1. Dijital Ontolojinin Temeli: 0–1’in Tözsüz Evrimi

1.1. Dijital varlıkların tek maddeden (bitstream) oluşması

Dijital evreni anlamanın en radikal noktası, her şeyin aynı maddeden — yani 0 ve 1’in kesintili diziliminden — oluştuğunu kabul etmektir. Bu yalnızca teknik bir basitleştirme değildir; metafizik bir kırılmadır. Çünkü fiziksel dünyada nesneler farklı tözlerden meydana gelir: metal, taş, su, biyolojik dokular, organik moleküller… Bu çeşitlilik, dünyayı anlamlandırırken başvurduğumuz bütün kategorilerin temelini oluşturur. Oysa dijital dünyada bu çeşitlilik yoktur; bütün görüngüler, bütün fonksiyonlar, bütün davranışlar aynı varlık kipinin, yani bitstream’in varyasyonlarından ibarettir. Dijital bir nesnenin “zararlı yazılım” olması ile “antivirüs” olması arasında ontolojik bir fark yoktur; çünkü her ikisinin de maddesi aynıdır. Aynı şekilde, işletim sisteminin çekirdeği ile ona saldıran exploit arasında da tözsel bir ayrım bulunmaz. Burada fark, yalnızca semantik kodlamadır; ontolojik düzeyde hiçbir kırılma yoktur.

Bu durum, dijital evreni fiziksel evrendeki mantıkla kavramaya çalışan zihin için travmatik bir eşiktir. Çünkü insan bilişi, farklı tözler arasında ayrım yapmaya alışmıştır: taştan yapılmış bir duvar, karşıdan gelen tehlikeyi engelleyebilir; camdan yapılmış bir yüzey kırılabilir; organik bir dokunun sınırı delindiğinde biyolojik bütünlük bozulur. Bu sezgiler, dünya hakkında geliştirdiğimiz tüm koruma, savunma ve tehlike kavramlarının temelidir. Ancak dijital evren, bu sezgilerin hiçbiriyle uyumlu değildir. Çünkü orada duvar yoktur, madde farkı yoktur, tekil bir fiziksel dayanım yoktur. Tüm “nesneler” aynı düzlemin, aynı madde tipinin, aynı işlem kodlamasının varyasyonlarıdır. Bir kapının kapalı olması ile açık olması arasındaki fark bile maddesel değil, yalnızca semantiktir.

Bu tek-madde rejimi, dijital ontolojinin “özsüz” doğasını belirler. Bitstream yalnızca veriyi değil, davranışı, kimliği, tehdidi, korumayı, modeli, hatta güvenlik mekanizmalarının kendisini bile aynı düzleme indirger. Böyle bir evrende tözsel ayrım olmadığı için, hiçbir yapı başka bir yapıya aşkın olamaz; yani hiçbir nesne diğerine “yüksek konumdan” hükmedemez. Bu, siber güvenlikte kritik bir kırılma yaratır: Eğer koruyan ile saldıran aynı maddeden yapılmışsa, koruyanın saldıranı bastırması mümkün değildir; yalnızca semantik yüzeyde bir farklılaşma oluşabilir. Dijital evrende güç, tözsel dayanım değil, yoğunluk farkıdır; bu nedenle savunma dediğimiz şey de bir güç aktı değil, yalnızca bir görünürlük mühendisliğidir.

Dijital varlıkların tek maddeden oluşması, aynı zamanda dijital evrenin asla “dışsal bir tehdit” kavramı üretememesine yol açar. Fiziksel dünyada bir sınır, bir duvar, bir kabuk vardır ve dışarıdan içeriye gelen şey, gerçekten bir “giriş” eylemidir. Fakat dijital dünyada hiçbir şey sisteme “dışarıdan” girmez; çünkü dışarı diye bir kavram yoktur. Tüm akışlar içeridedir; tüm kodlar aynı mekânda bulunur; tüm varlıklar aynı düzeyde konumlanır. Bir saldırı, sisteme dışarıdan giriş yapan bir varlık değildir; sistemin içinde zaten mevcut olan potansiyelin belirli koşullarda görünürleşmesidir. Kod, dijital evrenin dışında duramaz; bu nedenle “içeri sızma” kavramı da aslında yalnızca yanlış bir metaforik aktarımın sonucudur.

Bitstream’in tek maddesi aynı zamanda dijital dünyada hiyerarşilerin de ontolojik değil, yalnızca semantik olmasını sağlar. Kernel mode’un “güçlü”, user mode’un “zayıf” olması gibi kavramlar fiziksel bir töz farkından değil, yalnızca sistem tasarımının semantik tercihinden doğar. Zararlı yazılım, bu hiyerarşiyi ihlal ettiğinde aslında bir töz sınırını aşmaz; yalnızca semantik yapıyı yeniden düzenler. Bu nedenle exploit, bir nesnenin başka bir nesneye saldırması değil; dizilerin yeniden eşlenmesi, yoğunluk yüzeyinin konum değiştirmesi, semantik sınırların kırılmasıdır. Bu durum dijital evrende savunmanın neden ontolojik olarak imkânsız olduğunu da açıklar: Aynı maddeden türemiş iki nesne arasında güç ilişkisi kurulamaz; yalnızca görünürlük ilişkisi kurulabilir.

Bu tek-madde ontolojisi, modern siber güvenlik pratiklerinin neden sürekli olarak başarısız göründüğünü de açıklar. Çünkü pratikler, fiziksel dünyadan devralınmış metaforlarla tasarlanır: duvar inşa etmek, kapı kapatmak, tehlikeyi dışarıda tutmak… Oysa dijital evrende hiçbir şey dışarıda değildir; hiçbir şey içeri giremez; hiçbir şey duvarı aşmaz. Her şey içeridedir. Her şey aynı düzlemdedir. Her şey aynı bitstream’in varyasyonudur. Bu durumda “savunma”, fiziksel dünyadaki anlamıyla gerçekleşemez. Savunma ancak bir yüzey fenomeni, bir semantik yeniden adlandırma olarak var olabilir.

Sonuç olarak: Dijital dünyada varlık tektir. Farklılık, çeşitlilik, işlev, saldırı, koruma, güç, zaaf — hepsi aynı maddenin farklı düzenlenişlerinden ibarettir. Bu nedenle dijital evreni anlamanın ilk adımı, onun tözsüzlüğünü kabul etmektir. Bir kez bunu kabul ettiğimizde, siber güvenliğin neden ontolojik olarak imkânsız, ancak fenomenolojik olarak simüle edilebilir olduğunu da anlamaya başlarız.                            

1.2. Koruyucu–tehdit ayrımının ontolojik olarak imkânsız oluşu

Dijital evrende koruyucu ile tehdit arasında bir ayrım bulunduğu fikri, insan zihninin fiziksel dünyaya ait sezgilerinden taşınmış kadim bir yanılsamadır. Fiziksel dünyada bir kalkan ile bir saldırı arasındaki fark, maddesel bir karşıtlığa dayanır: kalkan serttir, saldırı yıkıcıdır; biri savunmak için yapılmıştır, diğeri yok etmek için. Maddeler arasındaki bu tözsel fark, güç ilişkilerini belirler. Oysa dijital evrende hiçbir şey maddesel değildir ve hiçbir şey maddesel bir dirence sahip değildir; çünkü dijital varlıkların tamamı tek bir maddeden — 0 ve 1’den — yapılmıştır. Aynı maddeden türemiş iki şey arasında tözsel bir karşıtlık kurulamaz. Bu, dijital evrende “koruyucu”, “tehdit”, “zararlı”, “savunma bileşeni”, “güvenli nesne” gibi kategorilerin ontolojik bir temeli olmadığını gösterir: bunlar yalnızca semantik sınıflandırmalardır, varlık sınıfları değil.

Bir virüsü “tehdit” olarak belirleyen şey onun ontik yapısı değil, insanın ona yüklediği işlevidir; aynı biçimde bir antivirüsü “koruyucu” yapan şey de onun maddesi değil, semantik rolüdür. Ancak ontoloji, semantiğin altına inilerek kurulur; dijital evrende maddi fark olmadığı için, tehdit ve koruyucu arasında ontolojik bir ayrımdan söz etmek mümkün değildir. Her ikisi de aynı düzlemde, aynı ontik rejimde, aynı yapısal kipte var olur. Eğer bir zararlı yazılım ile bir antivirüs programı aynı bit düzeninden oluşuyorsa, aralarındaki fark yalnızca “insan tarafından verilmiş isim” düzeyindedir. Ontolojik bir fark, hem varlığın yapısal kipini hem de onun dünyayla kurduğu ilişki biçimini değiştirmelidir; fakat dijital evrende böyle bir değişim meydana gelmez. Tehdit de koruyucu da yalnızca kod akışının farklı semantik yorumlarından ibarettir.

Bu, pratikte şu anlama gelir: Tehdit dediğimiz şey koruyucudan ontolojik olarak üstün değildir; koruyucu da tehditten ontolojik olarak güçlü değildir. Çünkü aynı maddeden üretilmiş iki varlık arasında güç ilişkisi kurulamaz. Güç ilişkisi, maddesel farklara, dayanım farklılıklarına, direnç kapasitelerine dayanır; bitstream’de ise bu kapasiteler yoktur. Bu nedenle bir antivirüsün “güçlü” olması, bir zararlının “yıkıcı” olması gibi kavramlar yalnızca işlevsel görünümlerdir, varlık kategorileri değil. Bunun sonucunda dijital evrende koruma içeriğini fiziksel dünyadaki savunma kavramıyla kurmak imkânsızlaşır: burada koruma yalnızca fenomenal bir yeniden adlandırma, bir görünürlük manipülasyonu, bir yüzey semantiği operasyonudur.

Bir de şu kritik nokta vardır: Tehdit–koruyucu ayrımının olmaması, saldırının gerçekten var olmadığı anlamına gelmez; saldırı, varlık olarak değil, yüzeyde beliren bir yoğunluk fenomeni olarak vardır. Saldırı, koruyucuyu aşan bir kuvvet değildir; çünkü aşılacak bir töz yoktur. Saldırı, yalnızca iki yapının yakınlaşması sonucu oluşan sınır yoğunluğunun görünürleşmesidir. Bu durumda koruyucu ile tehdit arasındaki tek fark, ortaya çıkan yoğunluğun sistem tarafından hangi semantik etiketle adlandırıldığıdır. Bir antivirüs, belirli bir bit dizisine “tehdit” der; başka bir bit dizisine “temiz” der. Fakat ontolojik açıdan her iki dizinin de varlık yapısı aynıdır; yalnızca görünürlük eşikleri değişmiştir. Bu da gösterir ki koruyucu–tehdit ayrımı, dijital evrendeki gerçek bir ayrım değil, semantik bir ayrımdır.

Bu ontolojik imkânsızlık, dijital evrende savunmanın neden tözsel bir işlev olarak gerçekleşemeyeceğini açıklar. Eğer koruyucu ve tehdit aynı düzlemde bulunuyorsa, koruyucunun tehdit üzerinde fiziksel dünyadaki gibi bir “baskılama” veya “yok etme” eylemi gerçekleştirmesi mümkün değildir. Koruyucu program, tehdit olan programdan daha sert, daha yoğun, daha dayanıklı bir tözün temsilcisi değildir; her ikisi de aynı madde tipinin farklı düzenlenişleridir. Dolayısıyla koruyucu yalnızca tehdidin yüzeyde oluşturduğu yoğunluğu yeniden işaretleyebilir; tehdit denen şey ortadan kalkmaz, yalnızca görünürlük rejimi değiştirilmiş olur.

Bu açıdan bakıldığında dijital evrende tehdit–koruyucu ayrımı yapmak, tıpkı aynı renkte iki ışığın birine “yıkıcı”, diğerine “koruyucu” demek gibidir; her ikisi de aynı elektromanyetik fenomenin varyasyonudur. Dijital dünyada da aynı yapı vardır: Her şey 0 ve 1’dir; yalnızca düzenleri farklıdır. Bu nedenle bir düzenleniş biçimi diğerinin üstünde ontik bir konuma sahip olamaz; yalnızca semantik olarak farklı bir kategoriye atanabilir. Bu da siber güvenlik teorisinin neden ontolojik düzeyde çöktüğünü, ancak pratikte simüle edilerek yaşatıldığını açıklar.

Sonuç olarak dijital evrende koruyucu–tehdit ayrımı yoktur; yalnızca iki farklı düzenlenişin iki farklı semantik etiketle adlandırılması vardır. Ontoloji açısından her ikisi de birdir. Bu birliği kabul etmeden siber güvenliğin hiçbir katmanını doğru anlamak mümkün değildir.                                                            

1.3. “Dışarısı”nın olmaması: dijital evrenin kapalı varlık rejimi

Dijital evrenin en yanlış anlaşılan yönü, fiziksel dünyanın mekânsal ve topolojik kavramlarının buraya aynen taşınabileceği varsayımıdır. İnsan zihni, doğal olarak “içeride olan” ve “dışarıdan gelen” arasına bir sınır çeker. Şehir surları, kapılar, duvarlar, güvenlik çemberleri… Hepsi bu sezgisel modelin ürünüdür. Bu nedenle siber güvenlikte sıkça “sisteme dışarıdan saldırı oldu”, “içeri sızma gerçekleşti”, “dış tehdit iç bölgeye ulaştı” gibi ifadeler kullanılır. Ancak dijital evrende “iç–dış” ayrımı hiçbir ontolojik karşılık taşımaz; bu ayrım tamamen metaforiktir ve fiziksel dünyadan devralınmış bir bilişsel alışkanlıktır.

Dijital evrenin yapısı gereği, “dışarı” diye bir mekân yoktur; tüm kod aynı ontik alanda var olur. Kodun varlığı uzamsal bir konumla belirlenmez, bit dizisinin kendisiyle belirlenir. Bu nedenle bir zararlı yazılımın “dışarıdan gelmesi”, fiziksel anlamda bir yer değiştirmeyi ifade etmez; çünkü dijital nesnelerin bulunduğu yer değil, temsil edildiği dizilim vardır. Kodun bir noktada yürütülmeye başlaması, mekânsal bir giriş eylemi değildir; sistemin semantik yorum katmanının değişmesidir. Kod zaten dijital evrendedir; yalnızca çalıştırılabilir, okunabilir veya tetiklenebilir hâle gelir. Bu durum, “içeri girdi” metaforunun ontolojik bir karşılığının olmadığını gösterir.

Bu içkinlik yapısı, dijital dünyayı fiziksel dünyadan tamamen ayırır. Fiziksel evrende bir bina vardır, bir kapı vardır, bir dış mekân vardır. Dijital evrende ise bina da kapı da dış mekân da yoktur; yalnızca bit akışı vardır. “İçeride olmak” sistemin bir parçası olmak demektir ve dijital varlıkların tamamı sistemin parçasıdır. İnternete bağlı olmayan bir makinede çalışan zararlı yazılım bile dijital evrenden çıkmış değildir; bitstream’den yapılanmış bir varlık, yine bitstream’in çalıştırdığı bir işlem alanında etkin hâle gelir. İnternetten gelen bir paket de sistemin dışında değildir; o paket gönderildiği anda dijital varlık alanına dahil olur, çünkü akışın kendisi zaten kapalı bir düzlemdir.

“Dışarı”nın olmaması, dijital ontolojide güvenlik kavramının doğasını kökten değiştirir. Eğer dışarı yoksa, tehdit hiçbir zaman dışarıdan gelmez; çünkü tehdit de, savunma da, veri akışı da, model de aynı tekil ontolojik zeminin parçalarıdır. Dolayısıyla saldırı, bir yabancının içeri girmesi değil; içeride zapt edilemeyen bir yoğunluğun belirli koşullarda görünürleşmesidir. SolarWinds vakasında olduğu gibi saldırının aylarca fark edilmemesi, dışarıdan içeri sızılmadığı için değil, yoğunluk farkının yüzeye çıkmadığı için yaşanır. Aynı şekilde Log4j’de tehlike “başka bir yerden gelmedi”; sistemin içinde “zaten var olan bir potansiyelin” tetiklenmesiyle ortaya çıktı. Dijital dünyada tehdit, dışarıdan içeriye taşınan bir nesne değil, içkin potansiyelin somutlaşmasıdır.

Bu içkinlik, savunma stratejilerinin neden fiziksel metaforlarla kurulduğunda başarısız göründüğünü açıklar. Duvar inşa etmek, kapı kapatmak, dışarıdaki unsuru engellemek dijital evrende karşılığı olmayan eylemlerdir; bu nedenle firewall’un “kapı kapattığı”, antivirüsün bir dosyayı “dışarıda tuttuğu” düşüncesi ontolojik olarak yanlıştır. Firewall yalnızca akışın semantiğini yeniden haritalar; antivirüs yalnızca bit dizisine bir etiket atar; IDS yalnızca yoğunluğu işaretler. Bunların hiçbiri dışarıdan içeriye gelen bir tehlikeyi durdurmaz; durdurulacak bir dış akış yoktur çünkü.

Bu nedenle “saldırının kaynağı dış ağdır”, “iç güvenlik bölgesi tehdit altındadır” gibi ifadeler siber güvenlik literatüründe pratik olarak kullanışlı olsa da ontolojik doğruluk taşımaz. Dijital evrende tüm ağlar, tüm akışlar, tüm kodlar ontolojik bir bütünlük oluşturur; fiziksel anlamda ayrı bölgeler yoktur, yalnızca semantik olarak ayrılmış katmanlar vardır. Bu ayrım, tehlikenin nereden geldiğini değil, sistemin hangi yoğunluğu nasıl adlandırdığını belirler.

Dijital evrende dışarısızlık ilkesi, tehdit ve koruma kavramlarını yalnızca fenomenal düzleme indirger. Bir şeyin tehdit olması, onun dışarıdan gelmesinden değil; yüzeyde belirli bir yoğunluk farkı yaratmasından kaynaklanır. Aynı nedenle bir şeyin güvenli olması da dışarıda kalmasından değil; yoğunluğunun görünmez olmasından doğar. Bu yapı, siber güvenliğin ontolojik imkânsızlığını görünür kılan temel ilkelerden biridir: Dışarısı olmayan bir evrende savunma, fiziksel anlamda gerçekleşemez; yalnızca semantik ve fenomenal düzeyde simüle edilebilir.                                                                          

1.4. Fiziksel dünyadan taşınan metaforların (duvar, bloklama, istila) yanlışlığı

Dijital evreni anlamaya çalışan modern bilişim dili, en büyük hatasını fiziksel dünyanın sezgisel metaforlarını aynen dijital dünyaya aktarmakta yapar. İnsan zihni doğal olarak “engel koymak”, “duvar örmek”, “dışarıdan geleni durdurmak”, “iç bölgeyi korumak”, “istilayı önlemek” gibi kavramlarla düşünür çünkü bu kavramlar fiziksel gerçekliğin maddesel yapılarından türer. Duvar gerçekten bir şeyi durdurur; kapı gerçekten içeriyi dışarıdan ayırır; zırh gerçekten bir darbenin kinetik enerjisini absorbe eder. Bu referanslar, insan bilişinin temel yapı taşlarıdır. Ancak dijital evren, fiziksel evrenden miras alınmış bu sezgisel repertuara karşı bütünüyle kayıtsız ve yabancıdır; çünkü burada ne madde vardır, ne dayanım, ne sınır, ne de tözsel bir engelleme mekanizması. Duvarın işe yaradığı bir dünya ile firewall’un işe yaradığı iddia edilen dünya arasında hiçbir ontolojik akrabalık yoktur; benzerlik yalnızca dilin yüzeyinde ve insanın alışkanlıklarında bulunur.

