Çeviri Siber Güvenlik

Beyin Hackinden Kaçmak: Siber Güvenliğin ve Beyin-bilgisayar Arayüzleri Gizliliğinin Zorlukları

Eğer bir hacker ABD Başkanının nöral bilgilerine ulaşsaydı ve  ABD’nin bir sonraki askeri hamlelerini ortaya çıkarsaydı ne olurdu? Ya da, bu hacker başkanın akıl hastalığı olduğunu öğrenseydi ve bunu basına sızdırsaydı? Ya da daha kötüsü.. Rakip ülkeler bu bilgi için ne kadar öderdi? İnsanların beyinlerini direk onların bilgisayarları ve telefonlarıyla bağlayan nöroteknoloji ve beyin-bilgisayar arayüzleri çağına giriyoruz. Ama.. teknoloji siber saldırılara karşı gerçekten güvenli mi? Bu yeni güvenlik senaryolarına yön vermek için hükümetler, şirketler ve kullanıcılar neler yapmalı?

Beyin-bilgisayar arayüzlerinin uygulamalarını gösteren ilk bilimsel ürünler yaklaşık 40 yıl önce piyasaya sürüldü: beyin aktivitelerini okuyabilen ve insan-makine etkileşimi içeren görevleri yürütmek için düşünceleri deşifre edebilen bir teknoloji. Bu görevler tekerlekli sandalye gibi araçları kontrol etmekten bilişsel rehabilitasyon için medikal müdahalelere kadar çeşitleniyor. Son 10 yılda, bu bilimsel araştırmaların bazıları günlük yaşantımızın parçası olmaya başlayan konforlu, giyilebilir ve ulaşılabilir beyin algılama cihazları üreten şirketler tarafından halkın hizmetine sunuldu. 

Stratserv Danışmanlık gibi büyük danışmanlık firmalarına göre, 2025-2030 yılları arasında ortalama bir tüketici beyin-bilgisayar arayüzü cihazlarını ya da makinelerini muazzam şekilde alacak ve kullanacak. Bunun yanısıra, Stratserv Danışmanlık; holografik projeksiyonlar, görsel cihazlar, sessiz iletişim ve HMD sistemleri için teknolojik çözümlerin yaygın adaptasyonlarına eş zamanlı olarak ticarileşen beyin-bilgisayar arayüzlerinin dokunmatik ekran teknolojisinin popülaritesinde düşüş yaratacağını öngörüyor. Beyin-bilgisayar arayüzlerinin sunduğu olasılıklar neredeyse sonsuz: oyun, ev otomasyonu, sağlık, ulaşım… Bu yüzden, çok sayıda şirket bu fırsatı gördü. Beyinden-araca teknolojisiyle Nissan, “mental klavye”siyle Facebook, yeni patentleriyle Microsoft gibi büyük şirketlerden; Elon Musk’ın Neuralink’i ve Bryan Johnson’ın Kernel’i gibi milyonerler tarafından fonlanan yeni girişimlere kadar çok sayıda şirket bu fırsat konusunda hemfikir.  

Beyin-bilgisayar arayüzleri onları bir özelliğiyle eşsiz yapan teknolojiler vaat ediyor: insanların sinirsel verilerine erişim. Bu veriler hem sağlıkla ilişkili yönleri açısından hem de insanların kişisel, özel ve derin düşünceleriyle ilişkisi bakımından son derece hassas bilgiler içeriyor. 

Güvenlik açısından bakıldığında, beyin-bilgisayar arayüzleri iki önemli yön ortaya koyuyor:

  1. A) Ortaya çıkan bilginin doğası: Bu bilgi zorbalık ya da şirketler yoluyla paraya dönüştürülebilir ve insanların sinirsel verilerinden ortaya çıktığı için, sağlıkla ilişkisi olması ve kişinin özel düşünceleriyle ilişkili olması bakımından hassastır.
  1. B) Vücutla direkt iletişim: Bu iletişim beyine uyarıcı ya da kullanıcının cihazlarına sinyal göndermeyi içeriyor. İkisi birlikte mevcut teknolojiler için tehdit teşkil eden fırsatlara birtakım hücuma kapı açıyor. 

