Etiket arşivi: yazar

Kritik Altyapı Güvenliği, Makale & Analiz

Kritik altyapı güvenliğinde zayıf halka: Su tesisleri

Yorum yapın

Covid-19 pandemi süresince, okullar ve hastaneler başta olmak üzere birçok kamu ve özel kuruluşlarına yapılan yüzlerce siber saldırı, devletlerin kritik altyapıları koruma yetenekleri konusundaki endişeleri artırdı. Clements ve Vectra CEO’su Hitesh Sheth, elektrik ve su sistemleri de dâhil olmak üzere birçok kamu hizmetinin yıllardır siber saldırılarının başlıca hedefi olduğunu belirtti. Covid-19 pandemisi boyunca dikkat çeken kritik altyapı saldırılarından biri de su arıtma tesislerine yönelik siber saldırıları olmakta.  

İsrailli şirket yarışma açtı, 16 ülkeden 3500 hacker saldırdı

Bugüne kadar bir bilgisayar korsanının halkın içme suyunu zehirleyerek kitlesel hastalığa ve hatta ölüme neden olduğu gerçek bir felaket yaşanmadı. Ancak son yıllarda bir dizi su arıtma tesisi siber saldırganların hedefindeydi. Diğer kritik altyapılara oranla daha az dikkat çekmesine rağmen su arıtma tesislerine yönelik saldırılarda yaşanan artış su güvenliğinin ön plana çıkardı. Su tesislerine yapılan saldırıların son zamanlarda daha mı yaygın yoksa daha mı görünür olduğu bilinmiyor, fakat su arıtma tesislerinin güvenliğine ilişkin kapsamlı bir kamusal veya özel sektör çalışması olmadığı açık. 

Özellikle son yıllarda ABD’nin su tesislerinin sıkça hedef alınması kritik altyapıların güvenliği konusunda endişelere neden oldu. ABD su ve atık su sistemlerine yönelik artan siber saldırılarla birlikte kritik altyapıların savunmasızlığı konusu ülkede ve dünya gündeminde öne plana çıkarken suya, özellikle temiz ve içilebilir suya, erişimin uğruna savaşmaya değer bir şey olduğu fikri bir kez daha gündeme geldi.  

Gelin sıkça gündeme gelen ABD su arıtma tesisi saldırılarına biraz daha yakından bakalım.   

 ABD KRİTİK ALTYAPILARINA YÖNELİK SİBER SALDIRILAR  

2018’de ABD İç Güvenlik Bakanlığı (DHS) ve FBI, Rus hükümetinin özellikle su sektörünü ve diğer kritik altyapıyı hedef aldığı konusunda uyarmıştı. Aynı yıl ABD hükümeti, ülkenin kritik altyapısını siber ve fiziksel tehditlere karşı daha dayanıklı hale getirmek için Siber Güvenlik ve Altyapı Güvenliği Ajansı’nı (CISA) kurdu. Federal kurumlardan oluşan bir koalisyon ortak bir siber güvenlik raporuyla, ABD Su ve Atık Su Sistemleri (WWS) tesislerini bilinen ve bilinmeyen tehdit aktörleri tarafından “devam eden kötü niyetli siber faaliyetler” konusunda uyardı. Ortak siber güvenlik raporuna göre bu saldırılar, hükümetin içilebilir, temiz ve taşınabilir içme suyu sağlama ve atık suları yönetme yeteneğini tehdit ediyor. 

Su kaynaklarına yönelik artan siber saldırılar karşısında CISA, FBI, Ulusal Güvenlik Ajansı (NSA) ve Çevre Koruma Ajansı (EPA) tarafından yayınlanan uyarı raporu, bilgisayar korsanlarının “yetkisiz erişim yoluyla sistem bütünlüğünü tehlikeye atmaya” çalıştığını belirtti. 

Covid-19 pandemisi süresince uzaktan erişim araçlarının yaygınlaşmasıyla geride bıraktığımız yıl içerisinde su arıtma tesislerine yönelik bir dizi saldırı gerçekleşti. Bu süreçte ABD su tesislerine yönelik ilk saldırı Ocak 2020 ayında gerçekleşti. 15 Ocak’ta bir bilgisayar korsanı, San Francisco Körfez Bölgesi’nin bazı kısımlarına hizmet veren bir su arıtma tesisini zehirlemeye çalıştı. ABD su altyapısına yönelik artan sayıda siber saldırıdan sadece biri olan bu saldırıdan sonra başka saldırılarda gerçekleşti.  

İranlı hackerlar İsrail su şebekesine siber saldırı düzenledi

Körfez Bölgesi saldırısından birkaç hafta sonra Florida, Oldsmar’da benzer bir saldırı yaşandı. Tüm dünyada manşetlere taşınan bu olayda, bir bilgisayar korsanı benzer bir şekilde bir kullanıcıların bilgisayarlarını uzaktan kontrol etmelerini sağlayan popüler bir program olan TeamViewer hesabına erişim sağladı ve içme suyundaki küllü su seviyesini zehirli seviyelere çıkardı. Çalışanlardan birinin, bilgisayarın faresini hızla kendi kendine hareket ettiğini görmesi ile saldırı fark edilirken, bilgisayar korsanının neden olduğu değişiklikler hızla geri alındı. 

2021’nin başında oldukça ses getiren Oldsmar saldırısı su arıtma tesislerine yönelik ne ilk ne de tek saldırı. Daha önce Oldsmar’dan çok da farklı olmayan bir saldırı Kansas’ta yaşanmıştı. 2019 yılında Kansas’ta içme suyu güvenliğini tehdit eden bir siber güvenlik ihlali yaşandı. Tesisin eski bir çalışanının, kullanıcı kimlik bilgilerini kullanarak bilgisayara uzaktan eriştiği ve içme suyu güvenliğini tehdit ettiği belirtildi. Benzer olaylar diğer eyaletlerde de meydana geldi. Kaliforniya, Maine, Nevada ve New Jersey’de bunlardan sadece bazıları. 

CISA‘nın siber güvenlikten sorumlu genel müdür yardımcısı Eric Goldstein, fidye yazılımı (Ransomware) saldırılarını ve devam eden siber tehditleri işaret ederek yaşanan gelişmeleri, “… tüm kritik altyapı sahiplerinin ve operatörlerinin siber güvenliği neden birinci öncelik haline getirmeleri gerekliliğini…” gösteren gelişmeler olarak nitelendirdi.   