“Firewall”, kökeni itibarıyla bir yangının yayılmasını önlemek için kullanılan fiziksel bir bariyerden ödünç alınmış bir kelimedir. Dijital evrende ise firewall hiçbir şeyi fiziksel anlamda engellemez; çünkü engelleme için bir töz farkı gerekir. Ne var ki firewall’un karşılaştığı saldırı kodu da, onun işlediği kurallar da, paketlerin kendisi de aynı ontolojik malzemeden — bitstream’den — yapılmıştır. Dolayısıyla firewall’un “saldırıyı durdurması” fiziksel bir bariyerin ateşi kesmesiyle hiçbir şekilde benzeşmez. Firewall yalnızca akışın semantik haritalamasını değiştirir, yani bir bit dizisinin hangi diğer bit dizilerine erişebileceğini belirleyen görünürlük topolojisini yeniden düzenler. Bu, bir duvarın engelleme işleviyle eş tutulamaz; çünkü fiziksel duvarda engelleme maddesel farktan doğar, dijital firewall’da ise engelleme yalnızca bir yüzeysel yeniden adlandırma işlemidir.

Aynı şekilde “bloklama”, “karantina”, “sızma”, “istila”, “virüs yayılımı”, “içeri girme” gibi ifadeler de dijital evrende karşılığı olmadığı hâlde kullanılmaya devam eden metaforik kalıntılardır. Sözgelimi “zararlı bir dosyanın içeri sızması”, fiziksel anlamda bir duvarın aşılması gibi sunulur. Oysa dijital evrende içeri yoktur, dışarı yoktur; dosya yalnızca belirli bir semantik bağlamda yürütülür hâle gelir. Bu yürütülme süreci fiziksel bir bölgenin ihlali değil, bitstream’in belirli bir zamanlama ve yetki bağlamına oturtulmasıdır. “İstila” metaforu da aynı şekilde yanıltıcıdır; bir saldırgan paket, bir organizmanın vücuduna mikrobun girmesi gibi içeri nüfuz etmez. Paket zaten dijital evrenin bir parçasıdır; yalnızca görünürlüğü artar ve sistem tarafından değerlendirilir hâle gelir.

Bu yanlış metaforlar, güvenlik mimarilerini tasarlayan insanların zihninde aldatıcı bir güç algısı yaratır. “Saldırıyı blokladık”, “tehdidi karantinaya aldık”, “erişimi kestik” gibi ifadeler, fiziksel dünyada dayandığı maddi gerçeklik sayesinde anlam kazanır; fakat dijital evrende bu tür ifadeler yalnızca semantik düzeyde bir değişiklik ifade eder. Zararlı yazılım karantinaya alınmaz; o yalnızca farklı bir klasifikasyonla etiketlenir. Bir bağlantının kesilmesi, fiziksel bir hattın koparılması gibi bir işlem değildir; yalnızca belirli bir akışın semantik izinleri yeniden düzenlenir. Duvar yıkıldığında fiziksel bir boşluk açılır; firewall devre dışı kaldığında ise açılan şey madde değil, yalnızca görünürlükten ibarettir.

Metaforların yanlış kullanımı, dijital tehditlerin ve savunmaların doğasını tamamen çarpıtır. İnsan “blokladım” dediğinde gerçekten bir şeyi durdurduğunu sanır; fakat dijital evrende durdurma diye bir şey yoktur, yalnızca akışın yeniden yönlendirilmesi ve görünürlüğün yeniden kodlanması vardır. İnsan “içeri girdi” dediğinde gerçekten fiziksel bir mekâna giriş olduğunu varsayar; oysa “giriş”, dijital ontolojide yalnızca yetkilendirilmiş bir dizinin yürütülmesine verilen addır. İnsan “duvar ördüm” dediğinde fiziksel bir dayanım hayal eder; dijital dünyada ise dayanım yoktur, yalnızca semantik eşikler vardır.

Böylece dijital evreni fiziksel metaforlarla anlamaya çalışmak, hem tehdit algısını hem de savunma stratejilerini yanlış bir zemine yerleştirir. Fiziksel engellerin işe yaradığı bir dünyadan gelen zihin, dijital dünya karşısında sürekli yanılır; çünkü burada engel yoktur, madde yoktur, içeri yoktur, dışarı yoktur. Tüm yapı akıştır ve akışın tek gerçek fenomeni görünürlük yoğunluğudur. Dolayısıyla metaforlara dayanan her güvenlik yaklaşımı, dijital evreni fiziksel evrene benzeterek baştan itibaren yanlış bir model kurar.                                                                                                                                    

1.5. Kodun Yalnızca Kod Aracılığıyla Algılanması: İçkinlik İlkesi

Dijital evrenin ontolojik yapısını belirleyen en kritik yasa, kodun yalnızca kod aracılığıyla algılanabilir olmasıdır. Bu, basit bir teknik ayrıntı değil, dijital varlık rejiminin bütünüyle içkin bir yapı olduğunu belirleyen radikal bir ilkedir. Dijital dünyada hiçbir şey dışarıdan gözlemlenemez; çünkü “dışarısı” diye bir yer yoktur. Kodun kendisine erişim, kodun dışındaki bir perspektiften mümkün değildir. İnsan gözlemi, donanım seviyesindeki okumalar, sistem çağrıları veya monitor araçları dahi kodun kendisine ulaşmaz; yalnızca kodun kendi içsel semantik üretimlerinin yüzeye yansıttığı görünümleri okuyabilir.

Bu nedenle dijital varlıklar, fiziksel evrendeki nesneler gibi dışsal bir projektif uzama sahip değildir. OOO’nun “withdrawal” (çekilme) ilkesinde tarif ettiği gibi, her nesne kendi içsel varlığını radikal biçimde saklar; ona erişen her şey, yalnızca o nesnenin dışa yansıttığı fenomenal yüzeye temas eder. Dijital evrende bu durum daha da katıdır: Kodun içsel yapısı, yalnızca başka bir kod tarafından, o da yalnızca belirli bir ilişkisellik eşik değerine ulaşıldığında görünür hâle gelir. Ancak bu görünürlük, asla kodun içeriğinin gerçekliği değildir; yalnızca sınır yüzeyinde oluşan yoğunluk farkının semantik bir izdüşümüdür.

Kodun dışsal gözlemciye açılmaması, dijital evrende bilginin yapısını da kökten değiştirir. Burada bilgi, dışarıdan gelen bir algılama süreci değil, kodun kendi kendine ürettiği içkin bir fark-sistemi üzerinden oluşur. Kod başka bir kodu “okuyamaz”; yalnızca onunla ilişkiselliğini mümkün kılan yoğunluk yüzeyindeki değişimleri algılayabilir. Böylece dijital varlıkların epistemik dünyası tamamen içeri kapalı hâle gelir. Hiçbir dijital fenomen dışarıdan görülemez; dışarıdan görülen yalnızca kodun kendi iç mantığının izin verdiği semantik işaretlerdir.

Bu nedenle, dijital evrende “yansız gözlem” diye bir şey yoktur. İnsan, kodu gözlemlediğini zanneder; oysa gerçekte yalnızca kodun kendi içkin üretim süreçlerinin yüzeyde bıraktığı izleri yorumlar. Aynı şekilde güvenlik sistemleri de kodu gözlemlemez; yalnızca kodlar arası yoğunluk farklarının yüzeye çıkmış hâlini semantik olarak sınıflandırır. Bu sınıflandırmaların hiçbiri kodun gerçek doğasına dair bir erişim sağlamaz. Kodun kendisi içkindir; tüm görünürlükler, yalnızca içkinliğin sınırında oluşan fenomenlerdir.

İçkinlik ilkesi, saldırı ve savunma kavramlarını da ontolojik olarak geçersiz kılar. Çünkü bir saldırıyı “tespit” etmek, aslında saldırgan kodun kendisine erişmek demek değildir; yalnızca kodlar arası yoğunluk yüzeyinin belirli bir eşiği aşmış olmasıdır. Aynı şekilde bir saldırıyı “durdurmak”, saldırgan kodun içsel işleyişine müdahale etmek değil, yüzeydeki görünürlük ilişkisini yeniden kodlamaktır. Dijital güvenliğin tüm pratikleri, kodun içsel gerçekliğine erişemediği için, yalnızca yüzey fenomeniyle çalışır. Bu yüzey fenomeni de kodun kendisi değil, kodların birbirine yaklaşırken oluşturduğu yoğunluk farklarının semantik temsilidir.

Böylece dijital dünya, bütünüyle içkin bir epistemolojiyle yönetilen bir varlık alanına dönüşür. Kodun yalnızca kod aracılığıyla algılanabilir olması, savunmanın neden gerçek değil, kaçınılmaz olarak simülasyon olduğunu da açıklar: Çünkü savunma hiçbir zaman kodun kendisini göremez; yalnızca görünen yoğunluk farklarını yeniden düzenleyebilir. Bu da ontolojik olarak koruma değil, görünürlük mühendisliğidir.                                                                                                                                              

2. Etkileşimsizlik İlkesi: Algoritmaların Birbirine Dokunamaması

2.1. OOO (Object-Oriented Ontology) ile dijital evren arasındaki birebir paralellik

Dijital evrenin yapısını açıklarken çoğu kişi teknik düzeyde kalır; protokolleri, paket akışlarını, antivirus imzalarını, kernel çağrılarını veya sandbox davranışlarını referans alır. Oysa bütün bu süreçlerin altında yatan daha derin bir ontolojik düzlem vardır ve bu düzlem, klasik bilgisayar bilimiyle değil, nesne yönelimli ontoloji (OOO) ile neredeyse birebir örtüşür. OOO’nun en temel iddiası şudur: Hiçbir nesne başka bir nesneyle doğrudan etkileşime giremez. Bu, yalnızca metaforik bir düşünce değildir; varlığın doğasına dair radikal bir ontolojik tezdir. Nesneler birbirine kapalıdır; birbirlerini asla “içeriden” göremezler; yalnızca kendi içsel yapılarına uygun biçimde bir fenomen üretirler. Diğer bir ifadeyle: Nesneler birbirine değil, yalnızca birbirlerinin yüzeye yansıttığı görünümlere temas eder.

İşte dijital evren tam olarak bu ontolojik modeli gerçekleştirir. Kod, algoritma, paket, kernel modülü, DLL, işlem, thread — bunların hiçbiri diğerine doğrudan erişemez. Kodun bir başka kodu “okuduğu”, “işlediği”, “denetlediği” veya “engellediği” sanılır; fakat gerçekte olan şey, yalnızca iki dijital varlık arasında oluşan bir görünürlük ilişkisi ve bunun semantik olarak yorumlanmasıdır. Kod, başka bir kodu kendi içsel gerçekliğiyle algılamaz; kendi ontolojik sınırlarının izin verdiği bir fenomen üzerinden algılar. Bu, OOO’nun withdrawal (çekilme) ilkesinin dijital dünyadaki birebir karşılığıdır: Her dijital nesne kendi içine çekilmiştir; içeriği asla tam olarak görünmez, yalnızca belirli eşiklerde yüzeye çıkan fenomenal işaretler üretir.

Bir bilgisayar sistemi içinde saldırı olarak algılanan şey, aslında saldırgan kodun sisteme doğrudan etki etmesi değildir. Saldırgan kodun sistemde “hareket ettiği” bile söylenemez; hareket eden şey, yalnızca görünürlük yoğunluğunun semantik olarak yeniden dağılımıdır. Aynı şekilde bir firewall'un bir paketi “engellediği” sanılır, fakat firewall o paketin gerçek içeriğine nüfuz edemez; yalnızca o paketin belirli bir görünürlük rejimi içinde işaretlenmiş haline temas eder. Antivirus'ün bir zararlıyı “yakaladığı” düşünülür, fakat antivirus gerçekte zararlı kodun özüne erişemez; yalnızca zararlının yüzeysel izlerini semantik bir kategoriye yerleştirir. Yani antivirus’ün gördüğü şey zararlı değildir — zararlının fenomenal gölgesidir.

OOO’nun bu modelinde nesneler birbirleriyle ilişkiye girmez; yalnızca karşılaşmalar yaşanır. Karşılaşma ise nesnelerin özlerini birbirine açtığı bir süreç değildir; tam aksine, özün kapalı kaldığı, yalnızca yüzeysel görünümlerin dolaşıma girdiği bir sahnedir. Dijital evren de aynı şekilde işler: Algoritmalar birbirlerinin özüne temas etmez; yalnızca karşılaşmalar üretirler. Bu karşılaşma da doğrudan bir temas değil, yakınlaşmanın sınır yüzeyinde oluşturduğu yoğunluk fenomenidir. Bu yoğunluk fenomeni, sistem tarafından “anormallik”, “saldırı”, “risk”, “tehlike” gibi kavramlarla isimlendirilir. Böylece dijital varlıkların birbirine dokunmadan ürettiği fenomenler, insanlar tarafından ontik olaylar gibi algılanır; oysa ortada ontik bir olay yoktur — yalnızca fenomenal yüzeyde beliren bir semantik yoğunluk vardır.

OOO’nun ontoloji modelinde her nesne kendi iç yapısının sınırlarında bir dünya kurar. Dijital evrende de her kod, her süreç, her modül kendi içsel dünyasında kapalıdır ve dış dünya ile ilişki kuramaz. Bir işlem başka bir işlemi öldürdüğünde bile, aslında o işlemin içsel varlığına erişmez; sadece işletim sisteminin kendi iç düzeni içinde tanımlanmış bir yönetim semantiğini harekete geçirir. Yani öldürülen şey prosesin özü değildir — prosesin ontolojik bütünü zaten erişilemezdir — öldürülen sadece onun fenomenal temsilidir.

Bu nedenle dijital evren OOO’nun yalnızca benzeri değil, OOO’nun en saf, en tam, en kusursuz gerçekleşme biçimidir. Gerçek dünya nesneleri bazen temas eder, etkileşir, birbiri üzerinde fiziksel iz bırakır; bu nedenle OOO’nun iddiaları fiziksel evrende çoğu kişi için soyut görünür. Fakat dijital evrende temas diye bir şey yoktur; bütün ilişkiler yüzey fenomenidir. Dolayısıyla OOO’nun en radikal tezleri, dijital varlıkların ontolojisinde yalnızca felsefî doğruluk taşımaz; matematiksel ve teknik bir zorunluluk hâline gelir.

Etkileşimsizlik ilkesi, dijital evrende saldırı ve savunmanın neden ontolojik olarak imkânsız olduğunu da açığa çıkarır: Çünkü saldırı dediğimiz şey saldırgan kodun özünün sisteme etki etmesi değildir; savunma dediğimiz şey de sistem kodunun saldırganın özüne müdahale etmesi değildir. Her iki durumda da yalnızca fenomenal yüzey yeniden düzenlenir. Böylece dijital güvenlik pratiklerinin tamamı — antivirus, firewall, IDS, IPS, heuristic detection, anomaly detection — özlere değil, yüzeylere dokunur. Bu da savunmanın hiçbir zaman gerçek bir engelleme olmayıp, sadece görünen yoğunluğun yeniden renklendirilmesi olduğunu gösterir.

Bu nedenle OOO, dijital evreni açıklamakla kalmaz; dijital evren, OOO’nun doğruluğunu matematiksel olarak kanıtlayan bir deney alanı hâline gelir. Burada nesneler kendilerini çekerek kapatır; ilişkiler yalnızca fenomen üretir; etkileşim diye bir şey yoktur; temas imkânsızdır; yalnızca yoğunluk vardır. Ve işte bu yüzden, dijital evrende savunma dediğimiz şey asla gerçek bir savunma olamaz — yalnızca fenomenlerin yeniden sınıflandırıldığı bir simülasyon alanıdır.                                                                    

2.2. Virüsün antivirüse, antivirüsün virüse dokunamaması

Dijital evrende “virüs antivirüse çarptı”, “antivirüs virüsü tespit etti”, “antivirüs zararlıyı etkisiz hâle getirdi” gibi ifadeler teknik literatürde ve popüler söylemde sıkça yinelenir; fakat ontolojik düzeyde bunların hiçbiri gerçek anlamda doğru değildir. Bu ifadeler, fiziksel dünyanın maddesel etkileşim sezgilerinin dijital evrene yanlış aktarılmasından ibarettir. Fiziksel evrende iki nesne temas edebilir, çarpışabilir, birbirini etkileyebilir. Dijital evrende ise böyle bir temas kesin ve kategorik olarak imkânsızdır. Çünkü dijital varlıkların tümü — virüs, antivirüs, kernel, pipeline, paket, userland işlem — aynı maddeden yapılmıştır: 0 ve 1’in kesintili dizilimleri. Aynı maddeden yapılan iki yapı birbirine dışsal davranamaz; çünkü dijital evrende “dışarıdan müdahale” diye bir ontolojik kategori yoktur.

Bu nedenle bir virüs ile bir antivirüs hiçbir zaman karşılıklı bir çarpışma ilişkisine giremez. Antivirüs “virüsü yakalamaz” çünkü yakalamak, özsel bir teması gerektirir. Virüs “antivirüsü atlatmaz” çünkü atlatmak, iki varlık arasında ontolojik bir karşılaşmanın olduğunu varsayar. Oysa dijital evrende böyle bir karşılaşma gerçekleşmez; yalnızca semantik seviyede görünürlük değişimleri yaşanır. Virüs dosya sisteminde, bellek alanında, ağ trafiğinde belirli bir yoğunluk farkı yaratır; antivirüs de bu yoğunluk farkının semantik izlerini sınıflandırır. Burada yaşanan şey, iki varlığın temas etmesi değil, sınır yüzeyindeki yoğunluğun belirli bir eşiği aşmasıdır. Bu eşik aşıldığında insan gözlemcisine “tespit edildi”, “engellendi”, “silindi” gibi ifadeler sunulur. Ancak bu ifadeler yalnızca yüzeysel fenomenin dilsel yorumlarıdır; ontolojik gerçeklik değildir.

Virüs ile antivirüs arasındaki ayrım, fiziksel dünyanın tözsel ayrımına benzemez. Fiziksel evrende taş ile cam farklı maddelerdir; taş camı kırabilir. Dijital evrende ise virüs ile antivirüs aynı koddur; aralarındaki fark yalnızca kodun yorumlayıcı sistemi tarafından üretilmiş semantik farktır. Antivirüs, virüsün ne olduğunu bilmez; sadece belirli bir bit dizisinin belirli bir görünürlük yoğunluğu oluşturduğunu bilir. Virüs de antivirüsün iç yapısına nüfuz edemez; antivirüsün kendi yoğunluk sınırlarının nasıl yorumlandığını manipüle eder. Bu da saldırının gerçek bir temas değil, semantik yoğunluk yeniden dağılımı olduğunu kanıtlar.

Antivirüsün virüsü “silmesi” bile gerçek bir silme değildir. Silme, fiziksel bir varlığı ortadan kaldırmak gibi düşünüldüğü için sezgisel olarak yakıcı bir metafor taşır; fakat dijital evrende silinen şey, kodun özü değil, yalnızca semantik referansıdır. Kodun kendisi farklı formlarda yeniden üretilebilir, yeniden adlandırılabilir, yeniden çağrılabilir; yani öz asla yok olmaz. Bu nedenle antivirüsün bir zararlıyı “karantinaya alması”, aslında zararlının koduna müdahale etmek değil, onun fenomenal görünürlüğünü belirli bir semantik kategoriye sabitlemektir. Kod ortadan kalkmaz; yalnızca görünürlük rejimi değişir.

