OrchidRhythm
Kayıtlı Kullanıcı
Ekran dondu kaldı, internet bankacılığı sayfası aniden bir "güvenlik uyarısıyla" karardı. O an neye uğradığını şaşırdı, içinden bir ses "yine mi birileri hesabıma sızmaya çalışıyor?" diye fısıldadı. Oysa sadece rutin bir EFT yapmak istemişti, üstelik her zamanki gibi güvendiği, trafiği şifreleyen o VPN tüneli üzerinden bağlıyken. IP adresinin anlık olarak Portekiz'den görünüyor olması problem teşkil etmemeliydi, değil mi? Bankanın Fraud Detection algoritmaları için bu, bildiğin bir anomaliydi, olağan şüpheli muamelesi... Zira sistem, coğrafi konum bilgisini temel alarak anlık kimlik doğrulama kontrolleri yapıyordu, ve bu durum, yani saniyeler içinde binlerce kilometrelik bir *hop*... İşte bu, işin çetrefilli kısmıydı, vallahi billahi.
Bir süre ekrana boş boş baktı, sanki uyarının kendiliğinden yok olmasını bekler gibi. "Erişiminiz geçici olarak kısıtlanmıştır" yazıyordu, altındaki minik "detaylar" linkine tıklayınca da 'olağan dışı giriş denemesi' ve 'farklı coğrafi konum bilgisi' gibi ibareler çıktı. Yani tamamen VPN yüzünden. Düşünüyordu, sen burada siber güvenlik kaygılarınla OpenVPN protokolü üzerinden 256-bit AES şifreleme kullan, DNS sızıntısı olmasın diye Kill Switch aktif tut, bir de üstüne Zero-Log politikası olan bir servis seç... Sonra gel, banka sana "abi sen neden Mars'tan bağlanıyorsun?" desin... İnsan sinirleniyor tabii, emek var orada, güvenlik hassasiyeti var...
Telefonu eline almak kolay olmadı. O malum "güvenlik departmanı" hattına bağlanmak başlı başına bir sınavdı, müzik dinlemekten beynin sulanıyor resmen. Dakikalar sonra nihayet bir ses tonu... Karşısındaki memur, durumu dinlerken "hmm"lamaktan öteye geçemedi ilk başta. Sonra o klasik soru geldi: "VPN kullandığınızı görüyoruz beyefendi/hanımefendi, doğru mu anladık?" İşte orada bardağı taşıran son damla damladı, yahu tabii ki kullandım, niye kullanmayayım ki?
"Evet efendim, kullanıyorum," dedi, sesindeki hafif yükselmeyi bastırmaya çalışarak. "Fakat bunun bir art niyet taşımadığını, tam aksine, kendi finansal verilerimi ve kimlik bilgilerimi korumak amaçlı bir önlem olduğunu belirtmek isterim. Halka açık Wi-Fi ağlarında man-in-the-middle ataklarına karşı ne kadar savunmasız kalındığını biliyorsunuzdur, değil mi? Ben de trafiğimi tünelleyip enkapsüle ederek, dışarıdan gelebilecek olası dinlemeleri engellemeye çalışıyorum, bildiğiniz gibi tüm veriler şifreli bir şekilde iletiliyor..." Karşısındaki muhtemelen bu kadar detaya hakim değildi ama anlatmalıydı, ikna etmeliydi o insanı.
Memurun sesi biraz daha yumuşamıştı sanki. "Anlıyorum efendim ama sistemimiz bunu riskli bir davranış olarak algılıyor." İşte tam da bu noktada devreye girmesi gereken bir açıklama vardı: "Sizin sistemleriniz IP Spoofing veya coğrafi kısıtlama atlatma gibi kötü niyetli kullanım senaryolarını engellemek için tasarlandı, bunda hemfikirim. Ancak ben burada tamamen kişisel verilerimin güvenliğini temin etmeye çalışıyorum. Evden bağlandığımda da, iş yerimdeki kontrollü ağdan bağlandığımda da durum aynı, her zaman tünelleme yapıyorum. Zira ISP'min bile benim hangi sitelere girdiğimi görmesini istemiyorum, değil mi? Bu tamamen kişisel bir mahremiyet tercihi, P2P trafik deseniz, hayır efendim, sadece bankacılık işlemleri..."
