Sonsuz Ark/ Evrensel Çerçeveye Yolculuk
The Human Factor in Cyber Security: The Weakest Link
Siber güvenlik dünyasında yıllardır aynı sözleri duyuyoruz: Daha güçlü şifreleme, daha akıllı algoritmalar, daha hızlı tepki sistemleri. Ancak ben, bu işe kafa yoran biri olarak şunu fark ettim: Teknoloji ne kadar ilerlerse ilerlesin, zincirin en kırılgan halkası hâlâ insan. Evet, doğru okudunuz; bir çalışanın yanlışlıkla tıkladığı bir bağlantı, milyonlarca dolarlık bir savunma sistemini çöpe çevirebilir.
Bu bir abartı değil, bilimsel bir gerçek. Verizon’ın 2023 Veri İhlali Araştırmaları Raporu’na göre, siber saldırıların %74’ü doğrudan insan hatasından kaynaklanıyor. Ponemon Enstitüsü’nün 2022 verileri ise daha çarpıcı: Çalışanların %68’i, bir kimlik avı (phishing) e-postasını gerçek bir mesajdan ayırt edemiyor. Bu istatistikler bana şunu düşündürüyor: Siber güvenlikte asıl mesele teknoloji değil, insan doğası.
Peki, bu ne anlama geliyor? İnsan faktörünü anlamadan, gerçekten güvenli bir sistem kurabilir miyiz?
İlk olarak, insan beyninin nasıl çalıştığına bakalım. Nörobilim ve psikoloji bize şunu söylüyor: İnsanlar, karar alma süreçlerinde genellikle "bilişsel kısayollar" (cognitive heuristics) kullanıyor. Bu, evrimsel bir adaptasyon; vahşi doğada hızlı karar almak hayatta kalmamızı sağladı. Mesela, bir e-posta aldığımızda, gönderenin adı tanıdık geliyorsa, içeriği sorgulamadan açıyoruz. Beynimiz, "Bu güvenli olmalı" diyor ve işin içinden çıkıyor. Ancak 2025’in dijital ormanında bu içgüdü, bizi bir tıkla fidye yazılımın (ransomware) kucağına düşürebiliyor.
Bir deney bunu net bir şekilde ortaya koyuyor: 2021’de yapılan bir simülasyon çalışmasında, katılımcıların %62’si, sahte bir "BT departmanı güncelleme" e-postasındaki bağlantıya tıkladı (Cyberpsychology, Behavior, and Social Networking). Bu bana şunu gösteriyor: İnsan beyni, modern tehditlerle başa çıkmak için hâlâ yeterince evrilmedi.
Bir diğer mesele, eğitim ve farkındalık eksikliği. Siber güvenlik efsanesi Kevin Mitnick’in dediği gibi: “Şirketlerin sistemlerini hacklemek için yazılıma ihtiyacım yok, insanlara ihtiyacım var.” Sosyal mühendislik saldırılarının bu kadar etkili olmasının nedeni tam da bu. IBM’in 2024 raporuna göre, şirketlerin %41’i çalışanlarına düzenli siber güvenlik eğitimi vermiyor. Dahası, eğitim alanların çoğu, bu süreci bir formalite olarak görüyor.
Benim gözlemim şu: Şirketler genellikle bir PowerPoint sunumuyla yetiniyor, ama bu yeterli mi? Hayır. Eğitim psikolojisi üzerine yapılan araştırmalar, kuru bilginin akılda kalma oranının sadece %10 olduğunu, buna karşılık interaktif ve oyunlaştırılmış (gamification) öğrenme yöntemlerinin bu oranı %75’e çıkardığını gösteriyor (Traci Sitzmann, 2011). Yani, insanları bilinçlendirmek istiyorsak, önce onların dikkatini çekmeyi öğrenmeliyiz.
