Radyo frekansı kullanarak nesneleri tekil ve otomatik olarak tanıma yöntemi olan RFID teknolojisine yönelik yeni bir güvenlik çerçevesi, AB’nin ilgili komisyonunda kabul edildi. Altı ay sonra yürürlüğe girmesi beklenen çerçeve gönüllülük esasına dayalı olacak. Yani RFID uygulamalarında yayınlanan güvenlik çerçevesine uymak en azından ilk etapta zorunlu olmayacak. Ancak RFID güvenliğinin AB nezdinde gündeme taşınması yine de önemli bir gelişme olarak değerlendiriliyor.
“RFID Uygulamalarında Mahremiyet ve Veri Güvenliği Değerlendirme Çerçevesi” adı altındaki taslak, Ocak 2011’de yayınlanmıştı. Söz konusu taslak çalışma Avrupa Network ve Biilgi Güvenliği Ajansı (ENISA) tarafından onaylanarak RFID konuşlandırmalarında standart haline getiriliyor. Ancak dediğimiz gibi çerçeveye uyum en azından ilk etapta zorunlu olmayacak. 24 sayfadan oluşan söz konusu taslak, RFID endüstrisinin önde gelen firmaları ve ulusal veri güvenliği uzmanlarından oluşan Article 29 Çalışma Grubu tarafından oluşturulmuş. Bu taslakta yer alan maddeler ve yönergeler her ne kadar zorunluluk içermese de, RFID güvenliğinin AB nezdinde gündeme taşınması yine de önemli bir gelişme olarak değerlendiriliyor.
ENISA tarafından onaylanan taslak çalışma 4 farklı düzeyde RFID uygulaması tanımlıyor ve bu düzeylerin her birisi için farklı güvenlik tedbirleri öneriyor. Level 0 olarak geçen düzey, paletler ve tahta kutular gibi genel taşıma malzemelerindeki RFID uygulamalarına yönelik ve herhangi bir mahremiyet tedbiri alınmasını gerektirmiyor. Bir yüksek seviye olan Level 1 ise kargolar gibi belirli bir kişiye özel olmasa da insanlar tarafından teslimatı yapılan taşıma malzemelerindeki RFID uygulamalarına yönelik. Bu düzeyde minimum güvenlik ve mahremiyet tedbirleri ile takip sistemleri öneriliyor.
Söz konusu taslakta geçen Level 2 ve Level 3 düzeyleri ise daha yüksek güvenlik gereksinimleri içeriyor. Level 2 düzeyi RFID uygulamaları, kişisel veriler içeren veri tabanı anahtarlarına Level 3 düzeyi RFID uygulamaları ise kişisel bilgileri kendi üzerinde barındıran RFID uygulamalarına yönelik tedbirleri tanımlıyor.
Mahremiyet Etki Değerlendirmeleri (PIA) ise RFID Uygulama Operatörü tarafından gerçekleştirilecek. Söz konusu değerlendirmelerde aktarımların uygun bir biçimde şifrelenip şifrelenmediği, ne gibi saldırı metotlarının kullanılabileceği ve bunlara karşı hangi önlemlerin alındığı gibi sistem mimarisi ile ilgili değerlendirmeler yapılacak. Hazırlanan değerlendirme raporları ise daha sonra ilgili kurumlara sunulacak. Bu kurumlar AB üyesi her ülkede veri güvenliği ile sorumlu yerel regülatörler olacak. Ancak oluşturulan taslaktaki standartlar geniş kabul görürse, ISO 9000 belgeleri benzeri bir sertifikasyon sürecine gidilebileceği belirtiliyor.
Kaynak : 