Geliştirici ve kullanıcılar muhtemel zararların önüne geçmek adına ne yapabilir?

Size Bitcoin yolladığımda, o işlem aynı anda 12 binden fazla bilgisayara, sunucuya ve Bitcoin’in çalışmakta olduğu başka cihazlara kaydedilir. Zincirdeki herkes bu işlemi görebilir ancak kimse onu değiştiremez ya da silemez. Ya da siz bana Ethereum blokzincir üzerinden bir nitelikli fikri tapu (NFT) yolladığınızda söz konusu işlem aynı anda Ethereum’un çalışmakta olduğu (ve “düğüm” olarak bilinen) bilgisayarlara kaydedilir. Bu iki örnek genel hatlarıyla blokzincir teknolojisinin ne olduğunu açıklıyor: bir işlemin değiştirilemez kaydını farklı bilgisayarlarda saklamanın, bir bilgisayarda kaydedildiği anda diğer tüm bilgisayarlarda da kaydedilmesini zorunlu kılan bir yolu. Blokzincir uygulaması artık kripto para ve NFT’lerle sınırlı değil; hükümetler ve sağlık hizmetlerinden tarıma ve tedarik zinciri operasyonlarına kadar birçok sektörde bu teknolojiden yararlanılarak verimlilik, güvenlik ve güven inşa etme konularında ilerleme kaydediliyor.

Blokzincir temel özellikleri açısından gerçekten de çok cazip ancak aynı zamanda organizasyonlar ve paydaşları için etik, itibari, yasal ve ekonomik riskler barındıran iki ucu keskin bir kılıç adeta. Bu makalede söz konusu risklerin dört tanesine değiniyorum: üçüncü parti koruma sistemi eksikliği; gizlilik ihlalleri; sıfır durumu problemi ve kötü yönetişim. Bunların her biri için blokzincir karar ve normlarının yönetiminde kilit rol oynayan iki grubun sorumluluklarını ana hatlarıyla belirtiyorum: geliştiriciler (blokzincir teknolojilerini ve bunları kullanan uygulamaları tasarlayıp geliştirenler) ve kullanıcılar (blokzincir çözümlerini kendileri kullanan ya da kullanıcı müşterilerine danışmanlık yapan organizasyonlar). 

Üçüncü Parti Koruma Sistemi Eksikliği

Bankalar gibi üçüncü parti aracılar en iyi ihtimalle iş maliyeti, en kötü ihtimalle ise birer avcı olarak görülürler ancak aslında müşterilerinin çıkarlarını korumada önemli bir rol üstlenirler. Örneğin bankaların art niyetli işlemleri tespit edebilmek için kullandıkları sofistike yöntemler vardır ve tüketiciler kredi kartlarıyla başkalarının yaptığı sahte işlemler hakkında itirazda bulunabilirler.    

Üçüncü partilerin yokluğunda müşterilerin yardım isteyebilecekleri kimse yoktur. Bu, blokzincir uygulamalarında sıklıkla karşılaştığımız bir durum. Örneğin, insanların ve kuruluşların dijital varlık transferi için kullandıkları dijital cüzdanların herkese açık fiziksel adreslere benzeyen genel anahtarları var. Aynı zamanda da şifre işlevi gören ve sadece cüzdan sahiplerine ait olan özel anahtarlar mevcut. Özel bir anahtarı kaybetmek dönüşü olmayan bir felaket anlamına geliyor zira sahipleri bir daha cüzdanlarına erişim sağlayamıyorlar. Ocak 2021’de The New York Times’da çıkan bir haberde özel anahtarları kaybolmuş ya da unutulmuş cüzdanlarda 140 milyar dolar değerinde bitcoin’in kilitli kaldığı belirtiliyordu. Geleneksel bir bankada şifrenizi unuttuğunuz takdirde hesabınıza sonsuza dek değil sadece birkaç dakikalığına erişim sağlayamazsınız. 

Geliştiricilerin göz önünde bulundurması gerekenler. Geliştiricilerin, üçüncü partilerin paydaşları korumak için sundukları hizmetler üzerine düşünüp, bu tip koruma sistemlerini merkeziyetsiz şekilde nasıl sağlayabileceklerini keşfetmeleri gerekiyor. Şayet bu mümkün değilse, paydaşları teknolojinin normalde alışageldikleri koruma sistemlerinden yoksun olduğu konusunda bilgilendirmeliler. Bir geliştirici, kullanıcılar için büyük risk taşıdığına kanaat getirdiği bir uygulamayı geliştirmekten dahi vazgeçebilir. 

