Microsoft’a bağımlı olmak risklidir

 (blog.miloslavhomer.cz)
1 puan yazan GN⁺ 2025-06-30 | 1 yorum | WhatsApp'ta paylaş
  • Son dönemdeki ICC (Uluslararası Ceza Mahkemesi) yaptırım kapsamındaki kişinin posta kutusunun engellenmesi olayının da gösterdiği gibi, Microsoft ürünlerine aşırı bağımlılık beklenmedik hizmet kesintileri ve maliyet riskleri barındırır
  • ABD’deki siyasi etkenlerle (özellikle yaptırımlar veya ani politika değişiklikleri) birleştiğinde, hizmetin kesilme olasılığı düşük olsa da, bir kez yaşandığında zarar çok büyüktür
  • Microsoft gibi büyük BT şirketleri, bulut ve SaaS çağında müşteri kurumların verileri ve yazılımları üzerinde fiilen tam kontrol yetkisine sahiptir
  • Kurum ve şirketlerin BT altyapısı (e-posta, kimlik yönetimi, dosyalar, kimlik doğrulama vb.) MS hizmetlerinde yoğunlaştıkça, bir hizmet kesintisi durumunda tüm iş ve ticari faaliyetler felç olabilir
  • Riski önlemek ve alternatif altyapı kurmak için makul yatırım sınırı pratikte çok küçüktür. Risk yönetimi sezgilere aykırıdır ve temelde veri ile maliyet tahmininin sınırları vardır

Son olay: MS’nin ICC (Uluslararası Ceza Mahkemesi) posta kutusunu engellemesi tartışması

  • 2025’te ABD, ICC üst düzey yetkililerine yaptırım uygulayınca, Microsoft’un ilgili kişinin iş amaçlı e-posta hesabına erişimi engellediği çeşitli medya kuruluşlarınca bildirildi
    • Associated Press, NL Times vb. kuruluşlar bunu “Trump yönetiminin yaptırımları → MS’nin ICC başsavcısı dahil bazı hesapları engellemesi” olarak açıkladı
    • Politico ise bunun “kurumun tamamına değil, belirli kişilere yönelik bir engelleme” olduğunu vurguladı; ancak belirli kişilerin engellendiği gerçeğini inkâr etmedi
  • Bu olay, Hollanda başta olmak üzere Avrupa’da ABD’li BT şirketlerine bağımlılığın devlet ve kamu BT altyapısı için bir güvenlik riski olup olmadığı tartışmasını tetikledi
  • MS, “hesabın hangi yolla engellendiği ve kesin ayrıntılar açıklanmıyor” diyerek hizmet engelleme süreci ile sorumluluk kapsamındaki belirsizliği ortaya koydu

Bu tekrar yaşanabilir mi?

  • Hizmet engelleme prosedürü son derece basittir: ABD başkanının (hükümetin) yaptırım emri → MS gibi ABD’li BT şirketlerinin hizmeti kesmesi
    • Hukuki meşruiyet tartışmasından bağımsız olarak, engelleme bir kez gerçekleştiğinde iş kaybı anında gerçeğe dönüşür
  • Trump gibi siyasi karar alma süreçlerini öngörmek zordur ve herhangi bir şirket tek bir açıklama ya da gündem maddesiyle hedef haline gelebilir
    • ABD başkanının yetkileri geniştir ve belirsizlik politika riskini büyütür
  • Bu tür olaylar pratikte sık yaşanmasa da, MS ürünlerine ciddi biçimde bağımlı kurumlar için kalıcı bir “black swan” riski olarak varlığını sürdürür
    • Milyonlarca MS müşterisi arasında yılda 1-2 olay olasılığıyla hesaplansa bile, bir kez yaşandığında zarar devasa olur