Balusian (IT ve siber güvenlik danışmanlık şirketi) ve Bitbrain (nöroteknoloji ve BCI uzmanı) şu iki soruya cevap vermeyi hedefleyerek bu teknolojiyle ilişkili ana siber güvenlik yönlerini keşfetti: 

  1. Bu yeni teknoloji yeni güvenlik ve gizlilik sorunları yaratarak bizim beyin etkinliklerimizi nasıl üçüncü şahıslara teşhir edebilir? 
  2. Bu yeni siber saldırı senaryolarına karşı vatandaşları korumak için şirketler ve hükümetler ne gibi çözümler geliştirebilir?

Müdahalesiz Beyin-Bilgisayar Arayüzü Nedir?

hacker-cerebro-persona-bci-ciberseguridad_0.jpg

Beyin-Bilgisaayar arayüzü ya da BCI (brain-computer interface) sistemi en gelişmiş müdahalesiz ölçme teknolojisi olan EEG ile beyin etkinliklerinin, cihazları kontrol etmek için yararlanılabilecek komutlara  eş zamanlı çevirisini sağlıyor. İnsan EEG’si temelli sistemlerden, birçok uygulamanın yanısıra, email göndermek, bilgisayar faresi kontrol etmek, bilgisayarda yazı yazmak, internette arama yapmak ve hatta robotik kolları ve SCI protezlerini ya da felç hastaları kontrol etmek için faydalanıldı. 

Mobil teknolojilerinin ve bulut bilişiminin zirvesi birkaç yıl önce hayal dahi edilemez uygulamaların keşfine olanak sağlayarak BCI teknolojilerinin çok hızlı değişmesine sebep oldu. Mesela, Neurosky, Emotiv ve Muse gibi nihai tüketiciye (B2C) yönelik eğlence ve sağlık odaklı aygıt benzeri ekipmanlar halihazırda ticari olarak ulaşılabilir. Bunun yanısıra, Imec ve Bitbrain tarafından sağlanan şirketlere yönelik (B2B) kullanımı kolay, konforlu ve güvenilir cihazlar da mevcut. İki durumda da BCI uygulamalarının toplumumuzla etkileşimi bir gerçeklik. 

Sıradaki görsel EEG temelli BCI çözümünün genel mimarisini teknolojinin risk noktalarını tespit etmemize yardımcı olan bilgisayar sistemi görüntüsüyle gösteriyor.

architecture_of_bci_solution_05_english_logos_proceso_proceso.jpg

Görsel: Standard architecture of a BCI solution

Ana unsur EEG cihazı (1), baş üstüne yerleştirilen ve beynin konumlandırıldıkları bölgelerindeki elektrik aktivitelerini müdahalesiz sensörlerle ölçen bir teknoloji. EEG sensör bilgisi dijitale aktarılıp genelde akıllı telefon, tablet ya da bilgisayar uygulaması olan kontrol cihazına (3) gönderiliyor. Cihaz beyin etkinliğini topluyor, işliyor ve depoluyor. Cihaz kullanıcıya görsel ya da somatosensoriyel uyaran (4’) ya da motor protez gibi başka cihazlara (4) komut göndererek de çeşitli araçlarla kullanıcı ile etkileşebilir. Bazı uygulamalar bazı verileri (5) genelde bulut server olan uzaktan kontrol cihazına (6) gönderir. Bu sunucular ya veritabanındaki depolama görevlerini ya verinin kitlesel hesaplamalarını ya da zaten sunucuda depolanmış verinin kapsamlı hesaplamasını yerine getirir. En nihayetinde, bu sunucular spesifik bir kullanıcının etkinliğini yakın kontrol cihazına aktarmak için bilgi (7) gönderirler.

Tüm BCI’ların dahil olduğu bu mimariyi takip eden 3 tür uygulama vardır: 

  1. Gözetim: Bilişsel, duygusal veya duyusal-motor aktivitemizle ilişkili durumları tanımlamak için pasif bir şekilde beyin aktivitesi toplamayla ilgili tüm uygulamaları kapsar. 
  2. Değerlendirme/Teşhis: Sinirsel modeller temelinde bilişsel veya duygusal yetenekleri değerlendirmek için beyin aktivitesini işler. Ayrıca, diğerlerinin yanısıra, depresyon veya epilepsi durumunda olduğu gibi anormal beyin modelleri de tespit edilebilir. 
  3. Etkileşim/Müdahele: Ekrandaki klavye gibi cihazlarla etkileşim kurmak için beyin aktivitesini eş zamanlı olarak işler. Bu etkileşimin bir rehabilitasyon amacı olduğunda genellikle bir müdahale olarak adlandırılır. 

