Bu Help Net Security röportajında, Taurus CSO’su Jean-Philippe Aumasson, dijital varlıkların kullanımında yüksek düzeyde güvenlik olgunluğunun gerekliliğinin altını çizerek, anahtar oluşturma, depolama ve dağıtımın sıklıkla gözden kaçan karmaşıklıklarını vurguluyor.
İleriye baktığımızda Aumasson, dijital varlık korumasının geleceğinin genel olgunluk, şirket içi beceri gelişimi, teknolojik gelişmeler ve gelişen düzenlemelerden etkileneceğini öngörüyor. Finansal kuruluşların bu zorlukların üstesinden gelebilmek için stratejik olarak sağlam sistemlere yatırım yapması bekleniyor.
Özellikle gelişen siber tehditler bağlamında işletmelerin dijital varlıklarını güvence altına alırken karşılaştığı en önemli zorluklar nelerdir?
Bir numaralı zorluk kilit yönetimdir. Dijital varlıklar, kriptografik anahtarlara ciddi şekilde bağımlıdır; anahtarınızı kaybederseniz, madeni paralarınıza erişiminizi sonsuza kadar kaybedersiniz ve birisi anahtarınızı çalarsa büyük olasılıkla madeni paralarınızı da çalar. Bu nedenle anahtar yönetiminizin kusursuz olması gerekir ki bunu söylemek yapmaktan daha kolaydır. Anahtar oluşturma, anahtar depolama ve anahtar dağıtımından anahtar kurtarma ve anahtar rotasyonuna kadar anahtar yönetiminin her yönü basit görünür, ancak en basit şeyi bile doğru yapmak zordur.
Bu yüzden “senin anahtarların değil, paran değil” ifadesini duyduğumda sıklıkla ürküyorum. Üçüncü taraf saklamacılara karşı kesin uyarıda bulunanlar, temel yönetim zorluklarını ve sorumluluğu bizzat üstlenme riskini gözden kaçırma eğilimindedir. Yetersiz veya var olmayan yedeklemeler nedeniyle kripto para birimlerine erişimi kaybeden kişi veya kuruluşları hepimiz tanıyoruz.
Anahtar üretimi konusunu biraz daha detaylandıralım. 10 bin dolar değerinde Bitcoin elde eden bir kişi, donanım cüzdanının sözde rastgele oluşturucusunu kullanabilir ve bunu bir gün sonra halledebilir. Ancak bir finansal hizmetler firması olduğunuzu varsayalım. Bu durumda, bu yeni bir oyundur: Milyonlarca veya milyarlarca dolardan, uyumluluk ve denetim takibi gerekliliklerinden, içeriden öğrenilenlerin riskinden, tedarik zinciri sabotaj riskinden, felaketten kurtarmadan vb. bahsediyoruz.
Coinlerinizi güvence altına almak en kötüsüne hazırlanmaktır. Örneğin, anahtarlarınızı oluşturmak için üçüncü taraf sistemlere güvenmeli misiniz? Anahtar oluşturmanın tam kayıtları olmadan denetçilerin taleplerini karşılayabilir misiniz? Yedeklemelerin ihtiyaç duyulduğunda işe yarayacağını müşterilerinize kanıtlayabilir misiniz? Peki ya bugün kilit yönetimden sorumlu kişiler yarın şirketten ayrılırsa? Yeni Web3 şirketlerinin bazen gözden kaçırdığı, yüksek güvenlik olgunluğu gerektiren birçok zorluk vardır.
Kuruluşlar, sağlam dijital varlık koruması ihtiyacını iş inovasyonu ve çevikliği ile nasıl dengeleyebilir?
Her şey sürtünmeyi azaltmak ve günlük operasyonlarınız için kusursuz süreçler tasarlamakla ilgilidir. Bu süreçlerin en başından itibaren açıkça tanımlanmasıyla başlar. Örneğin, bir dijital varlık transferi talebinden onay, yürütme ve uzlaşmaya kadar nasıl ilerleyeceğinizi düşünün. Bu sürecin her adımından kimin sorumlu olduğu ve kimin sorumlu olduğu konusunda net bir görüşe ihtiyacınız var.
Ayrıca ihtiyacınız olmadığında blockchain kullanmamanız gerektiğini de vurgulamak isterim. Blok zincirleri, en azından “katman 1″leri, genellikle işlem gecikmelerine ve maliyetlere neden olur. Ayrıca, işlem akışı ve ilgili veriler halka açıktır ve sonsuza kadar oradadır. Öne çıkan ve anonimliğin kaldırılması riskleri göz ardı edilmemelidir. Bu nedenle bazen zincir dışında çalışmanız daha iyi olur. Örneğin, karmaşık bir akıllı sözleşme yoluyla temettü dağıtımını otomatikleştirmeniz mi gerekiyor, yoksa bunun bir kısmını zincir dışında yapabilir misiniz?
