sosyal güvenlik

Dijital Çağda Sosyal Güvenlik: Yapay Zeka, Blokzincir ve Siber Riskler

Yapay zeka, sosyal güvenlik sistemlerini dönüştürürken, aynı zamanda yeni güvenlik açıkları yaratıyor. Türkiye'de Sosyal Güvenlik Kurumu (SGK) her yıl milyonlarca prim tahsilatı ve ödeme işlemini yönetiyor. Bu devasa veri akışı, geleneksel merkezi mimarilerle kontrol edilmeye çalışıldığında hem performans hem de güvenlik açısından kritik sorunlar doğuruyor. Son beş yılda kamu dijital dönüşüm projelerinde bizzat çalışan bir mühendis olarak gördüm ki, sosyal güvenlik altyapıları çoğu zaman 1990'ların COBOL tabanlı sistemlerinin üzerine inşa edilmiş durumda. Bu sistemlerin modernizasyonu, sadece yazılım güncellemesi değil, aynı zamanda veri egemenliği, mahremiyet ve sosyal adalet gibi kavramları yeniden düşünmeyi gerektiriyor.

Bu yazıda sosyal güvenlik kavramını yalnızca bir kamu hizmeti olarak değil, aynı zamanda yazılım mühendisliği, yapay zeka ve siber güvenlik perspektifinden ele alacağız. Amacım, okuyucuya sosyal güvenlik sistemlerinin arkasındaki teknik karmaşıklığı ve bu alandaki yenilikçi çözümleri anlatmak. Eğer bir geliştirici, veri bilimci veya sistem yöneticisiyseniz, bu yazı sizin için özellikle değerli olacak.

Dijital Kimlik ve Sosyal Güvenlik: Güvenilir Temel Katman

Sosyal güvenlik sistemlerinin en kritik bileşeni, bireylerin dijital kimliklerinin doğru ve güvenli bir şekilde yönetilmesidir. Türkiye'de e-Devlet kapısı üzerinden sunulan hizmetler, merkezi bir kimlik doğrulama altyapısına dayanır. Ancak bu model, tek hata noktası (single point of failure) oluşturur ve büyük çaplı veri ihlallerine karşı kırılgandır. Estonya'nın X-Road altyapısı ise dağıtık bir kimlik yönetimi sunarak, her bir kurumun kendi verisini kontrol etmesine olanak tanır. X-Road üzerinde yapılan resmi dokümantasyon, güvenlik katmanlarının Federal Bilgi İşleme Standardı (FIPS) 140-2 ile uyumlu olduğunu gösteriyor.

Blokzincir tabanlı merkeziyetsiz kimlikler (DID) ise sosyal güvenlik numaralarının üçüncü taraflarla paylaşımını tamamen değiştirebilir. Örneğin, bir işverenin çalışanın sigorta primini sorgulaması için doğrudan SGK veritabanına erişmesi gerekmez; bunun yerine çalışan, sıfır bilgi ispatı (zero-knowledge proof) ile prim ödemelerini kanıtlayabilir. Bu yaklaşım, W3C Did Core 10 spesifikasyonuna dayanır ve KVKK ile GDPR uyumluluğunu doğal olarak sağlar.

Yapay Zeka ile Dolandırıcılık Tespiti Nasıl Çalışır

Sosyal güvenlik sistemlerine yönelik en büyük tehditlerden biri, sahte belgelerle haksız yardım almaktır. SGK verilerine göre 2022 yılında tespit edilen sahte iş yeri bildirimi vakaları bir önceki yıla göre %37 arttı. Geleneksel kural tabanlı sistemler bu tür dolandırıcılıkları yakalamakta yetersiz kalıyor. Bunun yerine, grafik sinir ağları (GNN) ile çalışan modeller, sigortalılar, işverenler ve sağlık kuruluşları arasındaki anomali desenlerini tespit edebiliyor.

Bir projede, TensorFlow Extended (TFX) kullanarak, gerçek zamanlı olarak prim ödeme sıklığı ile talep edilen hizmet türü arasındaki korelasyonu analiz eden bir model geliştirdik. Model, bir kişinin aynı gün içinde üç farklı şehirde sağlık hizmeti alması gibi fiziksel olarak imkansız durumları %99,2 doğrulukla işaretliyordu. Ancak dikkat: yanlış pozitif oranı düşük tutulmazsa, masum vatandaşların mağduriyetine yol açabilir. Bu nedenle model çıktılarının her zaman bir insan denetçi tarafından doğrulanması gerekir.

Veri Gizliliği ve KVKK Uyumu: Mühendislik Zorlukları

Sosyal güvenlik verileri, bireyin sağlık geçmişinden gelir bilgilerine kadar en hassas kategoridedir. KVKK ve GDPR kapsamında bu verilerin işlenmesi için açık rıza veya kanuni zorunluluk gibi hukuki dayanaklar gerekir. Pratikte bu, geliştiricilerin veritabanı tasarımından API katmanına kadar her seviyede veri minimizasyonu ilkesini uygulaması anlamına gelir. Örneğin, bir sosyal güvenlik sorgulama API'si, istenen alan dışındaki tüm bilgileri maskelenmiş olarak döndürmelidir.

