Blockchain: Siber Saldırılar ve Veri Koruma Hukuku
Av. Habibe Deniz Seval – ICS Teknoloji
Bu çalışma, Blockchain teknolojisinin, siber güvenlik dünyasına büyük kolaylıklar getireceği hususuna dikkat çekmek amacı ile hazırlanmıştır. Özünde, Blockchain ortak bir ağda senkronize olarak çalışan bir dijital veri tabanı olup, uzlaşma algoritmaları tarafından yönetilerek verinin birden fazla bilgisayar ya da bağlantı noktasında depolanmasını sağlamaktadır. Dolayısıyla, birçok farklı özelliği ile siber saldırılara karşı komplike ve zorlayıcı bir güvenlik duvarı vazifesi görme özelliğini haizdir. Çalışma, Blockchain’in siber güvenlik önlemlerini arttıracağına dikkat çekmenin yansıra, veri koruma hukuku esasları ile, teknolojinin çelişen yanlarına da konu bağlamında değinmektedir.
1. Blockchain Teknolojisi
Dağıtılmış defter teknolojisi uzlaşmış ve çoğaltılmış ve bilgisayar sunucuları gibi ‘bağlantı noktası’ olarak isimlendirilecek farklı ortamlara dağıtılmış bir platform sunmaktadır. Blockchain, ise bir dağıtılmış defter teknolojisi turudur. Bu teknoloji bünyesinde kriptografik algoritmaları sürekli olarak doğrulama yapan ve bu doğrulamalar üzerinden ilerleyen bir yapıya sahiptir. Oluşturulan veri grubu, daha önceki veri grubuna eklenir ve beraber bir zincir oluştururlar. Dahası, tüm bu işlemler değiştirilemez bicimde kaydedilir ve taraflara makul oranda bir anonimlik sağlayarak yaptıkları işlemleri ve tuttukları verileri kotu niyetli müdahalelere dayanıklı bir şekilde ve zaman damgalı olarak sistemde tutmalarına olanak sağlar.
Blockchain teknolojisi, veri tabanı olarak hizmet vermenin de ötesinde, tedarik zincirlerinin takibi ve teminat mektubu düzenlemeleri gibi aracı kişi ve kurumları elimine edebileceği gibi, noterlik ve oy verme gibi resmi islerin düzenlenmesinde de rol alabilir. Bunun yani sıra, telif gibi istismara açık fikri hakların korunmasında, hatta eserlerin orijinalliğinin denetlenmesinde de kullanılabilir. Ek olarak, Blockchain bünyesinde tuttuğu verileri, oldukça güvenli ve manipüleye kapalı bir şekilde saklayabileceğinden dolayı, sağlık sektöründe de oldukça kullanışlı olacaktır. Böylelikle hem birçok hukuk sistemince de ‘hassas veri’ veya ‘özel nitelikli’ olarak değerlendirilmiş olan sağlık verilerinin güvenli olarak saklanması, hem hasta geçmişine ilişkin hekimlerin doğru bilgiye kronolojik olarak erişiminin hızlı bir şekilde sağlanması hem de tedarik zincirlerinde büyük problemler oluşturan sahte ilaç ve tedavilere ilişkin kotu niyetli girişimlerin önlenmesinde önemli rol alabilecektir. Bu bağlamda, özel zincirler kullanılarak hastaların hassas/özel nitelikli verilerine ulaşım şifreli olarak sağlanarak, sağlık verileri günümüzde kullanılan sistemlere nazaran çok daha güvenli bir şekilde muhafaza edilebilecektir. Özel zincirler, bir veya birden fazla kişinin yalnızca zinciri oluşturan kişi ya da kurumun onayı ve kendine ait şifresi ile sisteme giriş sağlayabildiği, genel anlamda bilinen herkese açık Blockchain anlayışından farklı bir yapıdır.