Microsoft’un hizmet engelleme kabiliyeti

  • Bulut ve SaaS’ın yaygınlaşmasından sonra Microsoft, müşterilerin yazılımları ve verileri üzerinde fiilî kontrol gücüne sahip oldu
    • Geçmişte (1990’lar-2000’ler) şirket içi posta sunucuları ve çevrimdışı kimlik doğrulama sayesinde dışarıdan engelleme zordu
    • Bugün ise tüm hizmetler (Exchange, Azure, MS 365, Office vb.) merkezi bir modelle işletiliyor
  • Örnek: Python in Excel’de tüm Python kodu yerelde değil, Azure konteynerlerinde çalıştırılır
    • Bu merkezi kontrol sayesinde hesap engelleme, veri erişimini kesme veya hizmetin tamamını durdurma mümkündür
  • Hizmetin kesilmesi her zaman olumsuz değildir; yasal talepler veya kamu güvenliği gibi durumlarda olumlu da işleyebilir
  • Dünya genelinde 2 milyondan fazla şirket MS 365 ürünlerini kullanıyor ve MS isterse hizmet üzerinde anlık kontrol uygulayabilir

Şirketlerin Microsoft bağımlılık yapısı ve gerçek zarar boyutu

  • Modern şirket BT altyapısı, e-posta, işbirliği, belgeler, kimlik doğrulama, yedekleme gibi çekirdek işlevlerde neredeyse her yönden MS ürünlerine bağımlıdır
    • MS Exchange, Teams, Sharepoint, Office, Active Directory, OneDrive, Windows vb.
  • Özellikle e-posta, belgeler ve kimlik yönetimi, işlerin gerçek zamanlı sürmesi için kritik önemdedir
  • Gerçek kesinti örnekleri
    • 2024’teki Crowdstrike kesintisi nedeniyle Fortune 500 şirketi başına ortalama 44 milyon dolar zarar oluştu
    • Küçük işletmelerde dakikada binlerce ila on binlerce dolar, büyük şirketlerde ise sunucu başına dakikada 16.700 dolara kadar kayıp mümkün olabilir (Gartner vb. kaynaklara göre)
  • Kısa süreli bir hizmet kesintisi bile işlerin durması, geçiş ve kurtarma maliyetleri, itibar kaybı gibi büyük ikincil zararlara yol açar
    • 2 hafta içinde yeni bir BT yığını kurulacağı varsayılsa bile, bu pratikte neredeyse imkânsızdır

Risk azaltmaya (Prevention) makul olarak yatırılabilecek tutar

  • ROSI (güvenlik yatırım getirisi) formülüne göre, tekil bir olayın gerçekleşme olasılığı çok düşük olduğundan şirketlerin ayırabileceği önleme bütçesi son derece küçüktür
    • Tek bir olayın maliyeti (ör. 34 milyon dolar) × yıllık gerçekleşme olasılığı (1/2 milyon) = yıllık ortalama beklenen kayıp 17 dolar
    • Mükemmel bir riskten kaçınma çözümü kurulsaydı bile, makul görülebilecek yatırım tutarı sınırlı olurdu
    • Büyük şirketler (ör. Walmart) yıllık yüz milyonlarca doları MS hizmetlerine harcasa da, kendi bulut ve BT altyapısını kurmanın ve kullanıcıları yeniden eğitmenin geçiş maliyeti çok daha yüksektir
    • Hizmet ve lisans maliyetlerindeki düşüş etkisi hesaba katılsa bile, MS’yi tamamen ikame etmeye yetecek gerçekçi yatırım kapasitesi sınırlıdır

Risk yönetiminin temel sınırları ve karmaşıklığı

  • Gerçek risk yönetiminde, tek bir olayın yıkıcı etkisi yüksek olsa bile gerçekleşme olasılığı çok düşükse alternatif yatırım mantıksız görülebilir
  • Güvenlik ROI’si, olay olasılığı ve zarar tutarı gibi tüm değişkenlerde büyük belirsizlik vardır ve güvenilir veri zaten yetersizdir
    • Çok sayıda varsayım ve belirsizlik altında, kararlar aşırı ihtiyatlı ya da duygusal hale gelmeye yatkındır
  • “Veri temelli karar alma”nın kendisi zor olduğu için, birçok durumda sezgilere ters düşen ve tartışmalı yönetim/yatırım kararları ortaya çıkar
    • KOBİ’ler için tek bir olay “şirketin kapanmasına” yol açabilecek olsa da, rasyonel hesap çoğu zaman bu riskin kabul edilmesi gerektiğini gösterebilir
  • Devletler ve kamu kurumları ise maliyet yerine egemenlik, kontrol hakkı ve veri bağımsızlığı gibi finansal olmayan unsurları öne alarak MS’den uzaklaşmayı değerlendiriyor (Danimarka vb.)