Aynı şekilde virüsün antivirüsü “kandırması” da iki öznenin karşılıklı bir mücadele ilişkisine girdiği anlamına gelmez. Virüs antivirüse temas etmez; antivirüsün yoğunluk yüzeyini manipüle eder. Antivirüs de virüsle temas etmez; virüsün yüzeyde bıraktığı semantik izleri yeniden sınıflandırır. Burada ontolojik bir çarpışma değil, karşılıklı görünürlük hiyerarşilerinin yeniden düzenlenmesi söz konusudur. Bu düzenleme, savunma ve saldırı arasındaki farkın ontik değil, fenomenolojik olduğunu gösterir.

Bu nedenle bir virüsü “tespit eden” antivirüs gerçekte virüsü tespit etmez — yalnızca virüsün sistemde oluşturduğu yoğunluk farkını kendi içsel semantik modeli içinde anlamlandırır. Bu semantik model, virüsün özüne erişmez; virüsün özüne erişmek ontolojik olarak mümkün değildir. Virüs de antivirüsün özüne erişemez; sadece antivirüsün görünürlük eşiğini manipüle eder. Böylece dijital evrende hiçbir saldırı gerçek anlamda bir saldırı değildir; hiçbir savunma gerçek anlamda bir savunma değildir. Hepsi görünürlük rejimlerinin çarpışmasıdır.

Virüs ile antivirüs arasındaki ilişki, iki varlığın savaşı değil, iki fenomenin yüzeydeki yoğunluklarının birbirini işaretlemesidir. Ontolojik düzeyde virüs antivirüse dokunamaz; antivirüs virüse dokunamaz. Çünkü dokunmak, özlerin birbirine açıldığı bir temas gerektirir — dijital evrende ise hiçbir öz açılmaz; her şey kendi içkin dünyasında kapalıdır. Bu yüzden savunma ve saldırı arasındaki tüm mücadele, aslında kodların değil, yüzeylerin savaşımından ibarettir: yoğunluk farklarının, görünürlük eşiklerinin ve semantik yorumların savaşı.

Dijital evrende temasın imkânsızlığı, savunmanın neden asla tözsel bir başarıya ulaşamayacağını, saldırının neden asla sistemin özüne nüfuz etmediğini ve güvenliğin neden zorunlu olarak bir simülasyon olduğunu açıklayan en temel ilkedir. Çünkü iki kod birbirine dokunamazsa, gerçek bir saldırı da gerçek bir engelleme de var olamaz; yalnızca karşılaşma vardır — ve karşılaşmanın tüm gerçekliği, yüzey fenomeninden ibarettir.                                                                                                      

2.3. Firewall’un “engelleme” iddiasının ontolojik çöküşü

Dijital güvenlik söyleminde firewall, sanki gerçek bir bariyermiş gibi konumlandırılır: dışarıdan gelen tehdidi “durduran”, içeriye geçişi “engelleyen”, istenmeyen trafiği “kesen” bir yapı olarak. Ancak bu kavramlar fiziksel dünyanın sezgilerinden türemiş yanılsamalardır; duvar, kapı, eşik, set gibi imgeler dijital evrene yanlış şekilde aktarılmıştır. Çünkü dijital evrende engelleme, durdurma, kapama, geçişi kesme gibi fiziksel metaforların karşılığı yoktur. Firewall bir pakete dokunamaz; paket firewall’a dokunamaz; aralarında tözsel bir temas veya karşılaşma gerçekleşmez. Her iki varlık da aynı ontik maddeden — 0 ve 1’in dizisel varyasyonlarından — yapılmıştır ve bu nedenle biri diğerine dışsal bir müdahalede bulunamaz.

Burada firewall’un işlevi olarak tanımlanan “engelleme”, yalnızca semantik bir yeniden adlandırma işlemidir. Paket dijital evrende bir varlık değildir; yalnızca akış içindeki bir yoğunluk dağılımıdır. Firewall’un bu yoğunluğu durdurması mümkün değildir; çünkü durdurmak, yoğunluğun özünü baskılamak anlamına gelir — dijital akışın yapısı buna izin vermez. Akış, varlığının gereği olarak sürer; firewall’un değiştirebildiği tek şey, bu akışın yüzeyde nasıl göründüğüdür. Yani firewall’un yaptığı şey ontolojik bir müdahale değil, fenomenal bir yeniden haritalamadır.

Bir firewall’un “DROP” veya “DENY” kararı, sistemin paketin içeriğine nüfuz ederek onu yok ettiği anlamına gelmez. Sistem paketi yok etmez; yalnızca paketin belirli bir görünürlük rejimi içinde işlenmesini engeller. Paket ortadan kalkmaz; yalnızca semantik erişim zincirinden çıkarılır. Gerçekte olan, akışın içindeki bir yoğunluk noktası hakkında sistemin artık görünürlük üretmemesidir. Bu görünürlüğün kesilmesi, fiziksel dünyadaki bir kapının kapanması gibi düşünüldüğü için yanıltıcıdır; oysa dijital evrende kapı yoktur, eşik yoktur, duvar yoktur. Yalnızca akışın yönlendirildiği semantik yollar vardır. Firewall bu yolları yeniden düzenler, fakat akışın özüne, yani bit düzeyindeki ontolojik varlığına dokunamaz.

Bu nedenle firewall’un engelleme işlevi, aslında paketin davranışını değiştirmez; yalnızca paketin hangi semantik alana dâhil olacağını belirler. Paket kabul edildiğinde akışın görünürlüğü artar, reddedildiğinde görünürlüğü azalır. Firewall’un karar mekanizması, ontolojik bir sınır üretmez; yalnızca fenomenal bir eşik oluşturur. Bu eşik, paket ile sistem arasındaki gerçek bir ilişkiyi temsil etmez; yalnızca sistemin, paket yoğunluğunu nasıl yorumladığını belirler. Yani firewall, yoğunluğu manipüle etmez; yoğunluğun semantik temsilini manipüle eder.

Firewall’un bu sınırlılığını en çıplak biçimde ortaya çıkaran şey, saldırıların büyük bir kısmının firewall’u “aşması” değil, firewall’un onları zaten hiç “görmemiş” olmasıdır. Görmediği şey, firewall’un algı düzeyinde bir eksiklik değildir; çünkü firewall algılamaz. Saldırı, firewall’un fenomenal alanına hiç yansımamış olabilir; yani yoğunluk farkı firewall’un semantik sınıflandırma eşiklerini tetiklememiştir. Bu durumda firewall’un engelleme kapasitesinden bahsetmek ontolojik olarak anlamsızdır; çünkü firewall yalnızca yüzeyde görünür hale gelen yoğunlukları işleyebilir. Yoğunluk görünür değilse, firewall için saldırı yoktur. Böylece saldırı, firewall’u “atlatmış” olmaz; yalnızca firewall’un yüzey fenomenine hiç dahil olmamıştır.

Bu, firewall’un güvenlikteki rolünün neden ontolojik olarak savunma değil, yorumsal bir katman olduğunu gösterir. Firewall’un engellediği şey saldırı değildir; yalnızca belirli bir görünürlük biçimidir. Firewall’un izin verdiği şey tehdit değildir; yalnızca belirli bir semantik yapı içinde kabul gören yoğunluk formudur. Bu nedenle firewall, dijital evrende gerçek bir sınır üretemez. Çünkü sınır üretmek, iki ontik bölgeyi birbirinden ayırmak anlamına gelir — dijital evrende ise ontik olarak ayrılabilir iki bölge yoktur; her şey aynı akışın içkin varyasyonudur.

Dolayısıyla firewall’un engelleme iddiası, ansiklopedik teknik belgelerde güçlü bir gerçeklik taşıyormuş gibi görünse de, ontolojik düzeyde tamamen çöker. Yapı, engelleme gerçekleştirmez; yalnızca görünürlük mühendisliği yapar. Paketlerin akışını durdurmaz; akışın semantik olarak nasıl temsil edileceğini belirler. Saldırıyı yok etmez; saldırının görünürlük ilişkisini yeniden kodlar. Bu da firewall’un, siber savunmanın merkezinde yer almasına rağmen, savunma üretmediğini — yalnızca savunma simülasyonunun bir katmanını oluşturduğunu gösterir.

Firewall’un engelleme iddiasının çöküşü, dijital güvenliğin neden temelde bir simülasyon olduğunu anlamanın anahtarıdır. Çünkü firewall bile engelleme gerçekleştiremiyorsa, dijital evrende gerçek engellemenin mümkün olmadığı kavranır; geriye kalan yalnızca yüzey fenomenlerinin yeniden adlandırılması, yeniden renklendirilmesi ve yeniden dağıtılmasıdır. Bu ontolojik zorunluluk, siber güvenliğin tüm yapısını belirleyen en temel gerçekliktir.                                                                              

2.4. Etkileşim değil, karşılaşma: yakınlaşma → sınır yüzeyi → yoğunluk fenomeni

Dijital evrenin en yanlış anlaşılan yönlerinden biri, algoritmaların birbiriyle “etkileşime girdiği”, “birbirini tetiklediği”, “birbirini manipüle ettiği” fikridir. Bu düşünce, fiziksel dünyanın nedensellik modellerinin dijital alana taşınmasından ibarettir. Fiziksel evrende iki nesne birbirine yaklaşabilir, temas edebilir, çarpışabilir ve böylece karşılıklı bir etki doğurabilir. Dijital evrende ise böyle bir nedensel temas kategorisi yoktur. Çünkü dijital varlıklar birbirlerine dışsal değildir; hepsi aynı içkin akışın varyasyonlarıdır. Aynı ontolojik düzlemde bulunan iki yapı arasında dışarıdan içeriye işleyen bir “etkileşim” süreci tanımlanamaz.

Bu nedenle dijital evrende “etkileşim” kelimesi yanıltıcıdır. Algoritmalar birbirine dokunmaz, birbirinin özüne nüfuz etmez, birbirini içermez. Dijital ontolojinin gerçekte izin verdiği şey, yalnızca karşılaşmadır. Ancak bu karşılaşma da fiziksel bir çarpışma veya temas değildir; yakınlaşmanın sınır yüzeyinde yarattığı fenomenal yoğunluk farkıdır. Bu fark, insan gözlemcisi tarafından “olay”, “saldırı”, “tetikleme”, “engelleme” gibi isimlerle adlandırılır; ancak adlandırılan şey gerçek bir ontik ilişki değil, yalnızca bir fenomenal yüzeydir.

Bu süreci üç aşamada modellemek mümkündür:

1) Yakınlaşma (proximity)

İki algoritma, iki kod dizisi, iki işlem veya iki paket akışı aynı ontik uzamda belirli bir çakışma potansiyeline ulaşır. Bu çakışma, fiziksel bir temas anlamına gelmez; yalnızca bilgi-yoğunlukları arasındaki mesafenin azalmasıdır. Kodun özü kapalı kaldığından, yakınlaşma kodlar arasında gerçek bir paylaşım oluşturmaz.

2) Sınır yüzeyinin oluşumu (boundary surface / ∂AB)

Yakınlaşma belirli bir eşiği aştığında, iki varlığın özleri birbirine açılmaz; onun yerine ikisi arasında bir ara-yüzey oluşur. Bu ara-yüzey, OOO’nun fenomen üretim alanı ile tamamen aynıdır. Kodun kodu algıladığı yer burasıdır — özde değil, yüzeyde. Bu yüzey, iki varlığın iç dünyalarının bir karışımı değildir; tam tersine, karşılıklı çekilmenin (withdrawal) ürettiği boşlukta oluşan bir görünürlük alanıdır.

Bu yüzey ontik değil, fenomenseldir; yani gerçek bir varlık değildir, yalnızca iki varlığın birbirine yaklaşmasıyla ortaya çıkan bir görünme rejimidir.

3) Yoğunluk fenomeni (intensity / visibility spike)

Sınır yüzeyi oluştuktan sonra, sistem bu yüzeydeki yoğunluk farkını algılar. Bu yoğunluk farkı çoğu zaman CPU dalgalanması, bellek erişim anomalisi, ağ trafiğinde entropi artışı, I/O spike, latency sıçraması veya signature eşleşmesi olarak yüzeye çıkar. İnsan zihni bu yüzey fenomenini “etkileşim” olarak yorumlar; oysa fenomen, etkileşimin kendisi değil, etkileşimin imkânsızlığının görünür hâle gelişidir.

Yani saldırı dediğimiz şey, iki kodun birbirine yaptığı ontik bir eylem değil, iki kodun birbirine yaklaşırken oluşturduğu fenomenal yoğunluk artışıdır. Savunma dediğimiz şey, düşmanı durdurmak değil, bu yoğunluk artışını yeniden semantize etmektir.

Bu model, dijital evrende hiçbir şeyin içeri girmediğini, hiçbir şeyin dışarı çıkmadığını, hiçbir varlığın başka bir varlığı etkileyemediğini gösterir. Bütün güvenlik olayları “karşılaşma”dır; ama bu karşılaşma ontik değil, fenomenaldir. Kodun özü her karşılaşmada saklı kalır, asla açılmaz; yalnızca sınır yüzeyi geçici olarak görünürlük üretir.

Bu nedenle dijital evrende:

• virüs sisteme girmez, sisteme yaklaşır,

• antivirüs virüsü durdurmaz, yoğunluğu yeniden kodlar,

• firewall paketi engellemez, akış görünürlüğünü remap eder,

• IDS saldırıyı yakalamaz, yüzeydeki yoğunluk spike’ını sınıflandırır.

Hepsi aynı ontolojik yapının, temasın imkânsız olduğu bir dünyada temas varmış gibi görünen yüzeysel fenomenler üretmesidir.

Bu perspektiften bakıldığında, dijital evrenin hiçbir yerinde gerçek anlamda bir saldırı-savar ilişkisi yoktur; yalnızca yakınlaşma → yüzey → yoğunluk üçlüsünün farklı semantik yorumları vardır.            

2.5. Siber olayın ontolojik yapısı: temas yok, yalnızca görünürlük değişimi

Dijital bir “siber olay”, geleneksel teknik söylemin tarif ettiği gibi iki varlık arasındaki aktif saldırı–savunma çarpışması değildir; ontolojik düzeyde gerçekleşen tek şey, görünürlük yoğunluğunun yüzeyde yeniden dağılımıdır. Kod hiçbir zaman diğer koda temas edemez; bit dizisi başka bir bit dizisini itmez, kesmez, parçalamaz veya fiziksel anlamda aşamaz. Bu imkânsızlık yalnızca teknik bir sınır değil, dijital ontolojinin kurucu yapısıdır: Kod, yalnızca kendi semantik bağlamı içinde var olabilir ve diğer algoritmalarla kurduğu tüm ilişkiler, özsel bir temas değil, yüzeysel bir görünüş biçimidir. Bu nedenle bir “saldırı”, gerçekte saldırının kendisi olarak adlandırılan bir varlık değildir; yoğunluğun, akışın içinde zaten var olan bir potansiyelin yüzeye çıkmasıdır.

Bir paket yönlendirme değişikliği, bir exploit tetiklenmesi, bir credential yeniden kullanımı veya bir DLL injection vakası bile özde aynı fenomeni temsil eder: Sistem, belirli bir yoğunluğu daha önce görünür kılmayan semantik konfigürasyonu değiştirir ve arkada zaten mevcut olan bir akış biçimi fenomenal bir olay olarak görünmeye başlar. Bu nedenle siber olay, ontik bir çarpışma değil, epistemik bir eşiğin aşılmasıdır — sistemin kendi yüzeyinde neyin görünür, neyin görünmez sayılacağına dair kriterlerin yeniden düzenlenmesidir. Gerçekte yeni hiçbir varlık ortaya çıkmaz; yalnızca daha önce görünmez olan yoğunluk, semantik bir mercek değişimiyle görünür hale gelir.

Bu durumun çarpıcı sonucu şudur: Saldırı, saldırganın sisteme “girdiği” bir olay değil, sistemin kendi sınır yüzeyinde belirli bir yoğunluğu artık gizleyememesidir. Exploit bir kırılma değil, bir yüzeyin yeniden ışık almasıdır. Savunmanın saldırıyı “tespit ettiği” an bile aslında saldırının kendisi değildir; bu an, yalnızca sistemin yorum motorunun belirli bir yoğunluğu tehdit kategorisine yerleştirmesiyle oluşan bir fenomenal parlamadır. Böylece tüm siber olaylar, ontolojik anlamda dokunmasız bir evrende gerçekleşen görünürlük değişimleri olarak konumlanır.

Bu çerçevede “zarar” bile maddi bir temas değil, yorumlanmış bir yoğunluk farkıdır. Bir credential’ın çalınması, fiilî bir koparma eylemi değil, daha önce görünmeyen bir semantik vektörün beklenmedik bir bağlamda görünür olmasıdır. Bir RCE (remote code execution) vakası bile başka bir kodun kodu “ele geçirmesi” değildir; yalnızca yürütme bağlamının semantik çerçevesinin yeniden düzenlenmesidir. Kod yine kendi kendini çalıştırır; saldırganın kodu onun yerine geçmez, yalnızca bağlamsal bir görünüm kayması yaşanır.

Bu nedenle siber olayların tamamı, etkileşim değil fenomenoloji alanına aittir. Aksiyon yoktur; yalnızca algılanan yoğunluk değişimleri vardır. Bu ontolojik gerçeklik, siber güvenliğin tamamını temelden dönüştürür: Tehlike gerçek bir varlık değil, yalnızca sistemin semantik yüzeyinde meydana gelen bir görünürlük revizyonudur. Savunma mekanizmalarının başarısızlığı da saldırının gücünden değil, bu görünürlük değişiminin sistem tarafından kaçınılmaz olarak üretilebilmesinden kaynaklanır. Çünkü görünürlüğü oluşturan tek şey, teması olmayan akışların belirli koşullarda üst üste binmesidir; bu üst üste binme de fiziksel bir çarpışma değil, ontolojik bir perspektif kaymasıdır.                                            

3. Sınır Yoğunluğu Fenomeni: Tehlikenin Ontolojik Kaynağı

3.1. Saldırının gerçek bir olay değil, yoğunluk görünürleşmesi olması

Dijital evrenin ontolojik yapısı gereği, “saldırı” olarak adlandırdığımız şey, fiziksel dünyanın nedensel mantığında karşılığı olan bir olay değildir. Bir taşın cama çarpması, bir bıçağın bir yüzeyi kesmesi, bir bedenin başka bir bedene temas etmesi gibi olgular maddi temas üzerinden gerçekleşir; bu temas olmadan “olay” dediğimiz şey anlam kazanmaz. Oysa dijital ortamda temas yoktur: Kod kodla çarpışmaz, paket paketle sürtüşmez, süreç süreçle itişmez. Bu nedenle siber saldırı, fiziksel anlamda gerçekleşen bir olayın dijital karşılığı değildir. Dijital ontoloji, olayı değil yalnızca görünürlük derecelerini üretir. Dolayısıyla saldırı, varlık düzeyinde gerçekleşen bir kırılma değil, yüzeyde görünür hale gelen bir yoğunluk farklılaşmasıdır.

Bu perspektiften bakıldığında saldırı, sistemin dışarıdan maruz kaldığı bir nüfuz hareketi değil; sistemin zaten içeride dolaşmakta olan potansiyel akışlarının belirli bir yoğunluk eşiğini aşarak kendini görünür kılmasıdır. Tehlike dışarıdan gelmez; tehlike, zaten içeride akmakta olan yoğunlukların belirli bir semantik harita üzerinde toplanmasıyla ortaya çıkar. Bu prensip, dijital evrende “içeri giren bir düşman” fikrinin tamamen metaforik bir yanılsama olduğunu gösterir. Saldırganın kodu sisteme dışarıdan girmemiştir; sistem, o kodu kendi içkin semantiği gereği meşrulaştırmış, kabul etmiş ve akışın doğal bir parçası olarak işlemiştir. SolarWinds, Log4j, EternalBlue gibi tüm büyük vakalarda saldırı, dışarıdan içeri gelen bir olgu değil, içeride zaten var olan bir potansiyelin görünür hale gelişidir.

