19 Temmuz’da Windows yüklü bilgisayarların aldığı güncelleme neticesinde işlevsiz hale gelmesiyle birlikte kıyamet günü senaryoları dolaşıma girdi. İnsanlar yüzyıllardan beri kıyametin geleceğini düşünerek bu konuda senaryolar üretmeye devam ediyorlar. Teknolojinin nimetlerinden olan İnternet’in ve ilgili teknolojilerin çökmesiyle insanların ellerinde ne var ne yoksa kaybedeceğini hayal ediyoruz. İlginç olan konu ise teknolojin hızlı yükselişiyle birlikte filme konu olmuş Madmax ve Terminatorvari yıkım senaryolarının gerçekleşeceği düşüncesi. Günümüz karar vericilerin davranışlarının ve kararlarının bu düşünce ile ilgisi olduğu da sıkça dile getiriliyor.
İnsan bilişsel yapısının kötümserliğe yatkın yapısıyla birlikte İnternet, bilgisayar sistemleri ya da teknolojiye ait bir problemle karşılaşıldığında taş devrine döneceğimizi söylemenin herkesi gizlice mutlu ettiğine dair inancım gün geçtikçe artıyor. En önemli endişelerimizden birinin bazı okuyucuların daha doğmadığı 2000’li yıllara geçiş öncesinde yaşandığını hatırlatmak isterim.
Biz bu filmi daha önce gördük mü?
Akıllı telefonların bu kadar yaygın olmadığı bir dönemde Y2K (2000 yılı) problemi olarak karşımıza çıkan sorun tamamen alışkanlıklar ve döneme geçişle ilgiliydi. 90’lı yıllarda 19. yüzyılın içinde olduğumuz için birçok uygulamada sadece son iki haneyi kullanıyorduk. 99 bizim için 1999’u temsil ediyordu. Böylece pratik bir kullanım elde ediyorduk. 20. yüzyıla girdiğimizde, bilgisayarların 2000 yılını son iki hanesine bakarak 1900 olarak yorumlayacağına dair bir endişe yaygın olarak bilgisayar sektöründe gündem oldu. Yazılım hataları ve arızalar, finansal veri tabanlarından kritik altyapılardaki gömülü sistemlere kadar geniş bir yelpazede potansiyel sorunlar yaratabilirdi. Bilgisayarlar rutin kontrollerini yapamaz, faiz hesaplamaları hatalı çıkabilir, uçuşlarda biletleme sorunları olabilirdi. Donanım ve yazılımı etkileyen bu problem konusunda sayfalarca raporlar yazıldı ve hazırlıklar yapıldı.
Beklenen olmadı, çok az problem yaşandı. Japonya’daki Ishikawa nükleer santralinde bazı radyasyon ekipmanları arızalandı, fakat yedekleme sistemleri sayesinde süreç problemsiz atlatıldı. İtalya, Rusya ve Güney Kore gibi ülkeler Y2K için hazırlık yapmamıştı, ancak ABD gibi milyonlarca dolar harcayan ülkelerden daha fazla teknolojik sorun yaşamadılar. Beklenenin tersine az olay olmasından dolayı birçok kişi Y2K’yı bir aldatmaca veya kıyamet kültü olarak değerlendirdi. Ama problem teknoloji dünyasının peşini bırakmadı, 2020 yılında yine ortaya çıktı. Sizin de bildiğiniz gibi bilgisayarların başlangıçtan beri geçici ve oldu bitti çözümlere karşı bir alerjisi vardır.
Kıyamet kültü ya da dijital sistemlere saldırı yapılacağı ve bütün teknolojinin çökeceği beklentisi özellikle 11 Eylül saldırılarından sonra farklı bir düzlemde ilerlemeye başladı. Kontrol ettiğimizi düşündüğümüz teknolojilerle vurulmak uluslararası güvenliği epey incitmişti. Yeni yüzyılda siber güvenliğin önemi artarken tehdit aktörlerinin kabiliyetleri ve imkanları da gelişmişti. Buna 11 Eylül’ün yol açtığı toplumsal korku ve belirsizlik eklenince dijital Pearl Harbor kavramı hızlıca bilimsel literatürde kullanılmaya başlandı. Sistemler her çöktüğünde büyük siber saldırıların olduğu fikri yavaş yavaş hepimizi ele geçirmeye başladı. 2007’deki Estonya saldırısı sonrasında artık ülkelerin dijital işleyişinin bir şekilde durdurulabileceği fikri yerleşmeye başladı. Estonya saldırısı sonrası çekilen Die Hard 4 filmiyle bu duygu pekiştirildi.