FBI tarafından yayınlanan siber güvenlik raporunda, Mart 2019 ile Ağustos 2021 arasında beş eyaletteki su sistemlerinin fidye yazılımı saldırıları veya diğer yöntemlerle siber saldırganlar tarafından hedef alındığı vurguladı. Bir diğer rapor CISA yetkilileri tarafından geçtiğimiz Ekim ayında yayınlandı. Raporda, bilgisayar korsanlarının son sekiz ay içinde ABD’deki üç su arıtma tesisini yönelik fidye yazılımı saldırısı gerçekleştirdiği, belgelenen en son fidye yazılımı saldırısının ise Ağustos 2021’de Kaliforniya merkezli bir su arıtma tesisini hedef aldığı belirtildi.  

Tüm bu saldırılar arasında ülke içerisinde ve dünya gündemindeki kritik yankılarıyla öne çıkan Oldsmar saldırısını kısaca hatırlamakta fayda var. Kritik altyapıların siber güvenliğinin önemini gösteren gelişmelerden biri olan Oldsmar saldırıları bu bağlamda ayrı bir değer taşımakta.  

OLDSMAR SALDIRISI

 Yerel yetkililere göre, 5 Şubat 2021’de kimliği belirsiz bir bilgisayar korsanı Florida’nın Oldsmar kasabasındaki bir su arıtma tesisinin bilgisayar sistemine girdi ve tesisin sodyum hidroksit ayarını geçici olarak tehlikeli olabilecek bir seviyeyle değiştirdi. Bilinmeyen davetsiz misafir, tesis içindeki ekipmanı kontrol eden bir bilgisayara uzaktan erişim sağladıktan sonra sodyum hidroksit miktarını (daha çok lye olarak bilinen kostik bir kimyasal) 100 kat artırdı. Lye suda çözünebilen ve genellikle toksik metal seviyelerini azaltmak amacıyla içme suyunu arıtmak için kullanılan bir madde. Bununla birlikte, büyük miktarlarda kimyasal yanıklara neden olabilir, bu yüzden oldukça tehlikelidir. 

 Girişim, ayarlardaki değişikliği tersine çevirebilen bir operatör tarafından kimyasal tehlikeli seviyeye ulaşmadan önce engellendi. Saldırı su tesisi çalışanının, fare imlecinin kontrolü dışında bilgisayar ekranında hareket ettiğini fark etmesiyle ortaya çıktı. 

 Yaklaşık 15 bin vatandaşa ve işletmeye su tedarik ettiğini bilinen Oldsmar saldırısı erkenden kontrol altına alınmasaydı yaşanan olay su kullanacak binlerce insanın sağlık problemlerine, ciddi hastalıklara veya ölümlere neden olabilirdi. Kaliforniya merkezli bir siber istihbarat sağlayıcısı olan Dtex Systems’ın kıdemli uzmanı Lynsey Wolf’a göre, tesis operatörü sistemi izlemeseydi saldırı canlı hayatını tehdit eden herhangi bir hasar vermeden durdurulamayabilirdi. 

 Değişiklik hızlı bir şekilde tespit edilip tersine çevrildiği için bölge sakinleri sorun yaşamadı. Yetkililerin açıklamalarına göre, değişiklik geri çevrilmemiş olsa bile, arıtma tesisinin evlere ve işyerlerine su temin etmeden önce tehlikeli durumu tespit etmek için tekrar kontrol etme mekanizması vardı. Zehirli suyun şehrin nüfusuna ulaşması 24 ile 36 saat arasında süreceği için otomatik PH testi önlemlerinin olası durumda alarmı çalıştıracağı ve kimse zarar görmeden değişimin yine de yakalayacağı söylendi. 

 GÜVENLİK AÇIKLARI

 Massachusetts yetkililerinin aktardığı bilgiye göre, Oldsmar çalışanları, SCADA olarak bilinen tesis kontrollerine uzaktan erişmek için işletim sistemi Windows 7 olan bilgisayarlar kullandılar ve TeamViewer aracılığıyla sisteme erişim sağladılar. Dahası tesisteki tüm kullanıcılara uzaktan erişim için aynı parolanın paylaşıldığı ve bilgisayarların herhangi bir güvenlik duvarı olmaksızın doğrudan Internet’e bağlanmış olduğunu bildirildi. The Wall Street Journal’a göre, fabrikanın TeamViewer’ı kullanmayı altı ay önce bırakmasına rağmen yine de sistemde kurulu halde bırakmıştı. The Verge tarafından yayınlanan habere göre ise Florida su arıtma tesisi, bilgisayarlara ve su arıtma sistemlerine tam erişim sağlayabilecek yazılımlar için bireysel şifreler verme zahmetine girmemişti.  

Yani bilgisayarlar internete herhangi bir güvenlik duvarı olmaksızın bağlıydı ve sistemleri kontrol eden tüm bilgisayarlara uzaktan erişim için aynı şifre verilmişti. 

Oldsmar saldırısı sonrası FBI tarafından yayımlanan bildiride, zayıf güvenlik önlemlerinin varlığına dikkat çekilirken, bilgisayarlarda güvenlik duvarının olmamasının siber saldırılar karşısında kurumu zayıf kıldığı vurgulandı. Ayrıca FBI, şirketlere ve hükümetlere yönelik ilettiği bildiride, bilgisayar korsanının Florida su arıtma tesisine girmek için yararlandığı güvenlik zafiyetlerinin “zayıf şifre güvenliğ” ve “eski Windows 7” kullanımı olduğunu belirtti. FBI, güncel olmayan Windows 7 sistemleri, zayıf parolalar ve TeamViewer’ın kullanımı konusunda kullanıcıları uyarırken özel şirketleri ve kamu kuruluşlarını iç ağları gözden geçirmeye ve güvenlik öncelikli politikalar belirlemeye çağırıyor. 

Benzer bir şekilde CISA, yaptığı uyarıyla Windows 7‘nin devam eden kullanımının siber aktörlerin bilgisayar sistemlerine erişim riskini artırdığını belirtti. Hatırlanacağı üzere Microsoft, Windows 7′yi 2009 yılında piyasaya sürdü. Ardından çıkan Windows 8 (2012) kullanıcı dostu olmadığı için 2015’te Windows 10 çoğu bilgisayar için tercih edilen işletim sistemi olarak çıkardı. Son olarak Microsoft, Windows 7 desteğini 14 Ocak 2020’de sona erdirdi.  

Gelişmeler açıkça gösteriyor ki gerekli önlemler alınmadığı takdirde kritik altyapı sistemleri saldırılar karşısında daha savunmasız ve daha kolay erişilebilir duruma gelebilir.   

KRİTİK ALTYAPILARA YÖNELİK SİBER SALDIRILAR ARTIYOR

 Kritik altyapı sistemleri hem uzaktan erişim teknolojileri üzerinden hem de bu teknolojiler aracılığıyla saldırılara karşı savunmasız durumda. 

