Giriş
Yeni dünya düzeninde şirketlerin ve kurumların dijitalleşme süreciyle beraber verilerin önemi bir başka boyuta geçmiştir. Endüstri 4.0 çağıyla birlikte hayatımızın her alanındaki veri daha değerli hale gelmiştir; Endüstri 4.0’ın unsurları nesnelerin interneti (IoT- internet of things), yapay zeka (artificial intelligence) ve büyük veridir (Big Data) 4. ayağı olma potansiyeli en yüksek olan teknoloji ise Blokzincirdir bu 4 teknoloji ile toplanan ve işlenen veriler ve veriyi kullanarak ortaya çıkarılan verim geleceğin petrolü olarak da nitelendirilmektir Veriye dayalı 1 oluşturulan bu ekosistemde verinin kullanım alanları ve değeri arttıkça. Verinin korunması ve mahremiyeti her zamankinden daha önemli hale gelmiş aynı zamanda verinin sahipliği problemi tekrar ortaya çıkmıştır.
Veri sahibinin veri üzerindeki sahipliğini kaybetmesi Web’in en büyük problemlerlerindendir. Web1.0 döneminde sadece veriyi tüketirken Web2.0la üretip tüketmeye başladık Web3.0’le birlikte, bireylerin ürettikleri verinin sahipliğini edinmeye başlayacağı yeni bir aşamayı da temsil eden bir düzene geçtik.
Üretilen verilerin çoğunlukla şirketlere ait olduğu Web 2.0’dan Web 3.0’a geçiş, blokzinciri sistemlerinde kullanılan Konsensus mutabakatları gibi mekanizmalarının ortaya çıkmasıyla kolaylaşmıştır. Bu mekanizma aracı kurumları ortadan kaldırabilecek ve veri sahipliğini bireylerin üstünde tutmasını sağlayabilecek bir teknolojidir. Veri sahipliğindeki bu ilerleme veri güvenliği ve gizliliğinin geliştirilmesinde kritik bir faktör olacaktır.
Dijitalleşme bir değişimdir ve her türlü değişimin doğasında bir risk vardır. Bu çerçevede, Endüstri 4.0 döneminin hayatımıza kattığı avantajlardan faydalanırken özellikle blokzincirde veri koruma başlığı bakımından ortaya çıkan risklerin de incelenmesi gerekir. Çalışmamızda Endüstri 4.0 dönemi bakımından önem taşıyan blokzinciri teknolojisinin mevcut düzenlemeler bakımından yarattığı fırsatlar ve riskler değerlendirilecektir.
Veri Nedir:
Tek başına bir anlam ifade etmeyen veya kullanılamayan, kümelenmiş bilgilerin zeminini teşkil eden, birleştirme ihtiyacı olan ve yorumlanarak analiz edilmesi gerekli her türlü ham bilgi türüne “Veri” denilmektedir. Veriler, makine dilinde harfler ya da rakamlarla kodlanabilmektedirler.(Özdamar, 2022)
Aldığımız her aksiyon veriye dönüşerek bir dijital ayak izi oluşturmaktadır. Facebook-Cambridge Analytica’da olduğu gibi, verinin, insanların seçimlerini, alışkanlıklarını ve davranışlarını etkilemek, manipüle etmek için kullanıldığı dahi olmuştur. Her zamankinden fazla bir veri akışı olan ve birçok sektörde verinin üretimiyle tüketimi lineer bir şekilde artarken böylesine büyük bir veri hacminde veri saklama, veri gizliliği, verilerin güvenliliğini ve manipülasyonu önlemek her zamankinden daha önemli hale gelmiştir.
Ayrıca, verinin güvenliği ve gizliliğinin sağlanması, hem bireylerin hem de kurumların öncelikli sorunlarından biri haline gelmiştir. Veri gizliliği ihlalleri ve kişisel verilerin kötüye kullanımına ilişkin raporların arttığı son yıllarda endişe kaynağı haline gelmiştir. Bu durum kişisel bilgileri toplayan merkezi kuruluşların bireyin rızası olmaksızın işlemesi bu endişeleri arttırmaktadır. Mevcut veri koruma ve bütünlüğü sağlamak için veri sahipleri merkezi bir üçüncül kuruluşlarla güvenmektedir ancak yapılan araştırma da küresel şirketlerin %75’inden fazlasının veri sahtekarlığına karıştığını belirtmektedir ve veri sızıntılarının %93’ü de online veri üzerinde olmaktadır. . Blokzincir teknolojisi, verilerin verimli ve güvenli bir şekilde depolanması için merkezi olmayan ve 2 dağıtılmış bir çözüm sağlayarak bu sorunları çözmeyi amaçlamaktadır.
Bu durum, verilerin nasıl depolandığı, paylaşıldığı, sahiplenildiği ve veri gizliliği kaygısıyla yeni bir paradigma arayışına girilmesine sebep olmuştur web3.0 la birlikte verilerin saklanması için aracı veritabanları yerine veri sahipliğini bireyin üstünde bırakarak kullanıcının söz hakkına sahip olduğu bir merkeziyetsiz dağıtık sistem blokzinciri teknolojisinin bu arayışa çözüm olarak aday olabileceği öngörülmektedir.
Veri üzerinde sahiplik kontrol gibi soruların ortaya çıkmasıyla hukuki düzenlemeler artmıştır, Avrupa Genel Veri Koruma Yönetmeliği (GDPR), Türkiyede Kişisel Verilerin Korunması Kanunu (KVKK) gibi veri koruma yasaları; Veri güvenliği için bir standartlar bütünü denilebilecek ISO/IEC 27001:2013 Bilgi Güvenliği Yönetimi Sistemi standardı, ve veri zafiyetlerinin ve tehditlerin tespit edilmesi ve giderilmesi için BS-7799-2:2002 standardı gibi düzenlemeler ortaya çıkmıştır.
