Geçtiğimiz hafta İstanbul Blockchain Week 2023 etkinliğinde, CSATR adına konuşmacı olarak yer aldığım panelde, Microsoft Türkiye'den Mehmet Üner ve Turkcell'den Anıl Öz ile birlikte, blok zinciri teknolojisinin güvenlik risklerinin yönetiminde bulut çözümlerinin etkisi konusundaki görüşlerimizi paylaştık. Özellikle CSA'nın blok zinciri risk ve güvenlik yönetimi alanındaki çalışmalarını tanıttığımız konuşma sonrasında aldığımız geri bildirimler, amacımıza ulaştığımızı gösteriyor.

Etkinlikte, kripto varlık saklama hizmeti sunan firmaların da katılım sağladığını gördük. Ülkemizde bankalar gibi kurumsal yapıların kripto sektörüne girmeye başlamasıyla birlikte, kripto varlıkların güvenilir şekilde saklanmasına yönelik çözümler daha da popüler hale gelmeye başladığını düşünüyorum.

İlginizi çekebilir: Kripto, Bankaya Hücumun Sebebi Değil Çaresidir

Kripto dünyasında kullanılan varlık saklama yaklaşımlarından ilki, sıcak saklama çözümleridir. Bu çözümlerde, cüzdanlar sürekli çevrimiçidir ve blok zincire bağlıdır. Bu nedenle işlemler hızlı bir şekilde gerçekleştirilebilir. Öte yandan, soğuk saklama çözümleri çevrimdışı cüzdanlar olarak da bilinir ve diğer sistemlerden fiziksel olarak izole edilmişlerdir. Genellikle özel anahtarların saklanmasında tercih edilen bu çözümler, işlemlerin onaylanması ve gerçekleştirilmesi için daha fazla zamana ihtiyaç duyar. Bu nedenle genellikle uzun vadeli saklanan dijital varlıklar için kullanılırlar. Ilık saklama çözümleri ise bu iki yaklaşımın avantajlarını bir araya getirmeye çalışır.

Güvenli Saklama Çözümleri

Etkinlikte yer alan Fireblocks gibi kripto saklama hizmet sağlayıcıları, bireysel ve kurumsal müşterilere güvenli saklama çözümleri sunuyor. Bu çözümler, müşterilere ait kripto varlıkların, anahtarların ve diğer ilgili verilerin gizlilik, bütünlük ve erişebilirlik ilkelerine uygun bir şekilde bir soğuk cüzdan ortamında saklanmasını sağlıyor. 

Bu noktada bilgi güvenliğinin üç temel ilkesi önem kazanır. Gizlilik ilkesi, ilgili verilerin sadece yetkili taraflar tarafından yetkilendirilmiş şekilde görüntülenebilmesini ifade eder. Bütünlük ilkesi, verilerin yetkili kullanıcılar tarafından belirlenen kaliteyi koruması gerektiğini belirtir. Erişilebilirlik ise yetkili kullanıcıların ilgili verilere yetkileri dahilinde zamanında erişebilmelerini ifade eder. Kripto saklama hizmeti sunan firmalar, bu ilkeleri nasıl sağladıklarını ve kripto varlıkların yaşam döngüsü boyunca nasıl uygulandıklarını net bir şekilde ortaya koyabilmelidir. 

İlginizi çekebilir: Consensus 2023: Kurumsal Açıdan Self-Custody

Kripto varlıklar açısından özel anahtarlar, kullanıcıların dijital varlıklarına erişimlerini ve yetkisiz erişim veya işlemlere karşı korumalarını sağlar. Eğer özel anahtarınız dolandırıcılık veya hırsızlık sonucu üçüncü tarafların eline geçerse, dijital varlıklarınız üzerindeki kontrolünüzü kaybettiniz demektir. Bu nedenle özel anahtarların güvenli bir şekilde oluşturulması ve saklanması son derece önemlidir. Özel anahtarlar ve yedekleri ayrı tutulmalı,  içsel ve dışsal saldırılardan korunmalıdır. İşte bu noktada profesyonel kripto saklama çözümleri devreye girer. Bu çözümler, özel anahtarların ve yedeklerinin gizlilik, erişilebilirlik ve bütünlüğü ile ilgili yukarıda bahsedilen riskleri, özel anahtarların ve yedeklerinin tüm yaşam döngüsü boyunca azaltmak için kullanılır.

Potansiyel Riskler

Özel anahtarın yaşam döngüsünün ana aşamalarına ve her evrede var olan potansiyel risklere göz atalım. İlk aşama anahtar seremonisidir. Özel anahtarlarımızın anahtar seremonisi sırasında veya sonrasında yetkisizce görüntülenmesi veya kopyalanması riski bulunmaktadır. Aynı zamanda özel anahtarların ve yedeklerinin saklanma süreci sırasında kaybolma, çalınma veya hasar görme riski de vardır. Ayrıca özel anahtarların ve yedeklerinin saklanmasıyla ilgili görev ayrımı ilkesinin net olarak belirlenmemesi, risk iştahına uygun bir güvenlik çerçevesinin oluşturulmaması da bir diğer risk alanıdır çünkü dijital varlık işlemlerinin onaylanması ve gerçekleştirilmesi için kontroller yeterince iyi tasarlanmamışsa, yetkisiz erişim ve müdahale riski artabilir.

Bu nedenle, güçlü bir risk yönetim ve iç kontrol yapısı sunabilen kripto varlık saklama firmalarıyla çalışmaya özen göstermelisiniz. Bankalar gibi güçlü yapıların faaliyet gösterdiği finans dünyasında hata veya sahtekarlık durumunda finansal varlıkların iade edilebilmesine karşın, kripto dünyasında böyle bir imkanın bulunmadığını akılda tutmak gerekir.