 Birçok siber güvenlik uzmanı, Covid-19 pandemi sürecinin bir sonucu olarak TeamViewer gibi uzaktan erişim araçlarının kullanılmasına hızla geçişin dijitalleştirmenin artmasına neden olduğunu belirtti. Ancak daha önce bahsettiğimiz siber saldırılarda da görüldüğü üzere dijitalleşmenin olumlu yanları olduğu kadar olumsuz yanları da olabilmekte. Maryland merkezli bir güvenlik bilgi sağlayıcısı olan Point3 Security’nin strateji başkan yardımcısı Chloé Messdaghi, yetersiz güvenlik önlemlerinin yanı sıra tesisin Covid-19 nedeniyle uzaktan çalışmaya devam etmesinin sistemin saldırılar karşısında daha da savunmasız kıldığını sözleri bunu destekler nitelikte. 

 Cato Networks güvenlik şirketi kıdemli direktörü Etay Maor, uzaktan erişim ve yönetim sistemlerine duyulan ihtiyaç ve artan bağımlılığın bilgisayar korsanlarının sistemlere zarar vermesini kolaylaştırdığını belirtti. Siber saldırganlar için bu tür uzaktan araçlar kullanılarak çeşitli kamu hizmeti kuruluşlarına erişimin basit olduğunu belirten Maor, saldırganların kritik altyapı sistemlerinin kontrol etmekten bir tık uzakta olduğunun altını çizdi.   

 Diğer yandan güncellenmiş teknoloji beraberinde siber güvenlik uzman ihtiyacını getirdiği için kritik altyapı güvenliği sorunlarına yol açabiliyor. Yetkililer sektöre giren yeni teknolojik araçlarla birlikte güvenlik endüstrisinin bu tür bilgisayar korsanlık faaliyetlerini tespit edecek uzmanlığa sahip olmakta zorlandığını belirtiyor.  

 Kritik altyapıların güvenli hale gelmesi için sistemlerin uygun şekilde güvenli hale getirilmesi, kimlik doğrulama için yalnızca bir kullanıcı adı ve paroladan fazlasını kullanması, sistemin tehditler ve güvenlik ihlali girişimlerine karşı sürekli olarak izlenmesi gerekir. 

 KRİTİK ALTYAPILARDA ÖNLEMLERİN ÖNEMLİ

Endüstriyel kontrol sistemi güvenlik firması Dragos‘un baş tehdit analisti Lesley Carhart, Oldsmar’ın su sistemlerine yönelik siber saldırıların benzersiz olmadığını belirtirken kritik altyapılara yönelik siber saldırıların ciddi sonuçlarına dikkat çekti. Carhart, günümüz teknolojilerinin kamu-özel sektör fark etmeksizin kritik altyapı sistemlerinin gerekli güvenlik önlemleri almasını zorunlu kıldığını sözlerine ekledi. 

 Siber güvenlik şirketi Claroty’nin baş ürün sorumlusu Grant Geyer, ABD’de yaşanan saldırıların dünyayı bekleyen bir dizi saldırılardan sadece bazıları olduğunu belirtti. Geyer, olası güvenlik sorunları karşısında kritik altyapı sistemlerinin eskiyen altyapılarının değiştirilmesi, güvenlik önlemlerinin geliştirilmesi ve çalışan siber uzmanların sayılarıyla birlikte yetkinliklerinin artırılmasının önemine işaret etti. Benzer bir şekilde Adam Bixer, siber güvenlik şirketi BlueVoyant’ın üst düzey çalışanı, siber saldırıların sürekli gelişen doğasını yakalamak için su arıtma tesislerinin sürekli olarak ekipmanlarını yenilemesini, yazılımlarını ve teknolojilerini güncellemelerini, dahası BT (Bilgi Teknolojileri) çalışanlarının beceri düzeylerini artırmak için daha sıkı çalışmaları gerektiğini belirtti. 

Kritik altyapı sistemlerinin siber güvenliğinin sağlanmasın karşılaşılan benzersiz zorluklara rağmen son derece gerekli ve önemlidir. Her geçen gün daha fazla bilgisayar korsanı, küresel olarak BT ve operasyonel teknolojilerinin (OT) bileşenindeki yeni boşluklardan yararlanmaya çalışırken, güvenlik uzmanlarının kritik altyapı esnekliği ve performansını sağlamak için ağlarını koruması gerekir. 

Güvenlik uzmanları uzun süredir maksimum güvenlik için sadece BT ve OT ağlarını ayırmayı değil, aynı zamanda operasyonel teknoloji sistemlerinin internetle olan tüm bağlantıları sınırlandırmayı veya ideal olarak ortadan kaldırmayı tavsiye ediyor. Çünkü, yetkililerin de belirttiği üzere, tesislere yönelik saldırılar OT sistemlerinin dışarıdan erişilebilir olduğunu ve tüm kanıtların saldırganın sistemlere internetten erişim sağladığını gösteriyor. Bunu destekler bir açıklama Florida, Pinellas County şerifi Bob Gualtieri’den geldi. Gualtieri, saldırıları kritik altyapı bileşenlerinin neden birbirine bağlanmaması gerektiğini hatırlatan gelişmeler olarak yorumlarken bu durumun sistemleri savunmasız kıldığını dile getirdi.  

 KRİTİK SU ALTYAPISININ KORUNMASI  

Ülkenin tüm kritik altyapıları arasında su, bilgisayar korsanlarına karşı en savunmasız olanı olabilir. Dahası halka açık su sistemlerinin doğası gereği çevreye, ekonomiye ve vatandaşa zarar verme potansiyeline sahip olması kritik altyapıları saldırganlar için çekici kıldığı bir gerçek. 

 Federal kurumların yayınladığı ortak siber güvenlik raporuna göre, su tesislerinin karşılaştığı yaygın siber tehditler OT ağlarını, sistemlerini ve cihazlarının hedeflediğini saldırılar olmakta. Ayrıca rapor tehdit aktörlerinin, su tesislerini tehlikeye atmak için desteklenmeyen, savunmasız veya eski işletim sistemlerini ve yazılımları hedef aldığı belirtti. Dahası tehdit aktörleri, su kaynağında, arıtma tesisindeki, depolama tesisindeki veya dağıtım merkezindeki suya saldırabilir. Güvenli suya bağlı olan sağlık, enerji, tarım ve acil durum hizmetlerini içeren kritik altyapılar saldırılar nedeniyle hizmet aksaklıkları yaşayabilir.  

 Bununla birlikte su hizmetleri güvenlik ekipleri ve kamu-özel sektör kuruluşları, kritik altyapıların siber güvenliğini iyileştirmek için etkili önlemler belirlemeli ve uygulamalıdır. Güvenlik ekipleri, sektördeki tehditleri hızla tespit etmek ve bunlara yanıt vermek için proaktif bir stratejiye ihtiyaç duyabilir. Kapsamlı bir güvenlik çalışması için stratejinin hem OT’yi hem de BT’yi kapsaması gerekir.  

