“İşlemleri daha hızlı ve daha güvenli yapıyor.”, peki güvenmeli miyiz?
Blockchain, bankalar dâhil “güven aracılarının” yerini alabilecek, işlemleri kaydetme sistemidir.
İşletmeler, yüklerini takip etmek için blockchain kullanmaya başlıyor ancak teknolojiye güvenilebilir mi?
Dünya Ekonomik Forumu, Hitachi ve diğer kamu ve özel tedarik zinciri firmaları, Blockchain Siber Güvenliği için bir yönerge yayınladı.
2017 yılında yüzlerce şirket NotPetya adlı fidye yazılımı saldırısına kurban gitti. Maersk ve FedEx küresel operasyonlarının haftalarca kesintiye uğradığını gördüler ve yüz milyonlarca dolar zarar ettiler. Liman işletmeleri ve forwarderlar yeni teknolojilere yönelirken, NotPetya vakası siber güvenliğin güçlendirilmesinin zor olduğunu ve önlemlerin en baştan alınması gerektiğini hatırlattı.
Blockchain ve DLT*, benzeri görülmemiş bir verimlilik ve şeffaflık sağlama potansiyeline sahiptir. Mevcut merkezî veri tabanlarının ekosisteminin ve kâğıt konşimentoların başarabileceğinin çok ötesinde işleri kolaylaştırmaktadır.
*DLT (Distributed Ledger Technologies): Yani dağıtılmış kâğıt teknolojisi. Coğrafi olarak birden çok alana, ülkeye veya kuruma yayılmış, çoğaltılmış, paylaşılan ve senkronize edilen dijital verilerin bütünüdür. Merkezî yönetici veya merkezî veri depolama yoktur. Blockchain bu tasarımın bir türüdür. (https://en.wikipedia.org/wiki/Distributed_ledger)
Bununla birlikte, tüm teknolojiler, bunların nasıl kullanıldığına bağlı olarak kuruluşların zayıflıklarını ve güvenlik açıklarını ortaya çıkarır. İçten yanmalı motor ve atom enerjisinden, bilgisayarlara ve sosyal ağlara kadar her şey başlangıçta planlanmayan amaçlarla desteklenmişti. Blockchain de bunlardan farklı değil, zayıflıkları çeşitli çıkarlar için kullanılacaktır. Tabii ki hepsi meşru olmayacak.
Geçmişi, geleceğe güvenmek için sorgula!
Kısacası blockchain, işlemleri kaydetmek için oluşturulmuş bir sistemdir. Yüzyıllar boyunca, daha iyi bir yol olmadığından, bu tür kayıtları sağlam tutmak için güvenli aracılar yarattık: bankalar, noterler, gümrükler ve daha fazlası. Blockchain’in vaadi, bu güven aracılarını teknoloji ile değiştirmektir. Diğer bir deyişle, insan güvenini dijital güven ile değiştirmek.
Güven tarihsel olarak tahminden gelir. Komşularımıza güveniriz çünkü yasalarımız ve âdetlerimiz sayesinde davranışlarını tahmin edebiliriz. Uçaklarımıza güveniyoruz çünkü güvenlik protokolleri sayesinde gökyüzünde nasıl hareket edeceklerini tahmin edebiliyoruz.
Dijital dünyada, dijital güven de tahminden gelecek. Bizim blockchain’e güvenmemiz için, davranışını tahmin etmemiz gerekecek. Bunu siber güvenlik yoluyla deneyimleyeceğiz.
Blockchain son on yılda aklın ötesine geçti.
Siber güvenlik açısından birçok kişi şifrelemenin (kriptografi) nihai garanti olduğunu iddia ediyor. Öte yandan, servetlerini kripto para birimi hack’lerinde kaybedenler, aynı kuruluşu sorguladılar. Teknoloji olgunlaştıkça ve bu kutuplaşma azaldıkça geriye ne kalıyor? Şimdilik, karışıklık.
Tedarik zinciri endüstrisindeki ve ötesindeki çoğu kuruluş, hâlâ teknolojiyi anlamaya odaklanmış durumdalar.
Şirketiniz blockchain için ne kadar harcama yapıyor?
Güvenlik, özellikle yeni teknolojilere bakarken büyüleyici bir çalışma alanıdır. Saldırıların üstesinden gelmek için yenilikçi çözümlerin ve tarihî ilkelerin ince bir karışımıdır.
Tüm bu karışıklığa rağmen, balık üreticisinden pırlanta üreticine kadar tüm firmalar yüklerini takip edip izlemek amacıyla blockchain’i kullanmaya başlıyorlar. Ancak ihracatçılar, armatörler ve ithalatçılar bu sisteme güvenebilecek mi ya da güveniyorlar mı?
Blockchain, Üçüncü Sanayi Devrimi teknolojilerini temel alan Dördüncü Sanayi Devrimi’nin bir yeniliğidir. Altta yatan altyapının güvenliğini, sadece internetin sağlaması mümkün gözükmüyor. Blockchain, geleneksel bilgi güvenliği ile başlar. Kökeninde, 17. yüzyılda Fransız askeri mimar Vauban tarafından icat edilen derinlemesine savunma (defence-in-depth) ya da zamanında Julius Caesar tarafından kullanılan CIA üçlüsü; gizlilik, bütünlük ve kullanılabilirlik (confidentiality, integrity and availability) gibi kavramlar var.
