Büyük veri, potansiyel dolandırıcılığı sezmek ve uyarmak için kullanışlı bir araç olduğu gibi, teknoloji aynı zamanda kişisel veri güvenliğine ilişkin endişeleri de beraberinde getiriyor.
Jordan Belfort gibi hikayeler 80’lerde kaldı. Gün geçtikçe artan sıkı yasal düzenleyici gereksinimleri, Wall Street kurtlarını dize getiriyor. Finansal kurumlar dolandırıcılığın önüne geçmek için proaktif izleme araçları kullanıyorlar. Büyük veri, potansiyel dolandırıcılığı sezmek ve uyarmak için kullanışlı bir araç olduğu gibi, teknoloji aynı zamanda kişisel veri güvenliğine ilişkin endişeleri de beraberinde getiriyor.
“Veri analizinin yaygınlaşmasından kaynaklanan bir kişisel veri gizliliği endişesi var” diyor Hong Kong Kişisel Veri Gizliliği Komisyonu Bürosu’nun bilgi teknoloji danışmanı Henry Cheng. “Konuya ilişkin devam eden araştırmalar ve tartışmalar var, bu yüzden bunlara hiç cevabımız yokmuş gibi davranamayız.” diyor.
Cheng, verinin kullanım şeklinden ötürü karmaşa çıktığını belirtiyor. “Hong Kong’un Kişisel Veri (Gizliliği) Emri, verinin toplanma amacı dışında kullanılmasını açıkça yasaklıyor. Ancak bu durum büyük verinin aleyhine işliyor çünkü büyük veride amaç devasa hacimdeki verileri farklı kaynaklardan işleyerek işletmenin farkında olmadığı bilgileri onlara sunmaktır. Bu süreçte verilerin toplandığı kaynaklar ve kullanılan verilerin toplanma amacı oldukça çeşitlidir.”
“Eğer veri, toplandığı amaçtan farklı bir amaç için kullanılacaksa, veriyi toplayanlar, topladıkları kişilerden izin almalılar. Ancak bu değişimin tanımı biraz tartışmalı olabilir.” diyor Cheng. “Büyük veri, trendleri anlamak ve farklı olasılıkları bulmak için müthiş bir araç” diye de ekliyor Cheng. Ancak size bir sebep sunmuyor, yani bulduğunuz trend büyük bir mesele de olmayabiliyor.
Cheng, verinin kullanım amacının değişmesinin tanımının belirsiz olduğu zaman ve eylemler (çoğu zaman iddialar) analize bağlı olarak gerçekleştiğinde çatışma doğduğunu belirtiyor.
Büyük veri ile dolandırıcılığı anlama
Son yıllardaki finansal dolandırıcılıklar, ticaretle uğraşanların davranışlarına dikkat çekilmesine neden oldu. Bunun en bilinen örneklerinden birisi ise 2012 yılında “Libor skandalı” olarak duyulan, Londra’da büyük bankalardaki bazı çalışanların ticaretten kar edebilmek için faiz oranlarını manipüle etmeleri oldu.
Gün geçtikçe daha fazla finans kurumu çalışanlarını izlemeye başladı ve bu şirketlerden bazıları dolandırıcılık ve yolsuzlukla mücadele için büyük veriyi kullanmaya başladı. Ernst & Young’da Usulsüzlük İncelemesi ve Uyuşmazlık Danışmanlığı Yönetim Partneri olan Chris Fordham, kurumların artık işletmeyi aktif olarak takip ederek potansiyel dolandırıcılık eylemlerini tanımada yardımcı olması ve riski azaltması için adli verileri kullanabileceklerini söylüyor.
Şirketin hizmet paketlerinden birinin adı “çalışanını tanı”. Fordham’ın yöneticisi olan Jack Jia ise bu hizmet paketinde bellek-içi veritabanı ve Hadoop gibi büyük veri analiz teknolojilerinin sunulduğunu söylüyor. Jia, yazılımın yapılandırılmış ve yapılandırılmamış veriler üzerinde çeşitli ölçümler yaparak yüksek risk taşıyan çalışanları ve potansiyel riskleri belirlediğini belirtiyor. İncelenen veriler arasında döviz kurları, faiz olanları, hareket fiyatlandırması ve ticaret platformlarındaki mesajlaşma alanlarındaki ya da e-postalardaki anahtar kelimeler gibi şeyler yer alıyor.
“Bu analiz araç setini Libor skandalını incelerken oluşturmuştuk. Artık güvenlik sorumluların potansiyel dolandırıcılığı izlemesi ve tespit etmesi için kullanılan bir hizmet haline geldi” diyor Jia.
