Çoğumuzun yakından tanıdığı Ses Biyometrisi ve sesle doğrulama ilgili mevcut uygulama, doğrular ve yanlış bilinenler, bilinmeyenler ve bu konunu geleceği ile bir makale ile sizlerle birlikteyim.
Öncelikle olarak biyometri genel tanımı ile başlayalım. Bir bireyin fiziksel ya da davranışsal benzersizliğini ölçen ve mevcut kayıtlarla karşılaştırarak tanımlama işlemi yapan otomatik bir sistem kurgusudur.
Başka bir deyişle, şifreler gibi geleneksel yöntemlerin yerine biyometri kolay ve rahat doğrulama yöntemiyle bireyin parmak izlerini, yüzünü, irisini, avuçiçi izlerini,sesini imzasını, DNA ve retinası ile belirleyebilir. Biyometri alternatiflerini iki farklı başlıkta toplayabiliriz. Fizyolojik biyometriyi Yüz, parmank izi, El, İris, DNA oluştururken davranışsal Biyometri için Tuş vuruşu alışlanlıkları, İmza ve Sesi örnek göstebiliriz.
Biyometrinin benzersiz, kalıcı, evrensel ve ölçülebilir özelikleri Telekom, Bankacılık ve E-ticaret gibi alanlarda bilgi güvenliği sağlar. Biyometri ayrıca makinanın bireyi kendi başına doğrulaması veya kişinin tepkilerine yanıt vermesini kolay ve güvenli bir şekilde sağlar. Özet olarak olarak biyometriyi bir çok güvenlik ihtiyacında kullanabiliriyoruz.
Davranışsal biyometri Ses Biyometirisi için yapılan sektörel tanım genel olarak şu şekildedir; Ses aynı parmak izi ve retina gibi kişiye özeldir. Taklit edilemez. Basit ifade ile Sesin dijital olarak çevrilmesi ile minimum50 den fazla davranışsal ve karakteriksel özelliği göz önünde bulundurularak bir iz çıkarılır. Bu iz kişinin ses imzası olarak karşılaştırmak yapılmak amacı ile saklanır.
Bilhassa Çağrı merkezlerinde şifre yerine birçok farklı vendorun çözümü Ses biyometirisi çözümleri kullanılmaya başlanıldı ve her geçen bugün kullanımı artıyor.
Ses Biyometrisini Sesle kimlik doğrulama için iki farklı şekilde kullanımı söz konusu.
Aktif Ses Biyometirisi Kimlik Doğrulama: Bu yöntemde öncelikli olarak Kurum tarafından doğrulamanın yapılacağı bir cümle belirlenir. Eğer bu cümle standart olarak kullanılan “Benim sesim benim şifrem” ise; bu cümlenin eğitimi vendorlar tarafından defalarca yapıldığı için kısa sürede impilemente edilebilir bir yapı olacaktır. Fakat müşteri kendine özgü bir bir ifade / cümle kullanmak isterse bu yeni bir eğitim süreci ile proje süresini uzatacaktır. Belirli periyodlarda kararlılığı yükseltmek adına tekrar fine tune edilmesi gerekecektir.
Kurumun müşterisi, sesli imzasının alınabilmesi için sistem devreye alındıktan sonra IVR Sesli Yanıt Sistemine yönlendirilecek en az 3 kere aynı ifadeyi söylemesi istenerek müşterinin sesli imzası sistem üzerinde oluşturulmuş olacaktır. Artık müşteri bundan sonraki aramalarında sesli imza için belirlenen ifadeyi söylemesi istenecek, kayıt edilen imza örneği veritabanında kayıtlı imza ile karşılaştırılacak olup, birçok paramatreye göre hesaplanarak benzerlik açısından bir skorla doğruluğu onaylanacak veya onaylanmayacaktır.