Bir an duraksadı, memurun nefes aldığını hissetti karşı hattan. "Yani bankanızın KYC politikalarına tamamen uyumlu bir vatandaşım ben. Sadece internete çıkış noktamın belli bir lokasyondan değil, şifreli bir aracı sunucu üzerinden olmasını tercih ediyorum. Bu, benim dijital ayak izimi korumak adına attığım bir adım, yani bir nevi kişisel DDoS koruması gibi düşünebilirsiniz, potansiyel hedef olmaktan kaçınmak..." Aslında haklıydı, bu çağda kendi siber hijyenini sağlamak artık bir zorunluluktu, bir tercih değil.
Memur, elindeki klavyede bir şeyler tuşladı, belli ki not alıyordu, belki de durumu üst birime aktarıyordu, kim bilir... Sonra o beklenen cümle döküldü dudaklarından: "Anlaşıldı efendim. Güvenlik birimimizle teyitleştik, şu an için hesabınızdaki kısıtlamayı kaldırıyoruz. Ancak ilerleyen dönemlerde benzer durumların yaşanmaması adına... mümkünse... VPN kullanmadan denemenizi öneriyoruz." Ah be abi ya, yine mi aynı tas aynı hamam? Sanki bütün bu izahatı yapmamış gibi... Ama işte o an, o cümle, bir rahatlama getirdi. Engel kalkmıştı. Vallahi kalkmıştı.
Olayın sonunda bir tebessüm yayıldı yüzüne. Aslında durum biraz ironikti, güvenlik için yaptığın bir şey, seni daha da güvensiz (!) bir duruma düşürebiliyordu. Dijital dünyanın tuhaf çelişkileri işte... Bir yandan verilerinizi şifreleyin, koruyun derken, öte yandan bu koruma mekanizmaları, sıradan vatandaşı potansiyel tehdit listesine alabiliyor. İşin özü, teknolojik okuryazarlık sadece bireyler için değil, kurumlar için de bir zorunluluk haline geldi. Ne bileyim, belki bir gün bankalar da "Zero Trust" modelini benimser de, IP adresinden çok daha fazlasına bakar, bağlamı önemserler... Kim bilir...
Bir süre ekrana boş boş baktı, sanki uyarının kendiliğinden yok olmasını bekler gibi. "Erişiminiz geçici olarak kısıtlanmıştır" yazıyordu, altındaki minik "detaylar" linkine tıklayınca da 'olağan dışı giriş denemesi' ve 'farklı coğrafi konum bilgisi' gibi ibareler çıktı. Yani tamamen VPN yüzünden. Düşünüyordu, sen burada siber güvenlik kaygılarınla OpenVPN protokolü üzerinden 256-bit AES şifreleme kullan, DNS sızıntısı olmasın diye Kill Switch aktif tut, bir de üstüne Zero-Log politikası olan bir servis seç... Sonra gel, banka sana "abi sen neden Mars'tan bağlanıyorsun?" desin... İnsan sinirleniyor tabii, emek var orada, güvenlik hassasiyeti var...
Telefonu eline almak kolay olmadı. O malum "güvenlik departmanı" hattına bağlanmak başlı başına bir sınavdı, müzik dinlemekten beynin sulanıyor resmen. Dakikalar sonra nihayet bir ses tonu... Karşısındaki memur, durumu dinlerken "hmm"lamaktan öteye geçemedi ilk başta. Sonra o klasik soru geldi: "VPN kullandığınızı görüyoruz beyefendi/hanımefendi, doğru mu anladık?" İşte orada bardağı taşıran son damla damladı, yahu tabii ki kullandım, niye kullanmayayım ki?