Kullanıcıların göz önünde bulundurması gerekenler. Kullanıcılar, hem kendileri hem de temsil ettikleri gruplar (danışmanlık yaptıkları müşteriler, bakımlarını üstlendikleri hastalar, haklarını korumakla yükümlü oldukları vatandaşlar) için bu önlemlerin eksikliğinin ne gibi bir risk teşkil ettiğini anlamaları gerekiyor. Riskler hakkında şeffaf olmalı ve hizmet verdikleri grupları bilgilendirip onların onaylarını almaları şart. Aynı zamanda da bu boşlukları doldurabilecek blokzincir dışı çözümleri de incelemeliler. 

Gizlilik Eksikliği

En popüler blokzincirler Bitcoin ve Ethereum kamuya açıklar. Şeffaflık ve erişilebilirlikleri ile tanınan bu blokzincirlerin tamamını isteyen herkes inceleyebilir, eklemeler yapabilir ya da denetleyebilir. Ancak şeffaflık kullanıcıların gizliliği adına ciddi bir tehdit teşkil ettiğinde özel bir blokzincir gerekli olabilir. Örneğin, Nebula Genomics özel blokzincir teknolojisini kullanarak hastaların genomik verilerin üzerinde “tam denetim” sahibi olmalarını sağlıyor. 

Bir blokzincir sadece bazı kullanıcıların görmesi gereken bilgiler içerebilir, ki bu durumda da özel ve genel blokzincirlerin birbirleriyle etkileşim halinde oldukları hibrit bir yaklaşım benimsenebilir. Örneğin, elektronik sağlık kayıtları hem gizli tutulması gereken hassas veriler hem de Centers for Disease Control and Prevention (CDC, Hastalık Kontrol ve Korunma Merkezleri) ve sağlık sigortası şirketleri gibi kurumlarla paylaşılması elzem olan bilgiler içerirler. Biyometrik bilgi toplayıp paylaşırken bir yandan da hastalarına verileri üzerinde daha fazla denetim hakkı tanıyan hibrit blokzincirlere örnek olarak Hashed Health, Equideum Health ve BurstIQ’yu verebiliriz. 

Geliştiricilerin göz önünde bulundurması gerekenler. Geliştiriciler, şeffaflık ve gizlilik arasında bir denge sağlamaya yönelik etik yükümlülüklerini ciddi biçimde göz önünde bulundurmalı ve önlerindeki senaryo için en uygun olanın genel mi, özel mi, yoksa hibrit blokzincir mi olduğuna öyle karar vermeliler. Dikkate almaları gereken bir faktör, zincirin bir üyesinin kimliğinin ortaya çıkabileceği ve böyle bir durumun ne gibi etik sonuçlar doğuracağıdır. Diğer kilit kararlar arasında kimlerin hangi verilere, hangi koşullarda ve ne süreliğine erişimleri olması gerektiği yer alır. 

Kullanıcıların göz önünde bulundurması gerekenler. Kullanıcıların, şeffaflığın kendileri ve hizmet verdikleri şirketler üzerindeki etkisini anlamaları gerekir. Cüzdan sahiplerinin kimliklerinin ortaya çıkabilme (kimi zaman kendileri dahi yanlışlıkla bu bilgileri paylaşabilirler) riskini anlamalı ve bu konuda gerekli adımları atmalılar. 

Bir finansal hizmetler şirketi müşterisinin, bir hayır kurumu ya da siyasi partiye bağış yapmak istediğini ancak bağışın miktarını veya siyasi ya da diğer ilişkileri gizli tutmak adına, bu işlemi anonim olarak gerçekleştirmek istediğini varsayalım. Finansal hizmetler şirketi paranın blokzincir üzerinden transferini tavsiye edebilir zira müşterisinin kimliği zincir içerisinde anonim kalacaktır. Ancak şirket etik olarak, müşterisini bu anonim işlemin kamuya açık olacağına dair bilgilendirmek ve kimlik bilgilerinin ortaya çıkmasını önlemenin en iyi yollarının ne olduğunu tartışmakla yükümlüdür.