Turkiye özelinde 26.03.2025 tarihinde bilgi sistemleri ve teknolojik altyapılar konularında belirleyici kriterler geliştiren ve kripto varlık hizmet sağlayıcılarının bu kriterlere uygunluğunu denetleyen kurum olarak düzenlemede sıklıkla karşımıza çıkan TUBİTAK’ın yayımladığı Kripto Varlık Hizmet Sağlayıcıları Bilgi Sistemleri ve Teknolojik Altyapı Kriterleri başlıklı Taslak yazı genel anlamda KVHS’lerin Marketplace ekseninde Veri Gizliliği ve güvenliği Bilgi Güvenliği kriterleri gibi uyması gereken düzenlemeler içermektedir. Blokzincirin özünde olan merkeziyetsizliik kavramıyla taban tabana zıt olmasına rağmen teknolojinin gelişmesi için atılması gereken adımlardır
Geleneksel Veri Koruma ve Saklama Yöntemleri ile Alternatif Bir Yöntem Blokzincir:
Halihazırda birçok şirket verilerini korumak için gelişmiş kriptografik teknikler kullanmakla beraber, mevcut veriyi yönetme ve depolamak için Bulut Bilişim(Cloud Computing) hizmetleri geleneksel dağıtılmış merkezi üçüncül aracılara sahip veritabanları kullanılmaktadır. Veri saklama hizmetleri ise IaaS (Infrastructure as a Service), PaaS (Platform as a Service), SaaS (Software as a Service) genellikle Microsoft Azure, Amazon Web Services Oracle gibi üçüncül taraf hizmetler sağlanmaktadır. Bu hizmetler, verilerin merkezi bir noktada saklanmasına ve kontrolünün tek bir noktadan yapılmasına neden olmaktadır dolayısıyla veri güvenliği ve gizliliği açısından önemli riskler teşkil etmektedirler.
Modern güç sistemlerinde, IoT ve endüstriyel otomasyon sistemlerinin temelini oluşturan SCADA(Supervisory Control and Data Acquisition) için 3 temel süreci vardır: terminal birimlerinde veri toplama; iletişim kanalı üzerinden veri iletimi ve kontrol merkezinde bilgi depolama. Ancak mevcut veri toplama ve depolama mekanizması merkezi bir yönetim sağlamaktadır ve verilerin siber saldırılılarla manipüle edilme olasılığı yüksektir. Bu riskleri azaltmanın önerilen yöntemlerinden biri, dağıtık depolama mekanizması sağlamaktır.. Bir diğer öneri ise zaten özünde dağıtık sistem olan Blokzincir teknolojisi ile yeniden yapılandırılmış SCADA ağında toplanan veriler her bir sayacın belleğinde dağıtılmış biçimde bulunan bloklarda saklanmasıdır.
ISO/IEC 27001 ve GDPR kapsamında geçerli şifreleme, veri edinme türlerini ve çeşitlerini tespit etmek için veri güvenliği yönetim sistemlerini ve yasal çerçeveleri araştırırken literatür tarafından desteklenen ek zorluklar ortaya konmuştur. Web3.0’ın öncüsü olabilecek, depolama ve değişmezlik yöntemini sağlayan Blokzincir, Akıllı sözleşmelerle beraber, kullanıcılara güvenli bir alanda veri paylaşımı olanağı verir.
Veri güvenliği ve verinin saklanması için doktrinde farklı reçeteler önerilmiştir Blok Zincirde bunlardan biridir Blok Zincir’de verinin sahipliğini bireylere vererek, verinin kontrolünün tek bir merkezde olmasının önüne geçmekte ve veri güvenliği konusunda önemli bir adım atmaktadır. Dijitalleşen dünya düzeniyle birlikte verilerin artık uluslar üstü bir değer sahip olduğu göz önüne alınırsa ve geleneksel veri saklama yöntemleri için her ülkenin farklı bir standart oluşturmasından dolayı çok verimsiz bir yöntem olarak kalmıştır.
Blokzincir Tarihçesi
Yeni teknolojilerin hızla büyüdüğü göz önüne alındığında öne çıkan Blokzincir teknolojisi daha kavramsallaşmadan önce 1988 yılında Nick Szabo tarafından kullanılarak Bit Gold adında bir dijital varlık çıkarıldı. Daha sonra 2008 yılında Satoshi Nakamoto mahlasıyla bilinen bir kişi/kişiler bir grup arkadaşına e-posta yoluyla Blokzincir teknolojisini anlatan bir teknik doküman göndermiştir. Bitcoinin çıkışından 5 sene sonra Etherium ile birlikte Blokzincir kavramı etkin olarak kullanılmaya başlanmıştır.
Blokzincir Teknolojisi ve Temel Kavramları
Blokzincir (Blockchain): Merkezi olmayan her bir veri girişinin dijital parmak izi gibi kaydı olduğu blokların birbirine değiştirilemez şekilde bağlandığı veri tabanıdır. Bütün veriler krolonojik şekilde ağa katılımı olanlar arasında dağıtık bir şekilde kayıt altında tutulur. Bu noktada Blokzincir, verilerin güvenliğini ve gizliliğini artırmayı hedeflemektedir; Halka açık blokzincirler internete ulaşımı olan herkes erişebilir ve veri herkese alenidir. Özel Blokzincirlerde ise veri tabanına erişebilmek için bir otorite veya merkezi bir yapının erişime onay vermesi gibi prosedür gereklidir. İnternet üzerinden bir belge mail gibi bir yazı gönderdiğinizde alıcıya bir kopyası gönderilir ve bu bilginin dolaşımı açısından iyi bir yol olabilir. Ancak teoride menkul kıymetler gibi senet tahvil veya fikri mülkiyeti içeren bir çalışma, etkinlik biletleri, oyun kodları olduğu zaman varlığının kopyalanması sorun olmaktadır. . Bu çifte harcamaları önlemek için yazının ilerleyen yerlerinde anlatacağımız Blokzincir teknolojisinin sunduğu mutabakat mekanizmaları ile çözmektedir.
Bloklar (Block): Blokzincir’de veri toplulukları bloklarda tutulur ilk bloka (genesis block) denir genesis blok zincirin ilk bloku olmasından dolayı bir önceki blok bilgileri yer almaz. Blokun içindeki veriyi ise diğer verilerden ayırmak için blok başlıkları (block header) yer alır. Veriler SHA-256 algoritmasıyla kriptolanıp hashlere dönüştürdükten sonra zincire eklenir. Geleneksel veri saklama yöntemlerinin aksine aracı kişilere güvenmek yerine zincir üzerindeki tüm veri dağıtık şekilde birden çok merkezi olmayan noktalarda depolanarak güvenlik sağlanır.