 ARTAN RİSKİ YÖNETMEK 

Kritik altyapının güvenliğinin sağlanması, halkın sağlığı ve güvenliği için esastır. Kamu hizmeti güvenlik ekiplerinin doğru siber güvenlik çözümleri ile tehdidi tespit etmek ve hızlı yanıt verebilmek için ortalama süreyi verimli bir şekilde azaltarak saldırıyı hızlı bir şekilde analiz edebilmelidir. Güvenlik ekipleri, tüm ağı izlemek ve tehlikeli içme suyunun halka ulaşmasını önlemek için gerekli önlemleri almalıdır. Buradaki amaç, siber saldırıların neden olduğu zararı sınırlamayı hedefleyen “önce güvenlik” yaklaşımını benimseyerek kritik su altyapısını etkin bir şekilde korumaktır. 

 Elbette ki güvenlik önlemleri sürecinde bazı zorluklarla karşılaşabilir. Bunlardan biri bütçe sıkıntısıdır. 

 CISA eski müdürü Christopher Krebs, Florida’daki su arıtma tesisini zayıf güvenlik uygulamaları nedeniyle eleştirilmesinin yanı sıra ABD’deki birçok kamu hizmeti kuruluşunun yetersiz fondan muzdarip olduğunun unutulmaması gerekliliğine dikkat çekti. Yaşanan saldırıların tek sorumlularının Oldsmar yetkilileri olmadığını belirten Krebs, bu gibi kurumların sağlam güvenlik programlarına sahip olmak için yeterli kaynağa sahip olmadığını ve kritik altyapıların güvenliği için verilen fonların artırılması gerektiğini dile getirdi.   

 Benzer bir açıklama da Nozomi Networks’ün kurucu ortağı Andrea Carcano’dan geldi. Carcano, endüstriyel kontrol sistemi kurulumunun, özellikle de daha küçük bütçeli olanlarının, güvenliğinin genellikle göz ardı edildiğini belirtirken, bu durumun siber saldırı riskleri arttırdığını dile getirdi.  

 Carhart ise su arıtma ve kanalizasyon tesislerinin, Covid-19 pandemisinin dayattığı bütçe kesintileri ve uzaktan çalışma zorunlulukları nedeniyle ABD’deki dijital olarak en savunmasız kritik altyapı hedeflerinden bazıları olduğunu söyledi. 

 Elektrik şebekesinin aksine, ABD’deki 50.000’den fazla içme suyu tesisinin çoğu kâr amacı gütmeyen küçük kuruluşlardır. Endüstriyel siber güvenlik sistemleri danışmanı Bryson Bort, özellikle kırsal bölgelerin suyunu, genellikle siber güvenlik uzmanları olmayan yalnızca bir avuç çalışan tarafından işletilen küçük tesislerden aldığını belirtti. 

 SU ARTIMA TESİSLERİNİN GÜVENLİĞİ: ABD  

ABD istihbaratı ve kolluk kuvvetleri yetkilileri, farklı eyaletlerde yaşanan olaylara dayanarak yayınladığı bültende fidye yazılımı saldırganlarının su ve atık su tesislerini hedef almaya devam ettiği konusunda uyardı. 

 2019’da Amerika Birleşik Devletleri’nin siber tehditlere karşı savunma için stratejik bir yaklaşım geliştirmek üzere kurulmuş olan Siber Uzay Solaryum Komisyonu, elektrik şebekesi ve finansal sistem ile su ve atık su tesislerinin siber saldırılar karşısında ülkenin kritik altyapı sisteminin en savunmasız bileşenlerinden birini oluşturduğunu söyledi. 

 Siber güvenlik uzmanları, ABD su tedarik ağının parçalı yapısının, ülke genelinde 70.000’e yakın bireysel su ve atık su kuruluşu var, siber saldırılar karşısında savunmasızlığa katkıda bulunduğunu belirtiyor. Su tesislerinin, petrol ve gaz boru hattı şebekesi ya da elektrik şebekesini oluşturan şirketlerle karşılaştırıldığında çoğunlukla daha küçük olmasının bunu destekleyen bir diğer etken olduğu öne sürülüyor. Dahası yetkililer, ABD’deki su arıtma tesislerinin çoğunlukla eski BT ekipmanlarına sahip olduğunu ve siber savunmalarını güncellemek için yeterli bütçelerinin olmadığının tekrar altını çizdi. Ayrıca ülke çapında su arıtma tesislerine yönelik siber güvenlik denetiminin hiçbir zaman yapılmadığı da verilen bilgiler arasında.   

 Saldırılarla birlikte su tesislerine yönelik araştırmalar da artarken çıkan sonuçlar durumun ciddiyetini ortaya koyuyor. 

 CISA’nın konuya ilişkin yakın zamanlı araştırması birçok olumsuz sonuçlar buldu. Her 10 su ve atık su tesisinden 1’inin yakın zamanda kritik bir siber güvenlik açığı tespit edildi. En şok edici olansa, incelenen tesislerin sahip olduğu büyük güvenlik açıklarının %80’inden fazlası, 2017’den önce keşfedilen yazılım kusurları olduğu gerçeği. Bu durum çalışanların yaygın bir şekilde yazılım güncellemesi yapmadığını ve güvenliğe gereken önemin verilmediğini açıkça gösteriyor.  

 Bir diğer araştırma siber güvenlik firması ThreatLocker tarafından yapıldı. Yayınlanan güncel raporda, ülke genelinde su hizmetleri için bilgi teknolojisi ve operasyonel teknolojilere ciddi derecede sınırlı finansal kaynaklar ayrıldığı açıklandı. Örneğin, Bilgi Sistemleri Denetim ve Kontrol Derneği’nin (ISACA) “Siber Güvenlik 2021 Endüstrinin Durumu”na göre, ülke çapındaki sistemlerin en az %38′i, genel bütçelerinin %1’inden azı BT siber güvenliğine ayrılmış durumda. 

 ACİL BİR HATIRLAMA

 Yaşanan gelişmeler ABD kritik altyapısı ve kritik altyapılara yönelik siber saldırılar konusunda acı bir hatırlatma olarak yorumlanabilir. ThycoticCentrify kamu sektörü Başkan Yardımcısı Bill O’Neill, “Oldsmar su tesisi olayı ve yeni ortaya çıkarılan su kaynağı saldırıları, kuruluşlara bir siber saldırı gerçekleşmeden önce önlem alınması konusunda acil bir hatırlatma görevi görmelidir” diyor.  