Sonuç ve çıkarımlar

  • MS hizmetlerine aşırı bağımlılık çok nadir gerçekleşen bir risk olsa da, yaşandığında kurumun varlığını bile tehdit edebilir
  • Gerçekte önleyici veya alternatif altyapı kurmaya ayrılabilecek kaynak ve bütçe oldukça sınırlıdır
  • Buna rağmen, kâr değil değerleri önceleyen kurumların (ör. Danimarka hükümeti) gerçekten bağımsız alternatifleri değerlendirdiği de bir gerçektir
  • Şirketler ve kurumlar kendi koşullarına göre gerçekçi risk değerlendirmesi ile kısa ve uzun vadeli stratejiler geliştirmelidir
  • BT politikası ve yönetim stratejisi açısından somut karşı önlemler şunlardır
    • Acil durumda kullanılacak alternatif BT ortamı için bir kılavuz hazırlamak
    • Kritik verileri yedeklemek ve bulut/e-posta hizmetlerini çeşitlendirmek
    • Zorunlu hizmetlerde yedeklilik kurmak ve MS’den çıkış senaryolarını tatbikatlarla denemek
  • Şirketin veya kurumun ölçeği, sektörü ve düzenleyici gerekliliklerine göre egemenlik, maliyet ve iş sürekliliği gibi çeşitli unsurlar birlikte değerlendirilerek gerçekçi bir risk yönetimi stratejisi oluşturulmalıdır