Ama iş burada bitmiyor. İnsan faktörünü sadece "hata yapan unsur" olarak görmek de yanlış. Journal of Cybersecurity’nin 2023 tarihli bir makalesinde, stres altındaki çalışanların güvenlik protokollerini ihmal etme olasılığının %30 daha yüksek olduğu belirtiliyor. Bu veri, bana şunu düşündürüyor: Siber güvenlik, sadece teknik bir mesele değil, aynı zamanda bir insan yönetimi meselesi.
Örneğin, bir çalışan yoğun bir iş gününde "Acil" başlıklı bir e-posta aldığında, bunu sorgulamak yerine hemen açabilir. Bu bir zayıflık mı? Evet, ama aynı zamanda insan olmanın bir sonucu. Öte yandan, doğru yönlendirilmiş bir insan, en karmaşık saldırıyı bile durdurabilir. 2022’de bir finans şirketinde çalışan bir memur, şüpheli bir e-postayı BT ekibine bildirerek milyonlarca dolarlık bir kayıp önledi. Bu olay, bana insan faktörünün sadece risk değil, aynı zamanda bir fırsat olduğunu gösterdi.
Peki, çözüm ne? Bence burada disiplinler arası bir yaklaşım devreye girmeli. Siber güvenlik artık sadece bilişimcilerin alanı değil; psikologlar, davranış bilimciler, hatta antropologlar bu işe el atmalı. Mesela, bir çalışanın kültürel arka planı bile siber güvenlik davranışlarını etkileyebiliyor. Hofstede’nin kültürel boyutlar teorisine dayanarak yapılan bir araştırma, bireyci toplumlarda (örneğin ABD) çalışanların güvenlik kurallarına uyma oranının, kolektivist toplumlardakilere (örneğin Japonya) göre daha düşük olduğunu buldu (Computers & Security, 2020). Bu tür bulgular, bana şunu söylüyor: Evrensel bir "siber güvenlik kültürü" oluşturmak zorundayız, ama bunu yaparken yerel farklılıkları da göz ardı edemeyiz.
Son olarak, teknolojinin tasarım aşamasına da değinmek istiyorum. Sistemler, insan doğasının sınırlarını hesaba katarak geliştirilmeli. Mesela, çok faktörlü kimlik doğrulama (MFA) gibi çözümler, insan hatasını telafi edebiliyor. Ancak burada bile bir sorun var: Kullanıcıların %54’ü, MFA’yı "zahmetli" bulduğu için devre dışı bırakıyor (Gartner, 2023). Bu, bana şunu öğretti: Teknolojiyi insan dostu yapmadıkça, en iyi çözümler bile işe yaramayabilir.
Benim vardığım sonuç şu: Siber güvenlikte insan, hem en zayıf halka hem de en büyük koz. Teknolojiyi ne kadar mükemmel yaparsak yapalım, bir anlık dalgınlık her şeyi mahvedebilir; ama bilinçli bir insan, en sofistike saldırıyı bile bertaraf edebilir. Bilimsel veriler ve kendi gözlemlerim bana şunu söylüyor: Sistemin kalbi kodlarda değil, klavyenin önündeki o kırılgan ama bir o kadar da güçlü varlığın, yani insanın elinde. Sizce de öyle değil mi? Belki de asıl sorumuz şu olmalı: Teknolojiyi mi insanlara uyduracağız, yoksa insanları mı teknolojiye?
Hakkı Aslan, 04.04.2025, Sonsuz Ark, Konuk Yazar, Dümenciler Dünyası, Kybernétes,
- Sonsuz Ark'ta yayınlanan yazılardan yazarları sorumludur.
- Sonsuz Ark linki verilerek kısmen alıntı yapılabilir.
- Sonsuz Ark yayınları Sonsuz Ark manifestosuna aykırı yayın yapan sitelerde yayınlanamaz.
- Sonsuz Ark Yayınlarının Kullanımına İlişkin Önemli Duyuru için lütfen tıklayınız.