RUN!
Ana sayfaya dön
680 kelime
3 dakika
Bruce Schneier
2 months ago
Kim!
Kriptografi
Güvenlik Tiyatrosu

Kime oynuyoruz?

İnsan Davranışı ve Risk Algısı

Bir an için kriptografiyi bir kenara bırakalım ve insan davranışı ile risk algısı üzerine konuşalım.

ZİHİN HARİTASI#

ZİHNİYET
  • Güvenlik ≠ Ürün! >> Süreç + İnsan + Teknoloji = Güvenlik
  • “Kim, neyi, ne kadara istiyor?” >> Tasarım
  • Güvenlik Tiyatrosu = Rahatlık Hissi >> Gerçek risk değişmez
  • Güven = Sosyal sözleşme; teknik karar >> politik sonuç

Bruce Schneier Kimdir?#

Bruce Schneier’e göre siber güvenlik teknik bir yarış değil, zihinsel bir disiplindir. Neden kendimizi koruyoruz? Kimden koruyoruz? Ve bunun bedeli ne?

Güvenliğin sadece yazılımcıların veya hackerların işi olmadığına inanıyor. Schneier için güvenlik, insan psikolojisi, ekonomi, siyaset ve toplumsal reflekslerle birlikte ele alınması gereken bütünsel bir kavram. Bu yüzden söyledikleri sadece teknik ekipleri değil, aynı zamanda yöneticileri, karar vericileri ve sıradan kullanıcıları da etkiliyor.

Bruce-Schneier

Güvenliği Nasıl Tanımlarsın?#

Bruce Schneier, güvenliği “mutlak” bir durum olmaktan çıkarır. Ona göre güvenlik, risk yönetimidir.

Yani soru şu değildir: “Bu sistem kırılabilir mi?”

Gerçek soru şudur: “Bu sistemin kırılma riskine değecek fayda ve maliyetleri var mı?”

Bu bakış açısı, risk analizini güvenliğin merkezine yerleştirir. %100 güvenlik diye bir şey yoktur. Ama makul güvenlik diye bir şey vardır; bu “makullük” doğru tehdit modellemesi ile belirlenir.

Tehdit modellemesi oluşturmak için pratik bir mini çerçeve:

  • Varlık: Neyi koruyorsun? (veri mi? para mı? itibar mı? süreklilik mi?)
  • Saldırgan: Kim saldırıyor? (içeriden mi? dışarıdan mı? rakip mi? devlet mi? fırsatçı mı?)
  • Yetenek: Ne kadar güçlü? (zaman mı? para mı? erişim mi? beceri mi?)
  • Yüzey: Nereden giriyorlar? (email? API? cihaz mı? insan mı? tedarikçi mi?)
  • Etki: Ne kaybediyorsun? (para mı? kesinti mi? yasal sonuçlar mı? güven kaybı mı?)
  • Kontrol: Hangi önlemler ne kadar azaltıyor? (olasılık/etki/maliyet)

Kriptografi ve Schneier’in Katkıları#

Schneier’in teknik dünyadaki etkisi kriptografiden geliyor. Blowfish ve Twofish gibi algoritmalar, güvenliğin matematiksel yönlerine yaptığı katkıları temsil ediyor. Twofish ayrıca AES seçim sürecindeki önde gelen tasarımlardan biri olarak biliniyor. Bu da onu sadece “algoritma tasarlayabilen” biri değil, aynı zamanda “tasarım kriterleri üzerine düşünebilen” biri yapıyor.

Ancak Schneier’i diğer kriptograflardan ayıran şey tam olarak bu:

“Kriptografi güçlü olabilir, ama onu kullanan sistem aptalsa, sonuç yine güvensizdir.”

Bu yüzden Schneier, kriptografiyi tek başına bir kurtarıcı olarak görmüyor. Anahtar yönetimi, kullanıcı hatası, yanlış yapılandırma ve süreç eksiklikleri gibi konuların kriptografiyi anlamsız hale getirebileceğini sürekli vurguluyor.

Kısacası: Kriptografi bir bileşendir; güvenlik ise bütün sistemdir.

Güvenlik Tiyatrosu Eleştirisi#

Bruce Schneier’in en bilinen kavramlarından biri güvenlik tiyatrosudur. Bu kavram, insanlara güvenlik hissi veren ancak gerçekte riski azaltmayan önlemleri tanımlar.

