“Bu sistem güvenli.”
Finansal dünyada en sık duyulan cümlelerden biri budur.
Ama çoğu zaman şu soru sorulmaz:
Kime göre güvenli?
Çünkü güvenlik, tek bir gözden bakıldığında net; farklı gözlerden bakıldığında ise tartışmalıdır.
Sisteme Göre Güvenlik
Bir sistem için güvenlik;
– doğru kimlik doğrulama, – sağlam altyapı, – kesintisiz çalışma, – kayıt altına alınmış işlemler
anlamına gelir.
Bu kriterler sağlandığında sistem “güvenli” sayılır.
Teknik olarak haksız değildir.
Ama eksiktir.
Kuruma Göre Güvenlik
Kurumlar için güvenlik;
– mevzuata uyum, – denetlenebilirlik, – sorumluluğun sınırlandırılması
üzerinden tanımlanır.
Bir işlem:
– kurallara uygunsa, – yetkili kullanıcı tarafından yapıldıysa, – sistem kayıtlarında doğru görünüyorsa
kurum açısından sorun yoktur.
Ancak bu tanım, kullanıcının gerçekten korunup korunmadığını ölçmez.
Kullanıcıya Göre Güvenlik
Kullanıcı için güvenlik bambaşka bir şeydir.
– yanlış yönlendirilmemek, – aceleye zorlanmamak, – farkında olmadan risk almamak.
Kullanıcı açısından sistem;
– teknik olarak kusursuz, – ama davranışsal olarak savunmasız olabilir.
İşte çoğu finansal kayıp bu noktada ortaya çıkar.
Aynı Sistem, Farklı Güven Düzeyleri
Bir sistem:
– geliştiriciye göre güvenlidir, – kuruma göre güvenlidir, – denetçiye göre güvenlidir.
Ama kullanıcı için riskli olabilir.
Bu bir çelişki değildir.
Güvenliğin bağlama göre değiştiğinin göstergesidir.
Teknik Güvenlik Davranışsal Güveni Kapsamaz
Teknik önlemler şunları iyi yapar:
– yetkisiz erişimi engeller, – veri sızıntısını azaltır, – sistem hatalarını sınırlar.
Ama şunları sınırlı ölçer:
– kullanıcının neden şimdi işlem yaptığı, – dış baskı altında olup olmadığı, – korku veya aceleyle karar verip vermediği.
Bu alanlar korunmadığında, “güvenli sistem” ifadesi eksik kalır.
Yetkili Olmak, Güvende Olmak Değildir
Birçok sistem şu varsayımla çalışır:
“Yetkili kullanıcı doğru karar verir.”
Oysa modern dolandırıcılıkların çoğu:
– yetkisiz girişle değil, – yetkili ama yönlendirilmiş kararlarla
gerçekleşir.
Sistem açısından işlem meşrudur.
Kullanıcı açısından sonuç yıkıcı olabilir.
Güvenlik Kimin Riskini Önceliklendirir?
Bu soru kritiktir.
Bir sistem tasarlanırken genellikle:
– kurumun riski, – hukuki sorumluluk, – operasyonel süreklilik
önceliklendirilir.
Kullanıcının davranışsal riski ise:
çoğu zaman varsayım olarak bırakılır.
Bu da “güvenli” sistemlerin içinde sessiz açıklar yaratır.
Güvenin Sessizce Kaybolduğu An
Kullanıcı şu cümleyi kurduğunda:
“Sistem izin verdiğine göre sorun yoktur.”
Güven artık kullanıcıdan çıkmıştır.
Sisteme devredilmiştir.
Bu devrin olduğu yerde, güvenlik zayıflamaya başlar.
En Büyük Yanılgı
“Güvenli sistem herkesi korur.”
Güvenli sistem, tasarlandığı bakış açısını korur.
Herkesi koruması için, kimin için güvenli olduğunun açıkça tanımlanması gerekir.
Güvenli bir sistem;
– geliştiriciye göre güvenli olabilir, – kuruma göre güvenli olabilir, – mevzuata göre güvenli olabilir.
Ama bu, kullanıcının her koşulda güvende olduğu anlamına gelmez.
Gerçek finansal güvenlik;
“sistem çalışıyor mu?” sorusuyla değil, “bu sistem kimin adına ve hangi koşulda güvenli?” sorusuyla başlar.
Sessiz güç, net etki tam da burada ortaya çıkar:
güvenliği ilan etmekte değil, güvenliğin kime göre tanımlandığını açıkça görebilmekte.