BCI çözümlerinin uygulamaları çok çeşitli olabilir ve tıbbi uygulamalarını (nörolojik hastalıkların teşhisi, fobilerin tedavisi, demansta bilişsel rehabilitasyon, hareket bozukluğu olan kişilerde nöroprotez ile hareketliliğin iyileşmesi), eğlence uygulamalarını (doğrudan beynimizle bağlantılı arayüzler sunan video oyunları), nöropazarlama hizmetlerini, sağlık hizmetlerini (bilişsel eğitim gibi) içerir. Otomotiv gibi diğer endüstriler de bu teknolojiyi hayata geçirmiştir. Nissan’ın beyinden-araca çözümü, sürüşle ilgili ilk eş zamanlı beyin aktivitesi tespit ve analiz sistemidir.

Siber Güvenlik Nedir? 

Siber güvenlik veya bilgi güvenliği, teknolojik yapıları ve bu altyapılarda veya bilgisayar ağlarında üretilen, işlenen, iletilen ve saklanan bilgileri korumak amacıyla farklı önlem ve faaliyetleri kapsayan bir alandır. Koruma, güvenliğin; gizlilik, bütünlük ve kullanılabilirlik gibi farklı boyutlarına odaklanır. Gizlilik, değerli bilgilerimizi (kullanıcılar, çalışanlar, sunucular, satış raporları, patentler hakkındaki veriler) yetkisiz erişimden, şifreleme teknikleri ve erişim kontrolü yoluyla veya güvenlik duvarları kullanarak korumayı amaçlar. Bütünlük, verilerin hatalardan veya kötü niyetli değişikliklerden (ödemelerde ve parasal işlemlerde değişiklikler, e-postaların içeriğindeki değişiklikler, uygulamalarda kötü amaçlı kodların girilmesi), imza kullanımı, sürümlerin kontrolü, antivirüs sistemleri ve kötü amaçlı yazılımdan korunma yoluyla etkilenmediği anlamına gelir. Son olarak, kullanılabilirlik, bilginin dış saldırılara karşı koruma ve arıza durumunda kurtarma sistemleri aracılığıyla bilgiye ihtiyaç duyan yetkili taraflar için erişilebilir olması gerekliliğini ifade eder.

Bilgi güvenliğinin veya altyapıların güvence altına alınması, güvenlik kazalarından kaçınmak ve bunlara karşı korunmak için tespit ve kaza müdahalesinin yanı sıra farklı önleme ve koruma tedbirleri veya kontrollerinin kurulmasını gerektirir. En uygun kontrolleri ve önlemleri tanımlamaya yardımcı olan farklı güvenlik çerçeveleri vardır (ISO 27001: 2013, NIST Siber Güvenlik Çerçevesi, CIS Kritik Güvenlik Kontrolleri). Ortak özellikleri, tümünün güvenlik risklerine odaklanmasıdır; burada risk, bu tür sistemler tarafından sunulan güvenlik açıklarından (veya zayıflıklardan) yararlanarak etki yaratan bir sistem saldırısının gerçekleştirilmesi olarak anlaşılır.

risk-cyberattack-impact-vulnerability.jpg

RISK = SALDIRI X GÜVENLİK AÇIKLIĞI X ETKİ 

Bu makale, beyin-bilgisayar arayüzlerinin gizliliği ve güvenliği ile ilgili iki temel konuya ilişkin riskleri ele almıştır:

  1. Üçüncü şahıslara satış yoluyla paraya dönüştürülebilen veya kullanıcıları gasp etmek için kullanılabilen EEG verilerinin niteliği.
  2. İnsan vücudu ile kullanıcı bütünlüğüne yönelik saldırıların yaşanabileceği yeni iletişim kanallarının yaratılmış olması.