Öz (Hash): Blokların içindeki verinin doğruluğunu ve güvenilirliğini sağlamak için bloklar birbirine bağlanırken bir önceki blokun verileri bir sonraki bloka kriptolanmış bir sayı bütünüyle işlenir buna “öz” (hash) denir. Bir sayı bütününe dönüştürülen veri boyutun küçülmesiyle Blokzincirin en büyük problemlerinden biri olan ölçeklenebilirliğe katkıda bulunmuş olur. Hash’ler adeta bir parmak izi gibi her biri farklıdır. Her blok bir önceki blokun bilgisiyle hashlenerek yeni bir hash değeri oluşturur, bir önceki bloğa ait hashi bilgisini içermesi bir değişiklik olması durumunda zincire bağlı bütün bloktaki verilerin değişmesine sebep olur dolayısıyla hash algoritması verilerin manüpüle edilmemesini tutarlı ve veri bütünlüğünü sağlamasına yardımcı olur. Şekilde gösterildiği gibi Genesis Block’tan itibaren birbirine bağlı şeklide bloklardan oluşur.
Merkle Ağacı (Merkle Tree): Verilerin doğruluğunun kontrol edilmesi süreci çok fazla zaman gerektirmesi ve hesaplama açısından pahalı olması merkle ağacı sisteminin ortaya çıkmasına sebep olmuştur Tüm veritabanının sürümlerini gözden geçirmek ve karşılaştırmak zorunda kalmadan ağdaki verileri kontrol etmeyi mümkün kılan bu sistemi aşağıda ki görselde gösterildiği gibi veri veya işlem içeren bir değişiklik olması halinde aşağıdan yukarıya doğru sadece bir hash kalana kadar node çiftlerini tekrar hashlar ve orijinal hash ile karşılaştırır.Bu şekilde Kök hash’e kadar yapılır.
Düğüm (Node): Her düğüm zincirdeki veriye katılan, kullanıcıları ifade eder Bir blokzincirdeki düğümler farklı türlerde olabilir. Tam düğümler yüksek miktarda depolamaya sahip düğümlerdir. Katılımcı düğümler verinin senkronize olarak saklanmasına yardımcı olur. Tüm verilerin kopyasına sahip olan düğümler ise verinin güvenliğini ve doğruluğunu sağlar Masternodeler ise blokzincirdeki özel bir görevi yerine getirmek için kullanılır. Blokzincirdeki ölçeklenebilirlik, güvenlik ve doğrulanabilirlik açısından nodeler önemli bir unsurdur. Bu sayede kullanıcıların birbirine güvenmesine gerek kalmadan veri transferi sağlanabilir.
Madenci (Mining): Blokzincirinde bloklar kriptografik olarak şifrelenmiş ve her blok işleminde bir nonce(tek kullanımlık bir karakterler bütünü) ve bir önceki bloğun bilgilerini de içeren hash değerini içerir. Bir blokzincir madencisi blok oluşturmak ve hash fonksiyonunu hesaplamak için belirli bir zaman diliminde verilen problemi çözmek zorundadır. Bununla birlikte hash için özel bir gereksinim gereklidir Şekil de gösterildiği gibi dört sıfırla başlamalıdır. Bunun gerçekleşmesi için madenci tarafından rastgele bir sayı(nonce) tahmin edilmedilir. Tum bu nonce atama sürecine madencilik adı verilir.
Çatallaşma İşlemi (Fork): Çatallaşma, herhangi bir kaynak kodu ele alıp uyarlama yapıp farklı yeni bir çalışma ortaya koyma işlemidir. Bu duruma açık kaynak kodlu projelerde çok sık rastlanmaktadır. Blokzinciri yazılımının yeni sürümü yayınlandığında, uzlaşma kuralındaki yeni yazılım düğümlere dağıtılır. Blok zinciri yapısı dağıtık olduğundan ve merkezi kontrollü olmadığından eğer değişiklik isteği büyük bir grup tarafından kabul görürse bu andan itibaren yeni kurallar belirlenerek yeni çatallaşma duyurusu yapılır
Bizans Hata Toleransı (Byzantine Fault Tolerance): 1982 yılında Leslie Lamport ve arkadaşları tarafından yayımlanan bir makalede bahsedilen bu problem verinin güvenirliliğini zedelemek isteyen bir grup kötüniyetli olması halinde nasıl bir strateji ve protokol geliştirilebileceği fikri üstüne yazılmıştır. Bu sistemde yanlış bilgi aktaran kişilerin ağdakilerin üçte birinden daha az olduğunda bir çözüme ulaşılabilir. Castro ve Lavro adlı kişilerce 1999 yılında bu probleme çözüm bulunmuştur. Daha sonra 2009’da Bitcoinin temelinde olan PoW algoritma mekanizması olarak karşımıza çıkmıştır.
Çok Taraflılık ( Aracının Kaldırılması ): Merkezi altyapılarda defterin içeriğini değiştirme yetkisi olan merkezi otoritelerde olması geleneksel yöntemlerde ki zayıflıklardan biridir. Blokzincir teknolojisi sayesinde verileri manipüle edebilecek aracıların olmaması veri güvenliği konusunda daha dayanklı bir yapı sunmaktadır.
Uçtan uca (Eşler Arası) Ağ Yapısı: Uçlardan oluşan bir ağ tarafından depolanır ve korunur düğümler (node) bu ağın altyapısını oluşturur.
Dağıtık Defter Yapısı: Aynı blok zincir protokolünü çalıştıran katılımcılar arasında dağıtılır ve ağdaki her node ‘de katılımcılarda merkezi olmayan ve farklı konumlarda defterin özdeş bir kopyası tutulur
Uzlaşma(Konsensus) Mekanizmaları
Geleneksel veri koruma yöntemlerindeki veri güvenliği ve doğruluğu için merkezi otoritelere ihtiyaç duyulmaktadır Blokzincirde ise güven faktörü görevini Konsensus mekanizmaları üstlenmektedir: Proof of Work(POW): Mekanizmalardan biri olan POW’te sistem madencilereden matematiksel bir problemim çözülmesini ister ilk çözen kişinin bloku zincire eklenerek onaylanmış olur. Bitcoin’in de kullandığı POW fazla enerji tüketimi sebebiyle eleştirilmektedir.