Sıfır Durumu Problemi

Sıfır durumu (zero-state) problemi bir blokzincire kaydedilen ilk bloktaki (“genesis block”) verilerin doğruluğu şüpheli olduğunda ortaya çıkar. Bu da, veri incelenmesinde gerekli özen gösterilmediğinde ya da veriyi girenler hata veya art niyetli değişiklik yaptığında gerçekleşir. Örneğin, bir tedarik zincirindeki ürünleri takip etmek için kullanılan bir blokzincirin ilk bloku belirli bir kamyonun taşıdığı bakırın çıkarıldığı maden hakkında hatalı bilgi içerebilir. Kamyonla ilişkisi olan biri oyuna getirilmiş ya da rüşvetle kandırılmış ve ilk bloku oluşturan kişi bu durumdan tamamen bihaber olabilir. 

Söz konusu kanlı elmas ya da mülk olduğunda etik riskler artar. Bir hükümet, arsa tapu kayıtları veri tabanını barındıran bir blokzincir oluştururken ilk bloka bilgi girişi yapan kişi arsaları yanlış kişilerle eşleştirirse ciddi bir adaletsizlik (pratik anlamda arsa hırsızlığı) yaşanmış olur. Gizliliği koruyan, hayli emniyetli bir kripto para birimi geliştiren Zcash gibi organizasyonlar (haklı olarak) ilk bloklarının güvenilir olduğundan emin olabilmek adına ellerinden geleni yapıyorlar. 

Geliştiricilerin göz önünde bulundurması gerekenler. Geliştiriciler, ilk blokta yer alacak bilgiyi çok dikkatli şekilde inceleyip doğrulamalı ve hatalı girilmediğinden emin olabilmek adına en iyi uygulamaları kullanmalılar. Aynı zamanda kullanıcıları sıfır durumu problemi hakkında uyarmalı, blokzincirin nasıl hatalı bilgiler içerebileceğini açıklamalılar ki kullanıcılar potansiyel riskleri kendileri tartıp gerekli dikkati gösterebilsinler. 

Kullanıcıların göz önünde bulundurması gerekenler. Bir blokzincirin kullanıcıları ilk blokun nasıl oluşturulduğunu ve kullanılan verilerin nereden geldiğini dikkatlice incelemeliler. Blokzincirdeki kayıtlar tarihsel olarak dolandırıcılık, rüşvet ve hacking pratiklerinin hedefinde yer almışsa ekstra özen göstermeleri gerekir. Kendilerine, ilk bloku oluşturan organizasyonun güvenilir olup olmadığını sormalılar. Blok, güvenilir bir üçüncü parti tarafından denetlenmiş mi?

Kullanıcıların anlaması gereken bir başka nokta da, ilk ve onu takip eden bloklardaki verilerin doğru ve meşru olmaları halinde dahi sorun yaşanabileceğidir. Örneğin, etik yollardan çıkarılmış elmaslar bir kamyona yüklenebilir ve kamyonun yolculuğu blokzincire hatasız biçimde kaydedilebilir ancak bu gözü açık hırsızların yolculuğun orta yerinde gerçek elmasları sahteleriyle değiştirmelerine mani olamaz. Kullanıcılar aynı zamanda hizmet verdikleri organizasyonu sıfır durumu hakkında bilgilendirmeli, ilk blok incelemesini nasıl dikkatle gerçekleştirdiklerini açıklamalı ve dolandırıcılığı önleme adına ne gibi önlemlerin alındığını (şayet alındıysa) tespit etmeliler. 

Blokzincir Yönetişimi 

Blokzincir teknolojisini tanımlamada kullanılan “merkeziyetsiz,” “izinsiz” ve “otonom” kavramları kullanıcıların yönetişim hakkında bazı varsayımlarda bulunmalarına neden olabilir. Örneğin, liberteryenler ve anarşistler için bir harikalar diyarı olduğunu ya da üyelerin tamamının blokzincirin işleyişinde eşit söz sahibi olduklarını düşünebilirler. Aslında blokzincir yönetişimi çok önemli etik, itibari, yasal ve finansal sonuçları olan çok ama çok karmaşık bir süreçtir. Blokzincir geliştiricileri gücün kimde olacağını, gücün nasıl ele geçirileceğini, (eğer yapılacaksa) ne gibi denetimler yapılacağını ve kararların nasıl alınıp uygulanacağını belirlerler. Biri kötü şöhretli, öteki süregelen iki vaka bu konuda öğretici olabilir. 