Havaalanı güvenliği bunun klasik bir örneğidir: ayakkabıları çıkarmak, sıvı kısıtlamaları, sembolik kontroller… Schneier’e göre bunlardan bazıları gerçek tehditleri önlemek yerine psikolojik rahatlık sağlar.

Günlük hayattan iki örnek daha:

  • 90 günde bir şifre değiştirme zorunluluğu: Risk azaltımı ölçülebilir değilse, kullanıcı davranışını (aynı şifreyi tekrar kullanmak gibi) bozabilir ve riski artırabilir.

  • USB’yi tamamen devre dışı bırakmak: Bu, arka kapılar (kişisel e-posta, bulut) oluşturabilir ve riski görünmez hale getirebilir.

Burada sormamız gereken zor soru şudur: Bu önlem gerçekten bir saldırının olasılığını/etkisini azaltıyor mu, yoksa sadece görünür mü kılıyor?

Bruce Schneier, siber güvenliğin “daha fazla kilit” tarafında değil, “doğru soruyu soran” tarafında yer alır. Güvenliği bir yarış olarak değil, bir denge sanatı olarak görür: risk, maliyet, kullanılabilirlik ve özgürlük arasında gerçekçi bir denge.

Kısacası… Daha fazla kilit hayır, tiyatroya gerek yok. Doğru soruları sormalıyım. Risk, maliyet, kullanılabilirlik, özgürlük. Denge sanatı.

REFLEKS#

İki önemli soru sor.

  • Bu önlem hangi tehdidi, ne kadara ve ne yan etkiyle ele alıyor?
  • Kullanıcıyı hangi çözüme itiyor?

MİNİMUM BİLGİ SETİ#

Anahtar Mesaj

  • İnsan, risk ve karar = Güvenlik

Hatırla

  • Güvenlik hissini gerçek güvenlik ile karıştırmayın.
graph LR %% --- Central Node --- Schneier((Bruce Schneier)) %% --- Threat Model Framework (Orange Group) --- Schneier --- TMF[Threat Model Framework] TMF --- Actor(Aktör) TMF --- Capability(Yetenek) TMF --- Impact(Etki) TMF --- Surface(Yüzey) TMF --- Control(Kontrol) TMF --- Asset(Varlık) %% --- Philosophy & Core Concepts (Purple Group) --- Schneier --- Philosophy{Felsefe} Philosophy --- ST[Security Theater] ST --- BD(Davranışsal Bozulma) ST --- PC(Psikolojik Rahatlık) ST --- SR(Algı vs. Gerçeklik) Philosophy --- KQ[Kritik Sorular] KQ --- WT(Hangi Tehdit?) KQ --- AWC(Maliyeti Ne?) KQ --- UW(Kullanıcı Baypasları?) %% --- Cryptography & Systems (Green Group) --- Schneier --- Crypto[Kriptografi] Crypto --- BT(Blowfish & Twofish) Crypto --- KM(Anahtar Yönetimi) Schneier --- SP[Security is a Process] SP --- AB(Denge Sanatı) SP --- MD(Zihinsel Disiplin) SP --- SC(Sistem Bileşeni) %% --- Styling (Siber/Modern Tema) --- classDef default fill:#0a0a0a,stroke:#333,color:#d4d4d4,font-family:JetBrains Mono; classDef center fill:#000,stroke:#fff,stroke-width:4px,color:#fff,font-size:18px; classDef orange fill:#2d1a05,stroke:#ff9a3b,color:#ff9a3b; classDef purple fill:#1a0b2e,stroke:#b18cf5,color:#b18cf5; classDef green fill:#052d1a,stroke:#3bff9a,color:#3bff9a; class Schneier center; class TMF,Actor,Capability,Impact,Surface,Control,Asset orange; class Philosophy,ST,BD,PC,SR,KQ,WT,AWC,UW purple; class Crypto,BT,KM,SP,AB,MD,SC green;
Bruce Schneier
/posts/WHO!/bruce-schneier/
Yazar
Alp
Yayın tarihi
2026-02-13

Bazı bilgiler güncel olmayabilir

Yarım kalan her şey sana fısıldar. Bitir onu ya da bırak — ama ortada bırakma kendini.

© 2026 Alp. All Rights Reserved. / RSS / Atom / Sitemap