2017’de ortaya çıkan, ABD Ulusal Güvenlik Ajansı’ndan (NSA) hack yoluyla alınmış Eternalblue programının kullanımıyla başlayan WannaCry Fidye yazılım saldırısı Windows bilgisayarları hedef aldığı için çok etkili olmuştu. Toplamda 150 ülkede 300 binden fazla bilgisayarın etkilenmesine yol açarak birçok kritik altyapıyı etkilemişti. O zaman da bunun kıyamet kültüyle ilişkisi sıkça kurulmuştu.
19 Temmuz 2024 günü tam olarak ne oldu?
19 Temmuz 2024’te bilgisayarlarını güncelleyenler, Windows yüklü bilgisayar sahipleri mavi ekran (Blue Screen of Death- BSoD) olarak da bilinen, işletim sisteminin donmasına sebep olan bir problemle karşılaştılar. Havayollarından hastanelere, iletişimden bankacılığa kadar birçok altyapıyı etkileyen bu olayı tedirginlikle izleyerek, kıyamet mi geldi sorusunu soran eminim az değildir.
Güncelleme problemi Microsoft’un bulut hizmet altyapısı olan Azure’un kullanıcılarını büyük çapta etkileyecek bir soruna dönüştü. Bulut sistemlerinde güvenlik fiziksel sistemlerimizdeki güvenlikten nispeten ayrışır. Bu tür yapılarda güvenlik eşiğini belirleyip kontrol edebilmek, yapısal sebepler yüzünden zaman zaman daha güç olabilir. Microsoft Azure sistemlerindeki sanal makinalar da dünyaca bilinen Crowdstrike Siber Güvenlik firmasının farklı hizmetlerini kullanır. Crowdstrike Falcon, özellikle işlevselliği minimum seviyede etkileyerek yüksek seviyede bir güvenlik sunmayı hedeflemeyen bir platform. Firmanın bu ürünü için yaptığı bir sistemsel güncelleme dosyasında gerekli Null kontrolü[1] yapılmamış olsa gerek ki, büyük operasyonel kesintiye yol açtı. Null’u yazılımda oluşturulan bir nesnenin değerinin bilinmemesi veya boş bir değer atanması olarak düşünebilirsiniz. Bir değer veya nesne atayana kadar değişken Null olur. Yazılımın temel konularından birisidir. Bu temel hata yüzünden oluşan sorunlar Crowdstrike’a dünyada güneşin erken doğduğu ülkeler tarafından daha erken iletildi. Ama öğlene kadar problemler hâlâ giderilememişti.
Herkes bu kesintileri farklı biçimde yorumladı. Japonya’dan Amerika’ya kadar etkisi görülmeye başlandı. Seferlerini aksatmamak için uçak biniş kartlarını elle yazan havayolları bile vardı. Türkiye Bilgi Teknolojileri ve İletişim Kurumu, Ulusal Olaylara Müdahale Merkezi’nin kesintinin sebebinin Windows sistemlere yönelik bir saldırı yüzünden olmadığı mesajını birden çok kez gönderdi. Bu durum kıyamet kültü ve siber saldırı bağlantısının ne derece derinlere işlediğinin en büyük göstergesiydi.
22 Temmuz 2024’te Windows Crowdstrike Falcon sorununu gidermek için bir güncellemeyi ancak yayınlayabildi. Bu sayede bilgi işlem yöneticilerinin onarım süresinin kısalacağı ümit ediliyor. Görünen o ki, teknik sorunlar giderilse bile bu kesinti literatürde önemli bir yer tutacak.
Küresel olarak bu teknolojik aksamadan ne çıkarmalıyız?
Teknolojinin hızlı yükselişi ve dijitalleşmeyle birlikte yeni bir hibrit döneme adım attık. Eski teknolojiler varlıklarını sürdürürken hayatımızın her ortamını kontrol edemediğimiz ve nasıl çalıştığından emin olmadığımız yeni teknolojiler kararlarımızı yönlendirir oldular.
Öte yandan politik ortamın ve pandeminin bir getirisi olarak ortaya çıkan çok katmanlı belirsizlik kıyamet kültünün daha derinden açığa çıkmasına sebep oldu.