Beyin-bilgisayar arayüzlerinin gizliliğiyle ilişkili siber güvenlik risk senaryoları

Gözetleme uygulamalarında EEG, pazarlama veya tanıtım ortamlarında insanların duygusal veya bilişsel tepkilerini bilmek için kontrollü bir şekilde kullanılır. Her bir kişiyi izlerken veya teşhis ederken teknoloji tarafından üretilebilen bilgiler çok hassastır ve bu nedenle çok yüksek bir potansiyel değer sunar. Alfa asimetri [Ref] veya N100, P200, N200 ve P300 [Ref] gibi belirli EEG işaretleri, bir kişinin politika, cinsel yönelim, tüketim vb. ile ilgili duyguları, tercihleri ve zevkleri hakkında bilgi sağlayabilir; hatta hafıza, öğrenme, problem çözme gibi bilişsel yeteneklere erişebilir. Teşhis uygulamalarında, EEG’den epilepsi, kanama, uyku bozuklukları, ensefalit, tümörler, migren ve madde bağımlılığı gibi anormal beyin davranışlarını tespit etmek mümkündür.

En nihayetinde, gerçek hisler ve motivasyonlar ve hatta olası hastalıklar gibi çok özel kişisel bilgilere erişimden bahsediyoruz. Bazı durumlarda, kullanıcının farkında bile olmadığı bir bilgi olabilir.  Bu bilgiler, algılama algoritmaları aracılığıyla belirli duyguları deneyimleme veya bir hastalık geliştirme olasılığını elde etmek için işlenebilir.  Bu özel bilgiler, uygun şekilde işlenirse, kullanıcıların bilgisi olmadan üçüncü şahıslar tarafından çok karlı bir şekilde paraya dönüştürülebilir. EKG’li Apple saati şimdi gündemde: bu verilere erişmenin sonucuna göre primleri değiştirmeye istekli sigorta şirketleri var.

Veri Komisyoncuları veya veri satıcıları, kişilerin kişisel bilgilerini toplamak, sağlam tüketici profilleri oluşturmak ve her şeyi kullanıcıların bilgisi (veya rızası) olmaksızın üçüncü taraflara satmak için veri ihlali yapan kuruluşlardır. Şu anda, tüketici profilleri, bir tüketicinin geçmişi (kredi kartı, zevkler, ihtiyaçlar, ihtiyaçlar) dahil olmak üzere müşteri verilerini bile içerebilir, bilgiler bu tüketiciye ne tür satışların yönlendirilebileceğini belirlemeye yardımcı olabilir ve belirli bir ürünü sunmanın risklerini belirleyebilir. Bazı üçüncü şahıslar için, kullanıcıların ve tüketicilerin profillerini önceden bilmek önemli bir rekabet avantajıdır. Bu kategorinin bazı örnekleri, müşteri primlerinin hesaplanmasını optimize etmek isteyen sigorta şirketleri, aday seçimiyle ilgili riskleri en aza indirmek isteyen insan kaynakları şirketleri ve hatta ipotek gibi ürünleri ticarileştiren bankalardır.

Son yıllarda, tıbbi geçmişleri içeren tüketici profilleri için 38 ila 240 dolar arasında ödeme yapıldı. Bir kişinin beyin aktivitesinden yola çıkarak belirlenmiş arkadaş tercihlerini veya potansiyel hastalıklarını içeren profiller için ne kadar ödenir? Oluşturulan profillerin kesinliğinden dolayı, üçüncü taraf şirketler ile müşterileri arasındaki bilginin (ve dolayısıyla gücün) eşitsizliği ve asimetrisi beklenmedik seviyelere çekilebilir. Beyin algılama cihazlarının ve EEG ile ilgili teknolojilerin ilerlemesi, devasa veri işleme ve diğer teknolojilerle bilgilerin bir araya getirilmesiyle, beyin gözleminden elde edilen nörolojik bilgi giderek daha fazla olacak ve beynin daha kesin işlevsel haritacılığını sağlayacak. Bu nedenle verilerin değerinin artmaya devam etmesi bekleniyor.

