Las Vegas’ta düzenlenen Black Hat konferansının açılış konuşmalarından birisinde güvenlik konusunda tam bir dahi olan Bruce Schneier, güvenlikle ilgili pek çok yargının ve eylemin üzerini kaplayan bulutlara bir ışık tuttu. Schneier’e göre güvenlik yaşam için temel unsurlardan birisi.

İş güvenliğe geldiğinde asıl belirleyici faktör her zaman teknoloji değil, insan aklı da olabilir.

Las Vegas’ta düzenlenen Black Hat konferansının açılış konuşmalarından birisinde güvenlik konusunda tam bir dahi olan Bruce Schneier, güvenlikle ilgili pek çok yargının ve eylemin üzerini kaplayan bulutlara bir ışık tuttu. Schneier’e göre güvenlik yaşam için temel unsurlardan birisi.

Schneier konferans salonundan taşan kalabalığa "Güvenlik hem bir his hem de gerçekliktir," dedi. "Güvenli olmasanız bile kendinizi güvende hissedebileceğiniz gibi, aslında güvende olsanız da kendinizi güvende hissetmeyebilirsiniz. Bir bakıma güvenlik kelimesinin iki anlamı vardır ve bu durum da anlaşılmasını zorlaştırmaktadır."

Schneier güvenliği tüketicilerin bir miktar para veya zaman harcadıkları ve karşılığında bir ürün aldıkları bir takas pazarına benzetiyor. Burada sorulması gereken soru tüketicilerin ödediklerinin karşılığını alıp almadıkları değil, aldıkları ürünün gerçekten faydalı olup olmadığıdır.

Schneier "İnsanların güvenlik takas-pazarları hakkında nötral bir sezgileri vardır," diyor. "Bu takas pazarında ister sokaklardan birinde yürümeyi seçersiniz ister kapınızı kapatırsınız veya kurşungeçirmez bir yelek giyersiniz."

Schneier’e göre beş çeşit güvenlik takas-pazarı mevcut: Risk ciddiyetine göre, risk olasılığına göre, maliyetin büyüklüğüne göre, ürünün riski ne oranda azalttığına göre ve pazarın kendisine bağlı olarak.

Schneier Amygdala’nın beynimizin en eski bölümü olduğunu ve güvenlikten sorumlu olduğunu açıkladı. Beynin bu bölümü aynı zamanda kavga ve uçuş mekanizmalarını da kontrol eden bölüm.

"Amygdala beynimizin oldukça hızlı bir bölümüdür, bilinçten sorumlu kısımdan bile daha hızlı çalışır."

Kıyaslamak gerekirse beynimizin bilinçten, düşünme ve sebep-sonuç ilişkisi kurmaktan sorumlu olan kısmı ise neocortex’tir. Schneier neocortex’ten beynimizin en yeni kısmı olarak söz etti ve beta test aşamasındaki bir programa benzetti. Schneier neocortex’in aynı zamanda en yavaş çalışan bölüm olduğunu dolayısıyla da en geç reaksiyon gösteren bölüm olduğunu anlattı.

Beynin çıkarımları veya bilişsel yanlılıklar tüm insanlarda var olan ve algıyı şekillendiren beyin kısa-yollarıdır. Schneier güvenlik sorunlarının pek çoğunun bu bilişsel yanlılıkların hatası sonucunda oluştuğunu savunuyor.

"Bazı riskleri abartırken diğerlerini küçümsüyoruz."

Schneier’ın yaptığı çalışmalara göre ucunda bir kazanç varsa insanlar risk muhalifi, kayıp varsa ise risk destekçisi hale geliyorlar.

Schneier "Kesinliği olan bir kazanç bir sonraki günü de göreceksiniz demektir; diğer taraftan kesinliği olan bir kayıp ise kaybeden olduğunuzu gösterir. Riskli kayıp ise kaybetmeyebileceğiniz anlamına gelir," diyor.

Kontrol eğilimi, bizim kontrolümüzde olan şeylerin bizler için zararlı olamayacağını bize garanti eder. Müsaitlik çıkarımı ise insanların büyük rakamlarda, küçük rakamlarda oldukları kadar iyi olmadıklarını ortaya koymaktadır.

Sonradan öğrenme yanlılığı ya da diğer bir deyişle Pazartesi sabahı sendromu, başınıza bir kez bir şey geldikten sonra, bunun nasıl gerçekleştiğine dair olan düşüncülerinizi aslında yanlış hatırladığınızı açıklar.

Ardından “kişiselleştirme” gelir. Schneier olayın doğrusunu değil olay akışına daha uygun hikayeyi düşünme eğiliminde olduğumuzu açıklıyor.

Schneier’ın sunduğu çalışmalardan birisi “güven çapası” üzerineydi.
Çalışmada, katılımcılar gelişigüzel sayılarda duran bir rulet masasının önüne götürülüyorlar. Daha sonra ise Afrika kıtasındaki ulusların, rulet topunun durduğu sayıdan daha mı fazla yoksa daha mı az olduğu sorusuna tabi tutuluyorlar.
Schneier "Ortaya çıkan sonuçlara göre, gördüğümüz rakam ne kadar yüksekse tahmin ettiğimiz rakam da o denli yüksek oluyor," dedi. "Beynimiz yüksek rakama adeta demir atıyor. Bunun çok enteresan bir anlamı var. İnsanlara gelişigüzel veriler dağıttığınızda bu verilere sığınmayı seçiyorlar. Bu da demek oluyor ki örneğin risk tahmininde insanlarda bilgisayar-benzeri hesaplamalar arıyorsanız, zamanınızı boşa harcıyorsunuzdur."

Schneier konuşmasının sonunda insanların çok ince bir biçimde ayarlanmış bir risk algısına ve maliyet anlayışına sahip olduklarını belirtti. Eğer iyi bir güvenlik uzmanıysanız insanlardan bu eğilimleri edinebilir ve bu eğilimlerin üstesinden gelebilirsiniz.

Schneier "Kötü niyetli kişiler de bu eğilimleri anlamaya çalışacak ve anlayacaklardır, sonra da sömürmeye başlayacaklardır," dedi. "Günümüzde ikna alanında her geçen gün daha fazla kötü niyetle karşılaşmaktayız."

Güvenlik profesyonelleri için asıl sorun güvenlik algısı ve gerçekliğin işlemez duruma gelmesi hali.

"Bence güvenlik camiası olarak bizler, insanların güvenliği nasıl algıladıkları üzerine çok daha fazla çalışma yapmalıyız özellikle de ürün dizayn ederken."

Yazar: Sean Michael Kerner
turk.internet.com