Buna ilaveten bireyler arasında artan güvensizlik de bu teknolojilerin günden güne güçlenmesini sağladı, sağlamaya devam ediyor. Teknolojiler gelişirken kendi kavram ve algılarını bize dikte ediyorlar. Teknoloji üreten şirketler çoktan devletler-üstü bir seviyeye gelerek, güç ve kapasitelerini arttırdılar. Hatta ekonomist ve siyasetçi Varoufakis’in ifadesiyle tekno-feodal bir politik ekonomiyi kurgulamayı başardılar. İktisatçı ve siyaset bilimci Schumpeter’in ifadesiyle yaratıcı yıkıcılık kendi kurgusunu inşa etmeye başladı. Yapay zeka ile bunun daha da kesinleşeceği net bir biçimde gözleniyor. ABD ve Çin arasındaki tekno-ekonomik iktidar çekişmesi de bunun bir yansıması. Küreselleşmenin de etkisiyle teknoloji şirketlerinin uğrayacağı zararlar bütün dünyayı etkileyecek hale geldi.
Ne yapmalı?
Windows’un yaşadığı problemlere Linux ya da Mac OS X kullananlar şahit olmadı. Teknolojik tercihlerimizin hayatımızı fazlasıyla etkilemeye başladığı bir döneme adım atmaya başladık. Böyle bir dönemde yapmamız gereken belki de ortak standartlar ve formatların desteklendiği, alternatiflerin varlığını teşvik etmek olmalı. Teknolojik tekelin tüm dünya için yıkıcı sonuçlar doğurması muhtemel.
Entropi var olan bütün sistemler için geçerli bir kavram ve önüne geçmek sanıldığı kadar da kolay değil. Bu gerçekliği kabul ediyorsak, sistemler çökerse nasıl hareket edeceğimizin planlarını (playbook) inşa etmek zorundayız.
Eğer ortak formatlı ve alternatifli teknolojik yapıyı kurgulayamamış isek tekno-feodal şirketleri daha şeffaf ve hesap verir olmaya zorlamalıyız. AB’nin usb-c şarj sistemleri konusunda Apple’a yaptığı baskı böyle bir yaklaşımdan kaynaklanıyor. Öte yandan bazı devletlerin teknolojik tekeli kendi lehlerine kırarak, vatandaş üzerinde hakimiyetlerini arttırmak istedikleri de biliniyor.
Açık kaynak yazılımlara verilen desteklerin arttırılarak, kişisel mahremiyetin (privacy) üst düzeyde olduğu bir yapıya doğru evrilerek, kişisel tanımlayıcı bilgileri (PII) işlemeye son vermezsek, artık karar vermek zorunda kalmayacağımız, bizim hesabımıza düşünen yapay zeka algoritmalarının hakimiyetini arttıracağız.
Microsoft’un “Farzet ki yıkıldın” (Assumed Breach Approach) yaklaşımı tüm koruma önlemlerine rağmen sistemlerin arızalanacağını veya insanların hata yapacağını, bir saldırganın altyapımıza ve hizmetlerimize sızabileceğini varsaydığımız anlamına gelir. Bu yaklaşım özünde yaşadığımız yıkıcı süreci aşmamız için gereken iş devamlılık fikrini sunuyor. Teknoloji bir araç, hedef ise yapmak istediğimiz işler. Teknoloji amaç haline gelirse işlevsellik her zaman zarar görür. Bu yüzden devamlı izleme ve tespit, alternatif esnek yapılar, zararı kısıtlayacağımız küçük bölümlemeler (micro segmentation) sistem dizaynını yaparken hep aklımızda olmalı.
Tek sistem temelli yapılar çöktüklerinde elbette ki, aksamalar yaşanır. Bunu engellemek sanıldığı kadar kolay değildir. Failover sistemleri, teknoloji sistemlerinin güvenilirliğini ve kullanılabilirliğini sağlamak için kritik bileşenlerdir. Birincil sistemde bir arıza veya arızalanma durumunda, otomatik olarak yedek veya bekleme durumundaki bir sisteme geçiş yapmak üzere tasarlanmışlardır. Eğer sizin üretim ve hizmet yapınızda böyle bir dizayn yoksa hemen düşünmeye başlamanız gereklidir. Siber güvenlik bu anlamıyla sadece makineleri, ağı ve veriyi korumakla kalmaz, bunların var olma sebebi olan insanı korumak için de vardır.
Güvenmek ya da güvenmemek
Madem bu sistemler çökebilir o zaman bu sistemlere güvenmemeli miyiz?
