Güvenlik Yorgunluğu

Pşşt! Ses çıkarmayın arkadaşlar. Şu an tarihin en korunaklı, en gizli ve belki de en tehlikeli koridorlarından birinde yürüyoruz. 1944’te Los Alamos’ta, dünyanın kaderini değiştirecek bir laboratuvardayız. Nedenini merak ettiğinizi biliyorum, çok önemli birini ziyarete geldik buraya. Dünyanın en parlak zihinleri, atom bombasını icat etmek için buraya toplandı. Güvenlik o kadar üst safhada ki, her kapıda silahlı nöbetçiler bekliyor. Zaten belgeler de "Top Secret" damgasıyla çelik kasalarda saklanıyor. Çünkü bu belgeler insanlık tarihini sonsuza dek değiştirecek olan "Manhattan Projesi"yle ilgili.

Hah, aradığımız adam bu odada olmalı. Gelin, kimseye görünmeden kapıdan içeri sızalım ve neler yapıyor bir bakalım...

İşte ziyarete geldiğimiz kişi, Richard Feynman. Şu an neyle uğraştığını söylemeden önce biraz kendisinden bahsedeyim size.

Feynman bundan yirmi bir yıl sonra Nobel alıp meşhur olacak, ama şu an daha üniversiteden yeni mezun. Okulda uranyum zenginleştirmesi üzerine çalıştığı için, mezun olduğu gibi onu getirip çölün ortasındaki bu ofise dikmiş proje başındakiler. Ortada yapacak hiç ama hiçbir şey yok. Üstelik, hiç işe odaklanıp kuantum fiziği düşünecek halde de değil. Zira eşi, yeni evlendiği çocukluk arkadaşı Arline, buradan birkaç saat uzakta bir hastanede, ve maalesef yavaşça veremden ölüyor. Bırakın ziyarete gitmeyi, mektuplaşmalarına bile izin verilmiyor. Çünkü, “güvenlik…”

Eli kolu bağlı olan Feynman, yirmi yedi yaşında ve haylaz olduğu için, bu güvenlik takıntılı askerlerden alabileceği küçük bir intikamın peşinde. Sıkıntısını çözmek için yeni bir hobi bulmuş: Kasa açmak.

Ama hırsızlık falan için değil tabii ki, sadece güvenlik takıntılı bu insanlara gününü göstermek için edinmiş bu hobiyi.

İşte Feynman şu anda bir kasanın başında. Hmm.. Bir şeyler yapıyor şu an… Tam anlamıyorum ama…

Aaa kasa açıldı bile!

Benim “dahi” meslektaşlarım ve sayınnn generallerin ne kadar tembel olduklarına inanamazsın. Kasaları fabrikadan geldiği şifreleriyle bırakmışlar öylece.

Tekrar hoşgeldiniz arkadaşlar. Benim aklım hala Feynman’la yaptığımız konuşmada… Sizce de çok ilginç bir konuşma değil miydi? Bu kadar yüksek güvenlikli bir kurumda, üstelik bu kadar gizli ve önemli belgelerin tutulduğu odalarda, kasa şifreleri nasıl önemsenmez, nasıl böyle güvenlik boşlukları olabilir ki? Koskoca Manhattan Projesi belgelerinin saklandığı laboratuvarda bunlar yaşanıyorsa biz bugün ne haldeyiz acaba? Düşünsenize, bugün her şeyin şifresi var. Telefonlar, banka hesapları, hatta en basit mobil app’lerin bile… Peki biz bu kadar hassas veri içeren hesaplarımızı gerçekten koruyor muyuz? Yoksa tüm bunlar küçük dikkatsizliklerimiz yüzünden tehlikede olabilir mi?

O halde gelin bu konuyu bir araştıralım birlikte, durumu anlamaya çalışalım. Ve günümüzün kasa şifreleri, yani o her gün girdiğimiz PIN kodlarımızla başlayalım.

DataGenetics adlı bir şirket tarafından yapılan muazzam bir analiz var. İnternetin her yerinden, yıllar içinde sızdırılmış yaklaşık 3.4 milyon şifreyi incelemişler. Sonuçlar, bunu yapan güvenlik uzmanları için bile sarsıcı.

