Teknoloji dünyasında hepimizin sessizce kabul ettiği yazısız bir kural vardır: Konfor, her zaman mahremiyetten taviz vererek satın alınır. Bugün evlerimizin baş köşesine yerleştirdiğimiz, hatta sevimli isimler takıp ailenin bir ferdi gibi benimsediğimiz robot süpürgeler, bu kuralın en kusursuz temsilcileri. Bir dijital pazarlamacı ve veriyi okumayı, bu veriden strateji üretmeyi iş edinmiş biri olarak yıllardır ekranların arkasındaki kullanıcı davranışlarını analiz ediyorum.
Web sitelerinde nereye tıkladığınız, hangi sayfada ne kadar vakit geçirdiğiniz, büyüme (growth) stratejilerimizin temelini oluşturuyor. Ancak bugün geldiğimiz noktada oyunun kuralları tamamen değişti. Veri toplama operasyonu artık sadece tarayıcınızın çerezlerinden ibaret değil; ekranlardan çıkıp salonlarımızın, yatak odalarımızın ve mutfaklarımızın tam ortasına indi.
Masum Bir Temizlikçiden, Veri Toplayan Bir Ajana Dönüşüm
Dışarıdan baktığınızda, yerde gezinen o yuvarlak plastik cihaz sadece toz toplayan otonom bir temizlikçi gibi görünebilir. Ancak veri analitiği ve siber güvenlik gözlüğünü taktığınızda karşınızdaki manzara bambaşkadır: Lidar (ışık tespiti ve uzaklık tayini) sensörleri, yüksek çözünürlüklü kameralar, hassas mikrofonlar ve kesintisiz Wi-Fi bağlantısıyla donatılmış bu cihazlar, aslında evinizin santimetrekarelik “dijital ikizini” (digital twin) çıkaran hareketli birer sensör ağıdır.
Evinizin krokisini, eşyalarınızın dizilimini, hangi saatlerde evde olup olmadığınızı ve hatta hangi odada daha çok vakit geçirdiğinizi saniyesi saniyesine kaydeden bu IoT (Nesnelerin İnterneti) cihazları, masum bir ev aletinden çok, dört duvar arasındaki en büyük istihbarat düğümü haline geldi. Biz onlara temizlik yaptırdığımızı sanırken, onlar sessizce hayatımızın en mahrem verilerini süpürüyorlar.
Bu veriler sadece bize daha iyi reklam göstermek için kullanılmıyor. Modern dünyada bu seviyede bir fiziksel veri, istihbarat servisleri ve global güçler için paha biçilemez bir silahtır.
Modern Savaşın Yeni Cephesi: Nokta Atışı Operasyonlar ve Sensör Verisi
Yakın geçmişte ABD ve İran arasında yaşanan gerilimlerde, suikastlerde ve Orta Doğu’daki asimetrik savaş sahnelerinde çok net, hatta ürpertici bir gerçeğe şahit olduk: Modern istihbarat servisleri için hedefin hangi şehirde, hangi mahallede veya hangi binada olduğu artık “yeterli” bir bilgi değil. Geleneksel savaş doktrinlerinde bir binayı haritadan silmek için koordinat yeterliyken, bugünün nokta atışı (pinpoint) operasyonlarında başarı, hedefin binanın tam olarak neresinde olduğuna bağlı.
Bir generali veya üst düzey bir kritik şahsı hedef alan operasyonları düşünün. Klasik askeri istihbarat; uydular, İHA’lar veya sahadaki ajanlar (HUMINT) aracılığıyla kişinin girdiği binayı tespit edebilir. Peki, binaya giren bu kişi o an salonda mı oturuyor, yatak odasında mı uyuyor, yoksa mutfakta kahve mi yapıyor? Tam bu noktada, gökyüzündeki milyar dolarlık uyduların yerini evimizin içindeki, yerdeki şarj istasyonuna dönmeye çalışan o “masum” aletler alıyor.
Hedefin mutfakta olduğunu bilmek ve bombayı tam olarak o mutfağın penceresinden içeri göndermek, bir uydunun değil; içerideki Wi-Fi ağının, Bluetooth sinyallerinin, akıllı termostatların ve evin iç krokisini 3D olarak haritalandıran robot süpürgelerin ürettiği mikro-lokasyon (micro-location) verisinin eseridir.
