Zinet Özlem Akgüç: “Dijital Güvenlik Riskleri Statik Yasalarla Yönetilemez”
Türksat bünyesinde ‘Risk Yönetimi ve Regülasyon Uyumu’ alanında üstlendiği sorumluluğu, hukukçu kimliğiyle harmanlayan Zinet Özlem Akgüç; dijital güvenlik tartışmalarına ezber bozan bir pencereden bakıyor. Akgüç ile GDPR’ın bürokratik hantallığından ‘dijital çocuk işçiliği’ne, rıza yorgunluğundan siber hijyen sorumluluğuna kadar pek çok kritik başlığı konuştuk.
Avrupa Birliği, GDPR ile tüm dünyaya veri güvenliği dersi verirken, kendi bünyesindeki kurumların hacklendiğine şahit olduk. Kendi dijital kapısını kilitleyemeyen bir otoritenin, Meta veya Google’ı denetlemesi ne kadar inandırıcı? GDPR vatandaşı koruyan bir ‘kalkan’ mı, yoksa sadece şirketlere sallanan ‘cezai bir sopa’ mı?w
GDPR aslında niyet olarak bir “kalkan”dı; bireyin verisini güç dengesizliği karşısında korumayı hedefliyordu. Ancak uygulamada çoğu zaman bir “cezai sopa”ya dönüştüğünü de inkâr edemeyiz.
Avrupa Birliği’nin kendi kurumlarının dahi ciddi veri ihlalleri yaşadığı bir ortamda, teknoloji devlerini denetlerken mutlak bir ahlaki üstünlükten söz etmek çok zor. Fakat bu durum GDPR’ın gereksiz olduğu anlamına tabii ki gelmiyor; aksine, şunu gösteriyor: Mevzuat tek başına güven ortamı oluşturmaz. Güven; kurallarla birlikte kurum kültürü, şeffaflık ve hesap verebilirlik gerektirir. Aksi halde yasa, vatandaşı koruyan bir zırh olmaktan çıkıp, yalnızca kurumların “yükümlülük kontrol listesi”ne dönüşür.
“Çözüm Daha Hızlı Yasa Yapmak Değil, Esnek ve İlkesel Davranmak Olmalı”
Teknoloji ışık hızıyla değişirken, yasal düzenlemeler yavaş ve bürokrasi hantal kalmakla eleştiriliyor. Bir yasa çıkana kadar bu yasanın konu edindiği teknoloji evrim geçirmiş olabiliyor. Bu hız farkı (asenkronizasyon), bizi koruması gereken yasaları doğduğu gün ‘ölü’ hale getirmiyor mu?
Evet, çok net bir asenkronizasyon var. Hukuk doğası gereği daha temkinlidir; teknoloji ise deneyerek ilerler. Sorun şu ki, bu hız farkı kapatılmadığında yasalar daha yürürlüğe girdiği gün eskimeye başlıyor.
Ancak burada çözüm, “daha hızlı yasa yapmak” değil; daha esnek ve ilke temelli düzenlemeler üretmek olmalıdır. Teknolojiyi tek tek tanımlayan maddeler yerine, değişime ve hatta dönüşüme dayanıklı temel ilkeler koyabilirsek, hukuk doğduğu gün “ölü” olmaz; aksine uyumlanabilir olur.
Şirketler formları doldurarak hukuki uyumluluk (compliance) sağlıyor ama veriler arka kapıdan sızmaya devam ediyor. Biz şu an gerçek güvenliği mi sağlıyoruz, yoksa sadece bürokratik bir ‘Güvenlik Tiyatrosu’ mu izliyoruz? Amaç veriyi korumak mı, şirketi cezadan korumak mı?
Aklımıza şu soru geliyor; Güvenlik Tiyatrosu mu, Güvenlik Kültürü mü?
Bugün birçok yerde gördüğümüz şey, gerçek güvenlikten çok bir güvenlik hissi üretmek. Belgeler hazırlanıyor, formlar dolduruluyor; ancak ihlaller hâlâ yaşanıyor. Sorun, uyumluluğun varlığı değil, nasıl ele alındığıdır.
Buradaki temel sorun şu: Uyumluluk, çoğu zaman veriyi korumak için değil, kurumu ya da şirketi cezadan korumak için yapılıyor. Gerçek güvenlik; denetlenebilir, test edilebilir ve sürekli güncellenen bir süreçtir. Uyum denetimleri yalnızca cezadan kaçınmak için yapılan bir formaliteye indirgenirse etkisiz kalır. Oysa doğru kurgulandığında denetim; kurumların risklerini görmesini sağlayan, güvenliği bir belge seti olmaktan çıkarıp kurumsal bilinç ve refleks haline getiren güçlü bir araçtır.
Gerçek güvenlik, imzalanan metinlerde değil; denetlenen, test edilen ve sürekli geliştirilen yaşayan süreçlerde ortaya çıkar.