Üç tane şey çıkmış bu araştırmadan. Gelin bakalım:

Birincisi: Dünyada her 10 kişiden birinin PIN kodunun 1234 olduğu tespit edilmiş. Bir düşünün, yerde kredi kartı bulan biri onda bir şansla daha ilk denemeden hesaba girebiliyor.

İkincisi: Eğer denemelere 1111, 0000 ve 1212’yi de eklerseniz, mevcut bütün şifrelerin yüzde 20'sini şimdiden kırdınız demek.

Üçüncüsü: En popüler 20 şifre, tüm PINlerin yüzde 26.83’ünü oluşturuyormuş. Yani istatistiksel olarak, sadece 20 denemede her dört kişiden birinin özel hayatına sızabilirsiniz.

Tabii tüm bu tercihlerin bir açıklaması var. Çünkü artık her şeyin şifresi var malum… E biz de şifrelerimiz kolay akılda kalsın istiyoruz haliyle. Maalesef ki, bizim aklımızda kolay kalan bu şifrelerin “kötü niyetli” bazı insanların aklında da kolay kalmak gibi tatsız bir huyu var…

Şimdi bu bölümü dinleyen dört kişiden birinin kafasında alarm zilleri çalıyor olabilir. Ama merak etmeyin, yalnız değilsiniz. Hatta inanır mısınız, bu işin profesyonelleri bizden daha beter durumda diyebiliriz. Mesela 2024 yılında İngiltere’yi sarsan bir olay yaşanmış bu hususta.

İngiltere’de ülkeyi siber saldırılara karşı korumak, devletin dijital güvenliğini sağlamak için kurulmuş bir “Ulusal Siber Güvenlik Merkezi” var. İngiliz siber güvenliğinin kalesi burası.

Dışişleri Bakanı David Cameron’ın konuşması için bir grup gazeteci davet edilmiş bu kuruma. Ve gazetecilere kapıdan girmeleri için bir şifre verilmiş. Fakat öyle bir kod vermişler ki, duyan gazeteciler kulaklarına inanamışlar. Hazırsanız söylüyorum: 1-2-3-4’müş arkadaşlar koskoca siber Güvenlik Kurumu’nun kapı şifresi.

Düşünsenize, dünyaya güvenli kriptografi raporları yayınlayan bir kurumun kendi kapı kodu 1234! Bir de bütün gazeteciler duysun diye anonsu megafonla yapmışlar. Olay duyulduğunda İngiliz sosyal medyası yıkılmış tabii. Kurum sonradan "O, sadece o güne özel, geçici bir koddu" açıklaması yapsa da kimse bunu pek ciddiye almamış haliyle.

Şimdi, 1234 kodunu bir siber güvenlik merkezinin kapısında görmek bize komik geliyor olabilir. Ama tarihin tozlu sayfalarını araladığımızda, bu tür küçük boşlukların sadece fizikçilerin sıkıntısını giderdiği veya gazetecileri güldürdüğü değil, bazen imparatorlukların kaderini belirlediğini görüyoruz. Gelin bir hikaye anlatayım size bununla ilgili. Yine İngiltere’den…

1940lı yıllarda, savaş kasveti altında, Londra’nın biraz batısında, Bletchley Park diye bir malikanede; Polonyalı, Fransız ve İngiliz matematikçiler 10 yıldan uzun bir süredir aynı problemi çözmeye çalışıyorlardı arkadaşlar. Uğraştıkları bu devasa bir matematiksel canavarın adıysa “Enigma”ydı… Buna, Alman ordusunun bütün iletişimlerini şifrelemek için kullandığı, çağının en gelişmiş makinası diyebiliriz.

Oldukça karmaşık bir alet bu. Zira Enigma’nın İçindeki dişliler her gün değişiyor. Milyarlarca, trilyonlarca farklı kombinasyon üretiyor bu makina. Öyle ki; bu makinanın oluşturduğu kombinasyonları bir insan elle denemeye kalksa binlerce yıl yaşaması gerekirdi.

Müttefik devletlerin en parlak zihinleri -ki bunların başında Alan Turing geliyor- gece gündüz bu makinenin karşısında ter döküyor. Ama bir türlü çözemiyorlar bu aleti. Zira Enigma’nın dayandığı matematik dönemin imkanlarıyla kırılacak gibi değil. Zaten eğer Almanlar makineyi kusursuz kullansaydı, belki İngilizleri yenebilir, bizler bugün bu podcasti çok daha farklı bir dünyada dinliyor olabilirdik.