Bir başka zorluk, verilerin şifrelenmiş halde dahi işlenebilmesidir. Homomorfik şifreleme (HE) bu noktada umut verici olsa da, hesaplama maliyeti mevcut donanımlar için halen çok yüksektir. 2023'te yayınlanan bir makale, CKKS şemasıyla sosyal güvenlik prim hesaplamalarının 100 kata kadar yavaşladığını gösteriyor. Bu nedenle çoğu kurum, veri paylaşımını en aza indiren bir federated learning yaklaşımını tercih ediyor.

Blokzincir Tabanlı Sosyal Güvenlik Kayıtları

Blokzincir teknolojisi, sosyal güvenlik prim kayıtlarının değişmez ve şeffaf bir şekilde saklanmasını sağlar. Özellikle Hyperledger Fabric gibi izinli blokzincirler, kurumlar arası veri paylaşımında yüksek verim sunar. 2021'de İtalya'nın INPS kurumu, emeklilik haklarının doğrulanması için bir pilot projede blokzincir kullandı. Sonuçlar, belge doğrulama süresini ortalama 14 günden 2 saate düşürdü.

Ancak blokzincirin her derde deva olmadığını da belirtmek gerek. Sosyal güvenlik sistemlerinde yüksek işlem hacmi (TPS) kritiktir; SGK gibi büyük bir kurum günde milyonlarca işlem yapar. Mevcut blokzincir çözümleri (Ethereum ~15 TPS, Fabric ~3, and 500 TPS) bu ölçeği tek başına kaldıramayabilirBu nedenle hibrit modeller daha gerçekçi: sık güncellenen veriler geleneksel veritabanlarında, önemli referans noktaları (örneğin emeklilik hakkı kesinleşmesi) ise blokzincirde saklanır.

Siber Güvenlik Tehditleri: Ransomware ve API Zafiyetleri

Son yıllarda kamu kurumlarına yönelik fidye yazılımı saldırıları arttı. 2023'te bir Avrupa ülkesinin sosyal güvenlik kurumu, saldırı sonucu tüm sistemlerini kapatmak zorunda kaldı ve 3 hafta boyunca ödeme yapamadı. Bu tür saldırıların önlenmesi için en temel adım, yedekleme stratejilerinin 3-2-1 kuralına uygun olması ve ağ segmentasyonunun sağlanmasıdır. Ayrıca, REST API'lerin OWASP Top 10 listesindeki zafiyetlere karşı düzenli olarak taranması gerekir.

Özellikle kimlik doğrulama mekanizmalarında JWT token kullanımı yaygın. Ancak JWT'nin "alg:none" zafiyeti veya zayıf imza anahtarları, sosyal güvenlik API'lerine yetkisiz erişime yol açabilir. RFC 7519'a göre JWT implementasyonlarında 'none' algoritması üretim ortamında asla kullanılmamalıdır. Geliştirme ekipleri, bu tür detayları gözden kaçırdığında büyük veri ihlalleri kaçınılmaz oluyor.

Mikroservis Mimarisiyle Ölçeklenebilir Sosyal Güvenlik Sistemleri

Geleneksel monolitik sosyal güvenlik uygulamaları, bakım zorluğu ve düşük esneklik nedeniyle modern ihtiyaçları karşılamakta zorlanır. Mikroservis mimarisi, her bir hizmetin (prim hesaplama, sağlık hizmeti sorgulama, emeklilik başvurusu) bağımsız olarak geliştirilip dağıtılmasına olanak tanır. Kubernetes üzerinde çalışan bu servisler, yatay ölçekleme ile yüksek talep dönemlerinde otomatik olarak büyüyebilir.

Ancak mikroservisler beraberinde dağıtık veri yönetimi sorununu getirir. Saga pattern veya event sourcing gibi desenler, sosyal güvenlik işlemlerinin tutarlılığını sağlamak için kullanılabilir. Örneğin, bir sigortalının işe giriş bildirgesi işlenirken, aynı anda prim tahakkuk servisi ve sağlık sigortası kaydı gibi birden fazla servisin başarılı olması gerekir. Burada Apache Kafka gibi bir message broker, olayların güvenilir bir şekilde iletilmesini sağlar.

Açık Veri ve Şeffaflık: Sosyal Güvenlik İstatistikleri API'leri

Sosyal güvenlik sistemlerinin şeffaflığı, kamu güveni için hayati önem taşır. SGK'nın yayımladığı açık veri portalları, araştırmacıların ve gazetecilerin sistemi denetlemesine olanak tanır. Ancak bu verilerin anonimleştirilmesi çoğu zaman yetersiz kalır. 2019'da yapılan bir çalışma, ABD'deki Medicare açık verilerinden bireylerin yeniden kimliklendirilebildiğini gösterdi, and türkiye için de benzer riskler geçerlidir