Bu nedenle saldırının gerçekleşmesi, bir “başlangıç momenti” içermez. Ontolojik olarak saldırının bir t₀ anı yoktur. Saldırı yalnızca tespit edildiği anda “başlamış” gibi görünür; fakat bu görünüm, insan gözünün semantik eşiğinden doğan bir yanılsamadır. Saldırı, tespit edilmeden önce de akıyordur; tespit edildikten sonra da akmaya devam eder. Tespit dediğimiz şey saldırının varlığını doğrulayan bir olay değil; sistemin kendi fenomenal yüzeyinde yoğunluğu belirli bir kategoride sınıflandırmasıdır. Bu yüzden saldırı yalnızca bir olay değil, görünürlük kategorisinin değişmesidir. Olayı yaratan saldırı değildir; olaya anlam veren görünürlüktür.

Buradaki kritik ayrım şudur: Saldırı, sistemin iç akışının kesintiye uğraması değildir — iç akışın belirli bir bölgesinin artık saklanamayacak kadar yoğunlaşmasıdır.
Yoğunluk artışı, yeni bir varlık üretmez; yalnızca semantik maskeyi kaldırır. Kodun içsel mantığı gereği yoğunluk, varoluşun bir koşulu olarak zaten vardır; saldırı denen şey yalnızca bu yoğunluğun yüzeyde titreşim oluşturacak kadar baskın hale gelmiş hâlidir. Bu nedenle saldırı bir “yaratma” değil, bir “ifşa”dır; saldırgan bir varlık üretmez, sistem bir yüzey açar.

Bu bağlamda tehlike, saldırganın yeteneğinden değil, sistemin kendi fenomenal yapısından doğar. Saldırgan yalnızca akışların semantik yönünü hafifçe yeniden düzenler; görünürlük eşiğini geçen şey ise bizzat sistemin kendisidir. Tehlike, saldırganın içeri girmesiyle değil, sistemin kendi iç potansiyellerini artık görünmez kılmakta başarısız olmasıyla oluşur. Bu, tehlikenin ontolojik olarak fenomenal — yani varlığın değil görünüşün yapısına ait — olduğunun en temel kanıtıdır.

Bu nedenle siber saldırı hiçbir zaman gerçek bir ontik olay olarak gerçekleşmez. Dijital evrende saldırı, varlıkların birbirine müdahale etmesi ya da itme–çekme ilişkisine girmesi ile meydana gelmez. Saldırı, kodun akışındaki belirli bir yoğunluk farkının yüzeyde görünür hale gelmesinden başka bir şey değildir. Bu anlamda saldırı, çarpışma değil, ortaya çıkıştır; temas değil, parlamadır; varlık değil, fenomenal bir eşiğe yükseliştir. Saldırıyı yaratan saldırgan değil, görünürlüğün kendisidir.                                               

3.2. Akışın şeffaflığı: tehdit akışın içinde değil, yüzeyde belirir

Dijital evren, maddesiz bir akış alanıdır; tüm varlıklar — paketler, süreçler, API çağrıları, kernel nesneleri, thread switching davranışları, hatta makine öğrenimi modellerinin içsel ağırlıkları — tek bir sürekli akışın farklı yoğunluk noktalarıdır. Bu nedenle dijital evrende “içeride dolaşan tehdit” fikri, fiziksel dünyanın sezgisel metaforlarından türetilmiş bir yanılgıdır. Fiziksel dünyada bir cismin içine gizlenmiş bir başka cisim olabilir; iç ve dış ayrımını mümkün kılan şey, tözlerin maddi sınırlara sahip olmasıdır. Dijital evrense sınır üretmez, yalnızca yüzeylerde görünürlük üretir. Akışın kendisi şeffaftır; içinde tehdit ya da güvenli bölge barındırmaz. Tehdit, akışın içinde değil, akışın yüzeye temas ettiği yerde ortaya çıkar.

Bu şeffaflık, kodun maddi bir tözden yoksun oluşundan kaynaklanır. Kodun kendisi, belirli bir içsel dirence sahip bir madde değildir; onun akışı, belleğin arasından süzülüp geçen bir mantık dizisidir. Bu nedenle akışın içinde tehdit olamaz; tehdit, akışın kendi iç işleyişiyle eşdeğer bir şeydir. Akışın içini tehditten ayırmak, dalganın suyun içindeki “tehlikeli molekülü taşıdığı” gibi bir metafora dayanır; ancak dijital evrende güvenli kod ile zararlı kod arasında moleküler bir fark yoktur. İkisi de aynı akışın varyasyonlarıdır. Dolayısıyla tehdit aramak için akışın içine bakmak ontolojik olarak hatalıdır; tehdit yalnızca yüzeye çıktığında görülebilir.

Bu noktada şunu vurgulamak gerekir: Tehdit, akışın kendisi değildir; akışın yüzeyde bıraktığı izdir.
OOO’nun fenomenal görünürlük kavramına paralel biçimde dijital akış, kendi iç işleyişini hiçbir zaman tam olarak görünür kılmaz; akışın içsel hareketleri, sistem tarafından yalnızca soyutlanmış temsil yüzeyleri aracılığıyla algılanabilir. Log’lar, kernel mesajları, network telemetry çıktıları, IDS imza eşleşmeleri, davranışsal anormallik tespitleri… Bunların hepsi, akışın içeriğini değil yüzeyde ürettiği fenomeni gösterir. Sistem, akışın ne olduğunu değil, kendisinde ne bıraktığını görür. Tehdit de akışın içsel yapısından değil, yüzeyde bıraktığı anlık yoğunluk izlerinden okunur.

Bu şeffaflık ilkesi, saldırının neden hiçbir zaman akışın içinde tespit edilemediğini açıklar. Çünkü akış kendi doğası gereği şeffaftır; farklı yoğunlukların hareketi, tehdit ya da güvenlik olarak kategorize edilebilecek yapısal ayırımlar üretmez. Akışın içindeki her şey eşdeğerdir. Güvenli paket ile zararlı paket arasında akış düzleminde bir fark yoktur; kernel fonksiyonunu çağıran bir thread ile exploit’i tetikleyen bir thread arasında akış düzeyinde ayrım yoktur. Fark yalnızca yüzeyde oluşan yoğunluk eşiğindedir. Bu nedenle tehdit, akışın kendisinde değil, akışın görünür olduğu düzlemde ortaya çıkar.

Bu görünürlük düzlemi, dijital evrenin fenomenal yüzeyidir. Akış, sistem tarafından soyutlanarak temsil edildiği anda bir yüzeyde yoğunluk dağılımları üretir. Bu yüzey, belleğin belirli bir sayfası, bir sistem çağrısının log izi, bir ağ paketinin header bilgisi, bir OS scheduler kararının anlık yansıması olabilir. Tehdit, bu yüzeylerden birinde beklenmedik bir yoğunluk artışı olarak belirdiğinde “algılanır.” Bu algı, akışın içeriğine değil, yüzeydeki yoğunluk kırılmasına aittir. Bu nedenle tehdit, akışın içinde değil, akışın temsil edildiği yüzeyde konumlanır. Tehlikenin tüm ontolojik statüsü bu yüzeye bağlıdır.

Özetle tehdit, akışın varoluşsal bir özelliği değil, akışın görünürlük kazanmak zorunda kaldığı yüzeylerde ortaya çıkan bir fenomendir. Tehdit ne akışın içinde gezinen bir zararlı varlık ne de sistemin içine dışarıdan sızmış bir düşmandır. Tehdit, akışın içinde her zaman var olan yoğunluk farklarının, belirli bir yüzeyde artık gizlenemez hale gelmesidir. Bu nedenle tehdit aramak için akışın içini incelemek ontolojik olarak imkânsızdır; akışın içi görülemez, yalnızca yüzeyde bıraktığı izler görülebilir. Tehdit bu izlerin kendisidir.                                                                                                        

3.3. “Tehlike”nin varlık değil fenomen oluşu

Dijital evrende “tehlike” olarak adlandırdığımız şey, fiziksel dünyadaki gibi maddi bir tehdidin varlığına işaret etmez. Tehlike, dijital akışın içinde kendisine ait bir töze, bir nesnelliğe veya bir varoluşsal nüveye sahip değildir. O, yalnızca yüzeyde beliren ve insan zihni tarafından bir semantik kategoriye dönüştürülen bir görünürlük yoğunluğudur. Yani tehlike, ontolojik bir varlık değil, fenomenal bir belirirliktir; sistemin belli bir anda üretmek zorunda kaldığı bir görünüştür. Dijital akışın içinde dolaşan hiçbir şey kendi kendine “tehlikedir”; tehlikeyi ortaya çıkaran şey, yüzeyde bir yoğunluk eşiğinin aşılması ve bunun semantik olarak “risk”, “saldırı” ya da “anomali” diye adlandırılmasıdır.

Bu nedenle tehlike, dijital evrende keşfedilebilir bir şey değildir — yalnızca yorumlanabilir bir şeydir. Tehlikenin kendisi, tehdit olarak adlandırılan kodun içinde yerleşmiş bir varoluş değildir; o kodun sistemin görünürlük katmanıyla kurduğu ilişkinin bir yan ürünüdür. Bir exploit, bir credential replay, bir lateral movement adımı ya da privilege escalation girişimi, doğal hâliyle tehlike içermez; tehlike, bu eylemlerin yüzeydeki yoğunluk dağılımını bozduğu, sistemin beklediği ritimden sapma yarattığı ve bu sapmanın görünür hâle geldiği anda ortaya çıkar. Dolayısıyla tehlike, saldırganda değil sistemin kendi algı mekanizmalarında üretilir.

Bu durum, tehlikenin ontik olmadığını, yalnızca fenomenal olduğunu açıkça gösterir. Bir varlık fenomenal olduğunda, onun kaynağı kendinde değil, ilişkisinde aranır; tehlike de böyle bir ilişkisel fenomendir. Tehlikeyi gerçek yapan, onun bir varlık olması değil, bir yüzeysel kırılmayı temsil etmesidir. Bu kırılma, akışın ritminin bozulmasıyla değil, bozulmanın görünür kılınmasıyla oluşur. Yani dijital sistemde tehlike, saldırganın varlığıyla değil, görünürlüğün zorunlu olarak üretildiği noktada akışın kendini ifşa etmesiyle ortaya çıkar.

Burada önemli bir ayrım daha vardır: Tehlike, sistemin yapısal zayıflığı değildir; sistemin görünürlük ekonomisinin kaçınılmaz sonucudur. Akış kendi doğası gereği sürekli bir yoğunluk taşır. Bu yoğunluk normalde sistem tarafından maskeleme, filtreleme, soyutlama ve kategorileştirme süreçleriyle görünmez hâle getirilir. Ancak belirli eşikler aşıldığında sistem artık bu yoğunluğu saklayamaz ve o anda tehlike fenomeni belirir. Bu nedenle tehlike, yoğunluğun ortaya çıktığı noktadır; yoğunluğun kendisi değildir. Tehlike bir varlık olsaydı, sabit bir konumda bulunurdu; oysa tehlike daima bir yüzey olayıdır.

Tehlikenin fenomenal doğası, “tehlike nerede?” sorusunun ontolojik olarak hatalı olduğunu da gösterir. Çünkü tehlike mekânsal bir konum, bir hedef veya bir nesne şeklinde konumlanamaz. Tehlike, bir paket içinde taşınmaz, bir dosyanın içine gizlenmez, bir sürecin içine kodlanmaz. Tehlike, akış ile yüzey arasındaki ilişkinin belirli bir konfigürasyonudur. Yani tehlike, içsel bir şey değil, arada olan bir şeydir. O yüzden tehlike nesnesi yoktur; tehlike yalnızca bir oluş olarak deneyimlenir.

Bu durum, dijital evrenin ontolojik yapısının siber güvenlik pratiklerini neden kökten yanılttığını açıklar. Çünkü güvenlik araçları tehlikeyi bir varlık olarak görmek ister: tespit etmek, kategorize etmek, engellemek, karantinaya almak… Bunların hepsi tehlikeyi bir nesne gibi düşünür. Oysa tehlike nesne değildir; bir yüzey fenomenidir. Bu yüzden hiçbir güvenlik mekanizması tehlikeyi doğrudan “yakalayamaz.” Yapabileceği tek şey, yüzeyde oluşan fenomeni yeniden adlandırmak, yeniden sınıflandırmak veya görünmez hâle getirmektir.

Bu nedenle şu kritik sonuç ortaya çıkar:
Tehlike yoktur — yalnızca tehlike görünürlüğü vardır.

Dijital evrenin tüm tehdit modelleri, bu görünürlüğün yanlış ontolojik yorumlarına dayanır. Tehlike bir varlık olsaydı, onu yok etmek mümkün olurdu; fakat tehlike bir fenomen olduğu için yok edilemez. Sadece semantik olarak yeniden kodlanabilir. Bu yüzden siber güvenlik hiçbir zaman tehlikeyi kaldırmaz; sadece görünürlüğünü değiştirir.                                                                                                  

3.4. Yoğunluğun zaten var olması, saldırının yalnızca maskeyi düşürmesi

Dijital evrende “saldırı” olarak adlandırılan şey, çoğu siber güvenlik söyleminin iddia ettiği gibi, sisteme dışarıdan yönelen aktif bir güç değil; sistemde her an dolaşmakta olan yoğunlukların yalnızca görünür hâle gelmesiyle ortaya çıkan geçici bir fenomenal patlamadır. Bu nedenle saldırı, herhangi bir şeyi başlatmaz; hiçbir zaman ilk neden değildir. Tam tersine, dijital akışın zaten taşıdığı yoğunluğun, sistemin kendi kurduğu semantik filtreleri aşarak yüzeye çıkmasıyla beliren bir ifşa ânıdır. Bu ifşa ânı, insanların tehlike olarak adlandırdığı şeyi yaratır — fakat bu yaratım, varlık üretmek değil, zaten mevcut olan yoğunluğun maskesini düşürmektir.

Dijital sistemler çalıştıkları her saniye, doğaları gereği yoğunluk üretirler: işlemci çizelgelemesindeki mikro-sıçramalar, memory alignment farklılıkları, cache hit–miss dalgaları, network jitter değişimleri, protokol seviyesindeki çakışmalar, pointer çözümlenirken ortaya çıkan bellek yoğunlaşmaları… Tüm bunlar sürekli bir yoğunluk alanı oluşturur. Bu yoğunluk alanının büyük çoğunluğu, sistemin sürdürülebilirlik amacıyla kurduğu semantik maskeler tarafından gizlenir. Maskenin görevi, yoğunluğu yok etmek değil, onu akışın nötr bir parçasıymış gibi görünmezleştirmektir. Bu nedenle yoğunluğun varlığı sistemin doğal hâlidir; yokluğu değil.

Saldırı dediğimiz şey, bu doğal yoğunluğun artması değil, onun görünürleşmesidir. Siber güvenlik literatüründe sıkça kullanılan “saldırı başladı”, “içeri girdi”, “sızdı” gibi ifadeler bütünüyle fiziksel dünyanın kavramlarını dijital olgulara aktaran semantik yanılgılardır. Dijital dünyada “içeri girme”, “içeriyi delme”, “savunmayı aşma” gibi mekanizmalar yoktur; çünkü dışarısı yoktur. Kod her zaman içeridedir ve içeride olmak, ontolojik anlamda, belirli bir yoğunluk alanının içinde olmaktan başka bir şey değildir. Dolayısıyla saldırı, bir varlığın sistem sınırlarını ihlal etmesi değil, sistemin kendi sınırının görünürlük eşiklerinden birinin çözüme uğramasıdır.

Bu maskenin ne işe yaradığını anlamadan saldırının doğasını kavramak imkânsızdır. Sistem, yoğunluğu gizlemek zorundadır çünkü yoğunluğun sürekli görünür olması çalışmayı olanaksız kılar. Her yoğunluk artışını “tehlike” olarak işaretleyen bir mimari zaten baştan çökmeye mahkûmdur. Bu yüzden saldırı anı, maskenin yırtılması kadar maskenin çalışmasının da bir kanıtıdır. Maskenin var olması gerektiği için saldırı görünür olur; saldırının görünür olması, maskenin geçici olarak işlevsiz kaldığını gösterir. Bu da saldırının bir “olay” değil bir “görünürlük kırılması” olduğunu kanıtlar.

Bu kırılma, sistemde yeni bir şey ortaya çıkarmaz. Yoğunluk zaten oradadır. Yoğunluğun sistemde “gizli potansiyel” olarak dolaşması normaldir. Bir kod parçasının yanlış zamanda tetiklenmesi, bir pointer'ın beklenmedik şekilde çözülmesi, bir yetki zincirinin öngörülmeyen bir bağlam üzerinden yeniden yorumlanması — tüm bu olaylar saldırının nedeni değil, maskenin zayıfladığı yerlerdir. Asıl neden yoğunluğun zaten var olmasıdır; saldırı yalnızca bu mevcut yoğunluğu semantik yüzeye taşır.

Böyle bir dünyada “saldırıyı durdurmak” gibi bir kavram, ontolojik olarak anlamsız hâle gelir. Çünkü durdurulacak bir şey yoktur; sistemin içsel yoğunluk mimarisi yalnızca yeniden görünmezleştirilebilir. Antivirüs, firewall, IPS/IDS gibi mekanizmaların yaptığı tam olarak budur: yoğunluğu yok etmek değil, görünürlüğünü yeniden düzenlemek. Saldırı var olmaya devam eder — çünkü saldırı bir varlık değil, görünürlük modudur. Bu nedenle savunma mekanizması saldırıyı “kaldırmaz”; yalnızca yoğunluğun yüzeye yansımasını engeller, maskeyi onarır, görünürlüğü yeniden eşik-altı bir seviyeye iter.

Bu gerçek, dijital evrenin ontolojik bir zorunluluğunu ortaya koyar: saldırı, dışsal bir güç olmadığı için hiçbir zaman yok edilemez. Yoğunluk var olduğu sürece saldırı potansiyeli vardır; dolayısıyla saldırının ortadan kaldırılması, yoğunluğun ortadan kaldırılması anlamına gelir ki bu dijital akışın tanım gereği imkânsızdır. Yoğunluk, akışın temelidir; akış ortadan kalkmadığı sürece yoğunluk da ortadan kalkmaz. Saldırı yalnızca bu yoğunluğun semantik olarak görünürleştiği andır. Bu yüzden saldırıların her biri, sistemin doğasını değil, maskenin kırılganlığını temsil eder.