 Kritik altyapılara yönelik olası siber saldırıların ciddi sonuçlar doğurabileceği bilinen bir gerçek. Saldırılar sonucunda kullanım suyunun kirlenmesi, gaz hattının sızıntı yapması veya bir elektrik merkezinin patlamasının yarattığı etkiler oldukça korkutucu olabilir. Bu bağlamda yaşanan gelişmeler, ülkenin kritik altyapısındaki güvenlik ihlallerinin hayati tehlike arz edebileceğinin açık bir hatırlatıcısı.  

 Oldsmar saldırısı ve benzeri saldırılar, dünya genelinde meydana gelen olası saldırılara ilişkin endişeleri artırdı. Bu bağlamda Oldsmar saldırısı, kritik altyapıların güvenliği konusunun önemini gösteren bir gelişme olmasının yanı sıra diğer devletler için ciddi bir uyarıdır. Dahası yaşananlar su arıtma tesislerine yönelik saldırıların bir ulusal güvenlik meselesi olarak ele alınması gerekliliğini tüm dünyaya açıkça gösteriyor. Elbette ki kritik altyapıların siber güvenliğinde kamu-özel sektör iş birliğinin önemine de unutulmamalı. (Dilerseniz kritik altyapıların siber güvenliğinde kamu-özel sektör iş birliğinin önemine ilişkin yazımıza şu linkten ulaşabilirsiniz.) 

 Kısa özetlemek gerekirse ABD artan su tesislerine yönelik saldırılar, kritik altyapıların siber güvenliği konusunun önemini tekrar göstermekle kalmıyor ciddi güvenlik açıklarının yaratabileceği sorunların kamu ve özel sektör için ne kadar yıkıcı olabileceğini gözler önüne seriyor.  

  

KVKK, Makale & Analiz

KVKK’nın biyometrik veri rehberi hakkında bilmeniz gerekenler

Yorum yapın

Kişisel Verilerin Korunması Kurumu eylül ayında biyometrik verilerin işlenmesine ilişkin rehber yayınladı. Rehber özellikle veri sorumluları için önem arz ediyor. Daha önceden Kurul Kanuna aykırı biyometrik veri işleyen veri sorumlularına “cezalar yağdırmıştı”.

Hatırlayacak olursak ünlü spor salonu hizmeti sunan şirkete girişlerin parmak izi ile yapılmasından dolayı 225.000 TL idari para cezası kesmiş, Belediyede çalışan memurların girişinde parmak izi zorunlu tutulduğundan ilgili personeller için disiplin sürecini başlatmıştı. Benzer konularda şikayetlerin artması sebebiyle ve ilgili kişilerin daha iyi korunması amacıyla hazırlanan rehberde bilmemiz gereken neler var?

Aslında hazırlanan rehber Kurulun biyometrik verilerine ilişkin görüş talebi kararının geniştelitmiş hali. Kurula göre biyometrik veri 2 farklı unsurdan oluşuyor. Bu iki unsurun birleşmesi ile işlenen veri biyometrik veri haline geliyor. Buna göre biyometrik veri, kişinin fizyolojik, fiziksel veya davranışsal özellikleri gibi ayırt edici özellikleri veri işleme sonucunda ortaya çıkarmalı; ortaya çıkarılan özellikler kişinin kimliğini tanımlamaya yarayan ya da kişinin kimliğini doğrulayan kişisel veriler olmalıdır. Kurul, bu tanımı yaparken Avrupa Adalet Divanı, Anayasa Mahkemesi ve Danıştay’ın kararlarından yararlanıyor. Sonrasında Kurul biyometrik veriyi ikiye ayırıyor. Buna göre kişinin parmak izi, retinası, avuç içi, yüzü, el şekli, irisi gibi biyometrik verileri fizyolojik nitelikli biyometrik veri olarak tanımlarken; kişinin yürüyüş biçimi, klavyeye basış biçimi, araba sürüş biçimi gibi biyometrik verileri ise davranışsal nitelikli biyometrik veri olarak tanımlıyor.

Afgan güvenlik güçlerinin biyometrik veritabanı Taliban’a emanet!

BİYOMETRİK VERİ İŞLENİRKEN AÇIK RIZA ALINMALI MI?

Genel tanımı yaptıktan sonra veri sorumluların özellikle biyometrik veri işlerken dikkat etmesi gerektiği yerleri Kurul açıklıyor. Bilindiği gibi biyometrik veriler özel nitelikli kişisel verilerden. O halde biyometrik verilerin işlenmesi için Kanunun 6. Maddesi hükmüne riayet edilmeli. Yani sadece mevzuatta biyometrik veri işlenmesi izin verilmişse biyometrik veri açık rıza alınmadan işlenebilir. Aksi halde biyometrik veri işlenirken mutlaka açık rıza alınmalı ve ilgili kişi aydınlatılmalıdır. Örneğin, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 67’nci maddesinde yer alan sağlık hizmetlerinden yararlanmak amacıyla biyometrik verinin alınmasına ilişkin düzenleme ile bazı veri sorumluları açık rıza almadan biyometrik veri işleyebilir.

Peki, ilgili kişi açık rıza verdi, kişiyi aydınlattık ve verinin korunması için de gerekli idari ve teknik tedbirleri aldık. Kanuna uygun bir veri işleme faaliyeti gerçekleşti mi? Cevabı maalesef HAYIR. Kanunun 4. Maddesi yani veri işleme faaliyetimiz genel ilkelere de uymak zorunda. Yani? Veri işleme faaliyeti;

  1. Temel hak ve özgürlüklerin özüne dokunmamalı
  2. Başvurulan yöntemin işleme amacına ulaşılabilmesi bakımından elverişli olması, veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması
  3. Biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması
  4. Veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunması gereklidir.

Yani biyometrik veri işlenmeden sadece özel nitelikli olmayan kişisel veri de işlenerek aynı sonuca varılıyorsa veri işleme faaliyetimiz yine Kanuna aykırı oluyor. Örneğin iş yerine girişlerde parmak izi ve yüz tanıma sistemi kullanıyoruz. Fakat kartlı sistemle de fiziksel mekânın korunması, işçilerin hangi saatte girip hangi saatte çıktığının takibi yapılması imkanı da olduğundan tercih edilmesi gereken seçenek kartlı sistem oluyor.

Makale & Analiz

Siber kriz yönetişiminde medya iletişimi: BTC Türk örneği

Yorum yapın

Bayramın birinci günü Siber Bülten ekibi olarak bayramlaşmak yerine önemli bir haber için mesai yapmayı tercih ettik. Bu haber Türkiye’nin en büyük kripto para borsası BTC Türk’ün sistemlerinden ele geçirilen yüzbinlerce Türkiye vatandaşına ait kişisel verilerin bir hacker forumunda satışa çıkarılmasıyla ilgiliydi.

