Matt Hancock’un Whatsapp mesajlarının şok edici haberinden Boris’in mesajlarını paylaşma konusundaki suskunluğuna kadar, güvenli mesajlaşmanın kullanımı sıcak bir konu haline geldi. Yeni bir trend gibi görünse de, son dönemdeki hükümet merkezli tartışma akışı ilk gördüğümüzden çok uzak ve en maliyetlisi de değil. Yalnızca geçen yıl, ABD finans kurumları WhatsApp gibi mesajlaşma hizmetleri üzerinden iletişim kurdukları için yaklaşık iki milyar dolar para cezasına çarptırıldı.
Anlık mesajlaşma artık tercih edilen bir iletişim aracı, kullanışlı, kolay sindirilebilir ve güvenli olarak görülüyor. Hoşumuza gitsin ya da gitmesin, basit gerçek şu ki mesajlaşma burada kalacak. Bunu kabul etmeli ve güvenlik ve mevzuat uyumluluğunu sağlamak için mesajlaşmayı görüntüleme ve yönetme şeklimizi güncellemek için çalışmalıyız.
Büyük finans kurumları için eski bir bilgisayar denetçisiyken, şimdilerde güvenli mesajlaşma hizmetleri sağlayan bir şirketi yöneten siber güvenlik uzmanı olarak, işletmelerin ve hükümetlerin harekete geçmediği üç konu olduğunu deneyimlerime dayanarak söyleyebilirim. Birincisine uyumluluk problemi diyorum, ikincisi metaveri problemi ve üçüncüsü de kuantum problemi. Üç meseleyi de çözemezsek, kendi yarattığımız bir unutulmaya doğru uyurgezeriz.
1. Uyum Sorunu
Daha önce de belirttiğim gibi, geçen yılın sonlarında ABD’deki büyük finans kuruluşları, çalışanlarının uyumlu olmayan mesajlaşma hizmetlerini kullanmasını engellemedikleri için yaklaşık iki milyar dolar para cezasına çarptırıldı. Ayrıca, Birleşik Krallık’ta pandemiyle ilgili sözde ‘WhatsApp tarafından hükümet’ konusunda önemli bir kamuoyu tartışması yaşandı.
Tarihsel olarak, finans ve devlet alanındaki iletişimler titizlikle kayıt altına alınmış ve resmi normları olan resmi kanallar aracılığıyla gerçekleştirilmiştir. Bunun nedeni, bu alanların her ikisinde de görevi kötüye kullanmanın önüne geçmek ve hesap verebilirliği sağlamak için önemli bir gözetimin gerekli olmasıdır. Birçok güvenli mesajlaşma hizmeti, bu temel uyumluluğu sağlamanın anahtarı olan iletişimlerin izlenmesini engeller.
Bunun nedeni, birçok güvenli mesajlaşma hizmetinde merkezi kurumların (örn. bekçiler, hükümetler vb.) mesajlar ve bunların silinip silinmeyeceği üzerinde herhangi bir kontrolünün olmamasıdır. Ayrıca, bazı durumlarda düzenleyicilerin bunlara erişmesini de engeller. Kurumlar denetim izi olmayan araçları kullandığında bankacılık düzenleyicilerinin bu kadar sert davranmasının nedeni budur.
Herhangi bir şifrelemeyi zayıflatmayan, ancak aynı zamanda bir soruşturmanın gerekli olması durumunda düzenleyicilere erişime izin veren güvenli bir sohbet çözümü uygulanarak para cezaları ve ihtilaflardan kolayca kaçınılabilir.
2. Üst Veri Sorunu
Ortalama olarak, finansal kurumlar ve hükümetler veri güvenliğini inanılmaz derecede ciddiye alıyor. Bir norm olarak, verilere erişmek için VPN’ler gerekir ve mesajlaşma hizmetleri merkezi olarak kontrol edilir ve çok güvenlidir. Özellikle finans alanında, küçük veri sızıntılarının bile finansal ve itibar kayıpları açısından büyük sonuçları olabilir.
Örneğin, büyük bir şirketin CEO’sunun başka bir büyük şirketin CEO’su ile mesajlaştığını gösteren meta verilerin elde edildiğini hayal edin. Mesajların içeriği görülmese bile yakın zamanda bir kazanımın gerçekleşebileceği çıkarımlarına yol açabilecektir. Spekülasyonun piyasalar üzerinde büyük bir etkisi olabilir.
Genel mesajlaşma platformlarının birçok kullanıcısı, bu meta verilere erişilebileceğini, derlenebileceğini, analiz edilebileceğini ve satılabileceğinin farkında değil. Güvenli mesajlaşma sağlayıcıları, uçtan uca şifreleme mesajın içeriğini görmelerini engellese bile, genellikle bunun gibi meta verilere erişebilir. Bu nedenle, bu üçüncü taraf mesajlaşma hizmetlerinin kullanılması, bu meta verilerin yanlış ellere geçmesi ve her türlü hassasiyeti açığa çıkarması riskini doğurabilir.
Bu nedenle, güvenlik ve mahremiyet açısından hassas sektörler, altyapıyı, şifrelemeyi ve kaçınılmaz olarak yayılan meta veri içgörülerini kontrol ettikleri kendi özel mesajlaşma hizmetlerine ihtiyaç duyar.
3. Kuantum Problemi
Yeterince büyük bir kuantum bilgisayar geliştirildiğinde, neredeyse tüm şifrelenmiş verilere erişebilecektir. Bu hala birkaç yıl uzakta olsa da, şifrelenmiş veriler daha sonra yeterince büyük bir kuantum bilgisayar geliştirildiğinde şifresinin çözülebilmesi için şimdi toplanabilir.
Hükümetler ve büyük finans kurumları, on yıllarca hassas kalacak verileri rutin olarak işler. Bu veriler, yalnızca bugünün şifreleme algoritmalarına dayanan WhatsApp gibi mesajlaşma hizmetleri üzerinden gönderilse bile ‘Şimdi Hasat Et, Sonra Şifresini Çöz’ saldırılarına karşı savunmasızdır. Bugün gerçekten güvenli olmak için bir mesajlaşma hizmetinin hem klasik hem de kuantum saldırılarına karşı şifrelemesi gerekir. En son ABD mevzuatı, federal kurumların kuantum sonrası şifrelemeye geçişini zorunlu kılarak bu noktayı fazlasıyla açık hale getiriyor.
Yani ne yapmalıyız?
Artık mesajlaşma, iletişim kurma şeklimizin temel bir parçası olduğuna göre, bunu nasıl doğru yapacağımız konusunda bir diyalog başlatmamız gerekiyor. En azından, mevzuata uyumlu ve meta veri madenciliği ve kuantum saldırılarına karşı güvenli çözümler uygulamalıyız.
Kuruluşlar, genel ağ oluşturmayla ilgili oldukları için bu ilkeleri uzun süredir anlıyorlar, ancak şimdi aynı denenmiş ve test edilmiş ilkeleri nasıl sohbet ettiğimize uygulama zamanı.