Bir blok hem kendinden öncekini hem de kendinden bir sonrakini çaprazlama olarak daha sonra açıklanacak olan hash fonksiyonu ve Proof of Work algoritması (Bundan sonra “PoW” olarak anılacaktır.) sayesinde, kendilerine özel verilmiş sayısal değerler ile birbirlerini doğrulayarak ve kompleks bir matematiksel süreçten geçerek zinciri oluştururlar. Tüm Blockchain sistemlerinde olan bu özellik, özel zincirlerde sisteme aynı zamanda onay yöntemi ile de girişin sağlanması dolayısıyla, bünyesinde tutulan veriler için oldukça ileri düzeyde bir güvenlik sağlayacaktır.
2. Siber Güvenlik
Akıllı telefonlar, tabletler ve laptoplar gibi internet cihazlarının kullanımının artması ile, internet üzerinde paylaşılan ve saklanan veri miktarı sürekli olarak artmakta ve bu da bu verilerin güvenliğine ilişkin endişelere neden olmaktadır.
Özel bir şirketin yaptığı araştırmaya göre, kullanıcıların %45’lik diliminin, internet cihazlarında verilerinin kullanılması hususunda güvenlik önlemlerine ilişkin ciddi endişeler taşıdığını ve dijitalleşme cağına geçişte bunun kendilerine önemli bir engel olduğunu kanıtlayan yönde bir sonuca ulasan anket ve analiz çalışması gerçekleştirmiştir. Dijital donuşum vasıtasıyla artan teknoloji kullanımı ile, günümüzde internet de diğer icatlar gibi ciddi bir gelir kaynağına dönüşmüştür. Nitekim, bu da siber saldırılar için istismar edilecek birçok boşluk ve yararlanılacak birçok fırsat adına soru işaretlerini beraberinde getirmektedir.
Siber saldırılar genelde, kişisel veri, fikri mülkiyet hakları, sağlık ve finans kayıtları gibi değerli verileri çalmayı amaçlar, bu da bizleri son donemde tartışmalara konu olmuş oldukça kritik bir noktayı gözler önüne getirmektedir, ‘siber güvenlik’. Siber güvenlik, bilgisayar ve bilgi teknolojileri sistemlerini, veri tabanlarını, bunlara ait donanımları ve yazılımları bahsi gecen saldırılardan korumayı amaçlayan sistemlere verilen genel isimdir. Kişisel ve belirlenebilir veriler, siber saldırılara konu olan oldukça temel konseptlerden olduğu için, siber güvenlik kavramı esasında veri koruma ve buna ilişkin gelişimlerin de ne kadar önemli olduğunu bir kez daha gözler önüne sermektedir.
3. Blockchain ve Siber Güvenlik
Siber suç ekonomisi 2018 yılından bu yana oldukça önemli bir büyüme gösterdiğinden dolayı, devletler ve şirketler verilerini korumak amacıyla birtakım önlemler almaya yönelik yatırımlara yönelmişlerdir. Bu bağlamda, en çok tercih edilen yöntemler arasında; güçlü ve kompleks şifreleme yöntemleri, güvenlik duvarları ve yazılımları korumaya yönelik anti virüs programları yer almaktadır. Nitekim, bahsi gecen bu yöntemler artık zamanında gerisinde ve etkisiz kalmaya başlamıştır.
Peki ya Blockchain teknolojisi? Siber güvenlik önlemlerinin arttırılmasına yardımcı olabilir mi? Bu soruları açığa kavuşturmak için, Blockchain’in temel özelliklerinin üzerinden tekrar geçilmesi sağlıklı olacaktır.
Blockchain, siber güvenlik sistemleri için, iyi temellendirilmiş ve korunmuş bir ağ kurulmasına, siber saldırıları önleyecek olan uzlaşmacı algoritmaları sayesinde yardımcı olacaktır. Ayrıca, fikri veya kişisel olması fark etmeksizin bünyesinde her turlu farklı veri turunu, değiştirilemez, şeffaf, zaman damgalı ve asimetrik şekilde şifrelenmiş olarak araci herhangi kişi veya kuruma ihtiyaç duymaksızın tutma özelliğine de sahiptir.