Peki, bu "kırılamaz" denen makine nasıl kırıldı? Cevap, Enigma'nın dişlilerinde değil; o dişlileri her gün aynı şekilde çeviren insanlarda saklıydı.

Bu yıllarda görevi her sabah Enigma üzerinden, üst mertebelere hava durumu raporunu geçmek olan Nazi askerleri vardı. Aralarındaki bu iletişimin düşman kuvvetlerce çözülmemesi için her gün Enigma’nın oluşturduğu yeni bir şifre kullanmaları gerekiyordu tabii. Fakat tüm bunlara rağmen her gün aynı "Merhaba" ve aynı "Hoşçakal" kelimelerini kullanıyor ve tabii hava raporunu da “heil hitler” diye bitiriyorlardı. İşte İngilizlerin aradıkları görünmez boşluk da tam olarak burada doğmuştu arkadaşlar. Şöyle düşündüler: Sonuçta her gün şifre anahtarı değişiyordu ama her gün de aynı mesajlar gönderiliyordu.

Buna kriptolojide "Crib" yani "kopya kağıdı" deniyor. İşte bu noktada Turing ve ekibi, şifrenin tamamını çözmeye çalışmak yerine, Nazi askerlerinin o hiç değişmeyen kelimelerini takip ettiler. "Eğer mesajların hepsi aynı bitiyorsa," dediler, "o zaman şu harfler, aslında bu harflere denk gelmeli." Nazilerin disiplin aşkı, her şeyi aynı şekilde, nizami yapma arzusu, aslında Nazi savaş makinesinin en büyük güvenlik açığına dönüşmüştü yani.

Aslında Naziler bu hatayı yaptıklarını hiç anlamadılar. Onlar için bu gayet günlük bir şeydi. Sabah kahvesini içmek gibi, bağcıklarını bağlamak gibi sıradan bir eylem…

Şimdi böyle dedik aklıma düştü. Acaba bizim de günlük hayatımızda Almanlar gibi kapıyı açık bıraktığımız zamanlar oluyor mu? Niye bu boşluklara düşüyoruz? En iyisi kısa bir ara verip soluklanalım şimdi arkadaşlar, dönüşte bu dalgınlıkların sebeplerini bulmaya çalışacağız.

Selam arkadaşlar, tekrar hoşgeldiniz. Evet aradan önce niye bu güvenlik açıklarını veriyoruz diye sormuştuk hatırlarsanız. Yani sadece biz de değil üstelik. Dünyanın en zeki insanları, en iyi eğitimli profesyonelleri neden bu kadar basit hatalar yapmaya devam ediyor ki? Neden teknoloji ne kadar gelişirse gelişsin, o "insan faktörü" dediğimiz zayıf halkayı bir türlü tamir edemiyoruz? Sanırım bu işin zekayla pek bir alakası yok. Sır, beynimizin hayatta kalmak için kullandığı kısayollarda saklı aslında. Hatta gelin onlardan birini, en sık karşımıza çıkanı anlatayım size. Security fatigue, yani güvenlik yorgunluğu.

Neredeyse her gün onlarca bildirimle karşılaşıyoruz. "Şifrenizi güncelleyin", "Yeni bir giriş tespit edildi", "Şu kutucuğu işaretleyin", "Kullanım koşullarını kabul edin" ve dahası... Amerikan Ulusal Standartlar ve Teknoloji Enstitüsü uzmanları bu durumun bizi getirdiği hale “Doyma Noktası” ismini vermiş. Zihnimiz, sürekli bir "tehlikedesin!" uyarısı altında yaşamaya programlı olmadığı için, bir noktadan sonra kendini korumak adına kepenkleri indiriyormuş yani söylediklerine göre.

Nasıl sokağımızda her gün yanlışlıkla çalan bir araba alarmı sesini bir noktadan sonra duymuyorsak, siber uyarıları da "arka plan gürültüsü" olarak kodlamaya başlıyormuşuz yani. Tembellik değil bu, bir beceriksizlik de değil… Bu bir tür zihinsel tükenmişlik. Yoruluyoruz. Ve yorulduğumuzda, beynimizin ”1234 yaz geç" diyen o sesini dinliyoruz. Çünkü bu ihtimalde beyin, ezberlediği yoldan gitmiş ve kalori yakmamış oluyor. Bu yüzden, bir güvenlik uzmanı bile akşam evine yorgun gittiğinde, dış kapısını açık bırakabiliyor.