Endüstri devrimi ortalarında Carnot, Clausius, Joule teknolojinin malzemenin ve enerjinin sınırlarını belirlemeye ve sistemleri hangi sınırlara kadar zorlayabileceklerini anlamaya çalıştılar. Sınırları bilme ve zorlama beraberinde bir belirsizlik kavramı inşa etti. Teknoloji ve tolere edilebilir belirsizlik hep el ele ilerlediler. 21. yüzyılda sistemlerin birbirinin üstüne kurulmasının oluşturduğu dijital karmaşıklık ve sistemlerin birbirine bağlılığı, sistemsel karmaşıklığı daha da arttırıyor. Teknolojinin bu katmanlı ve birbiriyle bağlantılı gelişimi belirsizliği de aynı şekilde artıyor. Karar verme süreçlerini uzatıyor, güveni azaltıyor ve dikkati ortadan kaldırıyor.
Bütün bu temel problemlere rağmen farkında olalım ya da olmayalım İnternet ve bağlantılı teknolojileri, eskiden sahip olunması imkansız bilgileri evlerimize getiriyor. Devletlerin kontrol çabalarına rağmen net tarafsızlığı sağlanabilirse, insanların nispi olarak özgürleşmesine imkan tanıyacağını düşünüyorum. Öte yandan İnternet teknolojilerinin gelişmesinin insan sağlığı, çevre, hukuk, eğitim gibi birçok alanda 20 yıl öncesine kadar imkansız olan yetenekleri kazandırdığını da unutmamalıyız.
Bulut teknolojisi güvenilir mi?
Bulut teknolojisinin günümüzde artan kullanımı değişen davranış biçimleriyle çok ilgilidir. 30-40 yıl önce kullanıcılar bilgisayarlara giderken artık birden çok bilgisayar aynı anda yanımızda olabiliyor. Pandemi sonrasında revaç bulan uzaktan çalışma (remote) alışkanlığıyla birlikte şirketin çok farklı ağlar üzerinden işlerini yapmaya başladığını görüyoruz. Öte yandan hizmet alıcıların da farklı coğrafi bölgelerde yer aldığını görüyoruz. Şirketlerin hizmetlerine yönelik taleplerin zamanla değiştiğini ve tutarlılık göstermediğini de gözlemliyoruz. Bu farklı istekler, değişimler ve en önemlisi de esneklik isteyen hibrit çağda bulut teknolojisi hem sürdürülebilirlik hem çevresel açıdan, hem de finansal açıdan büyük faydalar sunuyor.
Bulut teknolojisi, işletmelerin bilişim teknolojileri ve operasyonel süreçlerini daha verimli, esnek ve maliyet açısından avantajlı hale getirir. İhtiyacınıza göre kaynakları hızla ölçeklendirebilme yeteneği hem esneklik sağlar hem de küresel operasyonlarınızı kolayca genişletmenize imkan tanır. Ayrıca, hızlı uygulama dağıtımı ve ileri teknolojilere erişim imkanı sunarak işletmelerin yenilik yapmasını ve daha çevik (agile) olmasını sağlar.
Peki, bütün bunlar güzel de Crowdstrike Falcon örneğini ne yapacağız?
19 Temmuz 2024’teki gelişme Windows yüklü 8,5 milyon bilgisayarı etkiledi. Böyle tarihi kilometre taşları, kıyamet kültünü hatırlatmak yerine doğru mesajlar vermeli. Hatta böyle olaylar, gelecekte benzer durumlarda kurumların işlevlerini nasıl yerine getireceğine dair soruları dikkatle gündemin üst sıralarına taşımamızı da sağlamalı. Dijital sistemler bir anda büyük sorunlarla karşılaşabilir, hatta geçici olarak çökebilir. Ancak, bu tür sorunların genellikle kalıcı olmadığı ve çözülebilir olduğu bilinmeli. Kalıcı çöküşler nadir olur, doğru tedbirler alındığında sistemlerin tekrar çalışır hale getirilmesi mümkündür.
Çoklu krizler çağı
Yaşadığımız çağı hibrit olarak tanımlamanın ötesinde çoklu krizler çağı olarak da kabul etmeliyiz.
Teknolojinin aksamasının yanı sıra doğal afetler, ekonomik istikrarsızlıklar, savaşlar, çatışmalar ve sosyal problemlerin aynı anda belirmesi çok da uzak bir ihtimal gibi gözükmüyor. Bu durumda teknolojilerin doğru kullanılması süreçlerin yönetilmesini kolaylaştıracaktır.