Dolandırıcılığı anlamak ile mahremiyetin ihlali arasındaki fark
Fordham, gizlilik koşullarını sağlayabilmek adına hareket izleme araçları kullanıldığını müşterilerinin çalışanlarına bildirdiklerini söylüyor. Çalışanlara izlendiklerinin bildirilmesi dolandırıcılık yapanların başka kanallar kullanmasını teşvik etse de Cheng şeffaflığın ve açıklığın gizlilik koruması için en önemli kurallar olduğunu söylüyor.
Fordham, bu analiz ile yapılacak olan tanılamanın soruşturmanın yalnızca başlangıç aşamasını oluşturduğunu belirtiyor ve karara varılmadan önce çoğunlukla sorgulamaların ve başka araştırmaların da yapıldığını ekliyor.
Jia da konuyla ilgili olarak analiz araçlarının izlemenin ötesinde bir iş yaptığını söylüyor. Jia bu araçların çalışanların kültürünü ve davranışlarını da değiştirdiğini düşünüyor. “Çalışanlar çoğunlukla süreçlerin farkındalar ve yasal gereksinimleri karşılıyorlar” diyor Jia.
Ayrıca analiz hizmetlerine bu firmaların müşterilerinin verileri de dahil olabilir. Jia, müşterilerin verilerinin güvenliğini sağlamak adına kimliklerinin ve kişisel bilgilerinin şifrelendiğini ve yalnızca araştırmayla ilgili işlem verilerinin analiz için kullanıldığını belirtiyor.
EY’ın UİUD ekibi ayrıca müşterilerin verilerini işlemek ve analiz edebilmek için EY’ın şirket içi veri merkezinin dışında fiziksel tesisler kurmuş.
“Bu laboratuvarlar fiziksel olarak kapalı alanlar, yalnızca konuyla ilgili proje üyelerinin girmesine izin veriliyor. Laboratuvara girdikten sonra da sonuçlara ve bilgilere ulaşabilmek için sisteme giriş yapmanız gerekiyor” diyor Jia.
Bu hizmet üç yıldır tüm dünya genelinde sağlanabilse de Jia’nın ifadesine göre şimdilik yalnızca Singapur’da bir şirket kullanıyor. Kendisi ayrıca sigorta şirketlerinin sigorta acentalarının sahte ürünler geliştirmesine ya da komisyon sistemini manipüle etmesine izin vermemesi için de benzer bir hizmetin geliştirilmekte olduğunu belirtiyor.
Gizlilik Yönetim Programı (Privacy Management Program – PMP)
Cheng’in çalıştığı birim, Hong Kong’daki şirketlere gizlilik korumasını nasıl sağlayabilecekleri konusunda rehberlik edecek bir Gizlilik Yönetim Programı rehberi hazırladı. Bu rehber, şirket içinde kişisel veri gizliliğini korumak için kullanılan stratejik bir sistem olan Gizlilik Yönetim Programı’nın nasıl geliştirilebileceğine ilişkin ayrıntılı bilgiler içeriyor.
PMP konsepti, 80’li yıllarda Ekonomik Kalkınma ve İşbirliği Örgütü (OECD) tarafından geliştirildi. Cheng’e göre PMP bir denetim modeli ve bu denetim modelini uygulamak isteyen organizasyonlar, şirketin gelişim hatlarının, eğitimlerin, risk değerlendirmelerinin ve gizliliğe zarar verebilecek saldırı durumlarının sorumluluğunu alacak, kendini bu işe adayan bir ekibe sahip olmalı.
Hong Kong’daki tüm devlet daireleri, sigortacılık, telekomünikasyon ve diğer birçok endüstriden 39 organizasyonla birlikte geçtiğimiz ay şirketlerde PMP yöntemini kullanacaklarına ilişkin bağlılık sözü verdiler.
“IT güvenliği çoğu zaman gizlilik politikasında önemli bir rol oynuyor. Bu yüzden IT çalışanları PMP’yi entegre etmek için görevlendirilebilirler.” diyor Cheng. “Ancak bu işin ideali IT tarafından gerçekleştirilmelidir demek doğru olmaz.” diye ekliyo Cheng.
Cheng, bu işin çok disiplinli bir iş olduğunu ve PMP’yi entegre edecek insanların ülkedeki gizlilik yasaları hakkında bilgiye sahip olması gerektiği gibi IT bilgisine, verilerin nasıl analiz edileceği bilgisine ve şirket önceliklerinin ve süreçlerinin nasıl olduğuna dair bilgiye sahip olması gerektiğini söylüyor.
Cheng, tüm bu anlattıklarını “Veri işleme ve analiz etme bilgilerine sahip olduklarından IT çalışanları bu işi yapma potansiyeline sahipler. Ancak bakış açılarını genişleterek yasal düzenlemelere ve işletmede işlerin nasıl yürüdüğüne ilişkin bilgiye sahip olmaları gerekiyor” diyerek toparlıyor.