Yukarıda belirtilen tablo, siber güvenlik önlemlerine ilişkin temel ve genel geçer bir plan çizmektedir. Blockchain bünyesinde verilerin depolanması haricinde, tüm bu adımların farklı bloklara kaydedilmesi ve her bloğun kendinden bir sonraki ve öncekini doğrular şekilde ilerlemesi vasıtası ile oluşturulan bu zincirde, herhangi ihlal durumunda zayıflık olan kısmin tespitinde de kullanışlı olacaktır.
Birçok yazılım bilimcisi ve veri analisti, Blockchain içerisinde tutulan veya islenen bir verinin çalınmasının veya değiştirilmesinin neredeyse imkânsız olduğunu kanıtlamıştır. Bir blok bir kez doğrulandıktan sonra, bu işlem zincirine ait herhangi verinin veya işlemin değişmesi, değiştirilemez bicimde saklanmaktadır. Nitekim, Blockchain’in değiştirilemez doğası, veri koruma hukuku kuralları uygulamaları ile ters düşmektedir ve bu husus ilerleyen bölümlerde daha detaylı olarak incelenecektir.
Blockchain, uzlaşmacı algoritma ile dağıtık bir ağ üzerinden çalıştığı için, verilerin güvenliğini sağlamak adına, kullanıcılarına daha ileri seviye bir güvenlik vaat etmektedir. Bir zinciri yok etmek için, zincirin depoladığı tüm verilerin kopyalanmış olduğu küresel bir ağın hacklenmesi gerekmektedir. Dolayısıyla, devasa büyüklükteki milyonlarca bilgisayar veya bağlantı noktası içeren ve aynı anda kendini sürekli olarak doğrulayan bu sistemin parçalanması veya hacklenmesi durumuna neredeyse imkânsız demek yanlış olmayacaktır.
Blockchain’in dağıtık olarak çalışan ve zaman damgalı bir şekilde verilerini muhafaza eden bu alt yapısı, PoW adi verilen spesifik bir uzlaşma algoritmasına dayanmaktadır. PoW kullanan Blockchain DDoS saldırılarına karşı tam bir koruma sağlamaktadır. Bir DDoS saldırısının başarılı olabilmesi için sistemdeki toplam işlem gücünden daha fazla bir güçle saldırması gerekmektedir, nitekim Bitcoin, Ethereum gibi Blockchain kapasiteleri ve işlem güçleri düşünüldüğünde, saldırıların başarılı olma ihtimali oldukça zayıf kalmaktadır.
4. Veri Koruma Hukuku
2017 Equifax veri ihlali, toplam nüfusunun yarısına tekabül eden 143 milyon Amerika Birleşik Devletleri vatandaşının hassas verilerinin açığa çıkmasına sebep oldu. Böylelikle, sistemdeki yalnızca bir boşluğun, milyonlarca insanın mahremiyet ve kişisel veri koruma hukukundan doğan hakları ihlal edilmiş oldu.
Blockchain’in farklı çeşitlikteki özeliklerinin siber güvenlik dünyasına katkıda bulunacağı şüphe uyandırmayan bir gerçek, fakat teknolojik olarak oldukça cazip olan değiştirilemez doğası gibi birtakım özellikleri ne yazık ki hukuki acıdan veri koruma kuralları ile oldukça ters düşmektedir. Bu hususa ilişkin, değinilmesi gereken birden fazla nokta olup, aşağıda yalnızca spesifik bir iki noktaya değinildiği göz arda edilmemelidir.