Yine de gizlilik sorunları ile ilgili olarak, EEG cihazları tarafından üretilen gerçek ham veriler, beyin-bilgisayar arayüzlerini destekleyen otomatik öğrenme algoritmalarını veya makine öğrenimini (yapay zeka) optimize etmek için temeldir. Üreticilerin bulut sunucularında, binlerce kullanıcı tarafından oluşturulan milyonlarca EEG örneği var. Bu veriler, büyük teknolojik grupların ve tıbbi araştırmanın oldukça talepkar olduğu çok kazançlı bir pazarda dahili araştırmayı ilerletmek veya ticarileştirmek için kullanılabilir.

Beyin-bilgisayar arayüzlerinin güvenliğiyle ilişkili siber güvenlik risk senaryoları

İlginizi çekebilir:  Ebeveynlerin Çocuklarını Takip Ettiği Uygulama Binlerce Kullanıcı Verisini Sızdırdı

Organize suç, faaliyetinin önemli bir bölümünü dijital dünyaya aktarmıştır.  Şu anda uyuşturucu veya silah trafiğinden daha kazançlı ve kullanıcılara karşı suçların şu nedenlerle artmaya devam edeceği tahmin ediliyor: 1) bağlı cihazların katlanarak artması, 2) bu cihazların çoğunun yetersiz güvenliği / korunması ve 3) kullanıcıların temel güvenlik önlemleri hakkındaki bilgisizliği. BCI ürünlerinin istilaya uğraması, nöronal veriyi yeni bir gasp biçimi olarak gören ve kullanıcı vücutlu yeni arayüzleri de uzaktan ve anonim bir şekilde fiziksel ve zihinsel hasara neden olmak için fırsat olarak görecek olan bu “iş” için yeni bir teşvik olacaktır.

Aşağıdaki görüntü, BCI teknolojisindeki olası saldırı vektörlerini göstermektedir:

 possible attack vectors on BCI technology

Senaryo örneği 1: Gerçek bir beyin-bilgisayar arayüzü BCI vakası

MoreGrasp H2020 EU projesi, kontrollü bir nöroprotez (BCI aracılığıyla) geliştiren uluslararası bir araştırma girişimidir. Amaç, omurilik zedelenmesi geçirmiş kişilerin elleriyle bir bardak su kapmak veya dişlerini fırçalamak gibi rutin hareketler yapabilmeleri, özerkliklerini ve yaşam kalitelerini artırabilmeleridir. Bu teknoloji aslında Almanya’daki Heidelberg Üniversitesi tarafından yürütülen klinik denemelerden geçiyor.

Bu teknolojinin pratik işleyişi şudur: hasta, gerçekleştirmek istediği eylem hakkında doğal bir şekilde düşünür ve tekerlekli sandalye bilgisayarına kurulan BCI, beyin sinyallerinden kullanıcının niyetini çözer. Fonksiyonel elektriksel stimülasyon sistemine talimatlar verilir ve kullanıcının önkol sinirlerine elektrik akımları gönderilir, gerekli kavrayışı elde etmek için eli kontrol eden kasları harekete geçirir. Kullanıcı, duyarlılık eksikliğini telafi etmek için bir akıllı saatte duyusal geri bildirim alır. İşlem tamamlandığında, bilgisayar beyin verilerini ve teknolojinin kullanımına ilişkin verileri, depolama ve daha sonraki istatistiksel amaçlar için Moregrasp sisteminin merkezi sunucularına gönderir.

Mahremiyetle ilgili risk senaryoları ile ilgili olarak, ana senaryo, kullanıcının beyin verilerinin ikincil kullanımıdır. Bu kullanım, yalnızca kullanıcının tetraplejik durumunu değil (motor korteks aktivitesinin dejenerasyonu nedeniyle [Ref]), aynı zamanda akıl hastalıklarıyla ilgili diğer bilgileri saptar. Bunun yanı sıra, beyin aktivitesi 8 kesintisiz saat boyunca (cihazın kullanımı) izlendiğinden günlük yaşamda gerçekleştirilen görevler boyunca duygu ve motivasyonlarla ilgili bilgiler (diğer insanlarla etkileşim, televizyon izleme vb.) ayrıca erişilebilir hale gelir. 