İlgili okumalar

1 yorum

 
GN⁺ 2025-06-30
Hacker News görüşü
  • Microsoft kullanırken iyi taraflarıyla kötü taraflarını dikkatle ayırmak gerektiğini düşünüyorum
    Microsoft’u tamamen yasaklamak, çözüm seçeneklerini ciddi biçimde kısıtlar
    Bu şirket çok büyük ve içeride kültürler oldukça çeşitlidir
    .NET, MSSQL, Visual Studio gibi ürünlerin gerçekten güçlü alternatifleri pek yok; özellikle Visual Studio’nun debugger deneyimi, gerçek hayatta karmaşık sorunları çözerken neredeyse vazgeçilmez bir araçtır
    En üst düzey oyun motorlarının Visual Studio’ya büyük ölçüde bağımlı olmasının nedeni de budur
    Ama Azure ve Windows, Microsoft’ta sorunların başladığı alanlardır
    • AAA oyun motorlarının Visual Studio kullanmasının nedeni, oyun müşterilerinin çoğunun Windows platformunda olmasıdır
      Eğer oyuncuların %95’i MacOS kullansaydı, oyun geliştiricilerinin teknoloji yığını da tamamen farklı olurdu
    • İyiyle kötüyü nasıl ayırabileceğimizi merak ediyorum
      Microsoft sürekli olarak kötü ürünler yapıyor ve bazen eskiden fena olmayan şeyleri bile kötüleştiriyor
      Bu yüzden şu anda iyi görünen ürünlerin de uzun süre iyi kalacağını varsaymıyorum
    • Visual Studio yalnızca AAA oyun motorları için gerekiyorsa, bu tek başına MS’i övmek için oldukça zayıf bir övgü olur
      İnsanların çoğu AAA oyun motoru yazmıyor
    • Microsoft’un tüm sorunlarına rağmen, Windows için açık API dokümantasyonu bence en iyilerden
      Ortalama olarak Linux ya da BSD manpage’lerinden daha iyi, Apple’ın bazı düşmanca hazırlanmış dokümantasyonlarından ise çok daha iyi olduğunu düşünüyorum
      Ancak bug raporu göndermek için iç ağı iyi tanımak ya da kime, nerede soracağını bilmek gerekiyor
    • Debugger dışında, Visual Studio kullandığım IDE’ler içinde en kötüsü
      JavaScript kod düzenlemede otomatik girintileme özelliği adeta rastgele sayı üreteci gibi berbat çalışıyor
      Proje çalışırken yeni dosya eklenemiyor, bağlam menüsünden oluşturmak da mümkün değil
      Dosyalar dışarıdan değişirse sadece yeniden başlatmanı öneriyor
      Bunun dışında da sayısız küçük sorun var; özellikle otomatik girinti biçimlendirmesi tam bir işkence
  • Pek çok kişi ve şirketin Microsoft’un bulut hizmetlerini kullanıyor olması bana şaşırtıcı geliyor
    Bu, kontrol edilemeyen bir single point of failure (tek hata noktası)
    Aynısı Google ya da Youtube için de geçerli; bana tek motorlu yolcu uçağı uçurmak kadar riskli görünüyor
    İnsanların neden böyle bir riski kabul ettiğini merak ediyorum
    • Şirketlerin çoğu Microsoft ile resmî sözleşme yapıyor
      Bu, garajda kurulmuş iki kişilik bir startup’tan çok daha güvenli
      Sözleşmelerde hizmet seviyesi, sorumluluk, beklentiler gibi sıkı koşullar güvence altına alınıyor
      Bu, bir restoranın sebzeyi arkadaşının hobi bahçesinden değil büyük bir çiftlikten tedarik etmesine benziyor
    • AWS kullanmanın da aynı tek hata noktası sayılıp sayılamayacağını soruyorum
      Gerçekte birden fazla arıza noktası oluşturmak belli bir ölçeğin üstünü gerektiriyor ve bu konuya odaklanmaktansa işin kendisine odaklanmak daha gerçekçi
      Bunu gerçekten dert eden bir yönetim vardı ama yedeklilik için gereken maliyet, işin başka alanlarına yatırım yapmaktan her zaman daha az verimliydi
    • Microsoft bulut hizmetleri ucuz ve iyi çalışıyor
      İhtiyaç duyulan her şeyle kolayca entegre oluyor
    • Bunun medeni toplumun doğası olup olmadığını soruyorum
      İnsanların çoğu maaşına bağımlı, yiyecek üretme ya da acil durumlara hazırlıklı olma kapasitesi de sınırlı
      Bu tür bağımlılıklar giderek daha da güçleniyor
    • Maliyet ve değer açısından fırsat maliyetine bakınca, alternatifini bizzat yapmak gerçekçi değil
      Daha az popüler bir hizmete geçildiğinde çıkacak zahmetli sorunlar düşünülünce, tek hata noktasını bilsen de mevcut hizmete bağımlı kalmak sonunda mantıklı bir tercih oluyor
  • Yakın zamanda Microsoft’un yaptırım listesindeki bir kişinin mailbox’ını engellediği bir olay yaşandı
    MS ürünlerine büyük ölçüde bağımlı bir organizasyonsanız, “Bu benim de başıma gelebilir mi?” ve “Bunu önlemek için ne kadar yatırım yapmam gerekir?” sorularını ciddi biçimde düşünmeniz gerekir