Proof of Stake(POS): Uzlaşma mekanizmalarından bir diğeri de POS Madenciler yerine Blokzincire kripto varlık aracılığıyla yatırım yapan kullanıcılar tarafından Blokzincir’de ki işlemler doğrulanır ve onaylanır. Proof of Storage(PoStorage): Veri depolama için kullanılan bir mekanizmadır. Bu mekanizma da depolama sağlayıcılarının işlemi onaylama aşamasında katkıda bulunur.
Proof of Authority(PoA):Belirli bir grup insanın Blokzincir’deki veriyi yönetmesine izin verilmesidir.
Sonuç olarak Konsensus Mekanizmaları Blokzincirin ve projenin farklı ihtiyaçlarına göre farklı mekanizmalar kullanılabilir. Bu teknoloji, verinin sahipliğini bireylere vererek, verinin kontrolünün tek bir merkezde olmasının önüne geçmekte ve veri güvenliği konusunda önemli bir adım atmaktadır.
Blokzincir Teknolojisinde Siber Tehdit ve İlgili Kavramlar
Dijital dönüşümde verinin bu kadar önemli bir konumda olması ve yukarıda bahsettiğimiz gibi artık veri ihlallerinin birçoğu dijitaldeki veri üstünden olmasından dolayı siber güvenlik, ilk gözetilecek konulardan biri haline gelmiştir. Birçok durumda blokzincir teknolojisi özünde olan unsurlardan kaynaklı kendi korumasını sağlar örneğin DDOS saldırısı verini bir merkezde olması halinde çok kolay yapılabilirken blokzincirin özünde olan merkezi olmayan dağıtık bir sistemde bu saldırının yapılmasının bir kullanışlılığı yoktur.
Ancak blokzincirler siber güvenlik açısından kendi sorunlarıyla birlikte gelir ve bazı benzersiz saldırı spekturumlarına sahip olsa da. Geleneksel güvenlik yaklaşımlarının yetersiz kaldığı durumlarda, blockchain, verilerin bütünlüğünü ve güvenliğini sağlamada önemli bir alternatif sunar. Aynı zamanda avantajı olarak saydığımız bütünlük şeffaflık değiştirilemezlik kapsamında gleneksel siber güvenlik önlemlerine nazaran olgunlaşmamış olmasından dolayı blokzincirlerde yeni güvenlik açıkları oluşmasına sebep olmaktadır.
Bu saldırılardan biri olan BadgerDAO vakasında siber saldırgan; kullanıcı arayüzüne kullanıcılara oltalama saldırısı yapan zararlı kod parçacıkları enjekte ederek, kullanıcıların Web3 izinlerinin saldırganın cüzdanına tanımlanmasına olanak sağladı ve maddi kayıp etkisi 120 milyon dolarlık olan bir saldırı gerçekleştirdi. Cream Finance vakasında ise akıllı sözleşmelerdeki tekrarlayan giriş zafiyeti (re-entrancy) dahil birkaç zafiyet kullanılarak gerçekleştirilen saldırıda 130 milyon dolarlık kayıp meydana geldi.
21 Şubat, tarihinin de sektörün en büyük siber saldırısı gerçekleşti Bybit’in likit hisseli Ether (stETH), Mantle Hisseli ETH (mETH) ve diğer dijital varlıklarda 1,4 milyar dolardan fazla kaybettiği saldırı da. Bir sıcak cüzdana 7 milyon dolarlık rutin bir yükleme sırasında, Bybit çalışanları bilgisayar ekranlarında tam olarak bu miktarı ve sıcak cüzdan adresiyle eşleşen alıcının adresini gördüler.Ancak multisig işlemlerini imzalarken bu bilgi gösterilmediğinden Bybit çalışanları esasen doğrulanmamış bir transfer gerçekleştirmiş oldular.
Ethereum tabanlı bazı projelerde yaşanan güvenlik zafiyetleri, büyük veri kayıplarına yol açmıştır. Bu nedenle, blockchain tabanlı projelerde kullanılan akıllı sözleşmelerin dikkatle test edilmesi ve denetlenmesi gerekir. Blokzincir şirketleri risk yönetiminde şirketlerin risklerini tespit ederken ve risk analizi konusunda eksiklik oluşur. Bilgi Teknolojileri risklerinde bir varlığın gizlilik bütünlük erişilebilrliğinin bozulması veya olasılığı ne şekilde etkiler olarak yapılan değerlendirme de artık riskin kabul edilemez seviyelere çıkmasına neden olmuştur. Bybit örneğinde maddi kayıptan ziyade intiba kaybına neden olmuştur. Peki ne yapılabilir Bir akıllı sözleşmeye audit yaptırmak her zamankinden fazla önemli hale gelmiştir bunun adımları ise; 1)Denetim sürecinin planlanması, 2)Statik analiz, 3)Fuzzing, 4)Birim testi, 5)Entegrasyon tesi, 6)Manuel inceleme adımları izlenmelidir.
%51 saldırısı: (51% Attack): Konsensus mekanizmalarında hashlerin yarısından fazlası bir işlemi doğru kabul ederse merkezi bir otoritenin doğrulamasına başvurulmadığı için bu doğru sayılır ve zincire eklenir. Bu manipülenin gerçekleşme ihtimali kötü niyetli kullanıcıların çoğunlukta olmasını gerektirdiği için ancak küçük ölçekli Blokzincirler de mümkündür.
Sybil Saldırısı (Sybil Attack): Bir saldırganın birçok sahte kimlik oluşturarak tüm ağı kontrol etmeyi hedeflediği bir saldırı türüdür. Saldırganın zincire kendi bloklarını ekleyebileceği veya birden fazla bozulmuş düğümle yavaş yavaş doğru düğümleri de bozmasıyla oluşmaktadır. Önüne geçilmezse saldırı başlangıcından itibaren zincirin kalanının kaybedilmesiyle sonuçlanabilmektedir. Önlem olarak ise PoW Protokolü kullanılmasıyla nodelerin yoğun hesaplama yapamayacağından dolayı Sybil saldırısının pratikte yapılamayacağı söylenmektedir.
Eclipse Attack: Eclipse saldırısı, mimarinin iş yüklerini böldüğü ve eşler arasında görevler atadığı blokzincirlerinde ortaya çıkar.