Senaryo örneği 2: Kitle tüketimli EEG ekipmanı

Kitlesel tüketim için EEG zihinsel araçları halihazırda bir gerçekliktir ve halkın kullanımına sunulmaya başlanmıştır. Bu bölümde, bir saldırının EEG ekipmanı ile yakın kontrol cihazı (bir MiTM ek numarası 2) arasındaki Bluetooth Düşük Enerji (BLE) iletişimini etkilediği bir senaryo sunulmaktadır. Saldırının amacı, öncelikle kullanıcıya ait özel bilgilere ve gasp amacıyla erişmek ve ikinci olarak, kullanıcıya tehlikeli sinyaller gönderecek şekilde kontrol cihazına yönelik bilgileri değiştirmektir. 

Saldırı için SW GATTacker (IOT cihazlarının kontrolü için kullanılan) ile iki dongle USB Bluetooth ile yapılandırılmış bir makine kullanıldı. Aşağıdaki resim saldırının amacını göstermektedir: EEG kulaklığı ile Uygulama arasındaki bluetooth iletişimini saldırgan makine üzerinden yönlendirin.

architecture_of_bci_pruebamitm_english_01.jpg

Görsel: Attack scenario to route the traffic between the EEG headset and the App

Aşağıdaki şekil saldırıyı gerçekleştirmek için gereken adımları göstermektedir:

Adım 1: Saldırgan, EEG kulaklığı tarafından üretilen bilgileri dinler ve bir Bluetooth bağlantısı kurmak için kabul mesajları göndererek yanıt verir.

Adım 2: Saldırgan makine, EEG kulaklığı tarafından üretilen bilgilerin aynısını kullanır ve Uygulama bluetooth bağlantısını kabul edene kadar Uygulamaya gönderir.

Adım 3: Saldırgan makine EEG başlığına ve Uygulamaya bağlandığında, her iki cihaz arasındaki trafiği yakalar. Şekil, sensörlerin tanımlamasını (siyah renkte) ve her bir sensör tarafından gönderilen bilgileri (yeşil) gösterir.

attack bci hacker

Bu örnek, bilgilerin gizliliğinin nasıl kolayca tehlikeye atılabileceğini ve kullanıcıya haraç amacıyla EEG veri hırsızlığına  yol açabileceğini göstermektedir. Ayrıca, bilginin bütünlüğünden ödün vermesine ve kullanıcıya zarar verecek sinyaller üretmek amacıyla EEG bilgilerinin değiştirilmesine yol açma fırsatı vardır.

Bu tür saldırıların nesnelerin internetini (IoT’ler), akıllı telefon uygulamalarını ve bulut web hizmetlerini kullanan birçok mevcut çözüm için genişletilebileceği vurgulanmalıdır.

BCI uygulamalarının hacklenmesine yönelik çözümler

Bu risk senaryoları, mevcut siber güvenlik ve gizlilik sorunlarını daha da genişleten bir dizi özellik sunar. Bir yandan insan vücudu ve kullanıcıların yaşamları üzerinde doğrudan bir etkisi olabilirken, diğer yandan üretilen nöronal veriler farklı pazarlarda kullanılabilir ve satılabilir. Bu verilerle, veri aracıları satış için çok daha kesin kullanıcı profilleri oluşturabilir ve siber suçlular bunları gasp amacıyla kullanabilir. 

Nöroteknoloji çözümlerinin ve beyin-bilgisayar arayüzlerinin hala genişlemekte olduğu bir anda, siber güvenlik olaylarından kaçınmak için dikkate alınması gereken önlemleri içeren bütünsel bir öneri sunulmuştur.

Teknolojik güvenlik önlemlerinin uygulanması

En azından aşağıdakileri içermesi gereken, önceden tanımlanmış riskleri en aza indiren bir dizi temel kontrolün sıralanması esastır:

Nokta 1: EEG ekipmanı için:

Ürün yazılımının şifrelenmesi ve karma veya imza yoluyla orijinalliğin doğrulanması.

Nokta 2: EEG ekipmanı ve yakın kontrol sistemi arasındaki kablosuz iletişim için:

BLE aracılığıyla iletilen EEG bilgilerinin şifrelenmesi.

Örneğin, bir PIN numarası veya Yakın Alan İletişimi (NFC) aracılığıyla Uygulamaya bağlanmak isteyen cihazın doğrulanması.