Editörlerimizden Oğuzcan Balyemez önce Twitter hesabından olay ile ilgili ilk bulgularını paylaştıktan sonra BTC Türk’ten gelen açıklamayla daha geniş bir şekilde haberi yazdı. Haberde BTC Türk’ten elde edildiği iddia edilen verilerin satışa çıkarıldığı belirtiliyor, BTC Türk’ün konuyla ilgili ilk açıklamasına yer veriliyordu. Nitekim günler sonra veri ihlaliyle ilgili KVKK’dan yapılan veri ihlali bildirimi ile haberimiz doğrulanmış oldu.

Türkiye’de yarım milyondan fazla kullanıcıyı etkileyen böyle bir siber olayın ilk duyuran medya organı olmak bizim için gurur verici olduğu kadar medya organlarının ülkemizdeki şeffaflık kültürüne yapacağı katkı açısından da örnek bir gelişme. Haberi hazırlama sürecinde ve yayınlandıktan sonra aldığımız tepkileri dikkate alarak siber krizlerin yönetişiminde kurumsal iletişim ile medya ilişkilerinin ne kadar önemli olduğunu bir kez daha gördük.

HACKLENMEYLE YAŞAMAYI ÖĞRENMELİYİZ

Bugün siber güvenlik açısından küresel anlamda en sağlam kurumların dahi saldırılarda hedef alındığı ve sistemlerine sızıldığı bir dönemde yaşıyoruz. Siber saldırılar artık maalesef ‘yeni normalin’ ayrılmaz bir parçası haline geldi. Sıklıkla tekrarlanan bir sözü burada alıntılamadan geçemeyeceğim: “İki tür şirket vardır: Hacklenenler ve hacklendiğinin henüz farkında olmayanlar.”

ABD’nin en etkili gizli servislerinden, İngiltere’de Brexit kampanyasını yöneten kurumlara, Alman meclisinden, Fransa başkanlık e-postalarına, Facebook’tan İran’ın nükleer tesislerine kadar kritik seviyede önemli olan yüzlerce sisteme sızıldı ve buralardan veriler çalındı. Bu veriler seçimleri etkilemekten uluslararası antlaşmalarda baskı unsuru olarak kullanılmasına kadar çeşitli amaçlarla araçsallaştırıldı.

Rahmetli Ahmet Mete Işıkara’nın Türkiye’ye ‘depremle yaşamayı’ öğretmeye çalıştığı gibi, şirketlerin ve bireylerin de artık hacklenme gerçeği ile yaşamaya alışmaları gerekiyor. Geldiğimiz noktada siber saldırıları önlemek kadar, siber saldırı sırasında ve sonrasındaki süreci yönetmenin de önemini kavradık. Bu yönetişim sürecinin kritik bölümlerinden birini de algı yönetimi oluşturuyor.

İNKAR TERS TEPER, ŞEFFAFLIK GÜVEN KAZANDIRIR

Türkiye’de yaşanan siber güvenlik sorunlarının ardından firmaların yaptığı açıklamalarda dikkat çeken iki özellik bulunuyor. Öncelikle siber saldırı inkar ediliyor. İnkar politikasının yöneticinin gözünde sorumluları kısa vadeli olarak rahatlatmaktan başka faydası olmadığı gibi orta vadede saldırganları ellerindeki verinin gerçek olduğunu ispatlamak için kışkırtmak gibi bir etkisi de oluyor. Sonuçta siber suçluların da kendi dünyalarında bir itibarı bulunuyor ve bunu korumak için ellerindeki veriyi biraz daha paylaşmaktan çekinmiyorlar.

Tabi öyle veri sızıntıları var ki, bunlar inkar edilemeyecek kadar büyük oluyor. Burada kurumun şeffaf bir şekilde başına gelen siber vakaya dair ilk açıklamayı yapması tüketici güvenine olumlu etkisi olacaktır. Geçtiğimiz aylarda 21 milyondan fazla kullanıcı verisinin sızdığı Yemeksepeti olayında, şirket lafı dolandırmadan sızıntıyı kabul etmişti.

Toplumu veri ihlali ile ilgili bilgilendirirken başvurulan bir başka yöntem de siber saldırıların yukarıda bahsettiğimiz gibi dünyanın birçok ülkesinde ve kurumunda yaşandığının hatırlatılması. Bu kötü bir yol kesinlikle değil. Fakat buna ek olarak şirketin müşteri güvenine verdiği önemin belirtilmesi ve ‘ilk bizden duyun istedik’ mesajının verilmesi de faydalı olabilir.

Örneğin 2020’nin sonuna doğru ortaya çıkan SolarWinds saldırısında ABD’deki kamu kurumları ve özel şirketler sistemlerinin hacklendiğini açıkça ortaya koydu. İlerleyen günlerde CISA (Cyber Security and Infrastructure Security) yürütülen soruşturmaların detaylarını açıkladı. Hangi alanlarda eksik kaldıklarını güvenliğin sağlanması için hangi noktada tıkandıklarını şeffaflıkla kamuoyu ile paylaştı.

İŞİ İLETİŞİMCİLERE BIRAKIN

Basın açıklaması kadar önemli bir başka konu da medya ile iletişim. Bir siber kriz anında açıklamanın iletişim profesyonelleri tarafından hazırlanması ve medya ile iletişimin bu kanal üzerinden yürümesi hem toplum hem şirket açısından daha sağlıklı. Toplum resmi kanal üzerinden doğru bilgilendirilirken, şirketin itibarını sarsacak açıklamaların da önüne geçilmiş olur. Aksi takdirde panik havası içerisinde atılan bireysel mesajların faydasından çok zararı olacaktır.

Hatta işin ‘hukuki yollara başvurmayla’ tehdit etmeye kadar getirilmesi spekülasyonu seven, mağdur edebiyatından beslenen art niyetli kişilerin ekmeğine yağ sürecektir. Özellikle yazılı iletişimin arttığı günümüzde gönderilen mesajların haber değeri taşıdığının medya ile teması olmayan çalışanların da bilmesi gereken bir husus olarak not edilmesi gerekiyor.

SULARI BULANDIRMAK NE KADAR YARARLI?

Algı yönetiminde sizi hedef alan aktörlerin güvenilirliğini sarsmak sık başvurulan bir yöntem olsa da, siber saldırılarda işlemeyebileceğini görüyoruz. Şirketiniz hakkında bir hacker forumunda çıkan ilana karşı ‘Zaten repütasyonu düşük biri yazmış’ diye karşı atağa geçebilirsiniz. Siber tehdit istihbaratı konusunda çalışan uzmanların  tekrar ettiği bir uyarı var. Bu insanlar yakalanmamak için sürekli iletişim bilgisi, profil bilgisi değiştirirler. Bir saldırganın birden çok hesabı vardır. Birkaç ay önce çökertilen ve üye bilgileri sızdırılan Rus hacker forumlarında çok hesaplı üyelerin ortaya çıkması kimseyi şaşırtmamıştı.