"Evet efendim, kullanıyorum," dedi, sesindeki hafif yükselmeyi bastırmaya çalışarak. "Fakat bunun bir art niyet taşımadığını, tam aksine, kendi finansal verilerimi ve kimlik bilgilerimi korumak amaçlı bir önlem olduğunu belirtmek isterim. Halka açık Wi-Fi ağlarında man-in-the-middle ataklarına karşı ne kadar savunmasız kalındığını biliyorsunuzdur, değil mi? Ben de trafiğimi tünelleyip enkapsüle ederek, dışarıdan gelebilecek olası dinlemeleri engellemeye çalışıyorum, bildiğiniz gibi tüm veriler şifreli bir şekilde iletiliyor..." Karşısındaki muhtemelen bu kadar detaya hakim değildi ama anlatmalıydı, ikna etmeliydi o insanı.
Memurun sesi biraz daha yumuşamıştı sanki. "Anlıyorum efendim ama sistemimiz bunu riskli bir davranış olarak algılıyor." İşte tam da bu noktada devreye girmesi gereken bir açıklama vardı: "Sizin sistemleriniz IP Spoofing veya coğrafi kısıtlama atlatma gibi kötü niyetli kullanım senaryolarını engellemek için tasarlandı, bunda hemfikirim. Ancak ben burada tamamen kişisel verilerimin güvenliğini temin etmeye çalışıyorum. Evden bağlandığımda da, iş yerimdeki kontrollü ağdan bağlandığımda da durum aynı, her zaman tünelleme yapıyorum. Zira ISP'min bile benim hangi sitelere girdiğimi görmesini istemiyorum, değil mi? Bu tamamen kişisel bir mahremiyet tercihi, P2P trafik deseniz, hayır efendim, sadece bankacılık işlemleri..."
Bir an duraksadı, memurun nefes aldığını hissetti karşı hattan. "Yani bankanızın KYC politikalarına tamamen uyumlu bir vatandaşım ben. Sadece internete çıkış noktamın belli bir lokasyondan değil, şifreli bir aracı sunucu üzerinden olmasını tercih ediyorum. Bu, benim dijital ayak izimi korumak adına attığım bir adım, yani bir nevi kişisel DDoS koruması gibi düşünebilirsiniz, potansiyel hedef olmaktan kaçınmak..." Aslında haklıydı, bu çağda kendi siber hijyenini sağlamak artık bir zorunluluktu, bir tercih değil.
Memur, elindeki klavyede bir şeyler tuşladı, belli ki not alıyordu, belki de durumu üst birime aktarıyordu, kim bilir... Sonra o beklenen cümle döküldü dudaklarından: "Anlaşıldı efendim. Güvenlik birimimizle teyitleştik, şu an için hesabınızdaki kısıtlamayı kaldırıyoruz. Ancak ilerleyen dönemlerde benzer durumların yaşanmaması adına... mümkünse... VPN kullanmadan denemenizi öneriyoruz." Ah be abi ya, yine mi aynı tas aynı hamam? Sanki bütün bu izahatı yapmamış gibi... Ama işte o an, o cümle, bir rahatlama getirdi. Engel kalkmıştı. Vallahi kalkmıştı.
Olayın sonunda bir tebessüm yayıldı yüzüne. Aslında durum biraz ironikti, güvenlik için yaptığın bir şey, seni daha da güvensiz (!) bir duruma düşürebiliyordu. Dijital dünyanın tuhaf çelişkileri işte... Bir yandan verilerinizi şifreleyin, koruyun derken, öte yandan bu koruma mekanizmaları, sıradan vatandaşı potansiyel tehdit listesine alabiliyor. İşin özü, teknolojik okuryazarlık sadece bireyler için değil, kurumlar için de bir zorunluluk haline geldi. Ne bileyim, belki bir gün bankalar da "Zero Trust" modelini benimser de, IP adresinden çok daha fazlasına bakar, bağlamı önemserler... Kim bilir...