Timejacking Attack: Zaman gaspı saldırısı da sybill saldırısının bir uzantısıdır. her düğüm, eşlerinin ortalama zamanına dayalı bir zaman damgası tutar ve ortalama zaman sistem zamanından belirli bir değer kadar farklıysa, düğüm sistem zamanına geri döner. Bir saldırgan, ağı yanlış zaman damgaları bildiren düğümlerle doldurabilir, bu da ağın yavaşlamasına veya hızlanmasına neden olarak senkronizasyonun bozulmasına yol açacaktır.
Selfish Mining Attack: Bu saldırı, saldırganın gizlice blok madenciliği yapıp diğer düğümler üzerinde çalışılan ortak zincirden daha uzun bir zincir kopyası oluşturabildiği zaman gerçekleşir. Madenciliği sürdürürler ve zincirin uzunluğu açısından ağdan yeterince önde olduklarında özel bir çatal yayınlarlar. Ağ, üzerinde en çok çalışılan zincire (yani en uzun zincir kuralına) geçeceğinden, saldırganın zinciri kabul edilen zincir haline gelir.
Finney Attack: Finney saldırısı, bencil madencilik saldırısının bir uzantısı olarak adlandırılabilir. Saldırgan gizlice bir blok çıkarır ve onaylanmamış işlemi diğer düğüme gönderir. Tüccarda düğüm işlemi kabul edilirse, saldırgan zincire küçük bir zaman diliminde yeni bir blok daha ekleyebilir, bu işlemi tersine çevirebilir ve çift harcama saldırısı başlatabilir. Finney saldırısı durumunda saldırı penceresi oldukça küçüktür, ancak işlemin değeri yeterince büyükse bu çok fazla hasara neden olabilir.
Race Attack: Saldırgan işlemi önceden çıkarmaz, sadece iki farklı işlemi yayınlar, bunlardan biri tüccara, diğeri ağa. Saldırgan, tüccar düğümüne, aldığı işlemin ilk işlem olduğu yanılsamasını vermeyi başarırsa, bunu kabul eder ve saldırgan, tüm ağa tamamen farklı bir işlem yayınlayabilir. Bu çekirdek blok zinciri düzeyindeki saldırıların yanı sıra, uygulama uygulama düzeyinde gerçekleşebilecek bir dizi başka saldırı da vardır. Bunlardan en kötü şöhretli olanlarından biri, Haziran 2016’da gerçekleşen ve yaklaşık 70 milyon dolarlık bir hırsızlığa yol açan DAO saldırısıydı. Saldırgan, bir şirketin kitle fonlaması kampanyasına katkıda bulundu ve bir çekim talebinde bulundu. Ancak, çekim için mevcut işlemin yerleşim durumunu kontrol etmeyen yinelemeli bir işlev uygulandı. Parayı kurtarmak için Ethereum zinciri, eski zincirin Ethereum Classic olarak devam etmesiyle sert bir çatala girdi. Bu, zincirin itibarını ciddi şekilde zedeledi ve zincirin özerkliği de sorgulanmaya başladı.
Reentrancy saldırıları: Bu saldırı akıllı sözleşmenin güvenilmeyen harici bir sözleşmeyi çağırması ve bu harici sözleşmenin tekrardan orijinal fonksiyona yinelemeli çağrı yapmasıyla meydana gelir. Böylelikle durum parametreleri değişmeden fonksiyon tekrar çağrılmış olur ve para çekme fonksiyonlarının manipüle edilmesinde olduğu gibi potansiyel olarak ilgili fonun boşaltılmasıyla sonuçlanabilir.
Integer Overflow ve Underflow: Zafiyetli akıllı sözleşmelerde işaretsiz tam sayı (unsigned integer) değişkenlerinin alt veya üst limitine ulaşarak bir sonraki değerde başa dönmesi durumudur. Örneğin, 0-255 arası değerleri saklayabilen “uint8” değişkenine 256 sayısı atandığında, başa dönerek “0” değerini alır. Değeri “0” olan uint değişkeninden “1” çıkarıldığı takdirde ise benzer şekilde 255 değerini alır. Akıllı sözleşmelerin bu şekilde plan dışı davranışları yukarıda bahsettiğimiz örnek saldırılarda olduğu gibi büyük maddi kayıplara yol açabilir.
Timestamp bağımlılığı: “Timestamp” değeri zaman dilimi ve tarih bilgisini destekleyen bir veri türüdür. Eğer akıllı sözleşme, “ETH” gönderimi ya da rastgele sayı üretme gibi kritik işlemler için “timestamp” değerine bağlı ise ve bu değer akıllı sözleşmeyle etkileşime giren düğüm (node) tarafından sağlanıyorsa manipülasyona açık hale gelir.
Makalenin ana konusu olmadığında bu konuda ayrıntıya inilmeyecektir ancak kötüniyetli kullanıcı sayısı %51’i aşması halinde Çift Harcama Saldırısı (Double Spending Attack), Goldfinger (Godfinger), Eclipse Saldırısı (Eclipse Attack) ve Cezalandırıcı Çatallanma (Punitive Forking )gibi birçok siber saldırının gerçekleşmesi kolaylaşacaktır. Ayrıca doktrinde; Proof of Work(POW) mekanizmasının yavaşlığına çözüm bulmak için geliştirilen GHOST gibi protokoller; %51 Saldırısı (51% Attack), Köpük Saldırısı (Feather Attack), Finney Saldırısı (Finney Attack), Vector76 Saldırısı (Vector76 Attack) gibi saldırılar için önleyici bir unsur olabileceğinden söz edilmektedir.