Ama daha derin ve sinsi bir problemimiz daha var: “Normalization of Deviance” yani “Sapkınlığın Normalleşmesi.” Sosyolog Diane Vaughan’ın ortaya attığı bu kavram, aslında bir felaketin nasıl adım adım inşa edildiğini anlatıyor bize. Bu durumu muhtemelen hepimizin yaşadığı basit bir örnek üzerinden açıklamaya çalışayım size. Mesela diyet yaptığınızı düşünün. Canınız tatlı çektiğinde “bir kerecikten bir şey olmaz” diye bir dilim yiyiverdiniz. Bunun üzerine iç sesiniz size “Bak yedin ve kötü bir şey olmadı işte” diye fısıldayabilir. Ve siz de bu rahatlama sonrası kendinizi ertesi gün, bu sefer ikinci bir dilimin başında bulabilirsiniz.

İşte tam olarak böyle işliyor normalleşme süreci. İlk başta küçük bir kuralı esnetiyorsunuz. Belki bir iki şifreyi post-it’e yazdınız ve baktınız ki, gökyüzü başınıza yıkılmadı. Hiçbir hacker gelip Matrix gibi yeşil rakamlarla kimliğinizi çalmadı. İşte o an beyin tehlike algısını sıfıra indiriyor. Vaughan’ın “Sapkınlığın Normalleşmesi” dediği tuzak bu. Artık o kural sizin için "gereksiz bir bürokrasi," o hatayı görmezden gelmekse "işi halletmenin bir yolu" haline geliyor. Ta ki, bir gün karşınıza art niyetli biri çıkana kadar…

Peki bu normalleşmeyi en tehlikeli şekilde yaşayan grup kim biliyor musunuz?

Uzmanlar. Buna "Uzman Yanılgısı" deniyor hatta. Bir işte ne kadar iyiyseniz, özgüveniniz o kadar yüksek oluyor. Bu durumda da basit kuralları umursamama ihtimaliniz o kadar artıyor haliyle. "Ben bu işi 10 yıldır biliyorum, şifreyi değiştirmesem de olur, bir şey olursa ben zaten anlarım." dediğiniz an, kasanın kapısını araladığınız an oluyor.

Peki, neden bu döngüden çıkamıyoruz? Böyle şeylerin olduğunu, hatta tanımını bilsek bile hepimiz böyle şeyler yapmaya neden devam ediyoruz? Basit hatalar, gözden kaçırmalar, unutkanlıklar… Niye her zaman etrafımızdaki her şeye tüm dikkatimizle yaklaşamıyoruz?

Çünkü insan beyni bir verimlilik makinesi arkadaşlar. Bedavaya çalışamıyor, sürekli besin yakmak zorunda. Eğer bir kere hata yapınca başımıza bir iş gelmediyse, beyin artık o riski yok sayıyor. Yanlış olan bir şeye o kadar alışıyoruz ki, uyarıları mantıksız veya gereksiz bulmaya başlıyoruz. Atomu parçalayan fizikçiler ya da siber güvenlik merkezindeki çalışanlar aptal oldukları için değil, sadece insan oldukları için o hataları yaptılar yani. Feynman'ın o dahi fizikçilerin kasalarını açarken hissettiği o haylazca zevk, aslında insan doğasının bu değişmez zayıflığına olan hayretinden geliyordu. Otobiyografisinde bile, kaç kasa açarsa açsın buna asla tam inanamadığını yazmış hatta kendisi.

İyi de, bu dalgınlık sarmalından kurtulmanın, otomatiğe bağlama modundan çıkmanın bir yolu yok mu? Eğer atomu parçalayanlar bile bu basit hataları yapıyorsa, biz ne yapacağız diye düşünmüş olabilirsiniz. Aslında cevap o kadar basit ki…: Checklist, yani kontrol listesi. Bunun önemini, Ohio’da yaşanan bir olay üzerinden anlatayım size o halde.

Amerikan ordusu, 30 Ekim 1935’te Wright Hava Üssü’nde yeni nesil bir bombardıman uçağı seçmek için yarışma düzenlemiş arkadaşlar.

