Blok Zinciri ve DLT Teknolojilerine Yönelik Yeni Güvenlik Çerçeveleri Yolda

Bu hafta Cloud Security Alliance (CSA) Blockchain / DLT Çalışma Grubu olarak önemli bir toplantı gerçekleştirdik. Toplantıda, birkaç aydır üzerinde çalıştığımız iki taslak dokümanın - “DLT Cybersecurity Maturity Core Framework” ve “DLT Privacy Maturity Core Framework” - analiz sunumları yapıldı. Hatta şu an sunum sonrası aldığımız geri bildirimler üzerine çalışmaya başladık bile. Muhtemelen Ekim 2023’de bu dokümanlar sizlerin erişimine açık hale gelecek. Tabii neden bulut güvenliği alanındaki bir organizasyon blok zinciri teknolojileriyle bu kadar ilgileniyor sorusu akıllara gelebilir, hemen yanıtlayayım. CSA, devrim yaratan teknolojilerden yapay zeka, kuantum bilişim ve blok zinciri teknolojilerini bulut bilişim hizmetleri açısından önemini görüp kendisi açısından odak noktaları olarak ilan etmiş durumda. CSA’nın ana sayfasına gidip blok zinciri yazdığınızda bunu ne kadar ciddiye aldığını kendiniz de görebilirsiniz. 

Çalışmadaki temel amacımız, blok zinciri teknolojisinin yaygınlaşması ile birlikte ortaya çıkan risk ve güvenlik yönetim ihtiyaçlarının karşılanmasında başta finans sektörü olmak üzere şirketlere rehberlik sunacak çerçeveler sağlamak. Birçok ülkeden teknoloji, risk ve güvenlik uzmanlarının yer aldığı bu çalışmada, mevcut risk değerlendirme çerçevelerinden ve yaklaşımlarından yararlanıyoruz. Böylelikle hazırlamakta olduğumuz dokümanların dili, farklı disiplinlerden uzmanlar açısından daha anlaşılır hale geliyor. 

Şimdi sizlere yararlandığımız yaklaşımlardan bahsetmek istiyorum. Bunlardan ilki Gartner’ın DLT teknoloji yapısını tanımladığı çerçevesi, yalın bir   katmanlar halinde bu teknolojiyi görselleştiriyor. İkincisi ise küresel çapta en bilinen siber güvenlik olgunluk modellerinden NIST Cybersecurity Framework. Yararlandığımız bir diğer yaklaşım ise “Chris Hammerschmidt'in üç katmanlı modeli”. Bu model, CSA tarafından yayımlanan “Blockchain/ Distributed Ledger Technology (DLT) Risk and Security Considerations” dokümanında da karşımıza çıkıyor. Ayrıca tehdit analizleri için de STRIDE ve PASTA gibi modellerden yararlanıyoruz. 

Chris Hammerschmidt’ın modelinden biraz bahsedeyim. Bu modelin en üstteki kavramsal katmanı, bizlere kullanılan blok zinciri teknolojisinin üst düzey bir görünümünü sunuyor. Modeldeki etkileşim katmanı ise kriptografi, dağıtık sistemler ve veri tabanları gibi blok zinciri teknolojisini oluşturan bileşenlerin bir bütün olarak nasıl etkileşime girdiklerini açıklıyor. Son olarak teknoloji katmanı da temel teknolojilerin nasıl çalıştığını ve beklenen işlevselliklerini görselleştiriyor.

Blok zinciri teknolojisinin özel olarak değerlendirilmesi gereken riskleri ve bu teknolojiye ait literatürün ağırlıklı olarak yazılım mühendisleri tarafından geliştirilmiş olması, risk analizlerini zorlaştırıyor. Şirketlerimizde ele alınan blok zinciri teknolojilerinin iyi anlaşılması, kritik iş süreçlerinin devamlılığı açısından çok önemli. İşte bu noktada, STRIDE modeli, Chris Hammerschmidt'in üç katmanlı modeli gibi yaklaşımların kullanımı ile blok zinciri teknolojisinin risklerinin daha anlaşılır bir dille açıklanması, görselleştirmesi kolaylaşıyor. Bu da şirketlerimizdeki blok zinciri teknolojilerinin farklı katmanlarına ait açıkların belirlenmesi, bunların yönetilmesi, gerekli güvenlik kontrollerinin tespit edilmesi, tasarımlarının oluşturulması ve uygulanmasını daha etkin ve ekonomik hale getiriyor.  

Blok zinciri teknolojisinin en popüler kullanım alanı olan kripto ekosistemi açısından risk ve güvenlik yönetimi çok önemli bir başlık olduğunu her geçen gün daha iyi anlıyoruz. Yakın zamanda, kripto ekosisteminde yankı bulan önemli bir siber saldırı olayı meydana geldi. Demem o ki, eğer kendinizi blok zinciri teknolojisinin risk evrenine anlamaya adamayı düşünüyorsanız CSA’nın blok zinciri / DLT teknolojileri risklerine yönelik yapmakta olduğu çalışmalarını takip etmeniz, hatta bu çalışmaların bir parçası olmanız sizlere önemli kazanımlar sağlayacaktır.