Nokta 3: yakın kontrol cihazı için (akıllı telefon veya dizüstü bilgisayar):

Cihazın yalnızca BLE protokolü üzerinden bir EEG cihazına bağlanabilmesini sağlamak amacıyla çift kimlik doğrulama (parmak izi, PIN, NFC). Bu, kötü niyetli kişilerin daha önce gösterilen MiTM’ye benzer saldırılar gerçekleştirmesini önleyecektir.

EEG ekipmanından ve / veya sunucusundan Uygulamaların orijinallik kontrolü.

Nokta 4: sağlayıcı sunucuları ile iletişim için:

İletişimin kötü niyetli bir kişi tarafından kesilmesi durumunda EEG verilerine erişimin olmamasını sağlamak amacıyla iletişimin şifrelenmesi.

Nokta 5: uzaktan kumanda cihazları (sunucular) için:

Tüm kullanıcıların EEG verilerinin depolandığı üreticinin tüm altyapısının korunması: fiziksel güvenlik, işletim sistemleri, ağlar, depolama sistemleri, uygulamalar, web uygulamaları (erişim formları) vb.

Enine olarak, verilerin izlenmesini ve denetlenmesini sağlayan Blockchain gibi verileri korumak için başka tür gizlilik çözümleri uygulanabilir.

Tasarım gereği güvenlik kavramı, tüm bu önlemlerin, mühendislerin vizyonunu tamamlayan nörobilim profesyonellerinin katılımıyla, ürünün tasarımından itibaren düşünülmesini sağlamak için çok önemlidir. Açık Web Uygulaması Güvenlik Projesi (OWASP) tarafından tanımlanan Nesnelerin İnterneti’nin (IOT’ler) güvenlik kılavuzu geçerli bir başlangıç ​​noktası olabilir. Bu önlemlerin uygulanması, çözümlerin maliyetini artırmanın yanı sıra işlevsel ve kullanılabilirlik yönleriyle çatışabileceği için hassas bir karar olarak kabul edilmektedir.

Hükümetler tarafından etkili ve zamanında düzenleme

Genel Veri Koruma Yönetmeliği (GDPR) gibi verilerin korunmasına ilişkin düzenlemeler olmasına rağmen, bunlar günümüzde önemli sınırlamalar teşkil etmektedir. Örneğin, Avrupa Birliği’nde şubesi olmayan şirketlerden EEG cihazları alırken, GDPR geçerli değildir.

Kullanıcı, bu ekipmanı kullanırken, gizlilik politikasında açıklanan şartlara uygun olarak bir yakınına devretmeyi kabul eder; burada, “kimliksizleştirme” sonrasında (bu işlemle ilgili ayrıntılar genellikle mevcut değildir) verilerin üçüncü şahıslara gönderilebileceği ve bunların kullanımında herhangi bir kısıtlama olmaksızın üreticinin mülkü haline gelebileceği (dağıtım, ticaret, soruşturma) belirtilmiştir.

Eğer minimum teknolojik korumaların uygulanabilirliğini sağlamak, transfer durumlarından ve kullanıcılar tarafından üretilen nöronal bilgilerin kontrolsüz satışından kaçınmak istiyorsak, bu tür cihazların düzenlenmesi esastır. Tesirliliğini  garanti altına almak için, bu düzenleme, GDPR gibi (üreticiler AB dışında olduğunda) mevcut düzenlemelerin sınırlamalarını önlemek için uluslararası olarak uygulanabilir olmalıdır. Ayrıca, düzenleme hızlı teknolojik değişikliklere uyum sağlamak için yeterince çevik olmalıdır. Nature dergisinde yayınlanan yakın tarihli bir çalışmada, araştırmacılar nöronal bilginin, 1984 ABD Ulusal Nakil Yasası gibi organ satışlarıyla aynı düzeyde bir mevzuat düzeyinde ele alınması gerektiğini öne sürüyorlar. Ayrıca, bu düzenlemeler her zaman bu cihazlarla bireyin kimliğinin (zihinsel ve vücut bütünlüğü) ve kurumun (kendi eylemlerini seçme yeteneği) saldırılara göre değiştirilebilecek anonimliğinin korunmasını garanti etmelidir. Siber güvenlik sektörünün siber güvenlik şirketleri ve İspanyol Ulusal Siber Güvenlik Enstitüsü gibi kurumların yardımıyla düzenlenmesi iyi bir başlangıçtır.

