Makale Özeti

Yazılım güvenliği teknik bir konu olmanın çok ötesinde. Ya da tek bir konuda değil pekçok konuda teknik yönü var. Mesela bunlardan biri hukuk. Yazılım güvenliği ile ilgili ölçütler, yasama gücü tarafından her ülkede farklı seviyelerde uygulanabiliyor. Bu alanda ciddi değişiklikler de görülebiliyor zaman içinde. Tüm bilişimciler olarak, hukuk konusuna daha fazla ilgili olmamız gerektiğini düşünüyorum. Bu yazıda, bunun argümanlarını bulacaksınız.

Makale

IEEE’nin Security & Privacy adlı dergisi, güvenlik ve kişisel gizliliği bir arada ele alan önemli bir yayın. Geçen sene, Amerikan seçimleri ve elektronik oylama konuları yoğun gündemdeyken, ilginç bir editör yazısı çıkmıştı. Fred B. Schneider imzalı bu yazı, Amerika’nın gündemindeki kimi konuları ele alıyor, ama bu konular, belki daha da ciddi olarak bizim de gündemimizde olan konular. Aşağıda bu yazının çevirisini ve ardından bazı yorumlarımı bulacaksınız:

Yeni Sayısal Uçurum

“İlk sayısal uçurum bilgisayarlaşma ile ilgiliydi: Kimin erişimi var ve kimin yok. İkinci sayısal uçurum ya da bölünme, teknoloji kullanıcıları, geliştiriciler ve düzenleyiciler tarafından nelerin anlaşıldığında yatıyor. Bu toplulukların her biri sayısal teknolojinin uygulaması ve evriminde bütünleyici ve kritik rollere sahipler. Ama günümüzde her biri, neyin nerede olduğu ve işin nereye gittiği konusunda eksik resimlere sahipler. Dolayısıyla ikinci sayısal bölünmede, anlayışla ilgili birden fazla boşluğu aşmak gerekiyor.
Kullanıcı topluluğu ile işe başlayalım. Bugünün bilgisayar hizmetleri kullanıcıları yazılımlara ne ölçüde güvenebileceklerini bilmiyorlar. Acaba bir sistem istendiği gibi performans gösterecek mi? Doğa ananın gerçekleri, kötü niyetli saldırganlar ve işletmen hatalarına rağmen! Bir bilgisayar sisteminin güvenilirliğinden emin olmadan, ona ne zaman dayanabileceğimiz ya da ona dayanıp dayanamayacağımız konusunda iyi bir karar vermek imkânsız hale geliyor. Buna rağmen, kullanıcı topluluklarının kurulum ve dağıtımlara devam ettiklerini görüyoruz. Önce çevrim içi öğrenci kayıt işlemleri, sonra banka hesapları ya da finansal işlemler ve en sonunda ulusal seçimler.
Bir sistemin güvenilirliğini kesin olarak ölçemememiz problemi büyütüyor. Yine de, teknik topluluktaki var olan bilgi birikimi, uygulama dağıtım kararlarının daha bilgili olarak verilmesini sağlamalıydı. Bu durumda, ikinci sayısal bölünmenin üzerine atılacak köprülerden biri için dağıtım kararı alanlara bir iş çıkıyor: Nesnel ve teknolojik bilgi birikimine sahip kaynaklardan girdi alma arayışı. Tabii teknoloji bilgi birikimine sahip olanların da yardım istendiğinde müdahil olmak için istekli olmaları gerekli.
Bir teknolojiden kaynaklanan sorunların tamamının çözümü o teknoloji içinde olmayacaktır. Politikalara, yasamaya ve hakemliğe, bilirkişilere düşen roller olacaktır. Bununla birlikte teknik olmayan bu çözümlerin teknolojik olarak mantıklı olması için teknik kişilerin de işin içinde olması gerekmektedir. Mesela bilgisayarlı oy toplama araçları üzerine günümüzdeki tartışmalar, sayısal uçurumun ortaya konuşunu örneklemektedir. Bu teknolojiyi yaymak isteyenlerle güvenilirlik üzerine çalışanlar arasındaki anlayıştaki boşluk olmasa, tartışmanın doğası çok daha farklı olurdu.
Buna karşıt olarak, güvenilir tasdik ve işletim için işlemci donanım uzantılarına ilişkin uyuşmazlık, teknoloji uygulayıcılarının teknik olmayan çözümlere duyduğu sevmezliği açıkça göstermektedir. Güvenlik politikalarının etrafından dolaşılamayacak bir sistem yazılım üreticilerine ve diğer içerik sağlayıcılarına bir bilgisayarda neyin çalışıp çalışamayacağı üzerine çok fazla kontrol verebilir. Öte yandan güvenlik politikalarının etrafından dolaşılabilecek bir sisteme güvenli demek de pek mümkün değil. Burada yasal bir düzenleme, üçüncü tarafların ne gibi politikalar yükleyebileceğini kısıtlayarak anlamsız gibi görünen bir tercihten kaçınabilir.
Yasal çözümlere yönelmenin rahatlığına sahip olmak için o yasal çözümlerin yazılabilir ve uygulanabilir olduğuna güvenebilmek gerekir. Yasamanın ve yürütmenin kimler tarafından yapılacağına dair sorular var. Ama bu soruları görmezden gelsek bile, ABD’deki telif haklarını korumaya ilişkin geçmiş deneyim, günümüz yasal organlarının siber-güvenlik sorunları hakkında akla yatkın yasal çözümler üreteceğine güvenmek için iyi örnek oluşturmuyor. İlgisiz kalan teknoloji uygulayıcılarının belirgin ölçüde daha büyük katkısı, şüphesiz daha akla yatkın çıktıların oluşmasını sağlardı.
Yolumuzu birinci sayısal bölünmeye uğratmayabiliriz; ikincinin içindeyiz zaten ve dışına çıkmaya çalışmalıyız. Hepimiz, kendi topluluğumuzun dışında da daha etkileşimli olmalıyız. Bu diyalog ortamına katılmak zaman alacak, ve zaman her zaman kıt olan bir kaynaktır, ama diyalog olmaması, yeterince bilgilenmeden yapılmış düzenlemeleri, aşırı kapalı ya da dikkatsizce iyimser uygulama dağıtımlarını, ihmal edilen ya da etkin olmayan teknolojik gelişimleri beraberinde getirecek.”