Lidar sensörleriyle evin her köşesini tarayan, hangi odanın nerede olduğunu, kapıların hangi yöne açıldığını, hatta eşyaların konumunu sunuculara anlık olarak ileten bir cihaz, aslında o evin askeri düzeyde bir topografyasını çıkarmaktadır. Büyüme odaklı pazarlamada (Growth Hacking) nasıl ki kullanıcının fare imlecini ekranda nereye götürdüğünü “ısı haritaları” (heatmap) ile izleyip strateji kuruyorsak, istihbarat servisleri de bu cihazlardan gelen verilerle fiziksel dünyanın ısı haritasını çıkarıyor.
Bu durum, mikro-lokasyon verisinin sadece ticari bir varlık olmaktan çıkıp, otonom silah sistemlerinin ve drone’ların hedefini bulmasını sağlayan ölümcül bir navigasyon aracına dönüşmesi demektir. Yani evinizdeki IoT (Nesnelerin İnterneti) ekosistemi, sınır ötesindeki bir operasyonun en kritik istihbarat düğümü olarak çalışabilir. Güvenlik ve gizlilik ihlali kavramı, artık sadece kredi kartı bilgilerimizin çalınması değil; fiziksel varlığımızın nokta atışı bir koordinata dönüştürülmesidir.
Hareketli Kameralar ve Mikrofonlar: Evin Mahremiyeti Kimin Elinde?
İlk nesil robot süpürgeler, sağa sola çarparak yönünü bulmaya çalışan basit ve nispeten “kör” cihazlardı. Ancak günümüzde bu cihazlar, otonom sürüş teknolojisine sahip birer mini Tesla gibi evimizin içinde dolaşıyor. Çarpışma önleyici sistemler, yapay zeka destekli nesne tanıma (AI object recognition) özellikleri, yüksek çözünürlüklü (HD) kameralar ve sesli komutları algılamak için her daim dinlemede olan mikrofonlar… Bunlar, cihazın “daha iyi temizlik yapması” bahanesiyle bize sunulan, ancak arka planda devasa bir veri hasadı yapan donanımlardır.
Özellikle kameralı ve mikrofonlu modellerin yarattığı tehdit boyutu, sıradan bir mahremiyet ihlalinin çok ötesindedir. Bir CEO’nun, üst düzey bir bürokratın, bir gazetecinin veya askeri bir yetkilinin evini düşünün. Kapıdaki güvenlik görevlileri, şifreli alarm sistemleri ve zırhlı araçlarla sağlanan o muazzam fiziksel güvenlik duvarı; evin içinde Wi-Fi şifrenizi girerek kendi ellerinizle ağa bağladığınız, etrafta gezinen kameralı bir robot ile anında çökebilir.
Siz salonda çok gizli bir iş anlaşmasını konuşurken veya kritik bir telefon görüşmesi yaparken, “temizlik” modundaki cihazınızın mikrofonu her şeyi kaydediyor olabilir. Yerdeki bir kabloyu veya çorabı tanımak için eğitilmiş yapay zeka kameraları, aynı zamanda evdeki kişilerin yüzlerini, alışkanlıklarını, evde kimlerin bulunduğunu ve hangi odanın ne amaçla kullanıldığını da fişler. Geçtiğimiz yıllarda, test aşamasındaki bazı robot süpürgelerin çektiği mahrem görüntülerin sızdırılarak sosyal medya platformlarında (Discord, Facebook vb.) yapay zeka etiketleyicileri tarafından paylaşıldığı skandalını unutmamak gerekir.
Kritik şahıslar bir yana, sıradan bir vatandaş için bile durum farklı değildir. Evinizin haritasını, çocuklarınızın oyuncaklarının yerini, günlük rutininizi ve hatta evinizin içindeki sesleri kaydeden bir cihaz, siber saldırganlar için eşsiz bir şantaj ve profil çıkarma aracıdır. Dijital dünyada “veri madenciliği” dediğimiz kavram, artık klavye vuruşlarımızdan çıkıp oturma odamızın tam ortasında, tekerlekleri üzerinde gezinerek yapılmaktadır. Mahremiyetimizin anahtarı, artık sadece bizim elimizde değil; o robotun bağlı olduğu sunucuların ve o sunuculara sızabilecek veya o verileri yasal yollarla talep edebilecek devletlerin elindedir.
