler içerecek olması. Biyometrik yani “yaşam ölçüsü” fiziksel ve davranışsal özgün özellikleri (parmak izi, iris, retina, ses, imza vb.) kullanarak kişileri tanımlaya verilen ad. Eski tip biyometrik sistemlerde bu bilgiler çeşitli ürünlerin ambalajlarındaki bar kodlara benzer bir sistemle kodlanırdı. Yeni sistemlerde bar kodun yerini elektronik çipler alıyor. Genelgeye göre ad, soyadı vb. statik verilerin yanı sıra fotoğraf ve parmak izi bilgisi de karta yüklenecek ve biyometrik kimlik doğrulama yöntemi olarak parmak izi eşleştirmesi kullanılacak.
Parmak izi eşleştir(eme)me
Burada parmak izi eşleştirme ile ilgili çeşitli sorunlar gündeme geliyor. Bazı insanların parmak izleri çeşitli deformasyonlar nedeniyle ya da doğuştan çok okunaklı olmuyor. Bu durum kişilerin biyometrik kimlik doğrulamasında sık sık sorun çıkmasına ya da kimlik doğrulamasının yapılamamasına yol açıyor. Bu kişilerin nüfusa oranı ülkeden ülkeye değişmekle birlikte en azından yüzde 0,1’in üstünde olduğunu söyleyebiliriz. Bu da en az 70 bin kişinin biyometrik kimlik doğrulamasında sorunlarla karşılaşacağı anlamına geliyor. Bunun dışında “Fingerprint vendor technology evaluation 2003: summary of results and analysis report”a göre parmak izi eşleştirmede ortalama yanlış eşleştirme oranı (FAR: false accept rate) yüzde 1.* Bu da sistemi kullananların yüzde 1’inin bir başkası olarak tanımlanacağı anlamına geliyor. Aynı rapora göre ortalama yanlış reddetme oranı (FRR: false reject rate) yüzde 0,1. Yani her bin kişiden biri sistem tarafından tanımlanamayacak. Aynı konudaki başka bir araştırmaya** göre ise FAR ve FRR yüzde 2.
Bir de parmak izleri kullanılarak fişlenme olasılığı var. Olası tepkileri önlemek için olsa gerek genelgeye parmak izi verisinin kart dışında her hangi bir yerde bulunmayacağını, her hangi bir veritabanında tutulmayacağını eklemişler. Peki bu ne kadar mümkün?
Ya kırılırsa...
“Kırılmaz sistem yoktur” önermesinden yola çıkarak vatandaşlık kartının da kırılabileceğini ve verilere müdahale edilebileceğini göz önünde bulunduralım. Böyle bir durumda sahte kimlik kullanmak isteyen biri kendine ait verileri, bir başkasının kartına yükleyebilir. Böylece biyometrik verinin kontrol için karttan okunması halinde herhangi bir sorun çıkmayacaktır. Öyleyse bu sistemde sahteciliği önlemek için her halükarda bir merkezi veri tabanına ihtiyaç duyulacak: 70 milyonun kimlik bilgilerinin, parmak izlerinin ve sigorta bilgileri gibi çeşitli bilgilerin bulunduğu devasa bir veritabanı. Yine ilk önermemize geri dönelim. Bu sistem de kırılabileceğine göre (hatırlarsanız birkaç hafta önce Bosna’da okuyan bir grup öğrenci Yüksek Seçim Kurulunun Sistemini kırarak tüm seçmen verilerine ulaşmıştı) bütün bu verilerin güvenliğini kim nasıl garanti edecek? Ya da fişleme severlerin bu veriyi kullanmayacağını kim garanti edebilir? Ya da sistemin kendisi bizatihi fişleme için düşünüldü de üstüne “Bilgi Toplumu Stratejisi” makyajı mı yapıldı?

*C. Wilson, A. R. Hicklin, H. Korves, B. Ulery, M. Zoepfl, M. Bone, P. Grother, R. J. Micheals, S. Otto, and C. Watson, Fingerprint vendor technology evaluation 2003: summary of results and analysis report, NIST Internal Rep. 7123, Jun. 2004
** R. Cappelli, D. Maio, D. Maltoni, J. L. Wayman, and A. K. Jain, Performance evaluation of fingerprint verification systems, IEEE Trans. Pattern Anal. Mach. Intell., vol. 28, no. 1, pp. 3–18, Jan. 2006
Gökhan Bayram