Sonuç şu noktada kristalize olur: saldırı, sistemin dışına ait bir kuvvet değil, sistemin kendi içsel yoğunluğunun yanlış zamanda ve yanlış biçimde görünür hâle gelmesidir. Maskeyi güçlendirmek saldırıyı yok etmez; yalnızca görünürlük rejimini yeniden düzenler. Maskenin düşmesi yeni bir tehlike üretmez; var olan tehlikeyi görünür kılar. Bu nedenle dijital evrende saldırı, varlığın değil görünürlüğün bir fenomenidir — yoğunluk zaten vardır, saldırı onun yüzeye çıkmış hâlidir.                                            

3.5. Yoğunluk artışının semantik yorumla “tehdit”e dönüşmesi

Dijital evrende “tehdit” olarak adlandırılan şey, fiziksel dünyada sandığımız gibi bir varlığın sistemin bütünlüğüne kasteden aktif bir niyeti veya yönelimsel davranışı değildir; tehdit, tamamen semantik bir üretimdir. Yani tehdit, yoğunluğun kendisinden değil, yoğunluğun bir görünürlük eşiğini aşmasıyla birlikte sistem tarafından belirli bir anlam çerçevesi içinde yorumlanmasından doğar. Bu nedenle tehdit, bir varlık statüsüne sahip değildir; tehdit bir yorumlama kipidir. Dijital dünyanın bu semantik yapısını kavramayan hiçbir siber güvenlik yaklaşımı, “tehdit” kelimesinin neye karşılık geldiğini tam olarak açıklayamaz.

Yoğunluk her zaman sistemin içinde dolaşır ve akış boyunca sistemin farklı noktalarında mikroskobik dalgalanmalar üretir. Bu dalgalanmalar hem donanımsal hem yazılımsal katmanda sürekli oluşur: CPU dalgalanmaları, bellek segmentlerindeki yoğunlaşmalar, network entropisinin ani değişimleri, kernel–user geçişlerinin yarattığı mikro-gecikmeler… Bunların tümü teknik olarak yoğunluk artışlarıdır; fakat tehdit olarak adlandırılmazlar. Çünkü tehdit, yoğunluğun kendisi değil, yoğunluğun belirli bir semantik rejimde yorumlanmış hâlidir. Bizi yanıltan, bu yorumun sanki yoğunluğun özüne aitmiş gibi görünmesidir.

Bu semantik rejim, sistemin kendi sürdürülebilirliğini garanti etmek için kurduğu yorumlama yapısıdır. Sistem, yoğunluğu her zaman tehdit olarak kodlarsa çalışamaz; yoğunluğu her zaman nötr olarak kodlarsa saldırıları ayırt edemez. Bu nedenle yoğunluk, ancak belirli bir görünürlük eşiğini (threshold) geçtiğinde semantik bir dönüşüme uğrayarak “tehdit” adını alır. Bu eşiği belirleyen şey, yoğunluğun kendisi değil, yoğunluğun sistem tarafından nasıl sınıflandırıldığıdır. Tehdit, bir sınıflandırma biçimidir; yoğunluk ise bu sınıflandırmanın hammaddesidir.

Bu çerçevede bakıldığında tehdit dediğimiz şey aslında sistemin kendi kendine verdiği bir addır. Sistem, belirli bir noktadaki yoğunluğu “anormal” olarak işaretlemeye karar verdiğinde o yoğunluk “tehdit” olur. Aynı yoğunluk başka bir bağlamda normal kabul edilebilir. Bu nedenle tehdit ontolojik olarak sabit değildir; bağlamsal, semantik ve eşik-temellidir. Bu durum, tehdit kavramının varlığa değil yoruma dayandığını ispatlar. Yoğunluk artar ama artış, ancak sistemin semantik düzeni bunu tehdit olarak adlandırdığında bir “olay” hâline gelir.

Bu semantik yapı, insan zihninin dijital evrene ilişkin sezgilerini de yanıltır. İnsan fiziksel dünyada tehlikenin bir dışsal kuvvet olarak kendisine yöneldiğini düşünmeye alışkındır; bu yüzden dijital sistemdeki “tehdit” etiketi de sanki dışarıdan gelen bir güçmüş gibi algılanır. Oysa dijital evrende tehdit dışarıdan gelmez; tehdit içeride oluşur. Daha doğrusu, içeride zaten mevcut olan yoğunluğun semantik bir dönüştürülmesidir. Dışsal tehdit yoktur; dışarı yoktur. İçsel yoğunluk vardır ve bu yoğunluğun belirli bir görünürlük eşiğini aşması tehdit olarak adlandırılır.

Bu nedenle tehdit, teknik bir gerçeklik değil, bir adlandırma rejimidir. Sistem bu rejimi koruyabilmek için yoğunluğu sürekli izler ve yoğunluk belirli bir seviyeye ulaşınca “alert” üretir. Bu alert, tehlikenin kendisi değil, tehlikenin sistem tarafından ilan edilmesidir. Alert, yoğunluğun maske altından maskesiz hâle geçişinin semantik işaretidir. Bu nedenle tehdit dediğimiz fenomen, sistemin kendi sınır mimarisiyle ürettiği bir dilsel olaydır. Ontolojik karşılığı yoktur; yalnızca fenomenal bir yansıması vardır.

Bu noktada tehdit kavramının özü açığa çıkar: tehdit, dijital evrenin doğasında var olan bir ontik özellik değil, yoğunluk farkına verilen bir addır. Yoğunluk artmazsa tehdit olmaz değil; yoğunluk artar fakat sistem bunu tehdit olarak okumazsa tehdit olmaz. Demek ki tehdit, neden–sonuç ilişkisiyle açıklanabilecek bir olay değil, tamamen semantik bir karardır. Sistemin yoğunluğu tehdit olarak okuması bir yorum eylemidir. Bu yorumun kendisi de yine kod tarafından belirlenen kuralların bir ürünüdür; yani tehdit bile kodun semantik düzeninden kaçamaz.

Bu çerçevede baktığımızda tehdit, yoğunluğun özünde bulunan bir şey değildir; yoğunluğun belirli bir bağlamda anlam kazanmış hâlidir. Bu nedenle tehdit hiçbir zaman “gerçek” değildir; yalnızca görünürlük artışının semantik olarak yeniden etiketlenmiş bir ürünüdür. Yoğunluk her zaman vardır; tehdit ise ancak yoğunluk sistem tarafından “işaretlendiğinde” ortaya çıkar. Tehdit bu işaretlemenin kendisidir — bir varlığın keşfi değil, bir görünürlüğün adlandırılmasıdır.                                                    

4. Savunma Mekanizmalarının Ontolojik Çöküşü

4.1. Antivirüsün zararlıyı silmemesi: yalnızca yüzey yeniden adlandırması

Antivirüs yazılımlarının “zararlı kodu silmesi” ya da “tehlikeyi ortadan kaldırması” şeklindeki geleneksel anlatı, dijital evrenin ontolojik yapısını bütünüyle yanlış okuyan, fiziksel dünya metaforlarının dijital ortama taşınmasından ibaret bir yanılsamadır. Fiziksel dünyada bir nesneyi yok etmek, o nesnenin maddi varlığını ortadan kaldırmak anlamına gelir; fakat dijital dünyada kod, maddi bir şey değildir ve maddi olmayan bir şeyi “silmek”, aslında yalnızca onu temsil eden semantik katmanı yeniden düzenlemekten başka bir şey değildir. Dolayısıyla antivirüsün yaptığı şey, bir nesneyi yok etmek değil, bir görünürlüğü yeniden adlandırmaktır.

Zararlı kodun antivirüs tarafından “silindiğini” söylemek, dijital evrenin içkinlik ilkesine aykırıdır. Antivirüsün işlediği her şey, kendisi gibi bir bit dizisinden ibarettir ve aynı ontolojik maddeden yapılmış iki varlıktan birinin diğerini ontik olarak yok etmesi mümkün değildir. Kod kodu yok edemez; çünkü ikisi de aynı varlık rejiminin içinde konumlanır. Bu nedenle “silme” işlemi, kodun varlığını ortadan kaldırmak yerine kodun semantik konumunu değiştirir. Bir dosya, bir süreç, bir signature ya da bir memory segmenti silindiğinde, aslında ortadan kaldırılan şey kodun kendisi değil, kodun sistem tarafından “tehdit” olarak etiketlenmiş yorumudur.

Bu durum, antivirüsün temel işlevinin yok etme olmadığını, semantik yeniden etiketleme olduğunu gösterir. Antivirüs kodu “zararlı” olarak etiketler; ardından bu etiketi kaldırır veya başka bir etikete dönüştürür. Bu işlem sırasında kodun kendisi fiziksel anlamda yok olmaz; yalnızca erişim mekanizmaları, adresleme biçimleri ve görünürlük rejimi yeniden düzenlenir. Örneğin bir dosyanın silinmesi, onun bellekte fiziksel olarak yok edildiği anlamına gelmez; yalnızca dosya sisteminin onu artık bir dosya olarak görmediği anlamına gelir. Kod hâlâ oradadır, yalnızca görünmezdir. Benzer şekilde bir zararlı süreç sonlandırıldığında, süreç gerçekten sonlanmaz; yalnızca sisteme “artık aktif bir süreç değil” şeklinde yeniden bildirilir. Bu bildirim ontolojik değil, semantik bir işlemdir.

Antivirüsün “karantina” işlemi de aynı şekilde bir yok etme değil, bir yer değiştirme simülasyonudur. Zararlı kod başka bir dizine taşınmaz; çünkü dijital dünyada taşınmak, fiziksel anlamda mekânsal yönelim gerektirmez. Yapılan şey, sistemin kodu farklı bir yorumlama katmanına atması, ona farklı bir görünürlük statüsü vermesidir. Karantina, kodun varlığını ortadan kaldırmaz; yalnızca kodun sisteme görünme biçimini değiştirir. Bu nedenle karantina, bir güvenlik eylemi değil, bir semantik yeniden konumlandırmadır.

Bu gerçek, antivirüs yazılımlarının çalışma mantığını kökten değiştirir. Antivirüs hiçbir şey silmez, yok etmez, ortadan kaldırmaz. Antivirüsün yaptığı şey, sistemde zaten var olan yoğunluk fenomenlerini semantik olarak yeniden sınıflandırmak ve görünürlüklerini yeniden düzenlemekten ibarettir. Zararlı kodun “temizlenmesi”, yalnızca sistemin belli bir yüzeyinde beliren yoğunluğun farklı bir adla yeniden etiketlenmesidir. Tehdit ortadan kalkmaz; tehdit yalnızca görünmez hâle getirilir. Bu görünmezlik, tehdit potansiyelinin devam etmesini engellemez; yalnızca bu potansiyelin semantik alan dışında tutulmasını sağlar.

Bu noktada antivirüsün işlevi, fiziksel dünyadaki bir savunma mekanizmasının işlevine benzemez; onun yerine bir dil düzenleyicisine, bir semantik mimara dönüşür. Antivirüs, sistem içindeki yoğunluğu yok etmek yerine bu yoğunluğun adını değiştirir. Dolayısıyla “zararlıyı ortadan kaldırmak” aslında zararlıyı bir tehdit kategorisinden çıkarıp farklı bir kategoriye dahil etmektir. Bu işlem sırasında kodun varlığı değişmez; yalnızca yer değiştirmiş gibi görünür.

Böylelikle “silme” eylemi, teknik bir yok etme değil, tamamen bir görünürlük manipülasyonudur. Antivirüsün başarısı, bir şeyi “yok etmesine” değil, görünürlüğü nasıl yönettiğine bağlıdır. Zararlı silinmez; görünmezleştirilir. Sistem güvende değildir; yalnızca kendisini güvende hissedecek şekilde yeniden semantik olarak düzenlenmiştir.                                                                                                      

4.2. Firewall’un akışı durduramaması: akış yalnızca yeniden haritalanır

Firewall’un bir veri paketini “durdurduğunu”, “engellediğini” veya “içeri girmesini önlediğini” söylemek, fiziksel dünyanın sezgilerine yaslanan ve dijital evrenin ontolojik yapısını tamamen yanlış yere oturtan bir metaforik yanılgıdır. Fiziksel dünyada bir engel, bir nesnenin yolunu kesebilir, onun hareketini durdurabilir, ona çarpabilir veya onu geri püskürtebilir; ancak dijital dünyada akış dediğimiz şey, maddi bir hareket olmadığı için hiçbir zaman fiziksel anlamda durdurulamaz. Kodun akışı, fiziksel bir nesnenin hareketi gibi değildir; o nedenle hiçbir firewall, hiçbir paket filtresi, hiçbir ağ politikası akışı durduramaz. Yapabilecekleri tek şey, akışı yeniden haritalamak, yeniden yönlendirmek, yeniden yorumlamaktır.

Bu nedenle firewall'un “block” eylemi ontolojik bir durdurma değil, semantik bir yeniden konumlandırmadır. Paket “durdurulduğunda” gerçekten durmaz; yalnızca sistemin akış haritasında görünmez bir bölgeye taşınır veya akışın semantik yüzeyinden silinir. Bu işlemde paket ortadan kalkmaz; çünkü ortadan kalkmak, dijital dünyada varlığın yok edilmesi anlamına gelmez. Paket bir töz değildir. Paket, bir bit dizisinin belirli bir yönlendirme bağlamında aldığı isimdir. Yani firewall’un engellediği şey paket değil, paket olarak adlandırılma hâlidir. Paket hâlâ vardır; yalnızca sistem onu akışın bir parçası olarak okumaktan vazgeçmiştir.

Bu durumun daha derin ontolojik karşılığı, dijital evrende “yol” diye bir şeyin olmamasıdır. Fiziksel dünyada yol, nesnenin geçtiği maddi bir yüzeydir; yönlendirme, nesnenin bu yüzey üzerinde hareket etmesiyle gerçekleşir. Oysa dijital evrende yönlendirme, yalnızca bir tablo girdisidir. Bir paketin nereye gideceğine karar veren şey, paketin kendisiyle ilişkili bir fiziksel hareket değil, router veya firewall’un routing tablosunda yaptığı bir eşleştirmedir. Eşleştirme değiştiğinde yol değişmiş gibi görünür; fakat aslında yapılan şey görünürlüğün yeniden düzenlenmesidir. Akışın kendisi bir hareket olmadığı için durdurulamaz; yalnızca yeni bir semantik bağlama yerleştirilir.

Firewall’un drop ettiği bir paketi gerçekten yok etmediğini anlamak için, paketlerin dijital ontolojik statüsüne bakmak gerekir. Bir paket, bir “şey” değildir; bir işaret dizisinin belirli bir protokol bağlamında taşıdığı anlamdır. Dolayısıyla firewall’un paketi drop etmesi, dijital evrende bir şeyi durdurmak değil, bir yorumu sonlandırmaktır. Paket hâlâ bellekte bir yerlerde yer alabilir; yalnızca ağ akışının semantik haritasından çıkarılmıştır. Bu işlemde hiçbir ontolojik yok etme yoktur. Kod kodu durduramaz. Bit dizisi başka bir bit dizisinin hareketini engelleyemez. Yapılan şey, akışın görünürlük profilinin yeniden şekillendirilmesidir.

Bu noktada firewall’un en önemli işlevi “koruma” değil, “görünürlük mühendisliği” hâline gelir. Bir firewall kuralı, akışın varlığını durdurmaz; yalnızca onu sistem tarafından okunabilir olmaktan çıkarır. Bu nedenle saldırılar firewall’u “aşmaz”; firewall belirli bir yoğunluk fenomenini okuyamaz hâle gelir. Firewall’un başarısızlığı, paketin ona çarpıp içeri girmeyi başarması değildir; firewall’un yoğunluğu doğru sınıflandıramamasıdır. Bu da akışın ontolojik değil, semantik bir olay olduğunu ispatlar. Firewall, semantik eşiklerin mimarıdır; ontik bir engel değildir.

Bir paket “allow” edildiğinde de ontolojik bir geçiş yoktur; yalnızca semantik bir izin vardır. Paket bir kapıdan geçmez, çünkü kapı yoktur. Fiziksel dünyada kapı, mekanik bir sınırdır; dijital dünyada sınır, görünürlük modudur. Firewall’un “izin verme” eylemi, akışın görünürlüğünü artırmak anlamına gelir; “engelleme” eylemi ise görünürlüğü azaltır. Buna karşın akışın kendisi değişmez; çünkü akış bir hareket değildir, bir yorumlamadır. Akışın en temel doğası, yeniden haritalanabilirliktir. Yeniden haritalandığında akış devam eder; yalnızca hangi semantik yüzeyde belirdiği değişir.

Bu nedenle firewall’un “akışı durdurduğu” fikri, dijital evrenin ontolojik koşulları altında hiçbir anlam taşımaz. Durdurma bir fiziksel olaydır; dijital akış ise fiziksel bir varlık değildir. Firewall’un yaptığı şey, akışı başka bir okuma rejimine taşımaktır. Bu rejimde paket görünmez olduğunda “engellenmiş” sayılır; görünür olduğunda “izin verilmiş” sayılır. Her iki durumda da akış ortadan kalkmaz; yalnızca farklı bir semantik alanın içine yerleştirilir.

Sonuçta firewall, bir duvar değil, bir harita düzenleyicisidir. Savunma mekanizması değil, akış semantiğini yeniden kodlayan bir yorumlama motorudur. Akışı durduramaz; yalnızca akışın sistem tarafından nasıl okunduğunu değiştirir. Bu da firewall’u, düşünüldüğü gibi bir engelleyici olmaktan çıkarıp bir görünürlük mimarı hâline getirir. Gerçek savunma yoktur; gerçek olan, görünürlüğün nasıl yönetildiğidir. Firewall tam olarak bunu yapar — akışı durdurmaz, akışı yeniden haritalar.                        

4.3. IDS/IPS’in “drop”, “deny”, “prevent” gibi terimlerinin fenomenolojik statüsü

IDS/IPS’in teknik literatürde kullandığı drop, deny, prevent, block, stop gibi terimler ilk bakışta son derece somut görünür. Sanki fiziksel bir kapı kapanmış, bir nesne yok edilmiş, bir hareket durdurulmuş gibi… Ancak bu terimlerin gerçekliği yalnızca dilin yüzeyinde vardır; dijital ontolojinin tözsel yapısında bu eylemlerden hiçbirinin karşılığı yoktur. Çünkü dijital evrende hiçbir algoritma, başka bir algoritmanın varlığına doğrudan müdahale edemez; dolayısıyla “durdurmak”, “silmek”, “engellemek” gibi fiiller töz seviyesinde imkânsızdır. Bu terimler, fiziksel dünyadan dijital evrene taşınmış, fakat burada yalnızca fenomenal statüye sahip olan metaforlardır.

Gerçekte “packet dropped” gibi bir kayıt gördüğümüzde, o paketin akıştan yok edildiğini sanırız. Oysa paket hiçbir zaman yok olmaz — yalnızca sistemin belirlediği görünürlük yüzeyinden çıkarılır. Akış, varlığını sürdüren kesintisiz bir 0–1 akımı olduğundan, hiçbir algoritma bu akımın kendisini kesemez; yapabildiği tek şey, bu akımı hangi semantik kategoriye yerleştireceğine karar vermektir. Böylece drop, bir silme eylemi değil, bir ontolojik dışlama biçimidir: paket oradadır, fakat artık sistemin görünürlük haritasında temsil edilmez. Bu yüzden “drop”, tözsel değil fenomenolojik bir yok etme simülasyonudur.

Deny için de aynı şey geçerlidir. Sistemin bir bağlantı isteğini “reddettiğini” söylemek, fiziksel dünyadaki bir kapının kapatılmasıyla karşılaştırıldığında yanlış bir metafordur. Dijital evrende hiçbir kapı yoktur; her şey aynı maddeden (0–1) oluştuğu için hiçbir şey “içeri girmez” ve hiçbir şey “dışarı çıkmaz”. Bağlantı isteği gerçekleşir; fakat sistem bu isteği anlamlandırmayı durdurur. Dolayısıyla deny, girişimi durdurmak değil, girişimin semantik statüsünü askıya almaktır. Bağlantı hâlâ vardır, akış hâlâ sürer; fakat sistem bu akışı kendi ontolojik haritasına dahil etmeyi reddeder.