“Çocuğu Özel Hayatının İhlal Edilmemesi Hem Devletin Hem de Ailelerin Sorumluğuğunda”
Her gün maruz kaldığımız ‘Kabul Et’ butonları bizde bir ‘Rıza Yorgunluğu’ yarattı. Okumadan ‘evet’ diyoruz çünkü mecburuz. Bu sistem bize gerçekten kontrol gücü mü veriyor, yoksa yasal prosedür tamamlansın diye bize bir ‘özgür irade illüzyonu’ mu satılıyor?
Bugün telefon ekranımızda alışveriş yaparken bile verdiğimiz rızaların büyük kısmı, gerçek bir özgür iradeden çok yorgunluğun sonucu. Sürekli karşımıza çıkan “Kabul Et” butonları, kullanıcıyı düşünmeye değil, bir an önce devam etmeye zorluyor. Bu koşullarda bilinçli bir tercih beklemek gerçekçi değil.
Bu sistem, bize kontrol bizdeymiş hissi veriyor; ancak pratikte sorumluluğu bireyin omzuna yüklüyor. Hukuken rıza alınmış olabilir ama etik açıdan bakıldığında, bu çoğu zaman gerçek bir irade beyanından ziyade bir “özgür irade illüzyonu”.
GDPR şirketleri dizginlemeye çalışıyor ama tehdit bazen evin içinden geliyor. Bugün aileler, çocuklarının mahrem anlarını sosyal medyada paylaşıyor, hatta onları ‘tehlikeli kitlelerin’ önüne bile bile atarak üzerlerinden para kazanıyor (Kidfluencers). Çocuğun verisini bizzat ebeveyni pazarlıyorsa, hukuk burada çocuğu kime karşı koruyacak? Bu modern bir ‘çocuk işçiliği’ değil midir ve hukuk buna neden seyirci?
Bir anne olarak bu konuyu yalnızca hukuki değil, vicdani bir yerden de değerlendiriyorum. GDPR, çocuğu çoğunlukla şirketlere karşı korumayı hedefliyor; ancak bugün çocuğun mahremiyeti bazen iyi niyetle de olsa bizzat ebeveyni tarafından ihlal edilebiliyor. Tehdit her zaman dışarıdan gelmiyor, bazen evin içinden geliyor.
Bir çocuğun özel hayatının, farkında olmadan ya da bilinçli şekilde dijital vitrine çıkarılması, bana göre modern çağın en görünmez ama en ağır ihlallerinden biri. Bu nedenle bu tartışmanın “dijital çocuk işçiliği” başlığı altında ele alınması gerektiğini düşünüyorum. Hukukun burada geri planda kalmasının temel nedeni ise “ebeveyn rızası” kavramının neredeyse dokunulmaz kabul edilmesi.
Bu noktada, Avustralya’da 16 yaş altı çocuklara yönelik sosyal medya kısıtlamalarını öngören yasal düzenlemeyi önemli ve cesur bir adım olarak görüyor ve destekliyorum. Çünkü çocuğun üstün yararı, ebeveyn rızası dâhil olmak üzere her türlü ekonomik, sosyal ve dijital çıkarın üzerinde olmalı. Bu, sadece bir hukuk meselesi değil; aynı zamanda bir ebeveynlik sorumluluğu.
Mahremiyetin pahalı cihazlarla (örneğin iPhone) satın alınabileceği düşünülürdü. Ancak ‘The Fappening’ skandalı gösterdi ki, dünyanın en pahalı, en kapalı ekosistemini (iCloud) kullananlar bile hacklenip ifşa edilebiliyor. Parası olmayanın verisi satılıyor, parası olanınki ise sızdırılıyor. Bu durumda ‘Dijital Güvenlik’ sadece bir pazarlama yalanı mıdır? Aslında hiçbirimiz güvende değil miyiz?
“The Fappening” bize çok net bir şey gösterdi: Kapalı ekosistemler mutlak güvenlik sağlamaz. Bugün parası olmayanın verisi sistematik olarak satılıyor, parası olanınki ise “istisnai sızıntılarla” ifşa ediliyor. Bu tablo bize şunu söylüyor: Dijital güvenlik, büyük ölçüde bir pazarlama anlatısıdır. Hiçbirimiz tamamen güvende değiliz; sadece farklı risk profillerine sahibiz. Bu gerçekle yüzleşmeden sağlıklı bir güvenlik politikası üretmek de mümkün değil.
“Şirketler Regülasyon Boşlukların Yararlanmayı Tercih Ediyor”
Güvenliği ürünün standardı yapmak yerine, neden sürekli son kullanıcıya ‘dijital okuryazarlık’ eğitimi vermekten bahsediyoruz? Bozuk araba satıp kaza yapana ‘iyi şoför olsaydın’ demek, bir tür ‘mağdur suçlayıcılık’ (victim blaming) değil mi?