Kullanıcıların eğitimi ve bilinci

BCI ürünlerinin (ve genel olarak giyilebilir cihazların) ticarileştirilmesi ilerledikçe, kullanıcıların maruz kalabilecekleri risklerin ve iyi güvenlik uygulamalarını benimsemenin gerekliliğinin farkına varmaya başlamaları çok önemlidir. Güvenlik tehditlerini önlemeye yönelik bazı örnekler, kullanılmayan işlevleri devre dışı bırakmayı, yalnızca hizmet kullanılacağı zaman EEG ekipmanını yerleştirmeyi, Uygulamaların parolalarını yeterince yönetmeyi ve koşullardan tam olarak haberdar olmak için gizlilik politikalarını eleştirel bir şekilde okumayı içerir. Bu tür faaliyetler, Avrupa Tüketici Örgütü (BEUC) veya İspanyol tüketici örgütü (OCU) ile halihazırda olduğu gibi, tüketici dernekleri gibi bağımsız organizmaların sorumluluğu olabilir.

Sonuçlar

BCI cihazları, hayatımızın birçok yönü üzerinde çok sayıda büyüleyici fayda sağlar, ancak aynı zamanda beyinlerimizi, mevcut teknolojilerle deneyimlediğimizden çok daha derin etkilerle, hacklenebilen yeni bir bilgi sistemine dönüştürürler. Nöronal bilgi gizli olmaktan çıkıp milyonlarca avro değerinde düzenlenmemiş bir veri satışı işini besleyerek, vücutla olan arayüzler nedeniyle kullanıcılara doğrudan saldırmak için yeni bir kanal haline gelebilir. Bu sorunların cevabı, tüm aktörleri içeren ve etkilerin yalnızca teknolojik yönlerini değil, insan boyutlarını da dikkate alan bütünsel bir dizi önlemin benimsenmesini içerir.

Siber tehditlerin, siber risklerin ve dolayısıyla siber güvenliğin odağı, bedenlerimiz ve yaşamlarımızla farklı şekillerde ve artan oranlarda etkileşime giren istilacı beyin-bilgisayar arayüzleri (sensörler doğrudan beyne uygulanır), giyilebilir cihazlar ve IOT’ler gibi beyin-bilgisayar arayüz teknolojisi çözümlerinin tüm yelpazesini içerecek şekilde genelleştirilebilir.  Birden çok gelişme kaydedilecek, ancak bu gelişmeler beraberinde yeni güvenlik sorunları ve güvenlik çözümlerini de getirecektir.

implantes_tecnologicos_cuerpo_persona.jpg

Siber güvenlik, teknolojiyle etkileşime giren biyolojik, insani ve sosyal alanları kapsayarak, ortaya çıkabilecek tehditleri ve yeni sorunları anlamaya ve tahmin etmeye yardımcı olan kavramlar sunarak etkinliğini garanti altına almak için sürekli olarak yeniden icat edilmelidir. Uzmanların, mevcut güvenlik boyutlarının (gizlilik, kullanılabilirlik, bütünlük) genişletilmesi ve CVSS gibi güvenlik açığı değerlendirme sistemlerinin ölçümlerinin insan yönlerini (fiziksel veya zihinsel hasar, kişisel hasar, bilgi asimetrisi, kontrol) kapsayacak şekilde uyarlanması gerektiğini anlamaları önemlidir. ISACA ve ISC2 gibi derneklerin, etik kodlarına sadece kuruluşun değil, nihai tüketicinin da korunmasını dahil etmeleri uygun olacaktır. Bu, yeni saldırılarla ilgili teknik önlemlerin, düzenlemelerin ve farkındalık içeriğinin yeterli bir şekilde tahmin edilmesini sağlayacaktır.

Kaynak: https://www.bitbrain.com/blog/cybersecurity-brain-computer-interface 


Bu yazı Friedrich-Ebert-Stiftung (FES) Derneği Türkiye Temsilciliği’nin katkıları ile hazırlanmıştır. Bu yazıda yer alan görüşler FES Derneği Türkiye Temsilciliği’nin görüşlerini temsil etmez.