OpSec Nedir?
Operasyonel Güvenlik (OpSec), tehditlerini tanımlamak ve bunlara karşı uygun tedbirler almaktır. Askerî bir kavram ama günlük dijital hayat için de geçerli.
OpSec bir araç değil, bir düşünce şeklidir.
Tehdit Modelleme
Herkesin tehditleri farklıdır. İlk adım: sana özel tehditlerini tanımla.
Üç Soru
- Neyi koruyorum? (veriler, iletişim, konum, kimlik, finansal bilgiler)
- Kimden koruyorum? (şirketler, devlet, hackerlar, tanıdıklar)
- Koruyamazsam ne olur? (mahcubiyet, mali kayıp, fiziksel tehlike, hapis)
Türkiye’de Yaygın Tehdit Modelleri
Sıradan vatandaş:
- Tehdit: veri sızıntısı, hesap çalınması, dolandırıcılık
- Tedbir: Güçlü şifreler, 2FA, VPN, güncel yazılım
Girişimci / iş insanı:
- Tehdit: rekabet casusluğu, hesap dondurma, vergi incelemesi
- Tedbir: Şifreli iletişim, Bitcoin self-custody, veri yedekleme
İçerik üretici / aktivist:
- Tehdit: sansür, deplatforming, kimlik tespiti
- Tedbir: Nostr, anonim hesaplar, Tor, VPN, ayrı cihazlar
Herkes için geçerli:
- Deprem/afet sonrası iletişim kesilmesi
- Banka sistemlerinin çökmesi
- İnternet erişim engelleri
Pratik OpSec Kuralları
1. Kompartmantalizasyon
Farklı aktiviteleri farklı araçlarla yap:
- İş e-postası ≠ kişisel e-posta ≠ anonim e-posta
- İş telefonu ≠ kişisel telefon (mümkünse)
- GrapheneOS’ta farklı profiller kullan
2. En Az Bilgi İlkesi
Her platform ve kişiye yalnızca gerekli minimum bilgiyi ver:
- Gerçek ad gerekmiyorsa kullanma
- Telefon numarası gerekmiyorsa verme
- Konum paylaşmayı varsayılan kapat
3. Zincirin En Zayıf Halkası
Güvenliğin, en zayıf noktası kadardır:
- Disk şifreli ama şifre “123456” ise → güvenlik yok
- Signal kullanıyorsun ama telefon kilitsiz ise → güvenlik yok
- VPN açık ama Google hesabıyla giriş yapıyorsan → anonimlik yok
4. Fiziksel Güvenlik
Dijital güvenlik fiziksel güvenlikle başlar:
- Bilgisayarı kilitsiz bırakma
- Ekran kilidi her zaman aktif
- Kameraya bant yapıştır (paranoya değil, tedbir)
- Kamusal yerlerde ekranı gizle
5. Meta Veri Bilinci
İçerik şifreli olsa bile meta veriler çok şey anlatır:
- Kiminle, ne zaman, ne kadar süre iletişim kurduğun
- Nerede olduğun (konum verileri)
- Hangi siteleri ziyaret ettiğin (DNS sorguları)
VPN + şifreli DNS (DoH/DoT) meta veri sızıntısını azaltır.
Kademeli Güvenlik
Herkesın aynı seviyede güvenliğe ihtiyacı yok. Kademeli düşün:
| Seviye | Kim için | Tedbirler |
|---|---|---|
| Temel | Herkes | Bitwarden, 2FA, Firefox, Signal, VPN |
| Orta | Bilinçli kullanıcı | Linux, ProtonMail, Bitcoin self-custody, Syncthing |
| İleri | Gizlilik odaklı | GrapheneOS, kendi sunucu, Tor, multisig, Nostr |
| Maksimum | Aktivist/gazeteci | Ayrı cihazlar, Tails OS, air-gapped Bitcoin, yüz yüz iletişim |
Çoğu insan için Orta seviye yeterli ve uygulanabilir. Bu seviye zaten Aşama 0-3’te öğrendiğin her şey.
Tor hakkında kısa not: Tor (The Onion Router), internet trafiğini üç farklı şifreli düğüm üzerinden yönlendirerek anonim gezinme sağlar. VPN’den farkı: VPN sağlayıcına güvenmelisin, Tor’da hiçbir tek düğüm hem kim olduğunu hem nereye gittiğini bilemez. torproject.org adresinden Tor Browser indirilebilir. İleri seviye kullanıcılar için güçlü bir araçtır, ancak hızı düşüktür ve günlük kullanım için pratik değildir.
Düzenli Kontrol Listesi
Ayda bir gözden geçir:
- Bitwarden’da zayıf/tekrarlanan şifre var mı?
- 2FA tüm kritik hesaplarda aktif mi?
- VPN düzgün çalışıyor mu?
- Yazılımlar güncel mi?
- Kullanılmayan hesaplar kapatıldı mı?
- Yedeklemeler güncel mi?
- Seed phrase ve kurtarma kodları güvende mi?
Hatırla: OpSec paranoya değil, tedbirdir. Hz. Peygamber (s.a.v.), Allah’ın emriyle hicret ederken aynı zamanda pratik tedbir aldı — farklı güzergâh, mağarada gizlenme, güvendiği kişilerle hareket. İslami kalıp budur: Allah’a tevekkül et, tedbirini de al. OpSec tedbirdir; tedbir sünnettir.
Punk Perspektifi: Lunarpunk Ormanı
OpSec kavramı en derinden lunarpunk hareketi tarafından benimsenmiştir. Lunarpunk’lar kendilerini “interneti denetimsiz bir dijital ormana dönüştürmeye adanmış gerilla hareketi” olarak tanımlar. Gece, ay ışığı ve görünmezlik lunarpunk’ın temel metaforlarıdır.
Lunarpunk’ın OpSec yaklaşımı solarpunk’ın iyimserliğine bir uyarıdır: “Açıkça güzel şeyler inşa etmek yetmez — inşa ettiğini koruyabilmen de gerekir.” Bu, solarpunk’ın naifliğine karşı bir panzehirdir.
İslami gelenekte bu, hiyal (meşru tedbir) ve firaset (feraset, basîret) kavramlarıyla karşılık bulur. Hz. Peygamber’in hicret planı — farklı güzergâh, mağara, güvenilir kişilerle hareket — bir lunarpunk operasyon planı gibidir.
Ayrışma noktası: lunarpunk bazen kalıcı bir gizlenmeye dönüşebilir — toplumdan tamamen çekilme. İslam buna izin vermez. Halvet (inziva) geçicidir ve bir amaca hizmet eder. Tedbir alırsın, ama sonra Aşama 4’te geri dönüp başkalarına yardım edersin. OpSec bir amaç değil, bir araçtır.