Hukuksal açıdan bakacak olursak, ‘unutulma’ veya ‘silme’ hakki bakımından, verinin hiçbir surette değiştirilemeyeceğini ve silinemeyeceğinin vaat eden bu teknoloji oldukça tartışmalı bir noktadadır. Unutulma/silme hakki, kişinin kendisine ait olan ve hassas veri olup olmadığı önem arz etmeksizin, kişisel verisinin dijital ve internet ortamlarından silinmesini talep etmesi hakki olarak, temelinde kişiye kendi verisi üzerinde kontrol hakki tanınması esasına dayanmaktadır. Bu hakkin kullanılmasına ilişkin, Blockchain’in geri döndürülemez ve değiştirilemez kayıtlar sunmasına rağmen ve işlemlere hash fonksiyonu ile islediği ve fakat bu işlemlerin sistem dışına da kaydedilebileceği gibi çözümler sunulabilir. Hash fonksiyonu sayesinde veriler hem güvende tutulmuş olacak, hem şifrelenmiş olacaktır. Bu bir nevi işlemin iz bırakarak da olsa silinmesine veya saklanmasına olanak sağlayarak, sistem özelliklerinin hukuka uygun olarak kullanılması yönünde önemli bir adim olacaktır.
Nitekim, hash fonksiyonu, unutulma/silme hakkinin kullanımını olanaklı kılacakken, bir yandan da veri koruma hukuku ile farklı açılardan çatışma içerisinde yer almaktadır. Hash fonksiyonu, bir çıkış işlemi için giriş işleminin sayısal olarak başkalaşmasını sağlayan ve bu işlemi ‘hash değeri’ denen sayısal bir etiketle sınıflandıran bir algoritmadır. Bu özel algoritma, veri koruma hukuku açısından, hash değeri yani algoritma tarafından başkalaştırılmış sayısal değerle nitelendirilen veri veya işlemin kişisel veri kapsamında değerlendirip değerlendirilmeyeceği tartışmalarına yol açmıştır ve doktrinde net bir sonuca henüz varılamamıştır. Bu noktada, temel kişisel veri tanımına geri dönmek gerekir, kişisel veri birçok farklı hukuk sistemi tarafından, spesifik bir kişinin tanımlanmasına sebebiyet verecek her turlu veri olarak kabul edilmektedir. Bu noktada, algoritmanın yaptığı işlemin tersinden yola çıkılarak, kişiye ait tanımlanabilir bir veri parçası olup olmadığı tartışılmalıdır. Nitekim, veri bilimcilerinin bazıları bunun mümkün olduğunu fakat oldukça komplike ve zor olduğunu savunurken, bazıları ise geri döndürülen değerin giriş işlemine ait veriyi vereceğinin garanti edilemez olduğunu iddia etmektedir.
Fakat unutulmamalıdır ki veri koruma hukuku açısından tartışma doğuran bu husus, asimetrik olarak şifrelenmiş ve hash fonksiyonu ile sayısallaştırılmış verilerin daha güvende olacağı ve bundan dolayı siber güvenlik sistemleri açısından Blockchain teknolojisinin büyük avantajlar getireceği gerçeğini değiştirmemektedir.
5. Sonuç
Reklamlar adeta dakikalar önce bahsettiğiniz ihtiyaçlarınıza hitap ederken, tek bir tıklama ile oldukça büyük işlemler gerçekleştirebilirken ve tam olarak taleplerinizi karşılayan fırsatlarla hiç olmadığı kadar çok karşılaşıyorken, günümüz ekonomisine hükmeden şeyin artık petrol, altın ve benzeri elle tutulur maddelerden ziyade kendi verilerimiz olduğu gerçeği göz arda edilemez. Veri bu denli önemli hale gelince, siber dünyada ona yönelik gerçekleştirilecek olan her turlu saldırı da oldukça önemli bir hale gelmektedir. Bu bağlamda alışılagelmiş önlemlerden ziyade, Blockchain teknolojisinin dağıtık bir veri tabanı olarak, değiştirilemez ve şeffaf çalışma prensibi onu siber güvenlik dünyası için oldukça güvenilir bir seçenek olabilir.
