Fitnes takip cihazları sağlığımızla ilgili pek çok veri sunması açısından oldukça işlevsel ürünler. Ancak toplanan veriler kullanıcı tercihleri dışında farklı kitlelerle paylaşılması büyük sorunlara yol açabilir.
Fitnes takip cihazları kalp atışınız, uyku düzeniniz, günlük yürüme mesafeniz, yaktığınız kalori miktarı, kilo alma veya kilo kaybı, koşulan mesafe, stres düzeyi, lokasyon, cinsel aktivite ya da sigarayı bırakma yönündeki çabalarınız gibi pek çok konuda veri toplamanızı sağlayan ve bu konudaki en uygun şekle sahip cihazlardır. Fakat fitnes cihazları veri koruma ve veri gizliliği söz konusu olduğunda işlevsellik konusundaki niteliklerini bu yönde gösteremeyerek vasat ve yetersiz yönleriyle dikkat çekiyor.
Statistica verilerine göre sadece son 2 yıl içerisinde 13 milyon adet satan fitnes takip cihazlarıyla ilgili olarak nesnelerin interneti uzmanları ve veri gizliliği savunucuları, cihazlar üzerinden toplanan verilerinin ihlale uğrayabileceği ve kimlik hırsızlığında hedef olabileceği konusunda uyarıyor.
Aralarında Samsung, Pebble, Fitbit, Apple, Jawbone, Nike, Sony, Lenovo ve LG’nin yer aldığı fitnes takip cihazı üreticileri genel olarak gizlilik konusunda baskılara maruz kalmalarına karşın dile getirilen önlemin verilerin “satılmadığı” yönünde olması önemli bir detay olarak ön plana çıkıyor. Fakat pek çok uzman toplanan verilerin satılmasının veri paylaşımı veya verilerin korunması ile aynı olmadığı konusuna dikkat çekiyor. Daha önce White House’un CIO’su olarak görev yapan ve şu anda Fortalice’nin CEO’su ve başkanı olan Theresa Payton, fitnes takip cihazlarının ve bu cihazlarla ilgili uygulamaların veri gizliliği ve güvenlik ölçütleri bakımından zayıf olduğunu dile getiriyor.
Veri gizliliği konusunda yetersiz özelliklere sahip cihazların pazarda yer alıyor olmasının en önemli nedeni ise inovasyonun yaşam döngüsü olarak ön plana çıkıyor. Hem istenilen özelliklere sahip hem de uygun fiyatlı ürünlerin piyasaya sürülmesi yönünde üreticilerin üzerindeki müthiş baskı ve rekabet avantajı sürekli olarak yeni ürünler piyasaya sürülmesini tetikliyor.
Payton, cihazların inovasyon döngüsünün baş döndürücü hızda olduğuna dikkat çekerek geliştirme aşamasıyla piyasaya sürülme süreci arasındaki çok dar bir zaman olduğunu vurguluyor. Geliştirme ve pazara sunulma süreci arasındaki kısa zaman dilimi donanımsal veya yazılımsal konularda güvenlik açıklarını beraberinde getiriyor.
Online Trust Alliance (OTA) yönetim direktörü Craig Spiezle ihlal konusunda şu ana kadar önemli fitnes cihazı üreticileri tarafından yaşanılan kritik bir durum olmadığını ancak fitnes bantlarındaki verilerin sadece 100 dolar ile kötü amaçlı olarak toplanabileceğini belirtiyor. Spiezle’a için daha önemli olan nokta ise fitnes cihazının ve toplanan veri hacminin artıyor olması.
Identity Theft Resource Center (ITRC) başkanı ve CEO’su Eva Velasquez, fitnes cihazlarla elde edilen bilgilerin gizlilik değeri bakımından elektronik tıbbi kayıtlardan bir basamak aşağıda olduğunu ifade ediyor. Velasquez, fitnes takip cihazlarının kimlik hırsızlığına neden olacak yeterlilikte kişisel bilgiler içerdiğini dile getirerek takip cihazlarının “hassas bilgiler” içerdiğinin altını çiziyor.
Nabız, ağırlık, besin tüketimi, vücut kitle endeksi ve antrenman detayları gibi bilgilerin kimlik hırsızlığı için tek başına yeterli vasıflar taşımadığını söyleyen Velasquez, asıl konunun gizlilikle ilgili hassasiyetler nedeniyle toplanan verilerin nerede ve kim bakımından önem arz ettiğinin bilinmesi gerektiğini ifade ediyor.
Veri gizliliği ile ilgili pek çok detay söz konusu. Bu nedenle fitnes takip cihazları tarafından toplanan verilerin nerede ve kim için için önemli olduğuna daha yakından bakmamız gerekiyor. Aslında fitnes verilerinin spesifik kişisel bilgiler içermediğine dikkat çeken Spiezle, giyilebilir teknoloji cihazlarındaki bilgilerin zaman içerisinde kişiye özel ve son derece hassas hale geldiğini belirtiyor.