Algı savaşında elinizi güçlendirmek için sızdırılan verinin önemini küçümseyen bir yaklaşım benimsenmesi, ‘farklı bir yerden de elde edilmiş olabilir’ gibi alternatif açıklamalara başvurulması da muhtemeldir. Fakat günün sonunda ortaya çıkan gerçeklerin açıklamanızı yalanlaması güvenilirliğinize leke sürecektir. Bu yüzden inkara dayalı güvensizleştirme yapılacaksa bile sağlam temel dayanmasına dikkat edilmelidir, panik havası yansıtılmamalıdır.

BAŞARI HİKAYELERİ KIYIDA KÖŞEDE KALMASIN

Türkiye’de geçtiğimiz bir yıl içerisinde bilinen ya da henüz bilinmeyen oldukça ciddi siber saldırılar ve veri ihlalleri yaşandı. Hedef kurumlar olay ile ilgili açıklamalarını yaptıktan sonra sessizce köşelerine çekilip olayın unutulmasını beklediler. Benimsenen tutum şirketin kendi stratejisiyle uyumlu bir karar olabilir. Fakat farklı bir bakış açısıyla, saldırı sonrasında olayın üstesinden nasıl gelindiği açıklansa fena mı olur?

2014 yılında Suriye Elektronik Ordusu ABD’nin önemli komutanlıklarından olan CENTCOM’u hacklediğini iddia etmişti. CENTCOM ilk açıklamasında sistemlerine sızıldığını kabul edip, ne kadar bilginin saldırganların eline geçtiğine dair araştırmanın devam ettiğini açıklamakla yetinmişti. Bir sene sonra yayımlanan bir blog yazısında CENTCOM’un ve diğer komutanlıkların sistemlerinin ne kadar güvenli olduğu anlatılmış, sızan bilgilerin zaten kamuya açık veriler olduğu delillerle ortaya konulmuştu. Sıradan bir araştırmacı bugün ‘CENTCOM hack’ diye arattığında sadece saldırgan tarafın değil, savunma tarafının da argümanlarına erişebiliyor.

Algıyı bir havuza benzetmek gerekirse, birisi kirli su akıtıyorsa bu havuzun temizlenmesi için sizin daha fazla temiz su akıtmanız gerekir. Üstesinden gelinen büyük siber krizleri kamuoyu ile paylaşmak hem şirketin itibarını yükseltir hem de tecrübe paylaşımı açısından benzer durumları atlatmada büyük katkı sağlar. Nihayetinde ulusal güvenliğimizin bir parçası olan siber güvenliği güçlendirir.

 

Makale & Analiz

Hobbes, blokchain’i görse Leviathan’ı yazmaya ihtiyaç duyar mıydı? 

Yorum yapın

Blockchain gibi teknolojik gelişmelerin katlanarak etkilerini arttırdığı ve toplumsal yapıların buna karşılık veremediği bir çağdayız. Kartların yeniden dağıtılmak üzere olduğu bariz fakat sonuçlarını öngörebilmek oldukça zor. 

Günümüzdeki gelişmeler artık sadece hayatımızı kolaylaştıracak araçlardan ibaret değil güven olgusu gibi kavramlara yeni bir bakış açısı getirecek kadar etkileyici. Dolayısıylateknoloji bu gibi olguları değiştirdikçe var olan sistemlerin dönüşmek zorunda kalması kaçınılmazBu sistemlerden belki de en köklü olanlarından biri devlet ve vatandaş arasındaki ilişki. Blockchain aracılığıyla bu köklü ilişkiyi yeniden düşünmemiz teknolojinin ‘distruptive’ etkisinin en bariz örneklerinden biri olabilir. 

İngiliz filozof Thomas Hobbes, Leviathan’ı yazarken devlet kavramının oluşumunu temel bir ihtiyaca bağlar. Bu ihtiyaç bireyin can ve mal güvenliğidir. Ona göre, doğa durumunda bütün bireyler eşittir ve bu yüzden istediklerini yapabilirler. Bu durum kaos ile sonuçlanır ve güven ulaşılamayacak bir olgudur. Bu yüzden bireyler bazı haklarından vazgeçerek iktidar olgusunu kabul eder. Bunun karşılığında bireyler doğa durumunda bulunamayacak can ve mal güvenliğine ulaşır.  

Devletin can ve mal güvenliği sağlayabilmesinin temelinde bireylerin rızası yatar. Rıza aracılığı ile devlet meşru bir otoriteye sahip olur ve böylece vatandaşlarının birçok verisini kaydedebilir ve düzenleyebilir. Kısacası, güven olgusunu oluşturabilmek için merkezi bir yapıya ihtiyaç duyulmuştur. Blockchain’in felsefesi ise bu ihtiyacın farklı bir şekilde çözümlenebilmesinin mümkün olduğunu söyler.  Düşünün ki mülk, para ve evlilik gibi birçok önemli verinin güvenliği için devlete ihtiyacımız yok. Bu durumda, sınırları olmayan ve teknolojinin bize güven sağladığı bir dünya mümkün olamaz mıydı? 

2014 yılında Bitnation adında merkezi sisteme dayanmayan bir topluluk oluşturuldu. Evlilik kaydı, mültecilere vatandaşlık, arazi  ünvanı ve doğum sertifikası gibi birçok uygulama bu toplulukta  blockchain  teknolojisiile sunuluyor.

Kısacası, blockchain’in sunduğu felsefe bu oluşum ile somut bir örnek kazanıyor. Hobbes, bu teknoloji oluşturulurken Leviathan’ı yazsa devleti çözüm olarak görür müydü? Hobbes’u bilemem fakat ben faşist bir liderin mülklerinize konma ihtimaline izin vermeyen bir alternatif çözüme daha sıcak yaklaşırdım. 

BLOCKCHAIN DESPOTLARIN DA İŞİNE YARAYABİLİR Mİ? 

Blockchain’in manipüleye açık olmadığı bir veri kaydı sistemi sunduğunu biliyoruz. Bundan dolayı güven olgusunu oluşturabileceğimizi ve rızalarımızı buna dayandırarak devlete alternatif bir çözüm üretebileceğimizden bahsettik. Fakat, gerçek hayatta birçok olasılık mümkün olabilir. Örneğin, blokchain teknolojisinin sunduğu farklı yapı çeşitleri devletlerin geleceği açısından bize farklı bir perspektif sunabilir. 

Bu teknolojinin 4 çeşidi bulunuyor. Bütünüyle izin gerektirmeyen, kısmen izin gerektirmeyen, kısmen izin gerektiren ve bütünüyle izin gerektiren blokchain ağları şeklinde isimlendiriliyor.

