btbilgi

Son zamanlarda Türkiye dahil olmak üzere ABD ve İngiltere gibi bazı ülkelerde adli mercilere, suçla mücadele için şifrelenmiş verilere erişim yetkisi verilmesi yönünde bazı çağrılara şahit oluyoruz.

Böylesi bir iznin etik ve siyasi etkilerine değinmekten ziyade bu yazımda daha pragmatik bir soruya yanıt vermeye çalışacağım: Eğer amacımız kullanıcı bilgilerinin güvenliğini sağlamak ise bu tarz bir erişim verilmesi teknik açıdan mümkün mü?

MIT Bilgisayar Bilimi ve Yapay Zeka Laboratuvarı güvenlik uzmanları 2015 yılında bir rapor yayınlayarak bu konuda uyarıda bulunmuştu. Rapora göre “Bu tarz bir izin verilmesi daha fazla güvenlik riski ortaya çıkaracak, dünya ekonomisi için oldukça önemli olan inovasyonu tehlikeye sokacak ve siyasi sorunlara neden olacak”.

Rapor, bu tarz erişimler verildiğinde ortaya çıkabilecek teknik sorunların üstesinden gelen kapsamlı bir çözüm geliştirilmeden, yasal mercilere erişim imkanı verilmesinin tehlikeli olacağını belirtiyordu.

Bu konuda önerilen “İstisnai Erişim” isimli sistemde, yasal mercilerin izni ile şifrelenmiş bilgilere düz metin şeklinde erişilmesine imkan veriliyor. Ancak zaten mevcut durumda siber güvenlik açısından oldukça kritik olan durumun böylesi bir yöntem ile daha da kötüleşeceğini belirtmek isterim. Bunun ise başlıca üç nedeni var.

<a href="http://www.freepik.com/free-photo/illegal-acts-with-computer_961491.htm">Designed by Freepik</a>
Görsel: Freepik

İlk olarak bu yöntemde gerekli bilgilere erişim için özel anahtarlar ve bu anahtarların saklanması gerekiyor. Bu anahtarlar ise sadece yasal mercilere açık olmakla kalmayacak aynı zamanda hackerların da hedefi haline gelecek. Bu ise güvenlik uygulamalarının merkezi olan ve kullanımdan sonra anahtarları derhal silen uygulamalardan 180 derece sapma anlamına geliyor. Bu yöntemi, oldukça hassas mesajlar içeren bir kağıdın, okunduktan sonra kağıt parçalayıcısından geçirilmesi yerine kapısı açık bir ofiste bir çekmecenin içerisine koyulmasına benzetebiliriz. Çekmecenin anahtarı olması bu anahtarın çalınmayacağı anlamına gelmez.

İkinci olarak, istisnai erişim yöntemi sistemleri daha da kompleks hale getirir ve bu yöntem belirli kişilerce test edilebilir. Bu da potansiyel açıklara neden olur. Bu yeni yöntemin sadece yasal merciler tarafından kullanılabileceğini dikkate alırsak programcıların bu yeni özelliklerin nasıl çalıştığını test etmesi zor hatta yasadışı olur.

Üçüncüsü, akıllı telefonlar gibi karmaşık sistemlerde verilere özel erişim vermek, hackerlar, siber suç grupları ve hatta diğer ülkeler için cazip hedefler ortaya çıkarır. Güvenlik için gerekli olan kimlik bilgilerini tutan sistemi kıran herhangi bir siber saldırgan, cihazdaki tüm verilere de erişebilir, bu da milyonlarca kişinin risk altında kalması demektir.

İletişim ve erişim altyapılarını daha güvenilir bir hale getirmemiz gereken bu zamanda, bu tarz öneriler altyapıyı zayıflatmaktan öteye geçmeyerek bizleri daha da geriye götürecek. Bir nevi evinizin anahtarını paspasın altına koymanız gibi. Daha pratik olsa da evinize herkesin girebilmesine neden olursunuz!

Yorumlar
btbilgi
PAYLAŞ
blank
Uludağ Üniversitesi Elektronik Mühendisliği Bölümü’nden 1993 yılında lisans derecesi alan Gökhan Arıksoy, iş hayatındaki ilk deneyimini Başarı Elektronik’te araştırma ve geliştirme mühendisi olarak edindi. Daha sonra Siemens’te iş geliştirme yöneticiliği görevini üstlenen Arıksoy, ITD, Sabancı Telekom, BEA ve SAP şirketlerinde satış müdürlüğünden satış yöneticiliğine, ülke satış direktörlüğünden finansal hizmetler endüstrisi liderliğine kadar pek çok kritik pozisyonda rol aldı. Arıksoy, Aralık 2011 itibarıyla Software AG’nin Satıştan Sorumlu Başkan Yardımcısı olarak atandı. 2013 yılından bu yana iş zekası ve raporlama konusunda faaliyet gösteren Metric firmasnın genel müdürü olarak yöneticiliğini yapmaktadır.