Mevcut Teknolojilerin Uğradığı Saldırılara Karşı Alınabilecek Önlemlere İlişkin Blok Zincir Teknolojisine Özgü Teklifler
Doktrinde blok zincir ve güvenlik hususunda birçok çalışmaya yer verilmiş ve bu çalışmalarda başlıca iki konuya odaklanılmıştır. Bunlar; bugüne kadar Blokzinciri tabanlı sistemlerin maruz kaldığı saldırıları ortaya çıkarmak ve mevcut teknolojilerin maruz kaldığı saldırılara karşı alınabilecek önlemlere ilişkin Blokzincir teknolojisine özgü teklifler sunmaktır4
Anonimleştirme, blok zincir üzerinde veri güvenliği sağlamakta yetersiz kaldığı bilinmektedir. Zira Blokzincir üzerinde gerçekleştirilen işlemin adresi bu işlemi gerçekleştiren katılımcının kimliğiyle bağlantılı olduğundan, tüm işlemlerinin sızması ihtimali gündeme gelmektedir. Bu tehlikeyi ortadan kaldırmak amacıyla hazırlanmış olan yöntemlerden birisi karıştırma hizmetleridir. Böylece kullanıcıların adreslerinin birbirine bağlanmasının önlenmesi amaçlanmaktadır. Karıştırma, kullanıcının eşdeğer kripto varlıklarıyla diğer kullanıcıların kripto varlıklarının rastgele değiştirilmesini ifade etmektedir.5
Blokzincirde veri güvenliği sağlamak için kullanılan bir başka yöntem de homomorfik şifreleme yöntemidir. Güçlü bir şifreleme yöntemi olan homomorfik şifreleme belirli türde hesaplamaları doğrudan şifreli metin üzerinde gerçekleştirebilir ve hesaplanan sonuçların şifresini çözerken şifrelenmiş veriler üzerinde gerçekleştirilen işlemlerin, düz metin üzerinde aynı işlemler tarafından gerçekleştirilenlerle aynı sonuçları üretmesini sağlayabilir.
Blokzincirin Avantajları
Blokzincir teknolojisnin sağladığı en büyük avantaj kuşkusuz güvenliktir. Bunun dışında veri bütünlüğü, doğruluğu, veri minimizasyonu ve ölçeklenebilirliği gibi konularda geleneksel veritabanlarına göre avantajlıdır. Blokzincir teknolojisi hizmetlerdeki aracı kurumların oluşturduğu katma değeri üstlenmesiyle ortaya çıkan maliyet yükünü hafifletecektir. Sistem aracıları ortadan kaldırdığı için zaman ve emek kaybını azaltmaktadır. Aynı zamanda dijitalleşmenin giderek artmasıyla geleneksel veri tabanlarının veri depolama yöntemlerinden biri olan fiziksel kağıtlarda depolamayı ortadan kaldıracaktır.
Geleneksel veri saklama yöntemleri aksine Blokzincir teknolojisinde dağıtık bir veri tabanı ve hashlerle birbirine bağlı olmasından dolayı bir siber saldırı senaryosunda veri ihlali homomorfik şifreleme yöntemi, karıştırma yöntemi, anonim imza, gibi yöntemlerin kullanılmasıyla ihlal ihtimali geleneksel yöntemlere oranla çok daha düşük olacaktır. Merkezi sistemlerde şeffaflık sınırlıdır ve otoritelerin kontrolünde kişilerin manipülasyonun açıktır. Ancak Blokzincir de ilk ağa bağlı katılımcıların defterlerindeki verinin tüm işlemlerinin açık olması avantajdır. Değiştirilemezlik bir bakımdan avantaj iken konu kişisel veri olunca dezavantaj olarak görülmektedir.
Son olarak verinin hashlenerek bir sayı bütünüyle minimize edilmesinin yanı sıra, Psödönimleştirme yöntemi de kişisel verilerin gizlenmesi veya bulanıklaştırılması için kullanılan yöntemlerden olup uygulamada özellikle araştırma ve istatistiki faaliyetlerde kullanılmaktadır . Bulanıklaştırma işleminin gerçekleştirilmesi hâlinde 8 ‘dolaylı’ olarak belirlenebilir kişisel veriden söz etmek mümkündür. Ancak veri minimizasyonu ilkesinin uygulanması ve böylece veri sorumlusu veya veri işleyenin riskinin azaltılması sonucu için uygulanabilecek bir yöntemdir
Blokzincir Dezavantajları:
Blokzincir teknolojisi kullanılarak geliştirilen sistemlerin en önemli özelliği güvenilir bir kriptografik şifreleme yöntemiyle korunuyor olmasıdır günümüz teknolojisinde bu şifrelemeler ikili sayı sistemi(Binary) ile yani “0” ve “1” lerden oluşan sistemlerde oluşturuluyor. Endüstri 4.0’ın ilerlemesi ve web3’ün yaygınlaşmasıyla quantum bilgisayarlara “Qubit” geçilmesiyle şifrelerin kırılması büyük oranda kolaylaşacaktır. Quantum bilgisayar saldırılarına yönelik asimetrik anahtar algoritması yöntemi önerilmekteydi ancak 2018 Shor’un algoritması kullanılarak çözülebileceği ve bu yöntemin de tam bir koruma sağlamadığı gözükmektedir. Buna karşı Grover’ın algoritması anahtar kapasitesini iki katına çıkararak güvenli hale getirmeyi önermektedir.
Blokzincir “değiştirilemez” (immutable) bir nitelik taşır Bloklardaki verinin kişisel veri konumunda olması durumunda ise GDPR m.17 de bahsedilen unutulma hakkı gündeme gelebilecektir ancak blokzincirin değiştirilemez yapısı zincire kaydedilen veriler üzerinde oynama yapılamaması unutulma hakkı ihlali problemi çıkarabilecektir. Akla blok zincire aktarılmadan önce katılımcının açık rızasının alınması gelebilir ancak bu unutulma hakkında feragat edildiği anlamına gelmemektedir. Kaldı ki Açık rıza kime yöneltileceği konusu veri sorumlusunun kim olduğu gibi konuların tespiti mevcut düzende bilinmemektedir.
Sonuç ve Öneriler
Bu derlemede Blokzincir teknolojisinin ekosisteme katkı yapabileceği alanları, geleneksel yöntemlerden daha efektif olduğu alanları ve mevcut düzenlemelerle çatışma noktalarını belirttik. Endüstri 4.0 döneminin, Web 3.0 çerçevesinde de karşımıza çıkan blokzincir teknolojisi, diğer teknolojilerde olduğu gibi, mevcut bazı hukuk kurallarının uygulanabilirliği açısından endişe yaratmıştır. Belirtmek gerekir ki, halka açık (public) blokzincirleri, veri koruma hukuku perspektifinden bakıldığında daha fazla endişe yaratmaktadır. Bu nedenle, gizlilik açısından bakıldığında, özel blokzincirleri daha kolay mevcut kurallara entegre edilebilecektir.
