Çok Aşamalı ve Çok Boyutlu Tehdit
Mahremiyete yönelik tehditler bizim için çok yeni bir konu, insanların bunu anlaması ve sindirmesi oldukça zaman alacak. Malesef bu blogun insanları bilinçlendirme konusunda da çok etkili olacağını zannetmiyorum (Sevgili Süleymanoviç sakın yanlış anlama, seni çok takdir ettim bu blogu başlattığın için. Zaten gerekçelerimi okuyunca sen de hak vereceksin.) Çünkü bloglarda, "white paper"lar da meselenin herhangi bir noktasından başlanıp herhangi bir noktasında sonuç noktası konuyor. Bir de üstüne üstlük mahremiyet konusunun güvenlikçiler açısından geyiğe en müsait konulardan biri olması meseleye sağdan, soldan, ortadan dokunmayı daha olası hale getiriyor. Blogları bu yüzden sevmiyorum (ya da kitapları bu yüzden tercih ediyorum). Kitaplar da (mecburen) çevresel bilgiler sağlanıyor, kitapta neyin olduğu neyin olmadığı açıkça belirtiliyor ve belli bir mantıksal akış izleniyor konuyu aktarmak için.
Having said that, benzer bir yaklaşımı burada izlemek zor olmakla birlikte ben tehdidi "TANIMLAMA"ya çalışarak işe başlayacağım (tabi ders kitabı tadında yapamayacağım bunu kusura bakmayın). Mahremiyet nedir, neden tehdit altındadır, ve bu tehdidin özellikleri neler: mahremiyetin tanımı en iyi amerikan literatüründe yapılıyor ve çok tartışmalı (bir başka deyişle geyiğe açık) bir konu. Ben kısaca başkaları ile paylaşmak istemediğimiz bize özel bilgiler ile tanımlayacağım ama bu tanım kesinlikle pratik ihtiyaçları çözmüyor (yani peki Zeki Müren'de bizi görecek mi sorusuna cevap değil). Tehdit altında olmasının bana göre iki nedeni var: 1-Doğru düzgün bir çıkar hedefi olmadan sırf (kötü) insani dürtülerle (hastalık, cinsel tercih, geçmiş hakkında bilgiler gibi) özel bilgilerin yayılması şeklinde kişiye doğrudan ve dolaylı olarak ciddi zararlar vermek mümkün, 2-Mahrem bilgiler kullanılarak o kişinin yerine geçilerek pek çok suçun işlenmesi, mahremiyeti ihlal edilen kişiye veya başka taraflara yönelik zararlar verilmesi söz konusu. Nasıl olduğu konusuysa meselenin gerçek vehametini ortaya koyuyor; Mahrem bilgiler parçalar halinde pek çok bağımsız kurum ve kaynakta mevcut. Bir kurum açısından çok da önemli olmayan mahrem bir bilgi (Zeki Müren sorusunun cevabı (açık olmak gerekirse neler mahrem bilgidir sorusunun cevabı) en doğru biçimde gerçek olaylarda kullanılmış bu parçaların incelenmesi ile ortaya çıkabilir) bir diğer kurum için diğer önemli veya önemsiz bilgilere ulaşmak için anahtar vazifesi görüyor. Yani bir biri hakkında hiçbir bilgi ve ilgisi olmayan birden fazla kurum mahremiyet ihlaline alet oluyor, ve hiçbiri neredeyse bu tehdidi hissetmiyor bile. Bu tipik bir internet ağ güvenliği denetiminde pasif ve aktif bilgi toplama safhasına benziyor. İşin kötüsü bu aktiviteler büyük oranda yasal. Ancak sonuçta toplanan bilgiler bir suçu işlemeye (hukuki olarak suç olarak tanımlanamasa bile (bu arada işin hukuki kısmında hiçbir fikrim yok, olabilecek arkadaşlara bu blogu tavsiye edeceğim)) en azından gizlilik ihlal ediliyor. Tehdidin nasıl gerçekleştirildiği anlaşıldıktan sonra bunun çok geniş ve farklı yüzeylere değen bir tehdit olduğu, ve meselenin sadece regulasyon ve aktif olay yönetimini (bir anlamda mahremiyet CERT'ü) destekleyecek bir kurul organizasyon ile çözülebileceği (hafifletilebileceği) ortaya çıkıyor. Yani pratikte regülasyon ve konuya özel bir organizasyon ile tehditle mücadele etmek gerekecek.