İlk merkeziyetsiz özerk organizasyon (DAO) olan “The DAO” bir çeşit risk fonuydu ve Ethereum ağını kullanıyordu. Üyelerinin oy haklarını ortak girişime yatırdıkları para (spesifik olarak ether) miktarı belirliyordu. 2016’da hack’lenen ve 60 milyar dolar değerinde ether kaybeden fonun üyeleri ne yapmaları gerektiği konusunda farklı ideolojik pozisyonlar aldılar ve hatta hack’in gerçekten “hırsızlık” olup olmadığını dahi tartışmaya açtılar. Bir taraf, bir yazılım hatasını art niyetli şekilde kullanan kişinin elde ettiği haksız kazancı gerçek sahiplerine iade etmesi gerektiğini savunuyordu. Öteki taraf ise The DAO’nun sahte işlemleri geri almak doğrultusunda bir adım atmaması, hatayı düzeltip yoluna devam etmesi gerektiğini öne sürüyordu. Bu grup, “kodun kanun” ve “blokzincirin değiştirilemez” olduğuna inandığından, hacker’ın koda uygun hareket ettiğini ve yaptığının etik açıdan kabul edilemez olmadığını savunuyordu. İlk tarafın tartışmadan zaferle ayrılması sonucunda, bir “sert çatallanmayla” fonlar kullanıcıların yatırımlarını geri alabilecekleri bir adrese yönlendirildi. Bu süreçte blokzincir tarihi esasen yeniden yazılmış oldu. 

İkinci örneği ise bir başka DAO olan Juno’nun yönetişimiyle ilgili ihtilaf oluşturuyor. Juno, 2021 Şubat’ında ağ çapında bir “hava yardımında” (air drop: topluluk üyelerinin etkileşimini artırmak adına bedava token dağıtımı) bulundu. Sistemi nasıl oyuna getirebileceğini keşfeden bir cüzdan sahibi, token’ların yaklaşık 117 milyon dolar değerindeki büyük bir kısmını kendine almayı başardı. 2022 Mart’ında “balinanın” token’larının adil kabul edilebilecek bir hava yardımı miktarına çekilmesi doğrultusunda bir önerge sunuldu. Önerge bir ay sonra, yüzde 72 oranında oy alarak kabul edildi ve balinanın 50 binin üzerindeki token’larına el konuldu. Başkalarının parasıyla yatırım yaptığını iddia eden balina, Juno’yu mahkemeye vermekle tehdit ediyor.

Bu örnekler bize blokzincir yönetişimi ve zincirde çalışan uygulamaları dikkatli biçimde, gerekli özeni göstererek yapılandırmanın önemini gösteriyor. 

Geliştiricilerin göz önünde bulundurması gerekenler. Geliştiriciler, yönetişim yapılarının nasıl hacker ve art niyetli aktörlerin ortaya çıkmasına olanak sağlayabileceğine dikkat ederek iyi yönetişimin ne olduğuna karar vermeliler. Bu salt mekanik bir sorun değil. Geliştiriciler inandıkları değerleri açıkça ifade etmeli ve blokzincirde hayata geçirmeliler. Örneğin, DAO hack’lendiğinde Ethereum geliştiricilerinin blokzinciri değiştirmek ya da hatayı onarıp yola devam etmek arasında bir seçim yaparken ortaya çıkan felsefi farklılıkları ve token’lara el koyma lehine ya da aleyhine oy kullanan Juno kullanıcıları arasındaki benzer fikir ayrılıklarını ele alın. Bu tip etik sorunların önüne geçmek isteyen girişimciler yönetişime en baştan rehberlik edecek bir Kutup Yıldızı oluşturmalılar. 