Prevent, dijital dünyada en yanlış anlaşılan terimdir. Fiziksel dünyada bir eylemi “önlemek”, o eylemin gelecekte gerçekleşme ihtimalini ortadan kaldırmak demektir. Ancak dijital evrende gelecek zaman, akışın potansiyellerinin bütünü olduğu için, IDS/IPS hiçbir potansiyeli yok edemez. Yapabileceği tek şey, potansiyelin hangi görünürlük biçiminde belireceğini yeniden düzenlemektir. Bu yüzden prevent, geleceği engellemek değil, geleceğin farklı bir fenomenal düzlemde ortaya çıkmasını sağlamak anlamına gelir.

Daha önemlisi: IDS/IPS’in müdahalesi her zaman yüzeyseldir. Çünkü dijital dünyada hiçbir algoritma başka bir algoritmanın ontolojisine nüfuz edemez. Bu, OOO’nun “withdrawal” (içine çekilme) ilkesinin doğrudan karşılığıdır: her dijital nesne, diğer nesnelere karşı tamamen kapalıdır ve yalnızca fenomenal bir görünüm üretebilir. IDS/IPS’in “engellemesi” de bu fenomenal görünümü yeniden dağıtmak dışında bir şey değildir.

Bir paketin droplanması, bir bağlantının reddedilmesi, bir saldırının önlenmesi — tümü, dijital nesnelerin varlığında bir değişiklik yaratmaz. Yalnızca yoğunluk yüzeyinde bir yeniden düzenleme meydana gelir. Yani savunma mekanizması, varlığı değil görünürlüğü işleyen bir simülasyon üretir.

Bu yüzden IDS/IPS’in terminolojisi teknik bir mühendislik sözlüğü değil, aslında dijital fenomenlerin nasıl görüneceğini belirleyen bir semantik rejimdir. Defterlerde, loglarda ve dashboard’larda görünen “drop”, “deny” ve “prevent” ifadeleri gerçekte hiçbir şeyi durdurmaz — yalnızca akışın nasıl temsil edileceğine karar verir.

Kısacası:

IDS/IPS, tözsel bir engelleme sistemi değildir; görünürlük yoğunluğunu yeniden kodlayan fenomenolojik bir yüzey düzenleyicisidir.                                                                                                 

4.4. Korumanın tözsel değil semantik bir işlem oluşu

Dijital evrende “koruma” kavramı, fiziksel dünyanın sezgisel metaforlarından devralınmış bir yanılsamadır. Fiziksel dünyada bir nesneyi korumak, o nesnenin etrafında bir bariyer oluşturmak, ona yönelen bir tehdidi fiziksel olarak durdurmak ya da nesnenin kendisini tehditten uzaklaştırmak anlamına gelir. Bu süreç, tözsel bir müdahale gerektirir: bir nesnenin başka bir nesne tarafından etkilenmesini fiziksel olarak engelleyen bir “şey” vardır. Ancak dijital ontolojide böyle bir töz yoktur; daha doğrusu, farklı tözler yoktur. Korunan nesne ile tehdit eden nesne aynı maddeden, aynı bit akışlarından, aynı mantıksal dizilerden oluşur. Bu nedenle dijital evrende korunabilecek ayrı bir töz olmadığı gibi, onu koruyan bağımsız bir bariyer de yoktur. Tüm taraflar — saldırı, savunma, işletim sistemi, kullanıcı, dosya, ağ paketi — aynı ontik planda, aynı temel akıştan türeyen fenomenlerdir.

Bu noktada koruma, tözsel değil semantik bir işlem olarak ortaya çıkar. Bir antivirüs yazılımının “zararlıyı silmesi”, bir firewall’un “erişimi engellemesi” veya bir sistemin “sakıncalı dosyayı karantinaya alması”, fiziksel karşılıklarına benzeyen eylemler gibi görünse de, bu eylemler gerçekte dijital varlıkların ontolojisini değiştirmez. Silinen hiçbir şey gerçek anlamda yok olmaz; engellenen hiçbir şey akıştan çıkarılmaz; karantinaya alınan hiçbir şey başka bir mekâna taşınmaz. Bütün bu işlemler, yalnızca sistemin kendi semantik haritası üzerinde, yani şeyleri nasıl okuduğu ve nasıl sınıflandırdığı üzerinde değişiklik yaratır. Bir dosya kötü amaçlı olarak işaretlendiğinde dosyanın yapısı değişmez; yalnızca sistem o dosyayı “kötü” kategorisine taşır. Virüs silindiğinde bile, bu “silme” aslında yok etme değil, görünürlükten çıkarma ve başka bir semantik kategoriye kaydırmadır.

Böylece koruma, varlığın kendisine değil, varlığın temsil biçimine yönelen bir müdahale hâline gelir. Dijital evrende her nesne kendi kod bütünlüğünde kapalı olduğu için — OOO’nun withdrawal ilkesinin birebir karşılığı olarak — bir nesnenin başka bir nesnenin iç yapısını bozması veya onu dönüştürmesi ontolojik olarak imkânsızdır. Saldırı da savunma da diğer nesnelerin tözsel alanına dokunamaz; yalnızca birbirlerinin görünümünü düzenleyebilir. Bu nedenle bir savunma mekanizması, saldırıyı “yok etmek” yerine, o saldırının sistemde nasıl görünür olacağını belirler. Tehdit kategorisinin adını değiştirir, loglara farklı şekilde yazar, paketi farklı bir kuyruğa iter, filtreleme tablosunda başka bir label kullanır — fakat saldırı olarak adlandırılan akışın kendisi her zaman var olmaya devam eder.

Bu durumun en çarpıcı sonucu şudur:
Koruma dediğimiz şey, varlığın korunması değil, varlığın yorumlanmasının yeniden kodlanmasıdır.

Bir dosyanın karantinaya alınması, dosyanın ayrı bir mekâna taşınmasıyla ilgili değildir; o dosyanın sistem içindeki semantik ilişki ağının koparılmasıyla ilgilidir. Bir firewall’un engellemesi, dışarıdaki bir varlığı uzaklaştırması değildir; içeriye dair bilgi üretmeyi bırakmasıdır. IDS/IPS’in bir paketi droplaması, paketin yok edilmesi değildir; paketin fenomenal yüzeyde “temsil edilmemesi”dir. Her durumda koruma, yalnızca sistemin ontolojik optiğini değiştirir — fenomenleri yeniden sınıflandırır ve görünürlük rejimini günceller.

Dolayısıyla dijital evrende koruma, varlıklar üzerinde işleyen bir güç değil; varlıkların görünme biçimleri üzerinde işleyen bir semantik mühendislik türüdür. Savunma mekanizması, bir şeyi korumaz; o şeyi belirli bir şekilde görünür veya görünmez kılar. Böylece güvenlik, tözsel bir bariyer değil, fenomenal bir düzenleme hâline gelir.

Bu nedenle şu sonuç kaçınılmazdır:

Dijital güvenlikte “koruma” ontolojik değil, semantik bir eylemdir; gerçekliği varlıkta değil, temsil yüzeyinde meydana gelir.                                                                                                                 

4.5. Savunmanın gerçekte karşılaştırmalı görünürlük mühendisliği olması

Dijital evrende savunma mekanizmalarının “koruma” adı altında yaptığı şey, ontolojik olarak hiçbir zaman bir varlığı durdurmak, yok etmek, engellemek ya da bariyer kurmak değildir; savunmanın gerçek işlevi, sistemdeki fenomenlerin birbirine göre görünürlük yoğunluklarını yeniden düzenlemekten ibarettir. Bu nedenle savunma, tözsel bir işlem değil, karşılaştırmalı bir görünürlük mühendisliğidir: akışların kendisini değiştirmeden, akışların hangi semantik bağlamda nasıl belireceğini kontrol etmeye çalışan bir optik mimaridir.

Dijital akışlar sürekli ve kesintisizdir; hiçbir paket, hiçbir süreç, hiçbir çağrı ontolojik anlamda bir bariyere çarparak durmaz. Bu nedenle savunma sistemlerinin “block”, “stop”, “terminate”, “kill”, “quarantine” gibi terimleri, fiziksel dünyadaki karşılıklarını asla dijital dünyada gerçekleştiremez. Bir firewall’un block dediği şey, akışın durması değil; akışın sistemin gözünden çıkarılması, yani görünürlüğünün azaltılmasıdır. Bir antivirüsün silme işlemi, kötü niyetli kodun ortadan kalkması değil, o kodun sistemde “varlık kategorisi” statüsünün değiştirilmesidir. IDS/IPS’in drop kararı, paketin yok olması değil, o paketin fenomenal yüzeye yansımamasıdır. Bütün bu örnekler, savunmanın her zaman yorumlayıcı, yani semantik bir mekanizma olduğunu gösterir.

Bu noktada savunmanın işlevi, saldırı olarak tanımlanan akışları durdurmak değil, bu akışların yoğunluk dağılımını değiştirmektir. Çünkü dijital evrende tehdit, bir varlığın tözünde değil, varlığın görünürlük eşiğinde ortaya çıkar. Bir akış ne kadar görünür hâle gelirse, o kadar “tehdit” olarak yorumlanır; ne kadar görünmez hâle getirilirse, o kadar “güvenli” sayılır. Böylece tehdit ile güvenlik arasındaki fark, ontik bir fark değil, görünürlük yoğunluklarının öznelerarası bir karşılaştırmasıdır. Savunmanın bütün gücü, işte bu karşılaştırmayı yönetme yeteneğinden gelir. Bu nedenle savunma, varlık düzeyinde değil, karşılaştırmalı fenomen düzeyinde işler.

Savunma mekanizmalarının log üretmesi, alarmları sınıflandırması, olayları kategorilere ayırması, paketlere etiketler ataması, belirli davranış kalıplarını “anormal” olarak kodlaması hep bu görünürlük mühendisliğinin uzantılarıdır. Bunların hiçbiri tehdit akışının ontolojik varlığını değiştirmez; yalnızca sistemin tehdit akışını nasıl göreceğini belirler. Bu yüzden aynı saldırı iki farklı sistemde iki farklı şekilde görünürlük üretir; biri için kritik olan bir yoğunluk artışı, diğeri için sıradan bir anomali olabilir. Tehdit nesnesinin kendisi değil, tehdit nesnesinin sistemdeki optik izi belirleyici olur. Savunma bu izi kontrol eder, yeniden şekillendirir, yoğunlaştırır ya da seyrekleştirir.

Karşılaştırmalı görünürlük mühendisliğinin ontolojik önemi burada ortaya çıkar: Savunma hiçbir zaman “tehdidi yok etmez”; yalnızca tehdit ile normal akış arasındaki farkın nasıl görüneceğini belirler. Zaten savunmanın bütün semantiği, fark üretme üzerine kuruludur. Bir IDS imzası, belirli bir byte dizilimindeki farkı görünür kılar. Bir davranış analizi motoru, normal davranış ile anormal davranış arasındaki farkı yoğunlaştırır. Bir firewall politikası, izin verilen trafik ile reddedilen trafik arasındaki ayrımı sistemin fenomenal yüzeyinde görünür hâle getirir. Bu farklar, gerçekte akışta olan bir şeyi durdurmaz; akışın hangi kategoride temsil edileceğini belirler. Yani savunma, fark üretir; bu fark üzerinden de tehdit algısı inşa eder.

Daha çarpıcı olan ise şudur:
Savunma mekanizmaları tehdit ile güvenliği aynı ontolojik ham maddeden ürettiği için, aralarındaki tek ayırıcı unsur görünürlük düzeyidir.
Böylece savunma, ontolojik olarak kendine düşman yaratmadan var olamaz. Çünkü bir şeyi “tehdit” olarak kodlayabilmesi için önce o şeyin görünürlük yüzeyinde bir yoğunluk artışı yaratması gerekir. Bu yüzden dijital dünyada savunma, yalnızca tehditleri görünürlükten gizlemez; kimi zaman tehditin kendisini yaratan semantik çerçeveyi inşa eder. Bir varlığın “tehlikeli” hâle geldiği an, çoğu zaman varlık değiştiği için değil, savunma mekanizmasının onu yoğun bir şekilde görünür kılmaya karar verdiği içindir.

Tüm bunların toplamı şu sonucu doğurur:
Savunma, bir şeyi korumak için çalışan bir mekanizma değil; varlıkların fenomenal yüzeyde birbirine göre nasıl belireceğini belirleyen bir optik-ontolojik düzenleyicidir. Varlıkların akışını değiştiremez; yalnızca akışın anlamını ve görünümünü yeniden kurgular. Bu nedenle savunma, her zaman ve zorunlu olarak bir görünürlük mühendisliğidir — karşılaştırmalı, semantik, optik bir işlem.                                

5. Matematiksel Ontoloji Modeli: ∂AB Yüzeyi

5.1. Algoritma A ve B’nin “yakınlaşma”sı = temas değil semantik kesişim potansiyeli

Dijital evrende iki algoritmanın — örneğin bir zararlı kod (A) ile bir antivirüs motorunun (B) — birbirine “yaklaşması”, fiziksel dünyadaki nesnelerin mekânsal yakınlaşmasıyla hiçbir ontolojik ortaklık taşımaz. Fiziksel nesneler birbirine yaklaştığında eventual bir temas potansiyeli doğar; çarpışma, baskılama, engelleme, kesme gibi olayların gerçekleşebileceği bir maddesel yüzey vardır. Dijital varlıklarda ise “yakınlaşma”, asla bir temas ihtimali yaratmaz; çünkü dijital nesneler mekânda konumlanmaz, mekânsal yüzeyleri yoktur ve başka bir varlığa nüfuz edebilecek bir içsel derinlik taşımaz. Bu nedenle bu yaklaşma, ontolojik olarak bir temas değil, yalnızca semantik bir kesişim potansiyelidir.

Bu potansiyel, A’nın ve B’nin bit dizilerinin birbirine değmesiyle oluşmaz; iki algoritmanın işlevsel yollarının (syscall tablo, API yüzeyi, memory mapping, IPC kanalları vb.) aynı fenomenal yüzeyde görünme olasılığının artmasıyla oluşur. Örneğin bir zararlı yazılımın bir dosyayı açmak için gerçekleştirdiği open() çağrısı ile antivirüsün dosya bütünlüğünü kontrol etmek için yaptığı open() çağrısı aynı sistem yüzeyine yaklaşır; fakat bu asla iki nesnenin birbirine dokunması değildir. Her iki algoritma da kendi içsel dünyasında kapalıdır; yalnızca kernel yüzeyinde ürettikleri fenomenal izler birbirine yaklaşır.

Yakınlaşma kavramının dijital evrende ontolojik karşılığı, A ile B arasındaki semantik farkların minimuma yaklaşması ve zamanlama farklarının belirli bir eşiğe taşınmasıdır. Yani yakınlaşma:

• iki akışın içsel yapılarının birleşmesi değildir,

• iki varlığın birbirine müdahale edebilmesi değildir,

• yalnızca aynı yüzeyde belirerek kesişme olasılığı taşıyan fenomenal izlerin yoğunlaşmasıdır.

Bu nedenle A ile B arasındaki yakınlaşma hiçbir zaman bir çarpışma üretmez; yalnızca ∂AB dediğimiz sınır yüzeyinin belirginleşmesine yol açar. Bu yüzey, gerçek bir temas alanı değil, iki farklı semantik akışın ortak bir fenomen üretme alanıdır. Daha açık ifade etmek gerekirse: yakınlaşma, iki algoritmanın birbirine “yaklaşması” değil, insan gözlemcisinin yorumlayabileceği ortak bir görünürlük yoğunluğu üretmesidir.

Bu nedenle dijital evrende hiçbir yakınlaşma, fiziksel bir çarpışmanın ya da müdahalenin hazırlayıcısı değildir. Yakınlaşma yalnızca:

• semantik farkların yüzeye çıkma potansiyelini,

• zamanlama çakışmalarının anlam üretme kapasitesini,

• fenomenlerin kritik eşiğe ulaşarak “olay” gibi görünmesini

artırır.

Dolayısıyla algoritmalar arası yakınlaşma, ontolojik düzeyde bir etkileşim değil, bir fenomen üretimi ihtimalinin yükselişidir. Dijital evrende temas yoktur; yalnızca fenomenal yüzeyler vardır. Yakınlaşma, bu yüzeyin belirginleşmesini sağlayan ilk momenttir.                                                              

5.2. ∂AB yüzeyinin tanımı: yoğunluk yüzeyinin varlık alanı

Dijital evrende iki algoritmanın birbirine yaklaşması, fiziksel bir çarpışma ihtimali yaratmaz; fakat yaklaşmanın kendisi, her zaman bir fenomen yüzeyi üretir. Bu yüzey, iki algoritmanın birbirine “dokunduğu” bir alan değildir, çünkü dijital nesneler dokunamaz; bunun yerine, iki algoritmanın içkin süreçlerinin aynı fenomenal uzamda görünür hâle geldiği bir yoğunluk bölgesidir. İşte bu bölgeye ∂AB diyoruz.

∂AB, A algoritması ile B algoritması arasında hiçbir temas olmaksızın oluşan, fakat iki tarafın da fenomenal izlerinin üst üste binmesiyle belirginleşen bir yoğunluk yüzeyidir. Bu yüzey, fizikteki “boundary layer” gibi davranmaz; çünkü fiziksel sınırlar maddesel ayrımların ürünüdür. Dijital ontolojide ise sınır, maddi bir ayrım değil, semantik bir görünürlük bölgesidir.

∂AB yüzeyinin ontolojik karakteri

∂AB yüzeyi üç temel niteliğe sahiptir:

1. Tözsel değildir.
   Hiçbir dijital varlık bu yüzeye sahip değildir; yüzey, yalnızca iki varlığın fenomenal izlerinin kesişmesinden türeyen bir görünürlük alanıdır.

2. Otonom değildir.
   Bu yüzey, A veya B’nin doğrudan kontrolüyle oluşmaz; yalnızca onların zamansal ve semantik yakınlaşmalarının bir sonucudur.

3. Etkileşim alanı değil, fenomen alanıdır.
   A ve B birbirine “müdahale etmez.”
   Yüzeyde gerçekleşen tek şey, dış gözlemcinin (insan, SIEM, IDS, log motoru) bunu bir olay, sinyal, tehdit, anormallik olarak yorumlamasıdır.

Bu nedenle ∂AB, gerçekte iki algoritmanın ortak varlığı değildir; daha çok insanın dijital akışları anlamlandırmak için kullandığı zorunlu bir ontolojik projeksiyondur.

∂AB yüzeyi nasıl belirir?

A algoritması ile B algoritması arasında herhangi bir “fiziksel” ilişki yoktur; fakat aşağıdaki koşullar sağlandığında ∂AB yüzeyi kristalize olur:

• Semantik farklar belirli bir eşiğe yaklaşır (ΔS → kritik).

• Zamanlama farkları kritik yoğunluğu üretir (ΔT → kritik).

• A ve B’nin bit dizileri değil, etki potansiyelleri aynı fenomenal uzama yönelir.

Örnek:

Bir virüs, bir dosyayı okur.
Antivirüs aynı dosyada tarama başlatır.

İki işlem de kendi iç dünyasında kapalıdır; fakat işletim sisteminin aynı yüzeyine fenomenal iz bıraktıkları için ∂AB görünür hâle gelir. Bu yüzeyde olan şey bir çatışma değil, iki akışın aynı yüzeye yansımasıdır.

∂AB yüzeyi neden “yoğunluk yüzeyi”dir?