Merkeziyetsiz kimlik yönetimi, kullancıların kendi kimliklerinin gerçek sahibi olmasını sağlamakta ve aslında Web 3.0’ın temel hedefleriyle de örtüşmektedir. Blockchain altyapısı üzerine kurulan dijital kimlik yönetimi çözümü, veri sahiplerine, kişisel verilerinin ne kadarına kimlerin erişebileceği ve bunların hangi amaçlarla kullanılabileceği konusunda tam kontrol sağlamaktadır. Ayrıca “Chameleon” hash sistemi kullanılarak blok zincirde ki veriler değiştirilebilse de maliyeti yüksek olmasından dolayı çok mümkün değildir. Sektörün yaygınlaşması ve düzeltilebilir blok zincirin geliştirilmesiyle kişisel verilerin Blokzincirde saklanması tekrar gündeme gelebilir.
Şunu da belirtmekte yarar var ISO/IEC 27001, GDPR, KVKK gibi mevcut düzenlemelerle blok zincirin vaat ettiği veri koruma veri mahremiyet, veri güvenlik veri bütünlük gibi konularda amaçları ortaktır, farklı tarafı ise yöntemleridir. Bu bağlamda Web 3.0 ve Blokzinciri kullanan şirketlerin veri güvenliği için mevcut düzenlemelerle entegrasyonun yapılması bireylerdeki ve kurumlarda ki hukuki belirsizlik ortamının giderilmesi gerekmektedir. Aksi takdirde potansiyel teknoloji devrimi sekteye uğramaya devam edecektir
EU Observatory and Forum’un konuya ilişkin raporunda, blok zinciri teknolojisinin veri koruma hukukuna uygun olup olmadığından söz edilemeyeceği, ancak bu teknolojinin veri koruma hukukuna uygun şekilde kullanılıp kullanılmamasının söz konusu olabileceği ifade edilmektedir. Kanımızca, bu süreçte, Blokzinciri teknolojisinin, veri 9 koruma hukukunun hedeflerini gerçekleştirmek bakımından önemli bir araç olabileceği de göz önünde tutulmalıdır.
Kaynakça
❖50 PAILLIER, Pascal, “Public-Key Cryptosystems Based on Composite Degree Residuosity Classes”, Advances in Cryptology — 7 EUROCRYPT ’99. EUROCRYPT 1999. Lecture Notes in Computer Science, vol 1592, 223-238, s. 224.
❖Article 29 Data Protection Working Party Opinion 4/2007 on the Concept of Personal Data s. 18. 8
❖THE EUROPEAN UNION BLOCKCHAIN OBSERVATORY AND FORUM, s. 9. 9
❖ 50 PAILLIER, Pascal, “Public-Key Cryptosystems Based on Composite Degree Residuosity Classes”, Advances in Cryptology — EUROCRYPT ’99. EUROCRYPT 1999. Lecture Notes in Computer Science, vol 1592, 223-238, s. 224.
❖ Verizon. (2017). 2017 Data Breach Investigations Report. Verizon Trademark Services LLC. ❖ Article 29 Data Protection Working Party Opinion 4/2007 on the Concept of Personal Data s. 18.
❖ E. Taşkın ve İ. A. Doğru, “Blokzincir ve Kötü Amaçlı Yazılımların Kesişimi: Kapsamlı Bir İnceleme ve Analiz”, GMBD, c. 9, sy. 4, ss. 58–69, 2023.
❖ “2022-data-breach-investigations-report-dbir.pdf”. Erişim 06 Nisan 2024. https://www.verizon.com/ business/en-gb/resources/2022-data-breach-investigations-report-dbir.pdf.
❖ Ansar, Kainat, Mansoor Ahmed, Saif Ur Rehman Malik, Markus Helfert, ve Jungsuk Kim. “Blockchain Based General Data Protection Regulation Compliant Data Breach Detection System”. PeerJ Computer Science 10 (15 Mart 2024): e1882. https://doi.org/10.7717/peerj-cs.1882.
❖ Aydin, Ömer, ve Suleyman Yukcu. “Siber Saldırı Önlemede Blokzinciri Teknolojisinin Fayda Maliyet Açısından Değerlendirilmesi”. MANAS Sosyal Araştırmalar Dergisi 9, sy 4 (13 Ekim 2020): 2519-30. https://doi.org/10.33206/mjss.740158.
❖ Öztürk, E., & Berber, A. (2024). Blockzincir Teknolojisi ve Akıllı Sözleşmeler: Temel Yapı, Özellikler ve Veri Güvenliği Perspektifi. Periodicum Iuris, 2(1), 33-76.
❖ Demetoğlu, Gi̇Zem Öz. “TÜRK VE AVRUPA BİRLİĞİ VERİ KORUMA HUKUKU BAĞLAMINDA BLOK ZİNCİR TEKNOLOJİSİNDE UNUTULMA HAKKI”, t.y.
❖ Demirdö, Mehmet. “BLOCKCHAIN TEKNOLOJİSİ VE YAPAY ZEK”, t.y.
❖ Akinola, Ayomide: A Brief History of the Web – The Transition from Web 1.0 to 2.0 and Web 3.0, 17 Şubat 2022, https://web3.hashnode.com/a-brief-history-of-web-3.
❖ Di̇Ri̇, Nurcan. “BLOKZİNCİR UYGULAMASINDA KİŞİSEL VERİLERİN TUTULMASI”, 2022. ❖ Blokzincirlerde Güvenlik ve Mahremiyet, Ed. Özlem Özkan, Nisan 2020.
❖ Blockchain Türkiye Platformu, Kişisel Verilerin Korunması Hukuku Ve Blokzinciri Teknolojisi Raporu, https://bctr.org/dokumanlar/KVKK_ve_Blokzincir_Teknolojisi.pdf.
❖ Di̇Ri̇, Nurcan, ve Bahattin Yalçinkaya. “Blokzincir Uygulamalarında Kişisel Veri Problemi: Depolama Riskleri ve Öneriler”. Bilgi Yönetimi 5, sy 1 (30 Haziran 2022): 47-67. https://doi.org/10.33721/ by.1000702.
