Kurumlarda bazı anahtar sözcükler vardır, onu kullandığınızda akan sular durur. Sihirli bir süper güç gibidir.
“Güvenlik”
Hararetle tartışılan herhangi bir toplantıda bu kelime kulaklarda yankılandığı anda herkes durur ve geriye doğru çekilir. Çünkü güvenlik için yapılmak istenen bir işlemi engelleyen kişi, olası bir güvenlik sorununda potansiyel bir günah keçisi olur. Sorunun, karşı çıkılan konuyla hiçbir ilgisi olmayabilir. Bunu anlatabilmek için bile on yüz milyon toplantıya girmesi, farklı farklı insanlara meramını anlatması ve tüm çabasına rağmen “aklanamama”sı da olasıdır. Bu riske girmek istemeyen insanlar teker teker yoldan çekilirler ve o işin yapılmasına ses çıkarmazlar.
Bugün birçok kurumda düzenli güvenlik taramaları yapılıyor. Bazen dış kurumlar, bazen kendi güvenlik birimleri yapıyor. Raporlar oluşuyor. Raporda belirtilen her “bulgu” için ilgili birimlere “çağrı” açılıyor. Yukarıdaki nedenlerle gerçekten anlamlı olup olmadığı ise sorgulanmıyor, sadece “gereği yerine getiriliyor”. Yapılamıyorsa da, rapora “savunma” olarak ekleniyor ve yaşama devam ediliyor.
Güvenlik sektöründe (her alanda olduğu gibi) az sayıda da olsa işini hakkını vererek yapanlar var. Çoğu güvenlik “uzmanı” ise kullandığı hazır araçların sonuçlarını, sorgulamadan raporluyor. İlgili birim de, raporlananları sorgulamadan çözmeye girişiyor. Sonuç: Boşa harcanan bir sürü zaman, hatta bazen güvenliği sıkılaştırayım derken iyice gevşeten çalışmalar oluyor.
Bir dönem “sürüm fetişi” çok yaygındı. Belirli bir güvenlik açığının x sürümünde olduğu, y sürümünde çözüldüğü güvenlik veritabanlarında yer alan bir bilgi. Otomatik bir araçla bakıp “x sürümü çalışıyor, güvenlik açığı var, y sürümüne güncellemelisiniz” diye senelerce raporlandı (ki hala yapılıyor). Oysa bir güvenlik açığını kapatmanın tek yöntemi yeni bir sürüme güncellemek değil. Özgür yazılımlarda kaynak koduna müdahale mümkün olduğundan, mevcut sürümde de o güvenlik açığı kapatılabiliyor. Kısaca Doğan görünümlü bir Şahin’iniz de olabiliyor. Bazen de o güvenlik açığının kullanılması, kurumun yazılımı kullanım biçimi nedeniyle imkansız olabiliyor. Dolayısıyla, aslında var olmayan bir güvenlik açığını kapatmak için, resmi desteklenen sürüm yerine, son sürüm kurmak için elle kaynak kodunun derlenmesi (ve başka güvenlik sorunlarına yol açılması) sık karşılaşılan bir durum.
Bankacılık sektöründeki bir müşterimizde, bir güvenlik firması WordPress’in core’unda 7 (yazı ile yedi) tane güvenlik açığı bulduğunu ve bunların düzeltilmesi gerektiğini iddia etmişti. Her biri çok saat süren, n tane toplantıyla kod üzerinden satır satır giderek bunun mümkün olmadığını anlatmaya çalıştığımızı düşünün. Basit bir mantık süzgecinden geçirdiğimizde; İnternet web sitelerinin %40’ını oluşturan bir yazılımda 7 tane güvenlik açığı bulanların; bununla dünya çapında bir üne kavuşmasını beklersiniz. Elbette öyle olmadı.
Örnekleri çoğaltmak mümkün. Eminim bu yazıyı okuyan sizler de benzer sayısız olayla karşılaşmışsınızdır. Tüm bunların nedeni aynı: Aslında derin uzmanlık gerektiren bir konuyu yüzeysel olarak ele almak. Sadece yardımcı olması gereken araçları, yardımcı rolünden çıkararak asıl işi yapan konumuna getirmek.
Şimdi de bunun yeni dalgası ile uğraşıyoruz: Yapay zeka (AI). Eline bir üretken yapay zeka aracı geçiren güvenlik “uzmanı”, aracın bulduğu (aslında “ürettiği”) güvenlik açığını sorgulamadan raporluyor. Aracın ona yardımcı olması gerekirken, o “AI ne diyorsa doğrudur” diyerek altına imzasını atıyor.
Neden? Çünkü yetkin olmak çok emek istiyor. Bu araçlar bize emek vermeden yetkinmiş gibi davranmamıza olanak tanıyor.
Yazılım kalitesini arttırmayı hedefleyen bu süreç, yazılımın gelişimini de çoğu zaman baltalıyor. Özellikle güvenlik açığı bulana ödül veren (bug bounty) yazılımlara bildirilen güvenlik açıklarında bir patlama yaşanıyor. Yazılımı bir adım ileriye götürmek için çalışabilecek deneyimli insanlar, sayısız güvenlik açığı “iddia”larını ayıklamakla uğraşıyorlar. Üstelik de bu kadar fazla “yalan” güvenlik açığı iletilince, aradan gerçek güvenlik açıklarının kaynaması riskinin artması da cabası.
Kurumlar AI ile ezbere raporlanan bir sürü yeni güvenlik bulgusu ile karşılaşıyor. Bunları gidermek için bazen anlamsız ve yer yer zararlı çalışmalara yenilerini ekliyor.
Elbette bu yaşananlar yapay zekanın suçu değil. Çok eski bir sorunun, kurumsal yazılım güvenliği tiyatrosunun aynı aktörlerle yeni bir perdesi sadece.
Fıkra gibi değil miyiz?
“Kolaya kaçmak isteyen yetkin olmayan güvenlik uzmanı”, “hizmet alırken ucuza kaçan, AI gibi seksi sözcüklere kapılan, herhangi bir sorunda günah keçisi peşinde koşan kurum yetkilisi”, “kurumu için riske girmek istemeyen çalışan”, “doğrusunu yapmaya çalışan ama yetkisi olmayan kişi” bir toplantıya girmişler…