Kinetik Tehdit: Lityum-İyon Bataryalar Sadece Güç Kaynağı Değildir
Siber güvenlik denildiğinde aklımıza genellikle soyut kavramlar gelir: Çalınan şifreler, sızdırılan veriler, kilitlenen bilgisayarlar… Ancak işin içine IoT (Nesnelerin İnterneti) girdiğinde, siber tehditler bir anda “kinetik”, yani fiziksel ve yıkıcı bir boyuta ulaşır. Çünkü evimizin içinde internete bağlı olarak dolaşan bu cihazlar sadece birer sensör, kamera veya çip yığınından ibaret değildir; içlerinde ciddi kapasitelere sahip lityum-iyon bataryalar barındırırlar. Teknoloji ve donanım dünyasında herkesin bildiği o sert gerçek şudur: Kontrolü sizde olmayan, yüksek kapasiteli bir lityum-iyon batarya, potansiyel bir yangın bombasıdır.
Çok uzağa gitmeye gerek yok; yakın geçmişte Lübnan’da yaşanan çağrı cihazı ve telsiz patlamaları silsilesini hatırlayın. O olaylar, siber ve elektronik savaşın fiziksel dünyaya nasıl ölümcül bir şekilde sıçradığının en sarsıcı kanıtıydı. İstihbarat servislerinin, hedefteki kişilerin ellerinde taşıdığı basit iletişim cihazlarını, donanım manipülasyonu veya uzaktan tetiklenen yazılımlarla nasıl eşzamanlı birer patlayıcıya dönüştürdüğünü tüm dünya dehşetle izledi. Şimdi bu sabotaj konseptini, o küçük telsizlerden katbekat daha büyük bataryalara sahip olan robot süpürgelere uyarlayın.
Bir robot süpürgenin batarya yönetim sistemi (BMS), tamamen cihazın içindeki yazılım tarafından kontrol edilir. Cihazın şarj istasyonunda ne kadar akım çekeceği, şarjı ne zaman keseceği veya bataryanın ne kadar ısınmasına izin vereceği gibi hayati güvenlik protokolleri internete açık bu yazılımın elindedir. Cihazın kontrolünü ele geçiren kötü niyetli bir aktör, bir siber korsan veya bir devlet istihbaratı, sadece mikrofonunuzu dinlemekle yetinmek zorunda değildir. Yazılıma uzaktan yapılan bir güncelleme (OTA update) veya bir exploit ile bataryanın güvenlik protokolleri devre dışı bırakıldığında, cihaz aşırı yüklenmeye ve “termal kaçak” (thermal runaway) dediğimiz duruma zorlanabilir.
İşin stratejik olarak en tehlikeli yanı ise bu cihazların hareket kabiliyetidir. Kinetik bir saldırı planlanıyorsa, saldırgan cihazı olduğu yerde patlatmak zorunda değildir. İnternet üzerinden kontrol edilen robot, evin en yanıcı/tehlikeli noktasına; örneğin kalın perdelerin yanına, kitaplığın altına veya hedef kişi uyurken doğrudan yatağın altına yönlendirilip orada infilak etmesi (veya yangın çıkarması) sağlanabilir. Hedefe yönelik bir sabotaj eylemi için evin içine bir ajan veya tetikçi sokmanıza gerek yoktur; kurbanın kendi parasıyla satın alıp kendi Wi-Fi ağına bağladığı o “akıllı” asistan, bir komutla kinetik bir silaha dönüşebilir.
Veri Egemenliği Sorunu: Sunucular Neden ABD veya Çin’de?
Evinizin içinde fırıl fırıl dönen bu cihazların topladığı tüm o mikro-lokasyon verileri, 3D haritalar, ses analizleri ve görüntü kayıtları cihazın kendi içindeki küçük hafıza kartında kalmıyor. Cihazın “akıllı” olabilmesi ve telefonunuzdaki uygulamayla haberleşebilmesi için bu verilerin işlenmek üzere buluta (cloud) gitmesi şart. Peki ama bu bulut nerede? Bu sorunun cevabı, modern jeopolitiğin en kritik savaş alanlarından birini, yani veri egemenliğini (data sovereignty) işaret ediyor.