Pasif Ses Biyometrisi Kimlik Doğrulama: Aslında Pasif Ses doğrulamasında da aktifte olduğu gibi, bir karşılaştırma ve skorlama söz konusudur. Tek fark, müşteri aktifteki gibi belirlenen sabit bir ifade yerine özgür bir cümle kurarak sesli imza oluşturabilmektedir. Bu oluşturulan sesli imza, müşterinin bir sonraki aramalarında öncelikli bir doğrulama sürecine uğramadan müşteriyi müşteri temsilcisine yönlendirmekte, konuşma esnasında arka tarafta konuşma esnasındaki örnekleme ile daha önce alınan imza örneği karşılaştırarak müşteri temsilcisinin önüne skorlama bilgisi olarak eşleşmenin pozitif mi negatif mi olduğu bildirilmektedir. Kurumlardaki mevcut ses kayıtı Sistemleri ile yapılacak entegrasyon sayesinde daha önce müşteriden bir kayıt beklentisi de ortadan kalkmaktadır. Daha önce müşterinin aramalarında alınan kayıtlardan bu imza oluşturularak , daha sonraki aramalarda eşleştirme doğrulaması yapılmaktadır.
Sesle kimlik doğrulama yöntemlerini açıkladıktan sonra gelin ikisi arasındaki artı ve eksilere göz atalım.
Aktif Ses Biyometrisi Kimlik doğrulama yönetiminde, yukarıda da belirttiğimiz gibi sesli imzanın kaydı esnasında saklanacak çok küçük boyutlarda olduğundan ciddi bir depolama ihtiyacı bulunmuyor. Bu yüzden aktif method; genişleyebilir, veri depolama ihtiyacı olmayan ve pasif methodtan daha az işlemci ve kaynak gücüne ihtiyaç duyuyor. Müşteri deneyimi açısından da daha çok tercih edilir bir yöntem.
Aktif method için önemli bir konuyu da eklemekte fayda var. Aktif method bireysel kullanıcıları doğrulamada daha isabetli, fakat bilhassa parasal ve hassas bilgiler üzerinden işlem yapan finansal organizasyonlar için dolandırıcıları ve kimlik hırsızlarını tespit etmekte daha düşük verimli olacaktır. Bunun da kimlik hırsızları ve dolandırıların illegal işlemlerini arttırabilecek bir unsur olacağı unutulmamaldır.
Birçok vendor ve uzmanın Ses Biyometrisi çok yüksek bir güvenliğe sahiptir tezine karşılık birkaç örnek ve istatistiki bilgi vereceğim ve sonrasında buna sebep olan unsurları açıklamaya çalışacağım.
Öncelikle aşağıdaki çok kısa videoyu izleneminizi rica ediyorum. BBC muhabiri, ikiz kardeşi ile yaptığı bir teste Sesli İmza ile kimlik doğrulama sistemini devreye almış global ve İngilterenin en büyük bankalarından birinin ,Sesle kimlik doğrulama sistemini 7 denemeden sonra nasıl aştıklarına ve ikizinin hesap bilgilerine ulaşıp her türlü işlemi yapmaya açık hale geldiğine şahit olun.
Sesle Kimlik doğrulamada sesli imzayı karşılatırırken ses izindeki karakteristik ve bilimsel birçok parameter ile bir skor puanı çıkardığını belirtmiştik. İşte konun en can alıcı noktası. Eşleştirmeyi doğrulayan yüzlerce ve farklı bilimsel ve karakteristik parametreden oluşan skoru müşterinin memnuniyeti ve aynı zamanda güvenlik zaafiyetinin önlenmesi doğrultusunda bir değerde set edilmesi gerekiyor. Skor eşik değerinin yüksektilmesi , tanımayı daha güvenli hala getirmeye yardımcı olsa da doğrulamayı zorlaştıracak ve bu da müşteri deneyimini ciddi anlama etkileyecektir. Bu skorun eşik değerinin düşürülmesi de yanlış doğrulamalara olanak sağlayacaktır.
İşte bu doğruluğun kararlığı için istenilen optimum nokta EER yani Equal Error Rate olarak ifade ediliyor. Özetle bu değer; FAR False Accept Rate kişinin o kişi olmadığı halde doğrulanarak onaylama yüzdesi, FRR False Reject Rate kişinin doğru kişi olduğu halde onaylanmaması yüzdesi. İşte bu iki durumun keşitiği en düşük olduğu değer Equal Error Rate. Global olarak olarak bu değer 3% ile 10% arasında değişmektedir. Derin Öğrenme, Derin sinir ağları tabanlı ses biyometrisi çözümlerinin sonuçlarının daha iyi olduğu söylenmekte olup, uluslarlarası akademik anlamda yapılmış bir test sonuçlarına ben ulaşamadım henüz. Tabi ki bu konuda çok ciddi çalışma yapan vendorlar var.