Favori baştan belliymiş ama: Boeing’in "Model 299" uçağı. Ama o gün görenleri hayrete sürükleyen bir olay yaşanmış. Uçak pistten kusursuzca kalkmış aslında. Ancak 100 metre kadar yükseldikten sonraaa, aniden havada durup bir kanadı üzerine çakılmaya başlamış.

Ve bu elim kaza sonucu uçağın içindeki 5 kişiden ikisi de hayatını kaybetmiş maalesef.

Sonrasında bu favori uçağın neden böyle bir kazaya kurban gittiği araştırılmaya başlanmış hızlıca. Ve sebebin çok temel bir noktada olduğu keşfedilmiş. Kaptan pilot Binbaşı Hill’in kalkış sırasında en temel adımı, dümenin kilidini açmayı unuttuğu anlaşılmış.

Bu facianın üzerine ordu yeni önlemler almaya başlamış takdir edersiniz ki. Fakat bu önlemler pilotları daha fazla eğitmek falan değil, onların eline birer kart, yani check list vermek olmuş. Bu kartların üzerinde çocuğa anlatır gibi, çok basit adımlar sıralanmış sadece: İniş takımlarını kontrol et, Kilitleri aç, Kapıları kapat. Bir araba şoförüne "Kontağı çevir” demek kadar komik bir liste bu. Pilotlar tabii ki çok göz devirmiş, hatta bu kartları zekalarına hakaret kabul edip gocunmuşlar da. Ama ordunun ısrarı sayesinde Model 299, o günden sonra tek bir kaza daha yapmadan 13 bin adet satarak toplam 2.9 milyon kilometre uçmuş.

Zaten bugün, bu check list tüm uçuşlarda kullanılan uluslararası bir standart haline gelmiş durumda. Yani bugün nükleer santrallerden uçak kokpitlerine kadar her yerde bu tik attığımız küçük kutucuklar bizi koruyor diyebiliriz. Bunun gibi olaylar sayesinde “sistem teorisi” diye bir bilim dalı gelişince, bu kontrol listeleri kağıt parçası olmaktan büyüyüp bir kültür haline gelmiş hatta. Sistem teorisinde buna "Just Culture" yani "Adil Kültür" deniyor. Bir hata yapıldığında, toplantının "Kimi kovacağız?" değil de, "Bu insanın dalgınlığını neden yakalayamadık?" diye sormak için yapılması yani.

Sonuç olarak... Feynman’ın Los Alamos’taki "25-0-25" kodlu kasalarından, siber güvenlik merkezindeki "1234" kapı şifresinden; Enigma’yı ele veren rutin selamlara kadar her şey tek bir noktada birleşiyor: Dalgınlık.

Belki de bizim de kendimize adil davranıp, durup bazen sormamız lazım. Hayatımızda "aslında böyle olmaması gerektiğini bildiğimiz" ama artık görmediğimiz neler var? Hangi küçük ihmalleri, "canım şimdiye kadar bir şey olmadı" diyerek normalleştirdik?

Hayatın büyük bir kısmı biz pür dikkat bir haldeyken değil, sabahın köründe otobüse yetişmeye çalışırken veya yorgunluktan gözlerimizin kapandığı o "küçük anlarda" yaşanıyor. O yüzden sadece banka şifrelerinize ya da kapı kilidinize değil; otomatiğe bağladığınız kararlarınıza, kurduğunuz cümlelere, en değer verdiğiniz ilişkilerinize de bir bakın. Tiklemeyi unuttuğunuz küçük kutucuklar var mı mesela? Acaba hayatımızdaki en önemli şeyleri koruyan o duvarlar, hiç dikkat etmediğimiz, küçücük noktalardan hasar alıyor olabilir mi?

Unutmayın arkadaşlar; en sağlam zincir, en zayıf halkası kadar güçlüdür. Ve o zayıf halka genellikle bizim en az dikkat ettiğimiz, "bir şey olmaz" dediğimiz minicik, sıradan bir alışkanlığımızdır. O yüzden garanti bildiğiniz şeyleri ara ara gözden geçirmeyi unutmayın. Zihniniz uyanık kalsın ki siz rutinlerinize değil, rutinleriniz size hizmet etsin.