Bugün piyasayı domine eden robot süpürge markalarının neredeyse tamamına yakını ya Çin (Xiaomi, Roborock, Ecovacs vb.) ya da ABD (iRobot/Roomba, Amazon vb.) menşeli. Bu durum, evinizin en mahrem verilerinin anlık olarak bu iki süper gücün sınırları içerisindeki sunuculara akması demektir. Teknoloji dünyasında çok iyi bildiğimiz, ancak son kullanıcıların sıkça göz ardı ettiği bir kural vardır: Veri, fiziksel olarak hangi ülkenin topraklarında barındırılıyorsa, o ülkenin yasalarına tabidir.
Çin’in Ulusal İstihbarat Yasası, Çin menşeli teknoloji şirketlerinin devletin istihbarat çalışmalarıyla işbirliği yapmasını ve talep edildiğinde verileri teslim etmesini yasal bir zorunluluk haline getirir. Öte yandan ABD cephesinde durum çok farklı değildir; PATRIOT Act veya CLOUD Act gibi yasal çerçeveler, Amerikan istihbarat servislerine ABD merkezli şirketlerin (sunucuları yurtdışında olsa bile) barındırdığı verilere erişim yetkisi verir. Yani evinizi temizleyen cihazın markası ister doğudan ister batıdan gelsin, günün sonunda verileriniz bu iki küresel gücün devasa istihbarat havuzuna potansiyel bir girdi oluşturur.
Bireysel olarak “Benim salonumun krokisinden ne olacak?” diye düşünebilirsiniz. Ancak veri analitiğinde ve makro stratejide Büyük Veri (Big Data) konsepti tam olarak burada devreye giriyor. Bir devletin elinde başka bir ülkedeki milyonlarca evin; bakanların, askeri personelin, kritik altyapı yöneticilerinin, gazetecilerin ve akademisyenlerin evlerinin detaylı iç haritası, yaşam rutinleri ve ses analizleri varsa, bu artık basit bir ticari pazar araştırması değil, eşi benzeri görülmemiş stratejik bir istihbarat varlığıdır.
Veri egemenliği sorunu net bir gerçeği yüzümüze vuruyor: Veri nerede işleniyor ve depolanıyorsa, güç de oradadır. Kritik şahısların evinde, sunucusu binlerce kilometre ötede ve yabancı bir devletin yargı yetkisinde olan hareketli bir kamera ve mikrofon bulundurması kabul edilebilir bir risk değildir.
Çözüm: Merkeziyetsizlik, “Homelab” Mimarisi ve Valetudo Alternatifi
Bütün bu anlattıklarımın ardından çözüm, teknolojiyi reddedip otonom cihazları çöpe atmak değil. Bir dijital stratejist olarak her zaman savunduğum temel bir kural vardır: Sistemin kurallarını değiştiremiyorsan, kendi sistemini kur. Mademki verinin buluta gitmesi makro düzeyde bir güvenlik ve mahremiyet sorunu yaratıyor, o halde bulutu evimizin içine taşımamız gerekiyor. “Homelab” (Ev Sunucusu) konsepti tam olarak burada hayat kurtaran bir dijital devrim olarak karşımıza çıkıyor.
Kritik görevlerdeki şahısların, generallerin, gazetecilerin veya sadece mahremiyetinin değerini bilen bir bireyin evinde kameralı ve mikrofonlu bir otonom cihaz gezecekse, o cihazın dış dünya ile iletişimini kesmek zorundayız. Cihazın ürettiği o devasa veri paketi (krokiler, eşya dizilimleri, günlük rutinler) okyanus ötesindeki sunuculara akmamalı; evinizin içindeki şifreli ve dışarıya kapalı yerel ağınızda (LAN), kendi kurduğunuz bir Homelab sunucusunda barındırılmalıdır.
Peki, büyük teknoloji firmaları cihazlarını kendi bulutlarına zorunlu olarak bağlarken bunu nasıl başaracağız? Burada açık kaynak (open-source) dünyasının gücü devreye giriyor: Valetudo gibi vizyoner projeler.