Günümüzü anlamak ve geleceği yönetmek

Teknolojinin hızla değiştirdiği bir dünyanın içinde yaşıyoruz. Değişimin hızına o kadar alıştık ki, farkında bile değiliz. Dünyanın dönmesinin farkında olmadığımız gibi.
Bana katılmıyorsanız, cep telefonunun ne kadar hızlı bir şekilde toplumumuz tarafından sindirildiğini düşünsenize. Ya da bu sene içinde dizüstü bilgisayarların kullanımı ve internet erişimi konusundaki gözle görülür yaygınlaşmayı! Senelerce hızlı internet erişimiyle ilgili şikayetleri olan küçük bir topluluktuk. Şimdi internet diye bir şeyi yeni duymuş kişiler hızla internet kullanıcısı olmaya başlıyorlar.
Tüm bu süreçler içinde, karar verme kademesinde olan insanlar, yaşları gereği, geleceği anlamayı bırakın, günümüzü anlamakta bile zorluk çekiyorlar. Bunu bir eleştiri olarak değil, yaşanan bir gerçek olarak söylüyorum.
Bir yandan chatteki arkadaş sayısı sokaktaki arkadaş sayısını geçen bir nesil yetişiyor, bir yandan da bilgisayara tamamen yabancı kalan, yabancı kalmak istemese bile adaptasyon zorluğu çeken bir karar vericiler kuşağı var. Karar vericiler derken, en yukarı kademedeki insanları kastetmiyorum. Küçük bir birimin şefinden, bir ailenin babasına kadar karar verme konumunda olan pek çok insanı söylüyorum.
Bu ortam içinde, bilişimle ilgili düzenlemelerin doğru yapılması, doğru yapılsa bile gereği gibi uygulanması konusunda büyük zorluklar var. Bu zorluklar, yukarıdaki yazıda görüldüğü gibi, Amerika’nın bile başında. Yetişmiş onca insan gücüne rağmen!
Kendinize sadece teknik bir kariyer çizdiyseniz, bir kez daha düşünün derim.
Teknik yanı sıra başka yetenekleriniz varsa, onları bir arada kullanmanız daha akıllıca olabilir.
Şahsen bilişim hukuku benim en çok ilgimi çeken alanlardan biri! Ama formasyonum uygun olmadığı ve bir noktaya gelmek için ciddi kişisel yatırım gerektiği için, şimdilik geri duruyorum.
Elektronik imza kanunlaştı ve yürürlüğe girdi bildiğim kadarıyla, ama uygulamaları ne alemde dersiniz? Nasıl boşluklar oluşacak bu alanda?
İlgi çekici… Çok ilgi çekici…