    Bu yazı, olguları anlamaya ve güvenlik yatırımı/getirisi (ROI) açısından konuya gerçekçi yaklaşmaya çalışıyordu
  • Bu risk merkezi ABD’de bulunan tüm şirketler için geçerli
    Sadece Microsoft değil; Google, Amazon, Apple da ABD hükümetinin taleplerini reddedemez
    • Özellikle Microsoft’un hedef alınmasının nedeni, tam da o mailbox engelleme olayı
  • Bu yazının bahsettiği risk yalnızca Microsoft’a özgü değil
    İkame edilemeyen hizmetleri dış kaynağa vermenin kendisi sorun
    Teknolojiyi esnek hale getirirsen bu risk ortadan kalkar
    • AB açısından bakıldığında, yabancı bir hükümet tarafından yönlendirilebilecek tekelci tedarikçilere karşı makul bir yanıt gerekiyor
      MS’nin doğrudan AB denetimine tabi bağımsız bir tüzel kişilik kurması için ültimatom verilmesi ya da bunun yasal olarak zorunlu tutulması gerektiğini düşünüyorum
      Nihayetinde ABD Microsoft’undan kopsa bile AB Microsoft’u kendi başına çalışabilmeli; böyle bir yapı yoksa ABD kontrolündeki Microsoft Avrupa için ciddi bir güvenlik riski olur
    • Riskin yalnızca teknolojik esneklikle ortadan kalkacağını söylemek, politik riski göz ardı ediyor
      Siyasi ortam değiştiği anda buna hazırlıklı değilsen, teknoloji tek başına çözüm olamaz
  • Çoğu şirket için Microsoft’tan çıkmanın maliyeti ve zorluğu, elde edilecek faydadan daha büyük
    • Doğru olabilir
      Bazı Microsoft ürünleri derine kadar nüfuz etse de, gerçekte çoğu şirket ürün gamının büyük kısmını kullanmıyor
      Çoğunu içeride tutan şey kimlik doğrulama hizmetleri (Azure AD vb.)
      Kimlik doğrulama belki de yönetmesi daha kolay olan kısım
    • ABD şirketleri neredeyse tamamen mahkeme emirlerine uyar; bu yaptırımlardan kaçınmak için çözüm, ABD dışındaki şirketlere geçmektir
    • Sonuç olarak en büyük değişken, ek yaptırımların gelip gelmeyeceği
      Microsoft gelecekte daha fazla yaptırım uygularsa, risk katlanılamaz düzeye çıkar
  • Küreselleşme çağında şirketlerin antlaşmalara ve uluslararası normlara uyması yeterliydi; ancak küreselleşme geri çekilirken, artık ülkeler kendi yasalarını hem yurt içindeki hem de yurt dışındaki tüm faaliyet alanlarına uyguluyor
    Bu tür riskler bundan sonra her zaman hesaba katılmalı
    • Şirketler hiçbir zaman kendi ülkelerinin yasalarından muaf olmadı
    • Gerçekte uyulması gereken yasalar, şirketin faaliyet gösterdiği ülkelerle kullanıcılarının bulunduğu ülkelerin garip bir birleşimi oluyor
      Yasalar iyi örtüştüğünde durum net, örtüşmediğinde ise belirsiz ve zor
      Örneğin gizlilik ve çerez mevzuatında görüldüğü gibi bu alan son derece karmaşık
  • Son zamanlarda mekanik saatlere, dolma kalemlere, steampunk’a vb. ilginin yeniden canlanması, bana teknolojinin insanın kavrayışını aşması şeklindeki toplumsal soruna verilmiş bir tepki gibi geliyor
    Ağ yığını, protokoller, fiziksel ilkeler gibi şeyleri sıradan bir insanın açıklaması genelde zor
    Kendi e-posta sunucusunu işleten az sayıda teknoloji vizyoneri var ama e-posta gibi bir şeyi bireyin tek başına işletmesi için ortam son derece acımasız
    Bu sadece spam yüzünden değil; büyük hizmetlerden güven kazanmak neredeyse imkânsıza yakın
    Excel’siz ya da Google Sheets’siz yaşayabilirsin ama elektronik tablo olmadan çalışmak bence çok zor
  • Etkili iş sürekliliği yönetimi, çeşitli riskleri sigortayla tamamlar
    İşin bir anda çökme ihtimali de istatistiksel bir gerçek olarak kabul edilir; risk sigortayla hafifletilirse bu oyunun sonu değildir
    • Ciddi bir soru olarak, politik nedenlerle temel hizmet sağlayıcısı ortadan kalkarsa bunu gerçekten teminat altına alan bir sigorta ürünü olup olmadığını merak ediyorum
  • Şirket açısından Microsoft’u bırakmak rasyonel bir seçim olmuyor
    Active Directory, Teams, Outlook/Exchange gibi şeylerin yerini pratikte alabilecek gerçekçi seçenekler yok
    • Beklenen değer mantığı (olasılıksal zarar düşük olduğu için sorun yok demek) burada uygun değil
      Sigorta her zaman negatif beklenen değere sahiptir ama şirketler risk yüzünden yine de sigorta yaptırır
      Ayrıca kontrolü kaybetme riskinin iki milyonda bir gibi düşük olduğunu varsaymak da zor
      Örneğin Trump bütün bir ülkeyi yaptırım listesine eklerse, o ülkedeki tüm şirketlerin bağlantısı kesilebilir