Örneğin, CIA üçlüsünün merceğinden DLT ve mekanizmalarına bakıldığında, blockchain’in her şeyden önce bütünlüğü korumak için tasarlandığını göreceğiz. Dağıtılmış yaklaşım, saldırganların, tespit edilmemiş bilgilere müdahale etmesini zorlaştırır. Küresel tedarik zincirlerindeki aracıların sayısı, hırsızlık ve sahtekârlık potansiyeli göz önüne alındığında, endüstrinin blockchain’e dönüşmesi şaşırtıcı değildir.
Ancak gizlilik ve kullanılabilirlik söz konusu olduğunda, blockchain diğer teknolojilerin gerisinde kalabilir. Hassas bilgilerin blockchain’de saklanması kesinlikle önerilmez. Veri kullanılabilirliği ve gerçek zamanlılık da blockchain türüne bağlı olacaktır. Askeri amaçla kullanılan blockchain ile e-posta için kullanılan blockchain aynı olmayacaktır.
Farklı blockchain türlerinin güvenlik dengeleri
Dolayısıyla, belirli bir blockchain kullanırken sahiplerin ve kullanıcıların karşılaştığı riskleri belirlemek, doğru beklentileri belirlemenin ve öngörülebilirliği ile güveni artırmanın anahtarıdır.
Aynı zamanda ekonomik refah için de bir anahtardır. Bu nedenle Dünya Ekonomik Forumu ve Hitachi, bir grup kamu ve özel tedarik zinciri aktörü ile birlikte Blockchain Siber Güvenlik için bir genelge yayınlamıştır. Tedarik zincirleri için blockchain’in kapsayıcı dağıtımına adanmış bir serinin beşinci teknik incelemesi olarak, blockchain’in güvenli bir şekilde dağıtılması için gereken yapı taşlarına ışık tutuyor.
Blockchain’i güvenle dağıtma
Blockchain yavaş yavaş küresel tedarik zincirlerine zarar verdiğinden, blockchain’i güvenle dağıtmak isteyen kuruluşlara eşlik etme gereğini belirledik. Dünya Ekonomik Forumu etkinlikleri, toplantıları ve araştırmalarından elde edilen hayati öngörüler üzerine yapılan bulgular, blockchain teknolojisinin güvenlik için ne anlama geldiği konusunda, kuruluşların her kademesinde önemli bir endişe kaynağı olduğunu göstermiştir. Gelişmekte olan tüm teknolojilerde olduğu gibi, taraflar, yeni blockchain teknolojisinin, özellikle blockchain’in hâlâ tam olarak anlaşılamadığı için ortaya çıkardığı güvenlik açıklarından endişe ediyorlar.
Son 18 ay boyunca, konsorsiyum yönetiminden dijital kimliğe, birlikte çalışabilirliğe, vergi sorunlarına ve güvenliğe kadar blockchain dağıtımıyla ilgili temel gereklilikleri birlikte tanımladık. Güvenliği blockchain’in ön koşulu olarak görüyoruz. Onsuz dijital güven uygulanamaz ve teknoloji benimsenmez ya da daha kötüsü, güvenlik kusurlarına rağmen kabul edilebilir.
Serinin en son teknik incelemesi, blockchain güvenlik risk yönetimi süreciyle birlikte 10 adımlık güvenli dağıtım çerçevesi sunar. Zaman içinde şu anda teknolojik olgunluk düzeyi göz önüne alındığında, en önemli ama en zor adım öncelikle: doğru insanlar elde etmek.
10 adımlık güvenli blockchain dağıtım çerçevesi aşağıdaki gibidir.
- 1. Blockchain uzmanı
- 2. Güvenlik hedefini tanımlama
- 3. Blockchain tipini seçme
- 4. Risk değerlendirmesi yapma
- 5. Güvenlik denetimini tanımlama
- 6. Güvenlik yönetimi tasarlama
- 7. Güvenlik satıcısını seçme
- 8. Güvenli şekilde geliştirme
- 9. Güvenlik izleme ve denetleme
- 10. Olaylara yanıt verme
Gerçekten de, talep göz önüne alındığında blockchain becerilerinin yetersizliği yüksektir ve aynı şey siber güvenlik becerileri için de geçerlidir. Her ikisinin ortak özelliği, iş gücü arzı oldukça düşüktür. Teknik incelememiz, liderlerin doğru soruları sormasına yardımcı olurken, blockchain güvenlik endüstrisinin onlara cevap verecek konumda olması için çok daha fazla desteğe ihtiyacı var.
Blockchain’in pek çok potansiyeli var. Sadece tedarik zinciri endüstrisinde, DLT teknolojilerinin 2017’deki 93 milyon dolardan 2025 yılına kadar 10 milyar dolara yakınını temsil etmesi bekleniyor. Geleceğimizi inşa etmek için geçmişe bakarsak, blockchain’i en başından beri ele alırsak, eğer mühendisleri ve yönetim kurulu üyelerini eğitirsek, blockchain küresel tedarik zincirlerinden gizli değerin kilidini açacak ve 21. yüzyılın ekonomik motoru olma vaadini sunacaktır.
Kaynak: weforum/Adrien Ogée, Soichi Furuya
Çeviren: Esra Nur Gönüllü