Security by Design Nedir?
Security by Design (SbD), Türkçesiyle Tasarımda Güvenlik, siber güvenlik önlemlerinin bir sistem veya yazılımın geliştirme yaşam döngüsünün en başından itibaren mimariye dahil edildiği proaktif bir mühendislik yaklaşımıdır. Geleneksel yöntemde güvenlik, ürün tamamlandıktan sonra eklenen bir katman olarak ele alınırdı; bu da hem maliyetli hem de yetersiz yamalar doğururdu. SbD, aksine güvenliği bir ürünün DNA'sına işler: tehditler tasarım kararlarıyla önlenir, açıklar doğmadan kapatılır. CISA (ABD Siber Güvenlik ve Altyapı Ajansı) ve NIST bu yaklaşımı yazılım üreticileri için temel sorumluluk standardı olarak belirlemiştir.
Temel Prensipler: CIA Üçgeni ve Ötesi
Security by Design birkaç köklü güvenlik prensibinin bir araya gelmesiyle şekillenir. CIA üçgeni (Gizlilik/Confidentiality, Bütünlük/Integrity, Erişilebilirlik/Availability) tüm tasarım kararlarının referans noktasını oluşturur. En az ayrıcalık ilkesi (Principle of Least Privilege), kullanıcı ve süreçlere yalnızca görevi için gerekli izinlerin verilmesini zorunlu kılar; böylece olası bir ihlalden etkilenen alan daraltılır. Saldırı yüzeyinin minimize edilmesi, gereksiz bileşenler, portlar ve servisler kaldırılarak sistemin maruz kaldığı risk alanını küçültür. Savunma derinliği (Defense in Depth) ise tek bir güvenlik katmanına güvenmek yerine birden fazla bağımsız katman inşa eder; bir katman aşılsa bile diğerleri sistemi korur.
Security by Design ile Security by Default Arasındaki Fark
Bu iki kavram birbirini tamamlar ama farklı boyutları kapsar. Security by Design, mimari ve geliştirme sürecine odaklanır: güvenlik gereksinimleri yazılımın tasarım belgelerine, kod incelemelerine ve test süreçlerine entegre edilir. Security by Default ise ürünün son kullanıcıya ulaştığında varsayılan ayarlarının güvenli olmasını ifade eder; örneğin şifrelemenin varsayılan olarak açık gelmesi, gereksiz servislerin devre dışı olması veya en kısıtlayıcı erişim politikasının ön tanımlı hâl alması. CISA'nın kılavuzları bu iki prensibi birlikte ele alır: tasarımda güvenliği inşa edin, teslimde de güvenli yapılandırmayla gönderin.
Yapay Zeka Sistemlerinde Uygulama
Yapay zeka sistemleri, Security by Design açısından benzersiz güçlükler sunar. Model zehirlenmesi (data poisoning), düşmanca örnekler (adversarial inputs) ve eğitim verisi sızıntısı, geleneksel yazılım tehditlerinin ötesine geçen saldırı vektörleridir. SbD çerçevesinde bir yapay zeka sistemi inşa etmek şu adımları kapsar: eğitim ve çıkarım boru hatlarında tehdit modellemesi yapmak, veri setlerini bütünlük kontrolleriyle güvence altına almak, model çıktılarını izole bir ortamda test etmek ve insan denetimi mekanizmalarını mimariye gömmek. Federated learning ve diferansiyel gizlilik gibi teknikler, eğitim verisini merkezi bir sunucuya toplamadan modeli geliştirerek tasarımda gizlilik ilkesini doğrudan destekler.
GDPR ve AB Yapay Zeka Yasası Uyumluluk Bağlantısı
Security by Design, artık yalnızca iyi bir uygulama değil, yasal bir zorunluluktur. GDPR'ın 25. maddesi, kişisel veri işleyen sistemlerin tasarım ve varsayılan ayarlar yoluyla veri korumayı sağlamasını emreder; bu madde doğrudan SbD felsefesini hukuki zemine taşır. AB Yapay Zeka Yasası (Regulation (EU) 2024/1689) ise yüksek riskli yapay zeka sistemleri için teknik dokümantasyon, şeffaflık ve siber dayanıklılık gerekliliklerini Ağustos 2026'dan itibaren yürürlüğe sokmuştur. Uyumsuzluk hâlinde 35 milyon Euro'ya veya küresel yıllık cirosun yüzde yedisine kadar ceza uygulanabilir.