Sistemde para ve gücün nasıl tahsis edileceği veya kazanılacağına dair kurallar yeteri dikkatle ele alınmadığında fikir ayrılıkları ortaya çıkar. DAO hacker’ının yazılımdaki bir hatayı kötüye kullanması sonucunda topluluk içinde kodun, kusurlu dahi olsa kanun olup olmadığına dair bir kargaşa koptu. Juno’da yaşanan isyanın nedeni ise token’ların en başta nasıl dağıtılmaları gerektiği üzerine yeteri kadar düşünülmemiş olmasıydı. Geliştiricilerin, oy hakkı olan bireylerin çok farklı inanç, değer, ideal ve arzuları olabileceğini anlamaları gerekiyor. Güçlü yönetişim bu farklılıkları yönetmede kullanılabilecek en güçlü araçlardan biri ve şayet geliştiricilerin değerleri blokzinciri yöneten altyapı, politika ve süreçlerde hayata geçirilebilirse ciddi etik ve finansal risklerden kaçınmak mümkün olacaktır. 

Kullanıcıların göz önünde bulundurması gerekenler. Kullanıcılar kendilerine blokzinciri geliştirenlerin değerleriyle kendi organizasyon ve müşterilerinin değerlerinin uyumlu olup olmadığını sormalılar. Kendilerinin ve müşterilerinin ne kadar dalgalanma, risk ve kontrol kaybını kabullenmeye razı olduklarını da belirlemeleri gerekir. İyi ve sorumlu yönetişimden ne anladıklarını net bir şekilde ifade etmeli ve sadece kendi standartlarına uyan blokzincirlerle çalışmalılar. Kullanıcılar tek bir otoritenin bulunmadığı dağıtık bir ağ kullanıyor olabilirler ancak politik bir teşekkülle etkileşimde olduklarına şüphe yok. 

Blokzincir için Bir Etik Risk Çerçevesine Doğru

Bir teknolojinin barındırdığı etik riskler uygulamaları kadar çeşitlidir. Örneğin, yapay zeka destekli sürücüsüz bir araba yayaları öldürme riski taşır. Veri odaklı teknolojilerin tamamı için geçerli olan etik ve itibari riskler blokzincir için de geçerlidir. Blokzincirleri kullanan üst düzey yöneticiler bu riskleri azaltacak bir çerçeveyi uygulamaya sokmalılar. Bu doğrultuda bir grup muhtemel senaryoyu da göz önünde bulundurmalılar: Organizasyonun kaçınması gereken etik facialar hangileri? Ekstrem vakalar hakkında ne düşünüyoruz? Aynı zamanda, etik sorunlarla karşılaşacaklarını öngörüp kendilerine şu soruları sormalılar: Ne gibi yönetişim yapıları inşa etmiş durumdayız? Ne gibi bir denetime ihtiyacımız var? Blokzincir teknolojisinin kurumsal ve etik değerlerimize zarar vermesi mümkün mü? Ve şayet öyleyse bu etkiyi nasıl minimuma indiririz? Paydaşlarımızı ve markamızı koruma adına ne gibi önlemler almalıyız? Neyse ki bu konuların çoğu, aralarında benim kaleme aldığım bir yapay zeka etiği programı uygulama rehberinin de yer aldığı, yapay zekanın etik risklerini ele alan eserlerde ele alındı. Bu materyal her blokzincir projesi için iyi bir başlangıç noktası teşkil edecektir. 

Vahşi Batı, bakir topraklarına adım atacak cesareti olanlara sınırsız fırsatlar sunuyordu. Ancak bu terimin kanunsuzluk ve tehlikeyle eş anlamlı hale gelmiş olmasının çok geçerli bir nedeni var. Blokzincir, oyunun kurallarını değiştirecek potansiyele sahip, keşfedilmemiş, alışık olmadığımız bir dünya teşkil ediyor. Kurumsal markalarının etik, itibari, yasal ve ekonomik zarar görmemesini sağlamakla yükümlü olan üst düzey yöneticilerin bu dünyada neyi, kimle yaptıklarına çok dikkat etmeleri gerekiyor. 

Seride Daha Fazla:

1-) Web3 Nedir?: İnternetin (Olası) Geleceğine Dair Rehberiniz

2-) Markalar Web3'le Ne Gibi Denemeler Yapıyorlar?

3-) Web3, Daha İyi Bir İnternet için Bir Şans

4-) FTX ve Kurucuların Denetimsiz Güç Problemi