Teknolojik yapıların nasıl kullanıldığı kadar nasıl yönetildiği de önemli. Esnek-dayanıklığı (resilient) yüksek olmayan yapılar kurarsanız, sisteminizi bir kriz sonrasında ayağa kaldırmak için çok uğraşacaksınız demektir. En temel örneğiyle eğer kişisel seviyede verilerini yedeklemiyorsanız, telefonunuz kırılırsa onlara ulaşmanız zor olacaktır. Ama yedekleme süreçlerini titizlikle uygularsanız, yeni telefona yedeklediğiniz verileri yükleyerek yeniden hayatınıza devam edebilirsiniz. Telefon örneğinin kulağa çok basit geldiğini biliyorum. Ama uygulamada böyle olmadığını siz de biliyorsunuz.
Riskleri yönetmek, güvenliği yönetmek, belirsizliği yönetmek yeni dönemin en önemli kavramlarından birisi. Bu da kişisel sorumlulukları, şirketlerin yükümlülüklerini ve devletlerin görevlerini yeniden tartışmamız gerektiğini öne çıkarıyor.
Crowdstrike olayı sürerken kötü niyetli birçok aktörün kayıtlı alan adı oluşturma algoritması (Registered domain generation algorithm -RDGA) kullanarak insanların paniklerini ve korkularını sömürecek yardım siteleri hazırladığı da kaydedildi. Bu sitelere yüklenen kötücül yazılımları indiren kişiler daha büyük zararlara uğradılar.
Yaşanan bu tür olaylar, dijital sistemlerin güvenliğinin sağlanması için daha proaktif ve öngörülü bir yaklaşım benimsememiz gerektiğini düşündürmeli. Crowdstrike’da sistem nasıl işliyor bilmiyoruz ama kodların farklı kontrol mekanizmalarından geçtiğini tahmin ediyoruz. Siber güvenlik olaylarının üzerinden bir ay geçtikten sonra ekiple toplanıp, olayın zaman akışını, müdahaleleri, nasıl sonuçlandığını ve sistemlerin nasıl işlevsel hale getirildiğinin konuşulduğu toplantılar yapılır. Bu toplantılarda ne öğrendik ve nasıl daha iyi yapabiliriz diye tartışılır. Crowdstrike’ın bu toplantısından çıkacak sonuçları sabırsızlıkla bekliyorum. İnsan hatasının yol açtığı sonuçları ancak daha fazla kontrol ile azaltabiliriz.
Sorduğum soruya geri dönecek olursam hiçbir yapıya mutlak olarak güvenemeyiz. İhtiyatlı güven bizi ayakta tutacak ve alternatif sistemleri hazırda bulundurmamızı sağlayacaktır, zararları en aza indirecektir. Tedbirli olmanın maliyet, zaman, emek ve organizasyon istediği ortadadır. Sahip olduğumuz bütün teknolojileri bu düzlemde kullanmalıyız. Bakımını yapmadığınız bir arabadan doğru ve güvenli çalışmasını beklemek hata olacaktır. Bilgisayar sistemlerinin de bundan pek farkı yok. Sonuç olarak arabanızın bakım yapması için götürdüğünüz servis/usta hata yaparsa ne olacak?
19 Temmuz’da yaşadığımız olay biraz da böyledir. Latince “Quis custodiet ipsos custodes?” ifadesinde net biçimde dile getirildiği gibi bizi koruyan/gözleyenleri kim koruyacak? Onların hatalarından kim sorumlu olacak? Crowdstrike Falcon olayının önümüze getirdiği önemli bir boyut da Windows yazılımına güvenen firmaların zararlarının nasıl telafi edileceği meselesidir. Yazılım bedellerini ödeyerek kullanan milyonlarca firma bu işletim sistemini kullandıkları için mağdur oldular. Bunun sorumlusu kim olacak? Ameliyat olamayan, hayati görüşmelerini yapamayan, ürününü gönderemeyen, seyahat edemeyen insanların mağduriyetini kim karşılayacak?
Filmlerle, komplo teorileriyle beslenen kıyamet senaryoları belki de hep tasvir edildiği şekilde değil, tedbirsizlikle, hukuksal çerçevelerin belirlenmemesiyle, mağduriyetlerin giderilmemesi ve gerekli derslerin çıkarılmamasıyla gelir.
Bu makalede yer alan fikirler yazara aittir ve Fikir Turu’nun editöryel politikasını yansıtmayabilir.
Bu yazı ilk kez 24 Temmuz 2024’te yayımlanmıştır.
[1] https://programmingduck.com/articles/nulls
