Siber Güvenliğin Gelecek 30 Yılı İçin Kehanetler
Bu yazım, Arkakapı dergisinin 5. sayısında yer almaktadır.
Geleceği tahmin etmek, her sektörde olduğu gibi siber güvenlikte de önem teşkil eder. Gelecekte siber güvenlik sektörünün nereye doğru ilerleyeceğini bilmek şirketler için kar, devletler için stratejik üstünlük anlamına gelir. Bu tip tahminlerde bulunan danışmanlık firmaları dünyada mevcut. Ancak bunların yaptığı gelecek tahminleri, 2-5 yıl gibi kısa vadeli oluyor. Biz ise bu yazıda 30-40 yıllık bir süreçte nereye doğru gidebileceğimizi hayal edeceğiz. Her beş senede bambaşka bir hale gelen teknoloji dünyasında, bu denli uzak geleceği tahmin etmek imkansız görünebilir. Ancak siber güvenlik dünyasında, insanlığın tarihsel süreçte yaşadığı olayların konsantre bir izdüşümünü görmek mümkün. Güvenlik kameralarının ve adli tıbbın olmadığı eski çağlarda suçluların tespit edilmesi çok zordu. 1800’lere gelindiğinde ise adli tıp ilerlemiş, dedektiflik yaygın bir meslek haline gelmişti. Günümüzde ise suçluların tespiti çok daha kolay hale geldi. Bu izdüşüme göre 2018 yılındaki siber güvenlik dünyası, 1800’lerin fiziksel dünyasına benziyor. 1800’lerden sonra yaşanan tarihsel süreci incelersek, siber güvenliğin önümüzdeki 30-40 yıl içinde yaşayacağı değişimleri, biraz hayal gücünün de yardımıyla tahmin edebiliriz.
Bu yazıda 2030, 2040 ve 2050 yılları civarında gerçekleşeceğini tahmin ettiğim üç ana olaya değineceğim.
2030 - Güvenlik Sektöründe Yaşanacak İşsizlik Problemi
2000’li yılların başında web ve internet teknolojileri dünyada yeni yeni yaygınlaşıyorken, işin güvenlik tarafı insanların aklını çok kurcalamıyordu. Bu dönemde ortaya çıkan macera filmlerinde hacker temaları işlense de, günlük hayatımıza verebilecekleri zararlar bir bilim kurgu senaryosundan öteye gitmiyordu. Fakat yıllar ilerledikçe teknoloji, günlük hayatın her köşesine işledi. Dolayısıyla işin güvenlik kısmı çok kritik bir durum haline geldi. Fakat gerekli olan güvenlik elemanı sayısında hala büyük bir eksiklik var. Bu yüzden gelecek tahmini yapan kurumlar, dijitalleşme ileride daha da artacağı için, güvenlik elemanı ihtiyacının da artacağını öngörüyor. Bu tespit bana asansör operatörlerinin durumunu anımsatıyor. Asansör ilk icat edildiğinde çalışması, bir insan operatörün yardımıyla mümkün oluyordu. O dönemde asansörlerin tüm dünyada yaygınlaşacağını göz önünde bulunduran bir kişi, insan operatörlere duyulacak ihtiyacın da artacağını söyleyebilirdi. Fakat asansörlere elektronik düğme sistemlerinin gelmesiyle insana olan ihtiyaç bitmiş, bir meslek dalı yok olmuştu.
2000’lerden günümüze güvenlik sektöründe çok büyük değişimler yaşandı. Güvenliğin kazandığı önem sayesinde defansif güvenlik teknolojileri çok ilerledi. Şirketler ve devletler varlıklarının güvenliğine büyük yatırımlar yapmaya başladı. Araştırmacılar açık kaynak kodlu yazılımlarda güvenlik açıklarını tespit edip kapatmaya başladı. Dolayısıyla 2008 ve 2018 yıllarını kıyasladığımızda, global güvenliğin oldukça iyiye gittiğini söyleyebiliriz. Peki bundan sonra nereye gidecek?