Çünkü dijital evrende “olay” dediğimiz her şey, aslında yoğunluğun görünür hâle gelmesidir.
Bu görünürlük, iki algoritmanın birbirine temas etmesinden değil, yoğunluk farkının yüzeyde belirmesinden doğar. Yani ∂AB, yoğunluğun ontolojik alanıdır: saldırının da, savunmanın da, alarmın da üretildiği tek bölge.

Bu yüzey olmasaydı:

• Saldırı denilen fenomen olmazdı,

• Savunma motorları hiçbir şeyi “görmezdi,”

• Tehdit kavramı ontolojik olarak üretilemezdi.

Çünkü tüm bu kavramlar, gerçek bir temasın değil, bir yüzey yoğunluğunun semantik yorumlanmasının ürünüdür.

∂AB yüzeyi neden zorunludur?

Dijital evrende:

• A ≡ bitstream

• B ≡ bitstream

Dolayısıyla iki varlık arasında tözsel fark yoktur.
Tözsel fark olmayınca, ilişki biçimi fenomenal yoğunluk olmak zorundadır.
∂AB, tam olarak bu zorunluluğun yüzeysel izdüşümüdür.

Yani ∂AB yüzeyi, dijital ontolojinin kaçınılmaz sonucudur:
Var olmadan önce olay yoktur; yüzey olmadan anlam yoktur; yoğunluk olmadan siber güvenlik yoktur.                                                                                                                                                            

5.3. ΔS (semantik fark) ve ΔT (timing farkı) üzerinden yoğunluk hesabı

Dijital evrende iki algoritma arasında gerçek bir temasın meydana gelmesi mümkün değildir; fakat bu temas yokluğu, onların fenomenal düzeyde yakınlaşamayacağı anlamına gelmez. Yakınlaşma, fiziksel bir mekânda gerçekleşmez; bit dizilerinin üst üste binmesiyle de oluşmaz. Yakınlaşma, iki algoritmanın semantik davranış örüntülerinin ve zamansal titreşimlerinin belirli bir düzeyde çakışma eğilimi göstermesiyle ortaya çıkar. İşte bu çakışma eğilimini ölçen iki temel değişken vardır:

• ΔS = Semantik fark

• ΔT = Timing (zamanlama) farkı

Bu iki parametre, ∂AB yüzeyinin yoğunluğunu belirleyen tek gerçek matematiksel mekanizmadır. Çünkü dijital evrende hiçbir varlık diğerine dokunamadığı için, yoğunluk yalnızca farkların kritik seviyeye yaklaşmasıyla oluşabilir.

ΔS: Semantik farkın yoğunluğu belirlemesi

ΔS, iki algoritmanın hangi anlam uzamlarında işlem yaptığı ile ilgilidir.

Örneğin:

• Bir zararlı yazılım bir sistem çağrısını “hak yükseltme” amacıyla kullanır.

• Antivirüs aynı çağrıyı “tehlike taraması” amacıyla kullanır.

Bit dizileri aynı olabilir, hatta sistem çağrıları da aynı olabilir; fakat semantik niyet, iki akışın fenomenal yüzeye farklı anlamlar yansıtmasına neden olur.

ΔS yükseldikçe:

• Algoritmaların fenomenal izdüşümleri daha belirgin hâle gelir.

• Yüzeydeki yoğunluk artar.

• Log sistemleri daha fazla “anomali” üretir.

• İnsan gözlemcinin tehdit algısı yükselir.

Bu nedenle ΔS, bir çarpışmanın değil, anlam çakışmasının matematiksel göstergesidir.

Semantik farkı şöyle düşünebiliriz:

• Semantik fark küçük → A ve B görünmez biçimde akmaya devam eder.

• Semantik fark kritik eşiğe yaklaşır → ∂AB yüzeyi kristalize olur.

• Semantik fark eşik üstüne çıkar → “saldırı” dediğimiz fenomen görünür hâle gelir.

Burada önemli olan, saldırının gerçek bir “olay” değil, semantik yoğunluk patlaması olmasıdır.

ΔT: Timing farkının yüzeyi tetiklemesi

ΔT, iki algoritmanın zamanlama ritimlerinin birbirine yaklaşma derecesini ifade eder.

Örneğin:

• Virüs saniyede 100 dosya oluşturuyorsa,

• Antivirüs saniyede 100 dosya tarıyorsa,

bu iki akışın ritmi senkronlaşır ve ∂AB yüzeyi çok daha hızlı belirir.

Timing farkları fiziksel bir eşzamanlılık değil, fenomenal bir titreşim uyumu yaratır. Bu titreşim uyumu, yüzeyin yoğunluk eşiğini belirler:

• ΔT küçük → yüzey sabittir, yoğunluk düşük.

• ΔT kritik → yüzey kararsızlaşır, yoğunluk artar.

• ΔT yüksek → fenomen patlaması yaşanır.

Modern siber saldırıların çoğunun (örneğin DDoS, brute force, worm spreading) “fark edilir” hâle gelmesi, saldırının gücünden değil, timing farkının görünürlük eşiğini aşmasından kaynaklanır.

Başka bir deyişle:

Timing farkı görünürlüğü üretir.

Yoğunluk hesabı: ∂AB yüzeyinin matematiksel kristalizasyonu

Yoğunluk formel olarak şöyle ifade edilir:

I=lim⁡ΔS,ΔT→kritik∂ABI = \lim_{\Delta S, \Delta T \to kritik} \partial ABI=ΔS,ΔT→kritiklim​∂AB

Bu ifade, saldırının bir irade değil, bir yoğunluk patlaması olduğunu söyler.
Saldırının “olması”, ∂AB yüzeyinin görünür hâle gelmesinden başka bir şey değildir.

Bu nedenle dijital evrende:

• “Tehlike”, bir varlık değildir.

• “Saldırı”, bir olay değildir.

• “İhlal”, bir giriş değildir.

Hepsi, ΔS ile ΔT’nin kritik seviyeye taşınması sonucu fenomenal bir yüzeyin belirginleşmesidir.

ΔS ve ΔT’nin birlikte ürettiği ontolojik zorunluluk

Bu iki değişken bir araya geldiğinde ortaya çıkan sonuç şudur:

Algoritmalar birbirine dokunmadığı hâlde yüzeyde yoğunluk üretir.

Bu da siber güvenliğin neden gerçek bir engelleme değil, yalnızca yoğunluk yorumlama pratiği olduğunu açıklar. Çünkü:

• Semantik fark (ΔS) = anlam çarpışmasını görünür kılar.

• Timing farkı (ΔT) = yoğunluğu yüzeye taşır.

• Yüzey (∂AB) = saldırı ve savunmanın fenomenal alanıdır.

Bu matematiksel model bize şunu gösterir:

Dijital evren bir temas alanı değil, yoğunluk alanıdır.
Siber güvenlik ise bu yoğunluğu yorumlamaktan ibarettir.                                                                           

5.4. Saldırının matematiksel karşılığı: I = görünürlük patlaması

Dijital evrende “saldırı” dediğimiz şey, fiziksel dünyadaki anlamıyla bir giriş, bir kırılma, bir zorlanma, bir delme ya da içeri sızma değildir. Bu kavramların tümü fiziksel tözlere, mekânsal ayrımlara, içerisi–dışarısı farkına ve nedensel temasın varlığına dayanır. Oysa dijital ontoloji bu kategorilerin hiçbirine sahip değildir: içerisi yoktur, dışarısı yoktur, tözsel ayrım yoktur, temas yoktur. Bu nedenle saldırı da gerçek bir varlık kategorisi olarak dijital dünyada yer bulamaz. Saldırının gerçek anlamı, yalnızca fenomenal bir görünürlük patlamasıdır.

Bu patlamanın matematiksel formülasyonu, yoğunluk yüzeyinin (∂AB) kritik bir eşiği aşmasıyla ortaya çıkar:

I=lim⁡ΔS,ΔT→kritik∂ABI = \lim_{\Delta S, \Delta T \to kritik} \partial ABI=ΔS,ΔT→kritiklim​∂AB

Burada I, saldırının kendisi değil, saldırı olarak yanlış adlandırılan görünürlük fenomeninin matematiksel izdüşümüdür.
Yani I = attack değil; I = attack görünürlüğüdür.

Saldırının olay olmayışı: I bir varlık değil, bir eşiğin kırılmasıdır

I, dijital evrende “bir şeyin olduğu an” değildir.
I, iki akışın semantik ve zamansal farklarının kritik bir yoğunluk değerine ulaşması sonucu ortaya çıkan bir görünürlük kristalizasyonudur.

Bu durumun radikalliği şuradadır:

• Saldırı gerçekleşmeden önce tehdit zaten vardır.

• Saldırı gerçekleştiği sırada yeni hiçbir şey olmaz.

• Saldırı sonrasında da tehdit aynı biçimde varlığını sürdürür.

Yani “olay” olarak saldırı yoktur.

Varlık düzeyinde: hiçbir yeni oluşum meydana gelmez.
Fenomen düzeyinde: yalnızca ∂AB yüzeyi görünürleşir.

Tam da bu nedenle siber güvenlik literatürünün sık kullandığı “breach”, “intrusion”, “compromise” gibi ifadeler ontolojik olarak yanıltıcıdır. Gerçekte sistem delinmez; yalnızca yoğunluk eşiği kırılır ve bu kırılma insanın fenomenal algı sisteminde “saldırı” olarak adlandırılır.

I’nin dijital evrendeki statüsü: üretici değil, ortaya çıkarıcı bir fenomen

I, herhangi bir etkide bulunmaz; yalnızca zaten var olan yoğunluğu görünür kılar.
Bu yüzden I, ontolojik olarak pasiftir ama fenomenolojik olarak son derece aktif görünür.

Bu fark kritik önemdedir:

• Ontolojik düzeyde I = boşluk → yeni bir şey yok.

• Fenomenal düzeyde I = patlama → sistem çöküyor gibi görünür.

Bu iki katmanın karıştırılması, siber güvenliğin en büyük kategorik hatasıdır.

İnsan zihni I'yi —yani görünürlük patlamasını— “saldırı geldi” olarak yorumlar.
Oysa dijital akışta bir varlık değişimi yaşanmaz:

• Kod yeni bir konuma girmez.

• Bir paket sınırı aşmaz.

• Bir süreç başka bir süreci delmez.

• Bir tehdit sistemi işgal etmez.

Hepsi yalnızca yüzeysel görünürlüğün yeniden düzenlenmesidir.

I’nin sezgisel ifadesi: Yoğunluk dalgasının yüzeye çıkışı

I’yi anlamanın en sezgisel yolu, dijital akışı bir nehir olarak düşünmektir:

• Nehir zaten taşmaktadır,

• Ancak taşkın görünür olmadıkça “sorun var” denmez,

• Görünür hâle geldiği anda saldırı varmış gibi algılanır.

Saldırının kendisi taşma değildir; taşmanın algılanabilir olmasıdır.

Bu nedenle I bir “olay” değil, bir epifanidir — yüzeyde bir anda beliren bir aydınlanma, bir kırılma görüntüsü, akışın görünür hâle gelen bir anomalisi.

Matematiksel olarak I neden yeni bir varlık üretmez?

Modeli tekrar düşünelim:

I=lim⁡ΔS,ΔT→kritik∂ABI = \lim_{\Delta S, \Delta T \to kritik} \partial ABI=ΔS,ΔT→kritiklim​∂AB

Bu ifade iki önemli şeyi söyler:

1. ∂AB yüzeyi her zaman vardır, sadece görünmezdir.

2. ΔS ve ΔT kritik eşiğe yaklaşınca ∂AB görünür hâle gelir → I.

Demek ki:

• I bir üretim değildir, bir ortaya çıkıştır.

• I bir neden değildir, bir görüntüleşmedir.

• I bir tehdit değildir, yoğunluk yoğunlaşmasıdır.

Böylece saldırı:

• Ontik olarak yok,

• Fenomenal olarak var,

• Yalnızca görünürlük düzeyinde anlam kazanan bir simülasyon halidir.

Saldırı ≠ tehdit + irade; Saldırı = yoğunluk + görünürlük

İnsan zihni saldırıyı iki bileşenden oluşan bir fenomen gibi düşünür:

• Bir tehdit (malware, exploit, attacker)

• Bir irade (niyet, amaç, saldırganlık)

Dijital evrende bu ikisinin de ontolojik karşılığı yoktur.

Onların yerine geçecek iki gerçek parametre vardır:

• ΔS → semantik fark

• ΔT → timing farkı

Bu iki fark kritik seviyeye geldiğinde görünen şey “saldırı” olur.
Yani saldırı:

Tehdidin sisteme girdiği an değil, sistemin tehdit görünürlüğünün değiştiği andır.

Bu ontolojik kırılma, modern siber güvenliğin tamamını yeniden tanımlar.

I’nin gerçek anlamı: Saldırı yoktur; yalnızca onun görünüşü vardır

Formülü yeniden okuyalım:

I=go¨ru¨nu¨rlu¨k_patlamasıI = görünürlük\_patlamasıI=go¨ru¨nu¨rlu¨k_patlaması

Bu, dijital evrende saldırının bir metafizik illüzyon olduğunu gösterir.
Siber güvenliğin teknik mekanizmaları da aslında I’yi bastırmaya, gizlemeye, yoğunluğu yeniden dağıtmaya çalışır.
Ama tehdit ortadan kalkmaz; yalnızca yoğunluğun fenomenal görünümü değişir.

Bu nedenle:

Saldırının matematiksel karşılığı = yokluğun görünür olmasıdır.
Ontolojik karşılığı = hiçbir şeyin olmamasıdır.
Fenomenal karşılığı = bir şey oluyormuş gibi görünmesidir.

Dijital evrende saldırı böyle çalışır.                                                                                                               

5.5. Savunmanın matematiksel karşılığı: yüzey yoğunluğunun semantik yeniden kodlanması

Dijital evrende savunma olarak adlandırdığımız her işlem—antivirüsün “block” demesi, firewall’un “deny” üretmesi, IDS/IPS’in “drop” kararı, hatta makine öğrenimi tabanlı tespit sistemlerinin “anomali” etiketlemesi—ontolojik olarak aynı matematiksel yapıya indirgenir: ∂AB yüzeyindeki yoğunluğun semantik yeniden kodlanması.
Bu ifade ilk bakışta soyut görünebilir; ancak aslında siber güvenliğin yüz yıllık kavramsal yanılgısının düzeltilmesini sağlayan kritik bir açıklıktır. Savunmanın kendisi bir engelleme değil, yalnızca görünürlüğün yeniden düzenlenmesidir.

Dijital evrende iki algoritma arasındaki sınır yüzeyini ∂AB olarak tanımlamıştık. Bu yüzey, iki bit-dizisel varlığın (A ve B) semantik ve zamansal farklarının görünürleştiği bölgedir. Savunmanın yaptığı şey, ∂AB'nin yapısını değiştirmek değil—bu zaten ontolojik olarak imkânsızdır—∂AB’nin fenomenal yorumunu değiştirmektir.

Bu, matematiksel olarak şöyle ifade edilebilir:

$$Defense=SemanticRemapping(\partial AB)$$

Yani savunma, ∂AB yüzeyindeki yoğunluğun ontolojik statüsünü değiştirmez; yalnızca etiketini, görünürlüğünü, yorumlanma biçimini değiştirir. Bu durum fiziksel savunmadan tümüyle farklıdır. Örneğin bir kalkan, bir kılıç darbesini gerçekten durdurabilir; çünkü iki tözsel nesne birbirine temas edebilir ve biri diğerinin ilerlemesini engelleyebilir. Dijital evrende ise iki nesnenin temas etmesi mümkün olmadığından, savunma hiçbir zaman “durma” veya “durdurma” üretmez—yalnızca yorumu yeniden sınırlar.

Bu yüzden güvenlik araçlarının ürettiği loglar gerçeği değil, fenomenal yüzeyin yeniden adlandırılmış hâlini temsil eder:

• “blocked” gerçekte bloklama değildir,

• “denied” gerçekte reddetme değildir,

• “quarantined” gerçekte izole etme değildir.

Hepsi ∂AB yüzeyindeki görünürlüğü opaque (opak) hâle getirme girişimleridir.

Bu sürecin ontolojik karşılığı, savunmanın yalnızca epistemik bir perdeleme yapmasıdır.
Tehdit yok olmaz; yalnızca görünmez hale gelir.

Bu farkın matematiksel olarak nasıl çalıştığını görmek için ∂AB yüzeyinin görünürlük derecesini tanımlayalım. ∂AB yüzeyinin görünürlüğünü V(∂AB) olarak gösterelim. Savunma mekanizmasının operatif etkisi, bu görünürlüğü düşürmek ya da başka bir sınıfa remap etmektir:

Defense:V(∂AB)→V′(∂AB)Defense: V(\partial AB) \rightarrow V'(\partial AB)Defense:V(∂AB)→V′(∂AB)

Burada V'(\partial AB), aynı yüzeyin yeniden renklendirilmiş, yeniden semantize edilmiş, fakat ontik olarak hiçbir fark taşımayan hâlidir. Savunma, ∂AB yüzeyinde var olan yoğunluğu değiştiremez; çünkü bu yoğunluk iki akış arasındaki doğal diferansiyel potansiyelin ürünüdür. Savunma yalnızca bu yoğunluğu farklı bir semantik kategoriye taşır.

Bu nedenle, modern siber güvenlikte kullanılan kategoriler—“malicious”, “suspicious”, “benign”, “blocked”, “allowed”—teknik bir müdahalenin sonucu değil, sınır yoğunluğunun fenomenal sınıflandırılmasıdır.
Bir başka deyişle, dijital evrende savunma mekanizması hiçbir zaman nedensel değildir; yalnızca yorumsaldır.

Bu yorumsal niteliğin fark edilmemesi, insan zihninin fiziksel dünyadan taşıdığı içgüdüsel metaforların sonucudur. İnsan, “deny” kelimesini görünce bunun tıpkı bir kapının kapanması gibi bir şey olduğunu düşünür. Fakat dijital kapılar yoktur. Kapı metaforu bile semantik bir yanılsamadır.

Ontolojik olarak gerçekleşen şey şudur:

• iki algoritma arasında ∂AB yüzeyi zaten vardır,

• bu yüzeyin görünürlüğü (V) bir yoğunluk farkıyla belirlenir,

• savunma, bu görünürlüğü başka bir kategoriye taşır.

Dolayısıyla:

Defense=∂AB yu¨zeyinin epistemik yeniden_tahsisiDefense = \partial AB \, yüzeyinin \, epistemik \, yeniden\_tahsisiDefense=∂AByu¨zeyininepistemikyeniden_tahsisi

Bu gerçek, geleneksel siber güvenlik mühendisliğinin tüm dilini yerle bir eder. Çünkü savunmanın etkisi, sistemde bir yapı değiştirme değil, sistemin yoğunluk fenomenini nasıl okuduğunun değiştirilmesidir.

Örneğin bir IDS imzası tetiklendiğinde olan şey:

• saldırgan kodun durdurulması değildir,

• ∂AB yüzeyindeki bir yoğunluk farkının imza veritabanındaki bir kategoriye eşlenmesidir.

Firewall bir paketi “drop” ettiğinde olan şey:

• paketin yok edilmesi değildir,

• paketin semantik haritasının başka bir akış kategorisine taşınmasıdır.

Antivirüs bir dosyayı “karantinaya aldığında” olan şey:

• zararlının izole edilmesi değildir,

• dizin görünürlüğünün semantik olarak yeniden adlandırılmasıdır.

