Finansal sistemlerde koruma önlemleri hiç olmadığı kadar güçlü. Çok adımlı doğrulamalar, limitler, anlık bildirimler, uyarılar…
Buna rağmen zararlar azalmak yerine artıyor.
Bu bir çelişki gibi görünse de aslında değil. Çünkü sorun, koruma önlemlerinin yokluğu değil; korumanın yanlış yere odaklanması.
Koruma “Kim”i Doğruluyor, Zarar “Neden”den Geliyor
Mevcut önlemlerin büyük kısmı tek bir soruya cevap verir:
“Bu işlemi yapan kişi gerçekten hesap sahibi mi?”
Şifre doğruysa, cihaz tanıdıksa, biyometri geçtiyse sistem rahatlar.
Oysa güncel zararların önemli bir bölümü şu koşullarda oluşur:
– işlemi yapan kişi gerçekten kullanıcıdır, – onay gerçekten verilmiştir, – teknik olarak her şey düzgündür.
Eksik olan şudur:
Bu işlemin arkasındaki niyet gerçekten kullanıcıya mı aittir?
Koruma kimliği doğrular. Ama niyeti doğrulamaz.
Yetkili Görünen İşlemler En Sessiz Zarar Alanıdır
Dolandırıcılık uzun süre “yetkisiz erişim” üzerinden okundu.
Bugün tablo değişti.
Zararların büyük kısmı, kullanıcının kendi eliyle yaptığı, ama yönlendirildiği işlemlerden doğuyor.
Sistem açısından bu işlemler:
– normal, – beklenen, – kurallara uygun
görünür.
Bu yüzden alarmlar çalmaz.
Zarar, sessizce gerçekleşir.
Koruma Mekanizmaları Biçimi Okur, Davranışı Kaçırır
Birçok güvenlik önlemi biçime odaklanır:
– hangi cihaz, – hangi konum, – hangi saat, – hangi tutar.
Oysa modern tehditler biçimi taklit eder.
Davranış ise gözden kaçar:
– kullanıcının acele ettirilmesi, – korku veya panik yaratılması, – “hemen şimdi” baskısı, – normal akışın yapay hızlandırılması.
Koruma biçimi geçer. Davranış kalır.
Alışkanlıklar Korumanın Etkisini Aşındırır
Kullanıcılar aynı işlemleri tekrar ettikçe, koruma adımlarını da alışkanlıkla geçer.
Uyarılar okunmaz. Metinler atlanır. Onaylar refleks hâline gelir.
Bu noktada güvenlik hâlâ vardır. Ama zihinsel olarak devre dışıdır.
Koruma mekanizması çalışır. Ama kullanıcı onu yaşamaz.
Sürtünme Korkusu Savunmayı Zayıflatır
Birçok kurum, güvenliği artırmanın kullanıcıyı kaçıracağından çekinir.
Bu nedenle önlemler “minimum rahatsızlık” prensibiyle tasarlanır.
Dolandırıcılar tam olarak bunu kullanır:
– hızlı, – tanıdık, – sürtünmesiz
senaryolar üretir.
Koruma yumuşadıkça, ikna sertleşir.
Uyarı Körlüğü Gerçek Riski Görünmez Kılar
Sürekli uyarı alan kullanıcı, bir süre sonra uyarıyı ayırt edemez.
Gerçekten kritik bir uyarı bile, öncekilerin arasına karışır.
Bu durumda koruma vardır. Ama etkisi yoktur.
Çünkü kullanıcı, uyarının anlamını değil, sıklığını hatırlar.
Bilgi Var, Davranış Yok
Çoğu kullanıcı riskleri bilir.
“Linke tıklama.” “Kimseyle paylaşma.” “Banka aramaz.”
Ancak gerçek zarar anında, bilgi davranışa dönüşmez.
Çünkü:
– zaman baskısı vardır, – duygusal tetikleme vardır, – tanıdıklık hissi vardır.
Koruma bilgiyi varsayar. Ama davranışı yönetmez.
Asıl Boşluk: Niyet Doğrulaması
Bugünün en büyük açığı burada.
Sistemler şu soruya güçlü cevap veremez:
“Bu işlem, kullanıcı tarafından mı istendi; yoksa kullanıcı bu noktaya yönlendirildi mi?”
Kimlik doğrulama bu soruyu sormaz. Limitler bu soruyu sormaz.
Bu soru sorulmadığında, koruma önlemleri sadece çerçeve çizer.
Zarar, çerçevenin içinde oluşur.
En Büyük Yanılgı
“Bu kadar önlem varken zarar olmaz.”
Önlem çok olabilir. Ama odak yanlışsa, sonuç değişmez.
Koruma, işlemi güvenli yapabilir. Ama karar güvenli değilse, zarar kaçınılmazdır.
Koruma önlemleri varken hâlâ zarar görülüyor çünkü:
– koruma kimliği doğruluyor, niyeti değil, – sistemler işlemi görüyor, kararı görmüyor, – alışkanlıklar güvenliği etkisizleştiriyor, – davranışsal riskler hesaba katılmıyor.
Yeni dönemde güçlü güvenlik, daha fazla adım eklemekten değil;
doğru anda, doğru soruyu sorabilen sistemler kurmaktan geçiyor.
Sessiz güç, net etki tam da burada başlar: işlemi korumakta değil, kararı koruyabilmekte.