Bizim düzenleme bu anlayışla mı çıkacak yoksa çeviri düzenleme mi olacak önümüzdeki günlerde göreceğiz umuyorum. Çok da ümitsiz değilim çünkü bu tehdit medya tarafından ciddiye alınıyor ve çok can yanıyor, dolayısı ile ihtiyaç ortada, bu regülasyon Türkiye için bir beden büyük olmayacak.
Having said that, benzer bir yaklaşımı burada izlemek zor olmakla birlikte ben tehdidi "TANIMLAMA"ya çalışarak işe başlayacağım (tabi ders kitabı tadında yapamayacağım bunu kusura bakmayın). Mahremiyet nedir, neden tehdit altındadır, ve bu tehdidin özellikleri neler: mahremiyetin tanımı en iyi amerikan literatüründe yapılıyor ve çok tartışmalı (bir başka deyişle geyiğe açık) bir konu. Ben kısaca başkaları ile paylaşmak istemediğimiz bize özel bilgiler ile tanımlayacağım ama bu tanım kesinlikle pratik ihtiyaçları çözmüyor (yani peki Zeki Müren'de bizi görecek mi sorusuna cevap değil). Tehdit altında olmasının bana göre iki nedeni var: 1-Doğru düzgün bir çıkar hedefi olmadan sırf (kötü) insani dürtülerle (hastalık, cinsel tercih, geçmiş hakkında bilgiler gibi) özel bilgilerin yayılması şeklinde kişiye doğrudan ve dolaylı olarak ciddi zararlar vermek mümkün, 2-Mahrem bilgiler kullanılarak o kişinin yerine geçilerek pek çok suçun işlenmesi, mahremiyeti ihlal edilen kişiye veya başka taraflara yönelik zararlar verilmesi söz konusu. Nasıl olduğu konusuysa meselenin gerçek vehametini ortaya koyuyor; Mahrem bilgiler parçalar halinde pek çok bağımsız kurum ve kaynakta mevcut. Bir kurum açısından çok da önemli olmayan mahrem bir bilgi (Zeki Müren sorusunun cevabı (açık olmak gerekirse neler mahrem bilgidir sorusunun cevabı) en doğru biçimde gerçek olaylarda kullanılmış bu parçaların incelenmesi ile ortaya çıkabilir) bir diğer kurum için diğer önemli veya önemsiz bilgilere ulaşmak için anahtar vazifesi görüyor. Yani bir biri hakkında hiçbir bilgi ve ilgisi olmayan birden fazla kurum mahremiyet ihlaline alet oluyor, ve hiçbiri neredeyse bu tehdidi hissetmiyor bile. Bu tipik bir internet ağ güvenliği denetiminde pasif ve aktif bilgi toplama safhasına benziyor. İşin kötüsü bu aktiviteler büyük oranda yasal. Ancak sonuçta toplanan bilgiler bir suçu işlemeye (hukuki olarak suç olarak tanımlanamasa bile (bu arada işin hukuki kısmında hiçbir fikrim yok, olabilecek arkadaşlara bu blogu tavsiye edeceğim)) en azından gizlilik ihlal ediliyor. Tehdidin nasıl gerçekleştirildiği anlaşıldıktan sonra bunun çok geniş ve farklı yüzeylere değen bir tehdit olduğu, ve meselenin sadece regulasyon ve aktif olay yönetimini (bir anlamda mahremiyet CERT'ü) destekleyecek bir kurul organizasyon ile çözülebileceği (hafifletilebileceği) ortaya çıkıyor. Yani pratikte regülasyon ve konuya özel bir organizasyon ile tehditle mücadele etmek gerekecek.
Bizim düzenleme bu anlayışla mı çıkacak yoksa çeviri düzenleme mi olacak önümüzdeki günlerde göreceğiz umuyorum. Çok da ümitsiz değilim çünkü bu tehdit medya tarafından ciddiye alınıyor ve çok can yanıyor, dolayısı ile ihtiyaç ortada, bu regülasyon Türkiye için bir beden büyük olmayacak.