Dijital varlıkları işletmenize en iyi şekilde entegre etmek için dijital varlık yönetimi çözümünüzü BT sistemlerinize entegre etmeniz çok önemlidir. Bir bankaysanız bu, onu bankacılık ağınıza bağlamayı ve finansal raporlama gibi görevleri otomatikleştirmek için saklama çözümünün API’sinden yararlanmayı gerektirir. Ayrıca, hiyerarşik cüzdan anahtarı türetme parametreleri veya akıllı sözleşmelerin dahili bileşenleri gibi hassas teknik ayrıntıları mümkün olduğunca soyutlamak istiyorsunuz. İş açısından bakıldığında, personelinizin yalnızca hesap kimliğini ve bakiyesini görmesi gerekir.
Dijital varlıkların korunmasında en iyi IAM uygulamalarını uygulamak ne kadar kritiktir ve şirketlerin kaçınması gereken bazı yaygın tuzaklar nelerdir?
Kimlik yönetimi ve dijital varlıklar geçmişte birlikte pek iyi performans göstermedi. Bunun nedeni kısmen blockchainin temel ilkelerinden biri: Takma ad ve anonimlik özelliklerinden dolayı geleneksel kimliğin bulunmaması. Hassas bilgilerin işlenmesi veya saklanması konusunda blok zincirlerine güvenmek şöyle dursun, kimliklerin zincir üzerinde ele alınmasına karşı tavsiyede bulunuyorum.
Bununla birlikte, kurumsal düzeyde bir dijital varlık yönetimi çözümünüz varsa, rol tabanlı yönetişime ve dolayısıyla rol tabanlı erişim kontrolüne ihtiyacınız vardır. Bu genellikle tarafların kimliğini doğrulamak, tanımlamak ve yetkilerini yönetmek için kimlik ve erişim yönetimi (IAM) çözümlerini içerir. Örneğin, dijital varlık çözümünüze, diğer kurumsal hizmetleriniz için kullandığınız aynı tek oturum açma (SSO) portalıyla bağlanabilirsiniz. İşlemleri onaylama veya adresleri beyaz listeye alma gibi hassas işlemler için uygulamaya özel kimlik bilgileri veya donanım belirteçleri gibi ekstra güvenlik katmanları uygulayabilirsiniz.
Güvenlik açısından bakıldığında, merkezi IAM’lerin artıları ve eksileri vardır. Arıza itirazının tek bir noktası var, ancak faydalarını görmek hoşuma gidiyor: yapılandırılacak ve yönetilecek tek bir sistem, birden fazla sistemdeki etkinlik günlüklerinin toplanması ve ilişkilendirilmesi ve tehdit algılama mekanizmaları.
Bir iş bölünmesinde dijital varlıkların korunmasını sağlamak için siber güvenlik politikasına hangi temel unsurlar dahil edilmelidir?
Öncelikle temel hakları almanız gerekiyor. Erişim kontrolü ve güvenlik açığı yönetiminden uç nokta güvenliği ve değişiklik yönetimine kadar temel BT güvenlik politikaları ve prosedürlerinden bahsettiğimiz için bunlar dijital varlıklara özel değildir. İhtiyaç duyulan olgunluk düzeyi hedeflerinize, kuruluşunuzun büyüklüğüne ve düzenleyici yükümlülüklerine bağlıdır.
Dijital varlıkların özelliklerine gelince, anahtar yönetimine geri dönebiliriz. Politikalar, örneğin yedekleme ve felaket kurtarma hususlarını kapsamalıdır. Kuruluşların bir veya iki yıllık bir “kripto dönemi” uyguladığını ve bunun ardından anahtarlarını yenilerine çevirmek zorunda kaldıklarını gördüm. Ayrıca, yedeklemelerin bütünlüğünün üç ayda bir gözden geçirilmesini ve yedeklerin yıllık olarak test edilmesini zorunlu kılan politikalar da gördüm. Böyle bir testte yedekleme paylaşımlarını güvenlik prosedürlerinize göre edinir ve üretim sistemlerinizde kullanılan anahtarları geri yükleyebildiğinizi doğrularsınız. Bu süreç, raporu testin başarılı olduğunu ve yedek değerlerin başka şekilde ifşa edilmediğini doğrulayan üçüncü taraf denetçileri içerebilir.