Valetudo, robot süpürgenizi üreticinin bulutuna bağlayan o görünmez dijital prangaları kıran, cihazı “root”layarak (kök erişimini alarak) bulut bağımlılığını tamamen ortadan kaldıran açık kaynaklı bir yazılımdır. Cihazınıza Valetudo entegre ettiğinizde, robot süpürgeniz Çin’deki veya ABD’deki sunucularla veri alışverişini bıçak gibi keser. Süpürgenin çıkardığı 3D harita, sensör verileri ve tüm yönetim paneli sadece sizin Homelab’ınızda, yani sizin fiziksel kontrolünüzdeki yerel sunucunuzda kalır. Cihaz internete çıkamaz, dışarıdan habersiz hiçbir güncelleme (OTA update) alamaz; dolayısıyla uzaktan hacklenip tetiklenebilir bir kinetik silaha veya dinleme cihazına dönüştürülemez.
Eğer teknolojinin konforundan faydalanırken aynı zamanda güvende kalmak istiyorsak, verinin egemenliğini yabancı devletlerin inisiyatifinden alıp kendi evimizin sınırları içine hapsetmeliyiz.
Devlet Aklı ve Ölçeklenebilir Güvenlik: VIP’ler İçin “Kurumsal Homelab” Dönüşümü
Bireysel farkındalık ve evimize kendi sunucumuzu (Homelab) kurmak işin vizyon kısmı. Ancak işin içine “devlet aklı” ve “ulusal güvenlik” girdiğinde, stratejinin ölçeklenebilir ve tepeden inme bir protokole dönüşmesi şarttır. Bir bakanın, korgeneralin veya istihbarat tepe yöneticisinin evindeki siber güvenlik, onların teknolojik okuryazarlığına veya kişisel inisiyatiflerine bırakılamaz. Açık konuşalım; hiçbir üst düzey bürokratın akşam eve geldiğinde açık kaynak kodlu bir yazılımı robot süpürgesine flaşlamak için vakti veya uzmanlığı yoktur.
Peki devlet bu mikro-lokasyon ve IoT istihbaratı tehdidine karşı ne yapmalı? Cevap, endüstriyel tesislerin güvenliğinde kullandığımız yöntemleri, VIP evlerine taşımaktır:
- Devlet Destekli “Kapalı Devre” (Air-Gapped) Ev Ağları: Kritik personelin evlerindeki internet altyapısı, sıradan bir vatandaşınkiyle aynı olamaz. Devletin siber güvenlik kurumları (Türkiye örneğinde HAVELSAN, TÜBİTAK BİLGEM veya doğrudan MİT Siber İstihbarat Başkanlığı), kritik şahısların konutlarına özel, dışarıya tamamen kapalı (intranet mantığında çalışan) güvenli ev sunucuları kurmalıdır.
- Milli Firmware ve Beyaz Liste (Whitelisting) Uygulaması: VIP şahısların evlerine piyasadan “off-the-shelf” (raftan alındığı gibi) hiçbir IoT cihazı girememelidir. Devlet; piyasadaki donanım kalitesi yüksek robot süpürge, akıllı TV veya termostatları satın alıp, içindeki ABD veya Çin menşeli yazılımı tamamen silmeli ve kendi geliştirdiği (veya modifiye ettiği) kapalı devre yazılımları yüklemelidir. Tıpkı kriptolu telefonlarda olduğu gibi, ev eşyaları da “kriptolanmalı” ve sadece bu onaylı cihazların kritik evlere girmesine izin veren katı bir “Beyaz Liste” protokolü uygulanmalıdır.
- Sıfır Güven (Zero Trust) Mimarisi: Kritik şahsın evine misafir olarak gelen birinin cep telefonu dahi evin ana ağına bağlanamamalı, eğer bağlanacaksa da evin fiziksel sensör verilerine (robot süpürgelerin ve kameraların olduğu ağa) erişimi donanımsal olarak izole edilmelidir.
Bugün devletler siber güvenliği, bakanlık binalarını ve askeri tesisleri korumak olarak görüyor. Ancak hedefin mutfakta mı yoksa yatak odasında mı olduğunu bilen, evdeki sesleri dinleyen hareketli cihazların olduğu bir dünyada cephe hattı artık resmi binalar değil, bizzat personelin evidir. Devlet, veri egemenliğini sadece veri merkezlerinde değil, kritik şahıslarının salonlarında da sağlamak zorundadır.