Yerli Siber Güvenlik Yazılımı Hamlesinde Gözden Kaçan Detaylar yazımda, güvenlik yazılımlarının geçirdiği evreleri şöyle sıralamıştım:
- Başlangıç evresi (… - 2001)
- Kullanım kolaylığı evresi (2001-2009)
- Olgunluk evresi (2009-…)
- Yapay zeka evresi (…-…)
Şu an içinde bulunduğumuz olgunluk evresinden yapay zeka evresine ne zaman geçeceğiz, net olarak bilemiyoruz. Fakat gidişatın kesinlikle o yönde olduğunu, pek çok farklı emare ile gözlemleyebiliyoruz. Örneğin IDS, SIEM gibi defansif güvenlik ürünleri, insana ihtiyaç duymayacak şekilde çalışma noktasına varmak üzere. Ofansif tarafta henüz emekleme döneminde olsalar da, yapay zeka hacker yazılımlarının ortaya çıktığını görebiliyoruz. Şu an bu yazılımlar deneysel ve pahalı olsa da, ileride bunlar hem daha stabil hem de ucuzlamış olacak. Dolayısıyla bu yazılımlar insan bir çalışandan daha düşük maliyetli ve daha verimli olacak.
Gidişatı göz önünde bulundurduğumda, bu döneme 2030 yılına kadar geçileceğini düşünüyorum. Peki bu dönem geldiğinde ne olacak? Hem defansif hem ofansif güvenliğin çok büyük bir kısmı otomatize hale gelecek. İnsana olan ihtiyaç, üstten bakan bir göz ve problem çıktığında düzeltmeyle sınırlı kalabilir. İşin siber savaş kısmında devletlerin insan personel ihtiyacı muhtemelen devam edecek ama özel sektör bu alanda makineleşmeyi tercih edecektir. 2030 yılına geldiğimizde, kendisini programlama, yapay zeka (ve alt dalları) gibi farklı disiplinlerde geliştirememiş orta ve alt seviye güvenlikçiler işsizlik ile karşılaşacaktır.
2040 - Sanal Pasaport ve Sanal Vize
Facebook ve Google gibi firmaların, bireylerin davranışlarını çerezler (cookie) ya da farklı yöntemlerle kayıt altında tuttuğu artık bilinen bir gerçek. Bu kişisel veriler sadece bu şirketler ya da ABD devleti tarafından gayrıresmi olarak kullanılsa da, gelecekte bu durumun farklı olacağını düşünüyorum. Çünkü günümüzde siber suçların durdurulamamasının en önemli sebeplerinden biri, suçluların gerçek kimliğinin tespit edilememesidir. Google gibi şirketlerin sahip olduğu kişi profilleri kimi zaman suçlu tespitine yardımcı olsa da, büyük bir çözüm sağlamıyor. Bunun yanında TOR gibi servisler de kişinin gerçek IP adresini saklamasına yardımcı oluyor.
TOR ve diğer VPN servislerinin hala işe yarıyor olması, internetin herkese açık olmasının bir sonucudur. Örneğin Endonezya’da yaşayan bir insan, turkiye.gov.tr’ye girebilir, bir güvenlik açığı bulursa buraya zarar verebilir. Turkiye.gov.tr sitesinin yöneticileri “Endonezya’da yaşayan birinin bu siteye girmesine gerek yok” diye düşünüp o ülkeyi engelleyebilir, hatta Türkiye hariç tüm dünyayı engelleyebilir. Ama bu durumda yurtdışında yaşayan Türk vatandaşları siteye nasıl girecek? Ülke engelleme bu tip konularda kalıcı bir çözüm olamaz. Kalıcı çözüm ise gelecekte var olacağını düşündüğüm sanal pasaport sistemi.