Elbette dijital okuryazarlık önemli; ancak onu her şeyin çözümü gibi görmek doğru değil. Çünkü her sistemin, her ürünün belli güvenlik riskleri vardır ve bu riskler kullanılan teknolojinin kalitesine, tasarımına ve alınan önlemlere göre değişir. Asıl sorun, bu riskleri görmezden gelip tüm sorumluluğu kullanıcıya yüklemek.
Eski bir rallici olarak şunu söyleyebilirim: Rallide ne kadar güvenlik önlemi alırsanız alın, yarıştan önce etap çalışması yapar, yol notu çıkarırsınız. Bu, kazayı “sürücünün hatası”na bağlamak için değil; hem daha güvenli sürmek hem de iyi bir derece yapmak içindir. Dijital okuryazarlık da böyledir: Kullanıcının, içinde bulunduğu dijital ortamın risklerini önceden tanımasını ve daha bilinçli hareket etmesini sağlar.
Ancak bu durum, güvenliğin yalnızca kullanıcıya bırakılmasını haklı çıkarmaz. Güvenliği ürünün ve hizmetin doğal bir parçası haline getirmek yerine, her ihlalden sonra “daha dikkatli olmalıydın” demek; samimi görünse de sorumluluğu adil olmayan şekilde bireyin omzuna yükleyen bir yaklaşımdır. Gerçek güvenlik, kullanıcıyı suçlamadan sistemi daha dayanıklı hale getirmekle başlar.
Devletlerin ve şirketlerin örtbas ettiği açıkları halka duyuran hacktivistler suçlu ilan ediliyor. Eğer denetim mekanizmaları çalışmıyorsa; bu ifşalar bir suç değil, demokratik bir ‘zorunlu hizmet’ sayılabilir mi?
Etkili ve işleyen denetim mekanizmalarının varlığı, bu tür ifşalara duyulan ihtiyacı zaten büyük ölçüde azaltır. Elbette her ifşa eylemi meşru kabul edilemez; bu ayrımı net biçimde yapmak gerekir.
Ancak kamusal etki yaratabilecek güvenlik açıklarının uzun süre görünmez kaldığı ya da yeterince ciddiye alınmadığı durumlarda, yapılan bazı ifşalar toplum açısından bir uyarı işlevi de görebiliyor. Bu noktada mesele, ifşayı yapanı merkeze koymaktan ziyade, bu açıkların neden kurumsal denetim süreçleri içinde daha erken tespit edilemediğini sorgulamak olmalı. Asıl tartışılması gereken konu, bireysel eylemlerden çok, denetim ve şeffaflık mekanizmalarının nasıl daha etkin hale getirilebileceğidir.
Tüm bu konuştuklarımızdan anlıyoruz ki, matbaadan çıkmış ‘statik’ yasalarla, her saniye güncellenen ‘dinamik’ algoritmaları denetlemeye çalışmak imkânsız. Sizce GDPR ve benzeri düzenlemeler, hayatta kalmak için nasıl bir evrim geçirmeli? Kâğıt üzerindeki maddelerden çıkıp, yapay zekayı yapay zekâ ile denetleyen, teknolojiyle eş zamanlı güncellenen ‘canlı’ bir hukuk sistemine mi geçmeliyiz? Yoksa sürekli ‘yamalanan’ ama çekirdeği eskimiş bir işletim sistemi gibi, miadı dolmuş yasalarla günü kurtarmaya devam mı edeceğiz?
Mevcut haliyle statik hukuk metinleri, dinamik algoritmaları denetlemekte yetersiz kalıyor; bu çok net. Gelecekte hukukun ayakta kalabilmesi için, teknolojiyle eş zamanlı güncellenen, risk temelli, sürekli denetlenen ve gerektiğinde kendini revize edebilen ve yenileyebilen “canlı” bir yapıya evrilmesi gerekiyor. Yapay zekâyı yine yapay zekâ ile denetlemek artık bir fantezi değil, bir zorunluluk.
Öte yandan bugün şirketlerin önemli bir kısmı, yeni teknolojiler geliştirirken regülasyon boşluklarını doldurmayı değil, bu boşluklardan yararlanmayı tercih ediyor. Hukuktan beklenen ise sürecin sonuna yetişmeye çalışmak değil; daha en başta, tasarım ve planlama aşamasında masada olmak. Ne yazık ki bu yaklaşım, henüz küresel ölçekte yerleşmiş bir uygulama değil. Bu dönüşüm gerçekleşmeden, hukukun teknolojiyle gerçek anlamda aynı dili konuşması mümkün görünmüyor.
Bu söyleşide ele aldığımız tüm başlıklar aslında aynı soruya işaret ediyor: Dijital dünyada güveni, kâğıt xüzerindeki kurallarla mı yoksa insanı, teknolojiyi ve sorumluluğu birlikte merkeze alan bir anlayışla mı inşa edeceğiz?
Bu içerik 347. Sayıda yayımlanmıştır