Son olarak hangi dijital varlık türünün kabul edilebilir olup olmadığını tanımlayan politikalara ihtiyacınız olabilir. Bir politika, teknik güvenlik hususları da dahil olmak üzere kabul kriterlerini tanımlayabilir. Örneğin, yeni blockchain platformları ve protokolleri için güvenlik durum tespiti yapmanız ve kullanacağınız akıllı sözleşmeler için üçüncü taraf güvenlik denetimleri düzenlemeniz gerekebilir. Bir keresinde bir müşterinin kullanmak istediği blockchain platformunun kriptografik protokollerini inceledim ve kodda çeşitli güvenlik açıkları bulduktan sonra onlara karşı tavsiyelerde bulundum.
Dikkate değer dijital varlık ihlallerinden öğrenilen içgörüleri veya dersleri ve bunların varlık korumasındaki mevcut en iyi uygulamaları nasıl şekillendirdiğini paylaşabilir misiniz?
Aralarından seçim yapabileceğiniz örnek sıkıntısı yok; o halde gelin iki tür güvenlik felaketine bakalım:
Birincisi, borsa hack’leri: Borsalar çok sayıda dijital para depolamalı ve kripto para birimini sıcak cüzdanlarından harici hesaplara çekmek için otomatik bir sisteme ihtiyaç duymalıdır. Pek çok borsa, şu seçimlerin genellikle iyi sonuçlanmadığını zor yoldan öğrendi: sıcak bir cüzdana çok fazla para koymak, kripto cüzdanlarını CEO’ya ve yalnızca ona bırakmak, yalnızca saf yazılıma güvenmek (donanım tabanlı değil) güvenli ortamlar) ve sistemlerinizin ne kadar hacklenemez olduğuyla övünmek.
İkincisi, akıllı sözleşme hack’leri veya teknik karmaşıklığı, sorumluluk eksikliğini ve büyük mali ödülleri saldırganlar için çok az veya hiç risk olmadan birleştirdiğinizde kaçınılmaz olarak elde ettiğiniz şey. Örneğin, 2022 Solucan Deliği hack’i gibi köprü hack’lerini ele alalım. Köprüler, yoktan para yaratma gücüne sahip olan ve çok az düzenleyici gözetime sahip kuruluşlar tarafından sürdürülen iki blok zincirini birbirine bağlayan karmaşık protokollerdir. Ayrıca akıllı sözleşme hacklemeleri söz konusu olduğunda “merkezi olmayan finans” (DeFi) uygulamalarının da kendi korku hikayelerinden payı var. Bu tür sistemlerle uğraşmak her zaman bir risk-ödül kumarıdır ve bazen kumar oynamamak daha akıllıca olur, özellikle de müşterilerinizin parası tehlikedeyse.
İleriye baktığınızda, dijital varlıkların korunmasının geleceğinde hangi yeni teknolojilerin veya stratejilerin hayati bir rol oynayacağını düşünüyorsunuz?
Sıfır bilgi kanıtlama sistemleri ve zincirler arası protokoller gibi pek çok teknolojik yenilik ilgi çekiyor. Ancak kurumsal dijital varlıkların korunmasında tek bir teknolojinin önemli bir rol oynayacağını düşünmüyorum. Çoğunlukla iç ve dış faktörlerin şekillendirdiği genel olgunluğa indirgenir. Şirket içinde bu, daha fazla vasıflı personel ve deneme yanılma yoluyla öğrenme anlamına gelir. Dışarıdan ise teknolojinin olgunlaşmasını, daha uyumlu denetim çerçeveleri ve standartlarını ve gerekli gözetimi sağlayan düzenlemeleri gerektirir.
Somut olarak finansal kurumların dijital varlıklara stratejik açıdan yaklaştığını ve sağlam sistemlere yatırım yaptığını gözlemliyoruz. Bu değişim, tokenize edilmiş menkul kıymetleri ve gerçek dünya varlıklarını, stablecoin’leri ve potansiyel CBDC’leri entegre eden finansal sistemler vizyonundan kaynaklanıyor.
Bu tür görüşler, kripto para birimlerini içerebilir veya içermeyebilir ve özel/izinli dağıtılmış defterleri (kamu blok zincirlerinin aksine) içerebilir. Örneğin İsviçre’de tokenleştirilmiş menkul kıymetleri tanıyan yasalarımız var ve özel anahtarınızı kaybetmenin varlık kaybına yol açmayacağı çerçevelerimiz var.