❖ “Factom Protocol | Blockchain Data Integrity”. Erişim 08 Nisan 2024. https://www.factomprotocol.org/.
❖ Finck, M. “Blockchains and Data Protection in the European Union”. European Data Protection Law Review 4, sy 1 (2018): 17-35. https://doi.org/10.21552/edpl/2018/1/6.
❖ “Globally Distributed Cloud Object Storage”. Erişim 06 Nisan 2024. https://www.storj.io/.
❖ Horasan, Alparslan, Turgut Pura, ve Ferdi Sönmez. “USE OF BLOCKCHAIN ON DISTRIBUTGED SYSTEMS AND IMPLEMENTATION OF BITCOIN, IN THE CONTEXT OF DATA SECURITY”, 2021.
❖ Karaaslan, Enis, ve Muhammet Fatih Akbas. “BLOKZİNCİRİ TABANLI SİBER GÜVENLİK SİSTEMLERİ”. ULUSLARARASI BİLGİ GÜVENLİĞİ MÜHENDİSLİĞİ DERGİSİ 3, sy 2 (31 Aralık 2017): 16-21. https://doi.org/10.18640/ubgmd.373297.
❖ Liang, Gaoqi, Steven R. Weller, Fengji Luo, Junhua Zhao, ve Zhao Yang Dong. “Distributed Blockchain Based Data Protection Framework for Modern Power Systems Against Cyber Attacks”. IEEE Transactions on Smart Grid 10, sy 3 (Mayıs 2019): 3162-73. https://doi.org/10.1109/TSG.2018.2819663.
❖ “Distributed Blockchain-Based Data Protection Framework for Modern Power Systems Against Cyber Attacks”. IEEE Transactions on Smart Grid 10, sy 3 (Mayıs 2019): 3162-73. https://doi.org/10.1109/ TSG.2018.2819663.
❖ Sim, Wie Liang, Hui Na Chua, ve Mohammad Tahir. “Blockchain for Identity Management: The Implications to Personal Data Protection”. Içinde 2019 IEEE Conference on Application, Information and Network Security (AINS), 30-35. Pulau Pinang, Malaysia: IEEE, 2019. https://doi.org/10.1109/ AINS47559.2019.8968708.
❖ “Blockchain for Identity Management: The Implications to Personal Data Protection”. Içinde 2019 IEEE Conference on Application, Information and Network Security (AINS), 30-35. Pulau Pinang, Malaysia: IEEE, 2019. https://doi.org/10.1109/AINS47559.2019.8968708.
❖ “Storj Whitepaper V3”. Erişim 06 Nisan 2024. https://www.storj.io/whitepaper.
❖ Taş, Oğuzhan, ve Farzad Ki̇Ani̇. “Blok Zinciri Teknolojisine Yapılan Saldırılar Üzerine bir İnceleme”. Bilişim Teknolojileri Dergisi 11, sy 4 (30 Ekim 2018): 369-82. https://doi.org/10.17671/gazibtd.451695.
❖ Tüfekci̇, Aslıhan, ve Çetin Karahan. “BLOKZINCIR TEKNOLOJISI VE KAMU KURUMLARINCA VERILEN HIZMETLERDE BLOKZINCIRIN KULLANIM DURUMU”, t.y.
❖ Wylde, Vinden, Nisha Rawindaran, John Lawrence, Rushil Balasubramanian, Edmond Prakash, Ambikesh Jayal, Imtiaz Khan, Chaminda Hewage, ve Jon Platts. “Cybersecurity, Data
❖ Privacy and Blockchain: A Review”. SN Computer Science 3, sy 2 (Mart 2022): 127. https://doi.org/ 10.1007/s42979-022-01020-4.
❖ Maxwell, W., & Salmon, J. (2017). A guide to blockchain and data protection. Hogan Lovells.
❖ Tanadi, Y., Soeprajitno, R. R. W. N., Firmansah, G. L., & El Karima, T. (2021). ISO 27001 Information Security Management System: Effect of Firm Audits in Emerging Blockchain Technology. Riset Akuntansi dan Keuangan Indonesia, 6(2), 198-204.
❖ Dilek, Ş. (2018). Blockchain teknolojisi ve bitcoin. Seta yayın, Analiz Şubat, 231.
❖ Taşkın, E., & Doğru, İ. A. (2023). Blokzincir ve Kötü Amaçlı Yazılımların Kesişimi: Kapsamlı Bir İnceleme ve Analiz. Gazi Mühendislik Bilimleri Dergisi, 9(4), 58-69.
❖ Aksoy Çağlayan, Toplum ve Doğa İçin Blokzinciri Sempozyumu Ankara Üniversitesi Yayınları: 784 A.Ü. Siyasal Bilgiler Fakültesi Yayınları: 642 Ankara, 2023, “Endüstri 4.0 Döneminde Blokzinciri ve Kişisel Verilerin Korunması” 157-187
❖ Jiménez-Gómez, Briseida Sofia. “Risks of Blockchain for Data Protection: A European Approach”, Santa Clara High Technology Law Journal, 2020, C. 36, S. 3, 281-343.
❖ Demirdöğmez, M. BLOCKCHAIN TEKNOLOJİSİ VE YAPAY ZEKÂ.
❖ P.Shor, “Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer”, SIAM Journal on Computing, 26(5), 1484-1509, 1995.
❖ D. J. Bernstein, J. Buchmann, Post-Quantum Cryptography, Springer, 2009.
❖ D.J. Bernstein,”Cost analysis of hash collisions: Will quantum computers make SHARCS obsolete?”, Proceedings 4th Workshop on Special-purpose Hardware for Attacking Cryptograhic Systems, 2009.
❖ Akpınar, M. E. (2022). A REVIEW ON THE RELATIONSHIP OF BIG DATA AND CAMBRIDGE ANALYTICA. İletişim Bilimi Araştırmaları Dergisi, 2(1), 56-63.
❖ İngiltere: AB’den ayrılmış olsa bile İngiltere Veri Koruma Otoritesi ( Information Commissioner’s Office -ICO) GDPR’ı kendi iç hukukuna adapte ederek uyumluluk süreçlerinin devam edeceğini bildirmiştir.
❖ Turkiye: KVKK AB Veri Koruma Direktifini baz alarak hazırlanmıştır
Turkish