Fitnes cihazlarındaki verilerin zamanla daha değerli hale gelmesi, daha detaylı veriler ortaya çıkmasından ileri gelen bir konu olma özelliği taşıyor. Bu verilerin sigorta şirketleri ile paylaşılması halinde sigorta primlerinin etkilenebileceğini, işverenler ile paylaşıldığı durumlarda kişinin kariyerinde belirleyici olabileceğini söylemek mümkün.
Mother Jones, 2014 yılının Ocak Ayında CIA’in CTO’su Ira Hunt tarafından New York’ta gerçekleştirilen veri konusundaki bir konferansta fitnes takip cihazlarından oldukça memnun olduklarını dile getirmesinin, bu cihazlar ile kolayca veri tanımlaması yapılabileceğine dair işaretler verdiğini ifade ediyor.
Son dönemlerde Open Effect ile Toronto Üniversitesi’ndeki Munk School of Global Affairs bünyesindeki Citizen Lab tarafından yayınlanan “Her Adımda Kandırılıyorsunuz: Fitnes Takip Cihazlarının Gizlilik ve Güvenlik Bakımından Kapsamlı Analizi” başlıklı raporu sekiz farklı popüler fitnes takip cihazı üzerinde yapılan çalışma Apple Watch dışındaki tüm cihazların “kablosuz olarak Bluetooth üzerinden sürekli kişisel verileri yayınladığını” ortaya koyuyor. Fitnes cihazları tarafından sızdırılan bu veriler alışveriş merkezleri gibi konum bazlı bilgi ve kişilerin zaman içerisindeki hareket güzergahları bakımından üçüncü partilere önemli bir fırsat doğurduğunu söylemek mümkün.
Çalışmalarda ortaya koyulan ilginç detaylardan bir diğeri ise yaşanılacak veri ihlali ile kullanıcıların veya kötü amaçlı kişilerin oluşturulan verileri manipüle edebilecek imkana sahip olması olarak dikkat çekiyor.
Fitnes takip cihazlarındaki kullanım koşullarının 4000 ve üzerindeki kelimeden oluşan kullanım koşularının ve gizlilik politikalarının uzun, anlaşılması güç ve okunması zor olması olarak ön plana çıkıyor. Kullanım ve gizlilik koşulları bakımından kullanıcıların metni kabul etmemesi halinde cihaz veya uygulamanın sınırlı işleve sahip olması ya da kullanılamaması kritik ayrıntılar arasında yer alıyor.
Uzmanlara göre pek çok kullanıcının kullanım politikasını okumadan kolayca “kabul ediyorum” seçeneğini işaretleyerek verilerini riske attıklarını belirtmesi ise alışılagelmiş bir durum olma niteliği taşıyor. Federal Trade Comission (FTC) tarafından 2014 yılında pek çok sağlık ve fitnes uygulaması üzerinde çalışılırken 76 farklı üçüncü partiye veri dağıtımını gerçekleştiriliyor olması ve tek bir uygulamanın 18 farklı birim ile paylaşımda bulunması giyilebilir teknolojilerdeki veri gizliliğinin risk düzeyini ortaya koyuyor.
Ayrıca FTC’nin Tüketici Kurma Bürosu direktörü Jessica Rich’in henüz 2014 yılında fitnes takip cihazlarından elde edilen verilerin nihayetinde kullanılmak üzere veri simsarlarının veya diğer şirketlerinin eline kalacağını dile getirmiş olması önemli bir nokta olarak ön plana çıkıyor. Kullanıcılara farklı ürün ve hizmetlerin pazarlanması; kredilendirme, işe alım veya sigorta gibi konulardaki karar mekanizmalarında bu verilerin kullanılması mümkün.
Hatta bu verilerin sigorta veya kariyer şirketi ile gönüllü olarak paylaşıldığından dahil sonuçların beklenilenden farklı olabileceği söylenebilir. Velasquez, fitnes verilerinin sigorta şirketleri ile paylaşılırken; ilk aşamada alınacak indirimin daha sonraki aşamada istenilen kriterlerin karşılanam
aması halinde cezaya dönüşebileceği gerçeğinin söz konusu olabileceğini dile getiriyor.
Velasquez, fitnes verilerinin sağlık sağlayıcılarıyla paylaşılması durumunda bilgi paylaşılan kuruluşun bilgi için yeni bir dağıtım noktası olarak veri ihlaline neden olabilecek nitelik taşıdığının altını çiziyor. Peki ama hem derin tartışmalara neden olan riskler hem de özel sektördeki yenilikler konusunda neler yapılması gerekiyor.
OTA yaklaşık bir yıl önce IoT Trustworth Working Group’u kurarak bağlantı özelliğine sahip cihazlardaki güvenlik ve gizliliği oluşturulması için 30 kriterin yer aldığı “IoT Trust Framework” çalışmasını yayınladı. Spiezle yakın zamanda San Francisco’da bu kriterlerin tartışıldığı “Diffusing the IoT time bomb – Security and Privacy trust code of conduct” başlıklı RSA konferansında moderatör olarak yer aldı.