İnsanların anonim bir şekilde internette dolaşmasını engelleyerek siber suçları durdurmayı hedefleyen “Evilcorp” isminde bir şirket hayal edelim. İnsanlar Evilcorp şirketinin ürünü olan “elektronik pasaportu” gerçek kimlik bilgileriyle alabiliyorlar. Kişi elektronik pasaport aldıktan sonra, internette yolladığı her isteğin içinde bu pasaport bilgileri yer alacak. Evilcorp ile entegre olan websiteleri, ziyaretçilerine sanal pasaport kontrolü yapabilecek. Örneğin bazı ülke vatandaşlarını tamamen engelleyebilir, fakat bu ülkedeki bazı vatandaşlara -öğrenciler, akademisyenler vs.- giriş vizesi verebilir. O dönemin büyük bulut şirketleri Evilcorp ile entegre olacak ve internetin büyük bir bölümünde sanal pasaportsuz dolaşım mümkün olmayacak.
2050 - Bireysel Hacking’in ve Hacker’lar Çağının Bitişi
Tarih boyunca insanlık, farklı suç trendlerine ve gruplarına maruz kalmıştır ve bunlarla mücadele yöntemleri geliştirmiştir. Buna örnek olarak deniz korsanlığını verebiliriz. MÖ 14. Yüzyıldan başlayan korsanlık tarihi 1800’lere kadar sürmüştür. Çeşitli kültürlerde hackerlara korsan benzetmesi yapılır. Örneğin ülkemizde “hacker” kelimesinin TDK karşılığı “bilgisayar korsanı”dır. Bu benzetme mantıksız değildir. İnterneti okyanusa, bilgisayarları gemilere ve hackerları korsanlara benzetebiliriz. Peki asırlarca süren korsanlık geleneği 1800’lerde nasıl bitirildi? Okuduklarıma göre burada etkili olan iki konu var: Birincisi, İngiliz donanmasının denizlerde yaptığı devriyelerin sayıca çok artması ve bu devriyelerin silah gücünün korsanlardan fazla olması. İkincisi, korsanların ticaret yaptığı limanların devletler tarafından kapatılması. Gelir yollarının kesilmesi ve baskıların artmasıyla korsanlar, bu kadim suç geleneğini terk etmek zorunda kalmıştır. Bitmez denen deniz korsanlığı tarihe karışmıştır.
Tabi ki hackerların tek motivasyonu maddi kazanç değil. Bu yüzden korsanlar gibi kazanç yolları kesilse bile hacking faaliyetleri bitmeyecektir. Fakat buna rağmen gelecekte hackingi bitirecek iki temel konu var. Birincisi önceki başlıkta bahsettiğimiz sanal pasaportlar ile her internet kullanıcısının nerede ne yaptığı kayıt altında olacağı için hacking, büyük cesaret isteyen bir suç haline gelecektir. Bugün bir insanı öldürüp yakalanmamak ne kadar zorsa, gelecekte hacking de böyle olacaktır. Bunun yanında 2000’lerden günümüze baktığımızda defansif güvenlik teknolojilerinin çok güç kazandığını görüyoruz. Bu durum muhtemelen böyle devam edecektir ve gelecekte bir sistemin hacklenmesi, sadece çok büyük aktörlerin yapabileceği bir şey haline gelecektir.
Sonuç olarak hacking faaliyetleri askeri ve istihbari bir yöntem olmakla sınırlı kalacak, bireysel hacking tarihe karışacaktır. Hacking kültürü muhtemelen bu kadar kısa sürede bitmeyecektir. Ancak bireylere inmeyen faaliyetlerin, bir kültür olarak uzun süre devam etmesi de mümkün gözükmüyor. Bundan 200 yıl sonra tarihçiler hackerları yazarken 1980-2050 arasında faaliyet gösteren insanlar olarak niteleyecek, dönemin gençleri kostüm partilerine önünde hacker amblemleri olan siyah kapüşonlularla katılacaktır.