Her verinin açıkça okunabildiği ve her bireyin bir blok ekleyebildiği zincirlere bütünüyle izin gerektirmeyen ağ denirken açıkça okunabildiği ama blok ekleme yetkisinin sınırlandırıldığı ağa ise kısmen izin gerektirmeyen ağ denir. Sadece izin verilen kişilerin okuyabildiği ama bu kişilerden hepsinin blok ekleyebildiği ağa kısmen izin gerektiren ağ denirken sadece izin verilen kişilerin okuyabildiği ve bu insanlar içinden yine belli kişilerin blok ekleme yetkisinin olduğu sistemlere de bütünüyle izin gerektiren ağ denir.

Kısacası, blockchain güvenli ve merkeziyetsizci bir yapı sunmasına rağmen devletler bütünüyle izin gerektiren  blockchain ağlarını kullanabilir ve vatandaşlarını manipüle edebilir. Böylece her zamankinden daha despot rejimlere maruz kalabiliriz. 

Özetle, toplumsal yapıların verdiği reaksiyonlar geleceğimiz dünyasında önemli bir yer edinmektedir. Teknolojinin bize sunduğu fırsatları nasıl değerlendirdiğimiz oldukça kritik. Sınırları olmayan, güvenli bir dünyaya da ulaşabiliriz, despot rejimlerin her adımımızı izlediği bir distopyada da yaşayabiliriz. Kesin olan ise teknolojinin dönüştürücü gücünden kaçınamayacağımızdır. 

Makale & Analiz

“Robotların ne kadar akıllı olduğu tamamen size bağlı”

Yorum yapın

“Robotlar dünyayı ele geçirecek mi?”

Hollywood yapımları sayesinde yıllarca benim de aklımdaki soru bu oldu. Teknolojinin hızlı gelişimiyle birlikte günlük hayatta robotları görünce ise sorduğum soru biraz değişti. “Robotlar ne kadar akıllı olabilir?” Siz de zaman zaman kendinizi bu soruyu sorarken buluyor musunuz? O hâlde bu konuya bir açıklık getirelim. Son zamanlarda yaptığımız bir araştırmaya göre robotların ne kadar akıllı olduğu tamamen size bağlı!

İnsanlar etrafta olup biteni anlamak için teknolojik cihazlara, hayvanlara, yani aslında yaşamayan cisimlere akılları varmış gibi davranır. Akıl algısı teorisine göre akıl iki boyuttan oluşur: eylemlilik (plan yapıp harekete geçebilme yeteneği) ve deneyim (sezebilme ve hissedebilme yeteneği). İnsanlar da her cisme bu kapasiteleri farklı seviyelerde atfeder. Bugüne kadar yapılan araştırmalar akıl atfetmenin hem insanlardan, hem de cisimlerden etkilendiğini göstermiştir. Yani insan gibi görünen, insanların hızında hareket eden cisimlere akılları varmış gibi davranıyoruz. Peki çevresel faktörler de bunu etkiler mi? Robotlarla bir araya geldiğimiz ortam ve o deneyim sırasında yaşadıklarımız yüzünden onların daha akıllı olduğunu düşünebilir miyiz?

BİR ROBOTLA BİLGİ YARIŞMASINA GİRMEYE NE DERSİNİZ?

Doktora eğitimime devam ettiğim Koç Üniversitesi’nde tıpkı benim gibi robotların sosyal hayattaki yönüyle ilgilenen bir yüksek lisans öğrencisiyle bir araya geldik. Bu soruya cevap vermek için gerçek bir robotun da yer aldığı kontrollü bir deney yaptık, bir bilgi yarışması düzenledik.  Genel kültür sorularının yer aldığı bu yarışmada katılımcılar Robot Cozmo ile ya aynı takımda olup diğer takımlara karşı yarıştılar, ya da Cozmo’yla rakip oldular. Soruların zorluk seviyelerinin önceden test edildiği bu yarışmanın sonucunu belirleyen katılımcılıların performansları oldu. Başka bir deyişle biz insanlara sadece Cozmo’yla takım arkadaşı ya da rakip olduklarını söyledik ve geri kalan hiçbir şeye karışmadık. Cozmo her seferinde aynı sorulara doğru cevap verdi, yanlış cevapladığı sorular da oldu. İki kez doğru cevaplayınca sevindi, iki kez hata yapınca üzüldü. Katılımcıların hepsi aynı soruları gördü, 16 puanı geçen herkes yarışmayı kazandı ve 16 puana ulaşamayan herkes de kaybetti. Başlangıçta yaptığımız manipülasyonla bağlantılı olarak bazı katılımcılar Cozmo’yla takım olarak kazandığını/kaybettiğini düşündü, diğerleri ise Cozmo’yu yendiğini/Cozmo’ya yenildiğini düşündü. Bu yarışmanın sonunda da katılımcılardan Zihin Dinamikleri Ölçeği’ni doldurmalarını istedik. 

KAZANANLAR DA ROBOTUN İYİ BİR RAKİP OLDUĞUNU KABUL ETTİ

Cozmo’yla takım olarak kaybedenler, kazananlara kıyasla robotun daha akıllı olduğunu düşündü. Cozmo’yla rekabet edip kazananlar, takım olarak kazananlara kıyasla robotun daha akıllı olduğunu düşündü. Yani insanlar her durumda kendini akıllı çıkaracak şekilde robota akıl atfetti. Kaybedenler kendilerinin de, robotun da akıllı olduğunu ama yine de kaybettiklerini düşünmek istedi. Kazananlar ise iyi bir rakibe karşı kazandığını düşünmek istedi. 

Laboratuvar ortamında yapılan, sadece genel kültür sorularından oluşan ve küçücük bir robotun yer aldığı bir deneyde bile ortaya çıkan sonuç şu: Robotlarla hangi bağlamda iletişim kurduğumuz ve bu sırada yaşadıklarımız, onlara karşı yaklaşımımızı etkiliyor. Bazı durumlar onların daha akıllı olduğunu düşünmemize neden olabiliyor. Çevremizde gördüğümüz robotların sayısı hızla artarken, robotların özelliklerinden ziyade kullanıcıların deneyimlerinin ne kadar önemli olduğunu unutmamalıyız. Dikkat edilmesi gereken nokta, robotların aslında ne kadar akıllı olduğu değil, onları ne kadar akıllı bulduğumuz. Peki bu durum insanlar için neler ifade edebilir? Dünyanın pek çok yerindeki araştırmacılar işte bu soruyu cevaplamak için çalışmalar yapıyor.

Daha fazlası için:  

Lefkeli, D., Ozbay, Y., Gürhan-Canli, Z., & Eskenazi, T. (2020). Competing with or Against Cozmo, the Robot: Influence of Interaction Context and Outcome on Mind Perception. International Journal of Social Robotics, 1-10. 

 

Siber Bülten abone listesine kaydolmak için formu doldurunuz