Kripto varlık piyasası büyüdükçe ne yazık ki ekosistem üzerinde gerçekleşen siber saldırıların sayısı ve karmaşıklığı da aynı ölçüde artmaktadır. Merkeziyetsiz finans protokollerinden büyük ölçekli kripto varlık hizmet sağlayıcılarına kadar geniş bir alanı hedef alan mezkur saldırılar hem yatırımcıların güvenini sarsmakta hem de sektörün sürdürülebilirliğini tehdit etmektedir.

            Son olarak Güney Kore’nin en büyük kripto varlık hizmet sağlayıcısı olan Upbit’te yaşanan siber saldırı, kripto ekosisteminin karşı karşıya kaldığı risklerin ciddiyetini bir kez daha gözler önüne sermektedir. Yaklaşık 54 milyar won tutarındaki varlıkların kötü niyetli aktörler tarafından ele geçirilmesi yaşanan kaybın büyüklüğünü ve saldırının ciddiyetini tüm açıklığıyla ortaya koymaktadır. Her ne kadar Upbit çalınan tokenlerin kimliği belirsiz bir cüzdana aktarılmasının ardından müşteri varlıklarının tamamını tazmin edeceğini açıklamış olsa da işbu durum sektörün güvenlik altyapısındaki zafiyetleri örtmemekte; aksine daha görünür ve tartışılır hale getirmektedir. Ki yalnızca teknik açıdan değil, aynı zamanda hukuki sorumluluklar bakımından da ciddi bir denetim altına alınması gerektiği aşikârdır. Bu nedenledir ki kripto varlık hizmet sağlayıcılarının güvenlik mimarisinde ortaya çıkabilecek en küçük bir zafiyet dahi milyarlarca dolarlık kayıplara yol açabileceğinden ekosisteme ilişkin hem teknik hem de hukuki sorumluluklar her geçen gün daha da ağırlaşmaktadır.

            Bilindiği üzere; kripto varlık hizmet sağlayıcıları kullanıcı varlıklarının korunması, saklanması ve işlem altyapısının kesintisiz ve güvenli bir biçimde işletilmesi noktasında ağırlaştırılmış özen borcu ile hareket etmekle yükümlüdür. Bu yükümlülük yalnızca teknik standartların sağlanması ile sınırlı kalmayıp; mevzuata uyum, risk yönetimi, şeffaflık ve hesap verebilirlik ilkelerini kapsayan çok katmanlı bir hukuki sorumluluk rejimi de oluşturmalıdır ki etkili sonuçlar alınabilsin.Nitekim hedeflenen işbu bütüncül çerçeve, kullanıcıların malvarlığını güvence altına alan bir hukuki güvenlik sigortası niteliği taşımakta; hizmet sağlayıcıların hem teknik hem de normatif düzeyde eksiksiz bir koruma mekanizması tesis etmesini zorunlu kılmaktadır. Dolayısıyla herhangi bir ihlal hali yalnızca bir teknik zaaf olarak görülemez. Zira veri güvenliği standartlarının ihlali, tüketiciye karşı hizmet kusuru, yetersiz gözetim ve denetim uygulamaları gibi hukuki yaptırımları beraberinde getirmektedir. Bu nedenledir ki kripto ekosisteminde güvenlik; hukuki ve teknik sorumlulukların birbirinden ayrı düşünülemediğinden ve birbirini tamamlayan ve aynı anda işletilmesi gereken bir yükümlülük bütünü olduğundan adeta bir hibrit çalışma alanıdır. Ayrıyeten siber güvenlik artık yalnızca teknoloji ekiplerinin üstlenebileceği dar bir görev alanı olmaktan çıkmıştır. Günümüz kripto ekosisteminde güvenlik anlayışı hukuk, uyum, iç denetim ve kurumsal yönetişim süreçlerinin birlikte yürütülmesini zorunlu kılan çok katmanlı ve kurumsal bir sorumluluk haline gelmiştir.

            Modern kripto finans yapısında güvenlik tam anlamıyla teknik önlemlerle başlar, hukuki standartlar ile güçlenir, kurumsal yönetişim ile sürdürülebilir hale gelmektedir. İşbu bağlamda ise bu tür siber saldırıların önlenebilmesi saikiyle kripto hizmet sağlayıcılarının ve token projelerinin kapsamlı ve bütüncül güvenlik politikaları geliştirmesi zorunluluk arz etmektedir.

—Akıllı sözleşme denetimleri

—Çoklu imza mekanizmaları

—Soğuk cüzdan saklama prensipleri

—Düzenli penetrasyon ve stres testleri

—Gerçek zamanlı tehdit izleme sistemleri

—Bağımsız denetim ve raporlama yükümlülüğü

—Veri güvenliği ve kişisel verilerin korunması yükümlülüğü

—AML/KYC ve şüpheli işlem bildirim yükümlülüğü… vb.

                        Sonuç olarak; bunlar ve daha da fazlası artık bir tercihten öte sektörel standart niteliği taşıyan zorunlu güvenlik adımlarıdır. Kripto varlık ekosisteminde güvenliğin sağlanması yalnızca teknik altyapıya yönelik yatırımlarla sınırlı değildir. Hukuki yükümlülüklerin eksiksiz yerine getirilmesi, kurumsal yönetişim mekanizmalarının güçlendirilmesi ve savunma odaklı teknolojik önlemlerin sürekli olarak güncellenmesini gerektiren bütüncül bir süreci ifade etmelidir. Bu nedenledir ki kripto varlık hizmet sağlayıcıları açısından güvenlik; teknik, hukuki ve kurumsal boyutları aynı anda içeren, ertelenmesi veyahut taviz verilmesi mümkün olmayan stratejik bir yükümlülük niteliğinde ekosisteme adapte edilmesi gerektiği kanaatindeyiz.

 www.kriptohukukcu.com Kurucu Avukatı

 Av. Betül AKÇA