IEEE Center for Secure Design tarafından yayınlanan “WearFit: Security Design Analysis of Wearable Fitness Tracker” başlıklı makalede yazılımlar için en önemli 10 güvenlik eksiği üzerinde durularak geliştiricilerin hangi özelliklere sahip giyilebilir teknoloji cihazları üzerinde çalışması gerektiği kurgusal olarak ele alınıyor.
IEEE bünyesindeki güvenlik biriminin kurucularından ve makalenin baş yazarı olan Jacob West, fitnes takip cihazlarının diğer tüketici cihazlarından daha fazla güvenlik açığı bulunmadığına dikkat çekiyor. West’e göre ürün geliştiren her şirket için en büyük problem güvenlik, işlevsellik ve kullanışlılık anlamında doğru dengenin yakalanması.
Güvenlik, işlevsellik ve kullanışlılık dengesinin yakalanması için tasarım konusundaki eksiklerden kaçınılarak güvenlikle ilgili detaylara daha fazla odaklanılması önem taşıyor.
West, pazardaki baskının güvenlik konusunda iyileştirme sağlanması bakımından faydalı olacağını düşünüyor. Güvenlik ve gizlilik konularındaki detayları bilen ve daha kapsamlı bilgiye sahip müşterilerin bu doğrultuda cihazlar satın almasının güvenlik ve gizlilik konusundaki özellikleri geliştirebileceğini söylemek mümkün.
Velasquez, pazarın güvenlik konusuna hakimiyetine şüpheli yaklaşanlar arasında yer alan birisi olarak şunları ifade ediyor: “Pazarda yaşanılan gelişmeler daha önceki süreçte ürün geliştirmeleriyle ilgili başarısızlıklar yaşandığı bilinen bir gerçek. Ve bu süreçler müşterilerin her geçen gün daha fazla kayıp yaşamasına neden oluyor.”
Güvenlik konusundaki gelişmelerde “bugün bu konuyla ilgili olmuyor olsanız dahi beş yıl sonrasında kat edilen aşamalar sizin bu konulardan etkilenmenize neden olabilir.”
Consumer Federation of America’da tüketici koruma birimi direktörü olan Susan Grant, pazardaki geçişmelere kuşkulu yaklaşanlar arasında yer alıyor. Grant, veri ihlalleriyle ilgili kötü imajın bu yöndeki gelişmeleri olumlu etkileyeceğini ancak şirketlerin tüm detayları vermemesinden dolayı ortaya çıkan gelişmelerin yeterli olmadığını belirtiyor.
Daha güçlü “genel” gizlilik hukuku oluşturulması yönünde çağrıda bulunan Grant, en azından sağlık cihazları ve hizmetlerinin kapsamda yer aldığı hukuki bir düzenleme yapılabileceğinin altını çiziyor.
Spiezle, tüketicilere verilerinin nasıl kullanıldığı konusunda doğru seçim yapmalarının önemine dikkat çekerek, kullanım koşullarını kabul etmemenin cihazın temel işlevlerini yerine getirmesine etki etmemesi gerektiğini söylüyor.
Fitnes takip cihazlarındaki veriler 100 dolar karşılığında kolaylıkla ele geçirilebilir.
Payton, tüketicilerin bağlantı özelliğine sahip cihazları kullanırken gerçek anlamda veri gizliliğini sağlamak istediğinde hükümet tarafından atılacak adımları veya pazardaki gelişmeleri beklemesi gerekmediğini söylüyor ve ekliyor: “Standartlar gelişmeye devam ediyor. Fakat standartların adaptasyonunun sağlanması durumunda geçerliliğini yitirmiş olma ihtimalini göz ardı etmemek gerekiyor.”
Payton, veri gizliliği konusunda kullanıcıların kendi başlarına alabilecek önlemleri şu şekilde sıralıyor:
- Cihazınız için gerçek adınız dışında takma bir ad kullanmak
- Cihazınız ve cihazınız tarafından kullanılan hesaba güçlü bir şifre tanımlamak.
- İster uzun ister kısa olsun gizlilik politikasını okumak. Verilerinizin ne şekilde kullanılacağı konusunda bilgi sahibi olmak ve gizlilik seçeneklerinizin verilerinizin yayınlanmasını engelleyecek şekilde ayarlandığından emin olmak.
Pek çok cihazın açık ve sosyal olmak üzere tasarlandığına dikkat çeken Payton, kullanıcıların farkında olmadan kişisel verilerinin herkesle açık bir şekilde paylaşabiliyor olabileceğini söylüyor.
Spiezle, daha iyi güvenlik özellikleri sunamamasının sektörün önemli bir eksiği olduğunu ifade ediyor. Geçtiğimiz haftalarda önemli markalardan birisinin cihazlara güvenlik özellikleri eklemesinin 11 cent maliyeti ve pil ömrüne olumsuz etkisi nedeniyle cihazlara eklenmediğini belirten Spiezle, bu yaklaşımın bir otomobilde yer alan yakıt deposunun korunmak istememesiyle aynı şey olduğunu dile getiriyor.