Yine bir kaç araştırma verisi ile devam edecek olur isek;
Bir firmanın yaptığı araştırmaya göre, 2013-2017 tarihleri arasında ses kanalları üzerinden yapılan kimlik hırsızlığı ve dolandırıcılık % 305’e yükselmiş durumda. 2017 yılında her 638 çağrıdan bir tanesinin sahte dolandırıcılık çağrısı olduğu bildirilmiştir.
Çinin teknoloji devi Baidu sadece 3.7 saniyede inandırıcılığı yüksek ses klonlaması yapabilen bir yazılım geliştirmiştir.
Yine, Lyrebird isimli bir startup kaydedilen ses üzerinden, kişinin sesini replike etmek üzerine çalışmaktadır.
Değerli takipçiler; bu ürünlerin çoğu, akademik çalışmalar neticesinde keşfedilen tecrübe edilen, genele açılan çekirdek teknolojiler ve bilimsel ve teknolojik çalışmalar sayesinde oluşturulmuyor mu?
Peki Hackerların geliştirdiği sızma ve replikasyon gereçleri yine aynı bu çalışmalar dikkate alınarak oluşturulmuyor mu?
Milyonlarca dolarlar harcanarak konumlandırılan Güvenlik katmanları delinerek, müşterilerin özel verileri hala çalınabiliyor ise, ses biyometrisi için de aynı şeyin geçerli olamıyacağını söylemek bence mantısız olurdu.
Araştırmalar 2020 sonunda farklı işlerin yapmak için 1.9 Milyar banka müşterisinin biometric kimlik onaylamayı kullanacaklarını söylemektedir.
Ses biyometrisi vendorları ve işin uzmanları Ses biyometrisi ile kimlik doğrulamanın tek başına bir onay mekanizması olarak kullanulmaması zaten gerektiği söylüyorlar. Çok faktörlü otorizasyon yönteminde de, kombine edilerek diğer güvenlik faktörlerinin doğum tarihi, anne kızlık soyadı, doğum tarihi gibi internette ve diğer sosyal media mecralarında çok çok rahat bir şekilde bulunabilecek bilgiler olmaması gerektiğini savunuyorum.
Bu işin uzmanı hackerları ve dolandırıcıları bir kenara bırakın, sosyal medya kanalları üzerinde merak ettiğimiz bir kişinin tüm ailesi, zevkleri, sevdiği yemekler, hoşlanmadıkları vs en detay bilgilere bile ulaşmak için bir uzmanlık gerekmiyor.
Bilhassa Parasal ve hassas veriler ile işlem yapılan organizasyon ve kurumlar için Ses Biyometrisi ile Kimlik doğrulama tek başına bir güvenlik ürünü olamayacağı gibi, sadece iyi bir şekilde kurgulanmış yüzlerce farklı davranış ve karakteristik parametreye bakan (Müşterinin en çok kullandığı servisler, servisleri kullanırken alışkanlıkları, geçmiş tüm izleri daha sayamayacağım bir çok teknik ve verisel paramatre) bir Fraud Dolandırıcılık Önleme sisteminin bir komponenti olarak pozisyonlanabilir.
Kimlik Hırsızlığı ve dolandırıcılığı önleme, Müşteri deneyimini iyileştirme ve geliştirme, Çağrı sürelerini ve maliyetleri düşürme odaklı doğru ürün ve çözümü seçerken, ihtiyaçlar doğrultusunda yukarıda belirtmiş olduğum konu başlıkları dikkate alınması faydalı olacaktır.
Unutmayın; Çok güzel bir söz var, “Security is a story of measure and counter-measure.”
Tamamen vendor ve üretici bağımsız ürün ve teknoloji değerlendirmelerimin yer aldığı diğer bir makale de görüşmek üzere.
Haluk Yetkin – Ocak 2019