Blockchain’in yalnızca kripto paraların kullanımı için yaratılmadığı düşüncesi unutulmamalıdır. Siber güvenlik tehditleri yoğunlaşarak artarken, güvenli bir teknoloji olarak Blockchain kendisinden beklenenin üzerinde bir performansla, alışılagelmiş siber güvenlik önlemlerini değiştirmeye hazirdir. Bununla beraber, veri koruma hukuku ile içerisinde bulunduğu tartışmaya açık konular ise göz arda edilmemekle beraber, veri koruma hukukuna uymanın teknolojinin kendisi ile değil, teknolojinin nasıl kullanıldığı ile ilişkili olduğu da unutulmamalıdır. Teknolojinin hukuka uygun olarak kullanım imkânının oluşturulması için farklı alternatifler mevcuttur ve oluşturulmaya devam etmektedir. Fakat, algoritmik bir teknolojinin, insan yapımı hukuki kurallara uygun evrilmesini beklemek gerçeklikten uzak olacaktır, bundan dolayı, teknolojinin uyumlu kullanımları için çalışılırken, hukukun da teknolojinin evrimine ayak uydurur şekilde gelişmesi gerekmektedir.
6. Kaynakça
Regulation (EU) 2016/679 of The European Parliament and of The Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) [2016] OJ L119/1 (The GDPR)
Emmanuelle Ganne, ‘Can Blockchain Revolutionize International Trade?’ (2018) WTO Publications 1. <https://www.wto.org/english/res_e/booksp_e/blockchainrev18_e.pdf>
Robby Houben and Alexander Snyers “Cryptocurrencies and Blockchain: Legal Context and Implications for Financial Crime, Money Laundering and Tax Evasion” (Policy Department or to subscribe for updates, please write to: Policy Department for Economic, Scientific and Quality of Life Policies European Parliament, 2018)
Tom Lyons, Ludovic Courcelas and Ken Timsit, “Blockchain and the GDPR” (2019) European Union Blockchain Observatory and Forum
UK Government Chief Scientific Adviser, “Distributed Ledger Technology: Beyond Blockchain” (Government Office for Science, 2016)
Amar Bhattarai, “Blockchain in Cybersecurity, Pros, and Cons” (Social Science Research Network, 2020) <https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3527922>
Dylan Yaga and others, ‘Blockchain Technology Overview’ (2018) 8202 NISTIR 1, 5. https://doi.org/10.6028/NIST.IR.8202
Harish Natarajan and others “Distributed Ledger Technology (DLT) and Blockchain” (World Bank Group, 2017)
Roger Maull and others, “Distributed Ledger Technology: Applications and Implications” (2017) 26 Special Issue: The Future of Money and Further Applications of the Blockchain Issue 5 481
Ahmet Sayarlıoğlu, “Blok-Zincir: Uzlaşma (Consensus) Algoritmaları” (Medium,2018) https://medium.com/@ahmet.sayarlioglu/uzlaşma-consensus-algoritmaları-6f5d3bc52429
Dan Pinkney, “Improving Security Solutions Could Grow the Internet of Things Cybersecurity Market by $9-$11 Billion” (Global News Wire, 2018)
Eric Piscini, David Dalton and Lory Kehoe, “Blockchain & Cyber Security” (Deloitte, Blockchain and Cyber Security, 1 January 2019) < https://www2.deloitte.com/tr/en/pages/technology-media-and-telecommunications/articles/blockchain-and-cyber.html>
Pauline Adam-Kalfon and Selsabila El Moutaouakil, “Blockchain, a Catalyst For New Approaches in Insurance” (PwC, 2019) https://www.pwc.com/gx/en/insurance/assets/blockchain-a-catalyst.pdf
Satoshi Nakamoto, ‘Bitcoin: A Peer-to-Peer Electronic Cash System’ (Bitcoin, 2009) < https://bitcoin.org/en/ >
Shaan Ray, “Cryptographic Hash Functions” (Hackernoon, 2017) < https://hackernoon.com/cryptographic-hashing-c25da23609c3>
Xenia Bogomolec, ‘Blockchain and the GDPR How to block and delete person related data in a technology that is designed to be unchangeable’ (2017) Dipl. Math. Working Paper <https://x–action.net/pdfs/blockchain_GDPR.pdf>
