Blockchain, Türkiye ve Güvenlik

Bilgi Teknolojileri Denetim, Güvenlik ve Danışmanlık Hizmetleri Bölüm Lideri Ateş Sünbül Fortune Şubat sayısı için kaleme aldı:

Blockchain, Türkiye ve Güvenlik

Gündelik finansal aktivitelerimizde iki kişinin arasında değer alışverişi yapılması için arada güvenebileceğimiz üçüncül bir yapının bulunması gerekmektedir. Örneğin para transferleri yapacağımız zaman bankalar bizler adına bu alışverişi yapan üçüncül yapıdır ve paranın doğru adrese ulaşması için hepimiz bankalara güveniriz. Sanal değer veya para sistemi olarak kullanılabilecek Blockchain yapısında iki kişinin arasında güvenilir bir üçüncül partinin yerini şifreleme algoritmaları almaktadır. Blockchain(Blok Zinciri) yapısını çok basitçe anlatmak gerekirse, bir excel tablosu yarattığınızı ve binlerce kere kopyalandığı bir ağa yerleştirdiğinizi düşünün. Bu ağında tasarımı gereğince yarattığınız tabloyu düzenli olarak güncellediğini düşünün. İşte Blockchain en temel prensibiyle bu şekildedir. Basitçe bir işlem gerçekleştirilmek istendiğinde;

  1. Bitcoin transfer işlemi talep edilir.
  2. Talep edilen işlem P2P şeklinde konumlanmış ağ yapısına iletilir.
  3. Ağ düğüm (node) noktaları işlemi onaylar.
  4. Onaylanan işlem kripto para birimini içeren bir bloka dönüşür.
  5. Blok zinciri yapısına eklenen blok değiştirilemez ve üzerine yazılamaz halde tüm ağa yayılır.
  6. Transfer işlemi başarıyla gerçekleşir.

Klasik finansal uygulamalarda tek merkezde bulunan bir veri depolama yapısı bulunmaktadır. Merkezi sistemler her ne kadar güvenlik uzmanlarına yoğunlaşacak tek bir nokta sağladığı gibi, saldırganlara da aynı avantajı sağlamaktadır.Blok zincirinde dağıtık bilgisayar ağlarında veritabanları kopyaları şeklinde bulunmaktadır. Bu durumda merkezi bir yapıda bulunan finansal verilerin aksine veri manipülasyonu yapabilmek için milyonlarca bilgisayarda aynı anda değişiklik yapmak gerekmektedir ki, bu pek mümkün değildir. Tek merkezde tutulmamasının avantajı olarak veriler umuma açık ve kolayca teyit edilebilirdir.

Ödeme araçlarının gelişimine baktığımızda, 1930’lu yıllarda ilk kredi kartı benzeri ödeme araçlarının oluşmasıyla birlikte üye işyerinden kredi kartı bilgilerinin çalınması ve yetkisiz işlemler gerçekleştirilmesi hayatımızın bir gerçeği oldu. Güvenlik uzmanları için ise bu bilgileri korumak, her geçen gün daha çok efor ve para sarf edilen bir mücadele olma başladı. Buna karşın Bitcoin ile bir işlem gerçekleştireceğiniz zaman iki unsur yeterli oluyor: Umama Açık Anahtar(Public Key) başka deyişle Bitcoin adresiniz ve Özel Anahtar(Private Key) işlemi imzaladığınız gizli anahtar. Özel anahtarın iyi korunması yaşanacak yetkisiz para transferlerini özetle engellemektedir. Kısacası yeni devrimci finansal araçlarda güvenlik daha yukarı seviyelere taşınmıştır.

Blockchain teknolojisiyle Türkiye WannaCry virüs saldırılarında çok yakından tanışmıştır, bu saldırılarda bilgisayarları ve sunucuları şifrelenen mağdurlar BitCoin aracılığıyla saldırganlara ücret göndermek zorunda kalmıştır. Kısacası normal kullanıcıya sağlanan gizlilik ve güvenliği saldırgan kendi lehine kullanmıştır.

Türkiye’de Bitcoin ve benzeri para birimlerinin kanuni olarak bir karşılığı bulunmuyor. Öte yandan bazı işletmeler, Bitcoin ile ödeme almaya başladı ve küçük yatırımcılar da Bitcoin satın almak için plan yapıyor veya yurtdışı Coin Borsalarından alımlarını gerçekleştiriyor. Hatta Türkiye’de faaliyet gösteren sanal para birimleri de bulunmaktadır. Bu durumda kritik iki konu bulunuyor: Yaşanacak bir mutabakatsızlıkta söz konusu para biriminin garantörü kimdir? ve yapılan işlemleri gerçekten güvenli ve akredite bir yapı üstünde mi gerçekleştiriyoruz? Bu soruların şu an için yanıtını bulmak mümkün gözükmemektedir.

Buna karşın aynı durumu global olarak incelediğimizde de her ülke özelinde cevaplanabilir olmadığını da görmek mümkündür. Blockchain akımını geçmişte yaşanan teknoloji akımlarıyla karşılaştırmak gerekirse en yakın örneği internetin kullanımı ve yaygınlaşmasıdır. İnternet de ilk aşamalarında yapısı ve kullanımı çok tahmin edilemeyen bir teknolojik ilerleme olmuştu. Şimdi baktığımızda hayatımızın vazgeçilmez bir gerçek ve gereksinimidir. Bankacılık sektörü gibi kritik finansal yapılar öncelikli bir kanal olarak interneti kullanmakta ve hatta şubesi olmayan bir bankamız bile bulunmaktadır. Türkiye bu gelişimi yasal otoriteler tarafından çıkarılan kanun ve yönetmelikleri yaygınlaştırarak ve denetleterek başarmıştır. Bitcoin benzeri para birimleri içinde gelecek biraz kanun düzenleme ve kontrollerin uygulanması ve teknik güvenliğin sağlanmasıyla daha belirlenebilir olacaktır.

Konu yatırım açısından ele alındığında biraz daha zaman ihtiyacımız olduğu söylenebilir. BlockChain Türkiye’de para birimi olarak kabul görürlüğünü ileride daha net göreceğiz. Global olarak kullanımı artmaya başlayan bir para birimidir ama uzun vadede karşılaşılacak finansal ve teknolojik riskleri de henüz uzmanlar öngörememektedir. Özünde, BlockChain teknolojisini sadece para birimi olarak düşünmemek gerekir. Teknolojisini pek çok farklı uygulamada görme imkanımız bulunuyor, farklı uygulamalarının da artmasıyla para birimi olarak yaygın kullanımının da artacaktır. Geldiğimiz noktada, güvenlik ortamı ve finansal yaklaşımlar hiç görmediğimiz şekilde değişmektedir. Güvenlik ve finansal yapıların dijitalleşip bütünleşik olmasıyla birlikte yeni yapı ve sistemlerin kalıplaşmış güvenlik yaklaşımlarıyla korunması çok olası görünmemektedir.

 

Ateş Sünbül, PCI QSA, CISA, CISM and ISO 27001 LA

Bilgi Teknolojileri Denetim, Güvenlik ve Danışmanlık Hizmetleri Bölüm Lideri

Share