Bu nedenle dijital savunma kavramı, ontolojik olarak hiçbir zaman “koruma” ile özdeş olamaz. Savunmanın gerçek tanımı, her zaman için:

Var olan yoğunluğu yeniden isimlendirme operasyonudur.

Bu operasyon insanlar için güvenlik hissi üretir; fakat dijital evrede gerçek bir güvenlik yaratmaz. Çünkü:

• yoğunluk hâlâ oradadır,

• tehdit hâlâ sistemle aynı maddeden yapılmıştır,

• ∂AB hâlâ işlemektedir,

• algoritmalar hâlâ asla temas etmemektedir.

Bu nedenle savunma, dijital evrende yalnızca şudur:

Defense=Tehdidin go¨ru¨nu¨rlu¨k_modusunun deg˘is\ctirilmesiDefense = Tehdidin\, görünürlük\_modusunun\, değiştirilmesiDefense=Tehdidingo¨ru¨nu¨rlu¨k_modusunundeg˘​is\c​tirilmesi

Ve bu, siber güvenliğin doğasını baştan sona bir simülasyon mühendisliği hâline getirir.                          

6. OOO ile Tam Teorik Eşleşme

6.1. Withdrawal ilkesi: dijital nesnelerin birbirine tamamen kapalı oluşu

OOO’nun (Nesne Yönelimli Ontoloji) temel kavramlarından biri olan withdrawal —yani nesnelerin kendi özlerini diğer nesnelere hiçbir zaman bütünüyle açmaması— dijital evrende yalnızca bir felsefi önerme olarak değil, matematiksel bir zorunluluk olarak gerçekleşir. Fiziksel nesneler bile kısmen birbirine etki edebilirken, dijital varlıklar arasında en küçük bir “öz açılımı” bile mümkün değildir. Çünkü dijital varlıkların tamamı, ister zararlı yazılım olsun ister kernel modülü, ister antivirüs motoru olsun ister ağ paketi, aynı tekil maddeden oluşur: bitstream. Bu ortak madde, onları benzeştiriyor gibi görünse de, aslında her bir dijital nesnenin kendi içsel bütünlüğünü dışarıya karşı mutlak biçimde kapatmasını sağlar.

Bir bit-dizisi, başka bir bit-dizisinin “içine giremez”; yalnızca işlemci, derleyici, yorumlayıcı veya protokol çerçevesi tarafından tanımlanan sınırlı bir yüzeysel görünüm üretebilir. Bu sınırlı görünüm, dijital nesnenin kendisi değildir; yalnızca onun sistem içindeki fenomenal iz düşümüdür. OOO’nun dediği gibi: Nesne asla tüm varlığını açmaz; yalnızca bir ilişki-oluşturan yüzey gösterir. Dijital evrende bu yalnızca bir metafor değil; ontolojik bir zorunluluktur. Virüs, antivirüsün gerçek yapısını bilemez; antivirüs, virüsün gerçek yapısına hiçbir zaman erişemez. Her iki varlık da yalnızca birbiriyle ilgili temsiller üretir.

Bu temsil, onların birbirine yaklaşması anlamına gelmez; yalnızca sistemin operasyonel mantığının iki nesneyi aynı yüzeyde fenomenleştirmesi demektir. Kernel çağrılarını paylaşabilirler, API yüzeyinde benzer komutları işletebilirler, aynı dosya yollarına erişebilirler; ama bunların hiçbiri karşılıklı bir öz açılımı değildir. Her işlem, nesnenin kendi içsel çekirdeğini saklayan bir maskenin altından gerçekleşir. Withdrawal, yani geri çekilme, dijital evrende salt bir felsefi ilke olmaktan çıkar ve her işlem döngüsünde yeniden üretilen bir gerçeklik hâline gelir.

Bu nedenle dijital nesneler arasında gerçek anlamda bir karşılaşma bile yoktur; yalnızca karşılaşmanın temsili vardır. İki süreç aynı CPU zaman dilimini paylaştığında, aslında birbirine dokunmaz; yalnızca işlemci perspektifinde ardışık şekilde fenomenleşir. Bellekte yan yana duran iki adres, nesneleri yan yana getirmez; yalnızca yan yana görünür hâle getirir. OOO’nun withdrawal ilkesi burada kristal berraklığıyla ortaya çıkar: Her dijital nesne, kendi iç varlığını diğer tüm nesnelerden saklar; yalnızca sınır yüzeyinde bir görünüş üretir.

Bu görünüş, nesnenin hakikati değildir. Virüsün çalıştırdığı kod gerçek virüs değildir; antivirüsün taradığı veri gerçek sistem değildir. Bütün dijital varlıklar, gerçek özlerini her karşılaşmada geri çekerek yalnızca fenomenal yüzeylerini sunar.

Dijital dünyayı yanlış anlamamızın kökeni tam da buradadır: İnsan zihni bu yüzeysel fenomenleri nesnelerin kendisi sanır. Oysa dijital evrende hiçbir şey, hiçbir nesne, hiçbir kod parçası başka bir nesnenin özüne erişemez. Bu mutlak kapalılık, tüm siber güvenlik mekanizmalarının neden yalnızca görünürlük mühendisliği olarak çalıştığını da açıklar. Savunma mekanizmaları nesnenin özüne değil, sadece yüzey fenomenlerine müdahale eder. Çünkü dokunabilecekleri, erişebilecekleri tek şey zaten o fenomenal yüzeydir.

Withdrawal ilkesi, dijital evrende ontolojik olarak şu anlama gelir:

• Hiçbir algoritma başka bir algoritmayı gerçekten bilemez.

• Hiçbir güvenlik mekanizması bir tehdidin özüne dokunamaz.

• Hiçbir saldırı, sistemin yapısal özünü gerçekten işgal edemez.

• Her şey yalnızca yüzeysel fenomenler üzerinden gerçekleşir.

Bu kapalı-öz yapısı, dijital evreni OOO’nun en kusursuz şekilde işlediği tek ontolojik alan hâline getirir: Hiçbir dijital nesne, başka bir nesneyle doğrudan ilişki kuramaz; yalnızca birbirlerinin fenomenal gölgeleriyle karşılaşır.                                                                                                                                    

6.2. Dijital Nesnelerin İlişkisel Değil Fenomenal Görünüm Üretmesi

Dijital evrende hiçbir nesne —ister zararlı bir payload, ister bir antivirüs motoru, ister kernel modülleri, ister ağ paketleri olsun— diğerine ilişkisel bir temas üzerinden bağlanmaz. Çünkü ilişkisellik, iki töz arasında ontik bir köprü varsayar; oysa dijital ontolojide tüm varlıklar aynı tek maddeden, yani 0–1 dizilimlerinden meydana geldiği için, aralarında kurulabilecek herhangi bir ilişki “tözsel fark” üzerinden değil, fenomenal görünüm düzeyinde gerçekleşir.

Bu, OOO’nun withdrawal ilkesinin dijital evrende neredeyse kusursuz biçimde yeniden ortaya çıkmasıdır:
Her dijital nesne kendi içsel bütünlüğünü diğer tüm nesnelerden geri çeker, kapatır ve dışarıya yalnızca fenomenal bir yüzey verir. Bu yüzey, diğer nesnenin algılayabileceği tek şeydir; fakat bu “algı” bile ontik bir algı değildir, yalnızca semantik yorumlama protokolünün izin verdiği kadar bir görünüm oluşturma işlemidir.

Bu nedenle bir antivirüs motoru, bir zararlı yazılımı “tespit ettiğinde”, gerçekte yaptığı şey zararlının tözüne erişmek değildir; erişmesi ontolojik olarak imkânsızdır. Onun yerine antivirüs, yalnızca belirli bir bit-pattern’ın kendi açıklama yüzeyine uygun bir fenomen ürettiğini işler. Yani zararlı görünen şey, gerçekten bir zararlı değil, antivirüsün fenomenolojik yüzeyinde belirli bir yoğunluk farkı oluşturan bir görünüm nesnesidir.

Burada kilit nokta şudur:

Dijital nesneler birbirine dokunmaz; birbirlerinin yalnızca fenomenal gölgeleriyle etkileşime girer.

Mesela bir IDS’in bir paketi “şüpheli” olarak işaretlemesi, paketin ontik olarak tehdit olması nedeniyle değil, IDS’in semantik yüzeyinde belirli bir yoğunluk anomalisi üretmesi nedeniyledir. Paket, kendi içsel varlığını IDS’den çekmiş durumdadır; IDS yalnızca kendi alanında oluşan farkı okur. Bu yüzden IDS’in gördüğü şey, paketin kendisi değil, paketin IDS’e göründüğü çekilmiş bir izdir.

Dijital evren, hiçbir nesnenin diğerine özsel bir erişim sağlayamadığı bir yapı olduğundan, bütün tehdit–koruyucu ilişkileri aslında:

• fenomenal yüzeylerin kesişmesi,

• yoğunluk farklarının eşik değerlerinde görünürleşmesi,

• semantik kategorilerin yeniden kodlanması

üzerinden çalışır.

Bu nedenle dijital güvenlikte üretilen her bilgi, “nesnenin kendisine” dair değil, nesnenin belirli bir sistemde ürettiği fenomenlere dairdir. Yani güvenlik raporu, malware analizi, ağ trafiği izleme çıktısı… hiçbiri gerçek nesneyi temsil etmez; yalnızca bir fenomenal izdüşümün yorumsal yeniden inşasıdır.

Bu perspektiften bakıldığında, dijital evren OOO’nun temel iddiasını tam anlamıyla gerçekleştirir:

Nesneler birbirleriyle ilişkisel değil, yalnızca fenomenal olarak karşılaşır.
Bu karşılaşmalar da ontik değil, semantik doğadadır.                                                                            

6.3. Virüs ve Antivirüsün Gerçekte Birbirini “Görmemesi”

Dijital evrende “virüs–antivirüs ilişkisi” olarak adlandırılan şey, fiziksel dünyadaki iki nesnenin birbirini algılamasına veya etkisine benzemez; hatta ontolojik olarak benzemesi mümkün değildir. Çünkü dijital nesneler, OOO’nun withdrawal (çekilme) ilkesine tam uygun biçimde, birbirlerinin içsel gerçekliğine hiçbir erişime sahip olmayan, yalnızca yüzeysel fenomenler üreten kapalı varlıklardır. Bu nedenle virüs de antivirüs de karşısındaki yapıyı, özsel içeriğiyle temas eden bir varlık olarak deneyimlemez; her biri, yalnızca kendi işlemeye devam eden kod mantığının izin verdiği fenomenal izleri okur. Yani “görme” dediğimiz şey, karşı tarafın varlığının içeriğine dair bir kavrayış değil, yalnızca yüzeysel semantik sinyallerin kendi iç işleyişinde yeniden yorumlanmasıdır.

Virüs bir antivirüsü “gördüğünde”, aslında gördüğü şey antivirüsün kendisi değildir; antivirüsün ürettiği yan etkilerin — sistemde oluşturduğu gecikme, dosya kilitlenmesi, kullanıcı modu değişimi, hook davranışları veya API yanıtlarındaki mikro sapmalar — virüsün kendi yürütme mantığı içinde anlam kazanan fenomenal yüzeyleridir. Bu yüzeyler, gerçekte antivirüsün ne olduğuna dair hiçbir ontolojik bilgi içermez; yalnızca virüsün bağlamında fark yaratabilecek semantik değişimlerdir. Aynı mantık antivirüs için de geçerlidir: Antivirüs, virüsü bir “tehdit varlığı” olarak deneyimlemez, yalnızca kendi imza tabanı, davranış analiz motoru veya ML modeli içinde belirli eşiklere çarpan bir yoğunluk sapması olarak algılar. Ortada çatışan iki töz yoktur; yalnızca birbirini asla temas edemeyen iki kod akışının, kendi bağımsız iç dünyalarında belirli fenomenler üretmesi vardır.

Bu nedenle virüs ve antivirüs arasındaki karşılaşma, ilişkisel bir karşılaşma değildir. Aralarında ontik bir bağ yoktur; yalnızca fenomenal bir yan yana geliş vardır. Virüsün yaptığı eylemler antivirüste bir anlam kazanmaz; antivirüsün yaptığı tarama virüste bir anlam kazanmaz. Her iki taraf da yalnızca kendi işleyişinin izin verdiği ölçüde, karşı tarafın varlık izlerini fenomen olarak türetir. Bu durum, fiziksel dünyada iki nesnenin aynı mekânda bulunup birbirine çarpması gibi değildir; dijital evrende “çarpışma” imkânsızdır. Kodun kodu “görmesi” veya “dokunması” yerine, kod yalnızca kendi bağlamı içinde semantik kırılmalar algılar, bu kırılmaları kendi kurallarıyla yorumlar ve buna göre hareket eder.

Dolayısıyla virüs–antivirüs karşılaşması gerçekte hiçbir zaman bir temas değildir. Bu, yalnızca iki bağımsız ontik alanın yüzeylerinde beliren fenomenlerin birbirine karşılık gelecek şekilde yeniden yorumlanmasıdır. Virüs, antivirüsle savaşmaz; antivirüs virüsü durdurmaz. Her biri sadece kendi dünyasında, kendine ait anlamlandırma mekanizmasıyla belirli bir yüzey yoğunluğunu işler. Bu yüzden dijital güvenlik dünyasında “tözsel tehdit” diye bir şey yoktur; tehdit, yalnızca fenomenal bir görünüm biçimidir. Virüs ve antivirüsün birbirini asla gerçekten “görmemesi”, dijital evrenin en temel ontolojik yasasının — içkinlik ve ilişkisizlik ilkesinin — doğrudan sonucudur.                                                         

6.4. Temasın İmkânsızlığı → Yalnızca Yüzeysel Fenomen Oluşu

Dijital evrende temas — fiziksel anlamda değil, ontolojik anlamda bile — imkânsızdır. Çünkü temas, iki varlığın birbirinin özsel boyutuna en azından kısmi bir erişim sağlaması, karşısındaki şeyin gerçekliğine dokunması ve onun içsel yapısında bir değişim yaratması demektir. Oysa OOO’nun withdrawal ilkesiyle birebir uyum içinde çalışan dijital nesneler, kendi içsel varlıklarını diğer tüm nesnelerden tamamen geri çeken, bütünüyle kapalı ontik birimlerdir. Bu kapalı yapı nedeniyle virüs de antivirüs de, paket de firewall da, model de kernel de birbirlerinin gerçekliğine hiçbir biçimde nüfuz edemez; her biri yalnızca kendi işlem dizgesinin izin verdiği fenomenal yüzeyleri üretir. Bu nedenle dijital dünyadaki her “etkileşim” kelimenin gerçek anlamında bir temas değil, yalnızca yüzeysel bir fenomen alışverişidir.

Bir paketin firewall’a “çarpması” yoktur; firewall söz konusu paketin özüne erişip onu durdurmaz. Bunun yerine, firewall kendi kurallar bütünü içinde belirli bit dizilimlerini, belirli zamanlamaları veya belirli semantik pattern’ları kendi fenomen üretim mantığı çerçevesinde yeniden yorumlar. Böylece “drop”, “deny”, “accept”, “forward” gibi sonuçlar ortaya çıkar. Ancak firewall’ın yaptığı işlem, paketin gerçekliğini dönüştürmek değildir; yalnızca firewall’ın kendi içinde ürettiği bir anlamlandırma fenomenidir. Paket aynı varlıktır; firewall da aynı varlıktır; iki taraf da birbirinin özüne dokunmaz, sadece yüzeysel semantik bir karşılaşma üretir.

Bu yüzden temasın imkânsızlığı, dijital evrende herhangi bir ontik ilişki kurulamayacağı anlamına gelir. Bir executable, bir sandbox ortamına “girip” onun içine yayılmaz; sandbox yalnızca kendi gözlem araçlarının ürettiği fenomenleri görür. Virüs, antivirüsün imza tabanını gerçekten alt üst etmez; antivirüs yalnızca belirli byte dizilimlerinin kendi eşik modelleriyle çakışmasını fenomen olarak algılar. En uç örneklerde bile — kernel-level hook, hypervisor-level inspection, bare-metal scan — hiçbir yapı bir diğerinin ontik merkezine erişemez. Kod, kodun içsel dünyasını göremez; yalnızca kendi içsel dünyasında bir etki izi üretir.

Bu durumun daha da radikal sonucu şudur: Dijital evrende saldırı yoktur; yalnızca yansıma vardır. Virüs, antivirüsün gerçekliğini dönüştürmeyi hedeflemez, çünkü bunu ontolojik olarak yapamaz. Antivirüs de virüsün gerçekliğini kesip biçmez; yalnızca kendi fenomen alanında belirli semantik yoğunlukları yeniden düzenler. Bu nedenle “zararlı yazılım sistemin içine sızdı” ifadesi teknik bir metafordur; gerçek anlamıyla bir sızma yoktur. Sistem ile zararlı yazılım arasında temas olmadığı için “iç” ve “dış” kavramları fenomenal sınır çizimleri dışında hiçbir anlam taşımaz.

Daha çarpıcı bir şekilde ifade etmek gerekirse:
Dijital evrende her şey kendi ontik adasında yaşar; diğer tüm nesneler yalnızca bu adanın kıyılarında beliriveren fantomlar gibi görünür.

Bu nedenle herhangi bir güvenlik pratiği, bir nesnenin diğerine dokunmasını değil, yalnızca fenomenlerin yoğunluğunu yeniden düzenlemesini sağlar. Bir paket yok olmaz; bir tehdit ortadan kalkmaz; bir sınır delinmez. Tüm bunlar yalnızca görünürlük rejiminin değişmesidir — varlık rejiminin değil.

Temasın ontolojik olarak imkânsız olması, siber güvenliğin neden hiçbir zaman mutlak koruma üretemeyeceğini ve neden tüm güvenlik süreçlerinin özünde semantik re-kodlama operasyonları olduğunu açıkça gösterir. Çünkü temas yoksa müdahale yoktur; müdahale yoksa engelleme yoktur; engelleme yoksa gerçek bir savunma da yoktur. Sadece fenomenler yeniden düzenlenir — hepsi bu.       

6.5. Dijital Evrende OOO’nun En Saf Biçimde Gerçekleştiği Model Oluşu

Dijital evren, nesnelerin içsel varlıklarını birbirinden sonsuzca geri çeken (withdrawal) yapısı, ilişkilerin ancak fenomen düzeyinde ortaya çıkması ve hiçbir ontik temasın mümkün olmaması bakımından Object-Oriented Ontology’nin en saf, en görünür ve en deneysel olarak doğrulanabilir modeli hâline gelir. OOO’nun felsefi düzlemde ortaya koyduğu soyut ontolojik ilkeler — nesnelerin birbirine kapalı oluşu, ilişkilerin yüzeyde beliriyor oluşu ve hiçbir şeyin özünü başka bir şeye açmaması — dijital mimaride kelimenin tam anlamıyla mühendisliksel bir gerçeklik olarak karşımıza çıkar.

OOO’ya göre bir nesnenin gerçekliği onun fenomenal görünümlerinden ibaret değildir; nesne her zaman görünenden daha fazlasıdır ve kendini hiçbir ilişki içinde tam olarak vermez. Bu soyut ilke dijital evrende neredeyse sezgisel bir deneyime dönüşür:
Virüs kendi kod bütünlüğünü antiviral sisteme vermez; antivirüs de kendi ontik yapısını virüse açmaz. Firewall, paketleri “tanımaz”; yalnızca kendi kurallarının izin verdiği fenomenal yüzeyleri üretir. IDS/IPS, saldırganın gerçek niyetine, gerçek kod bütünlüğüne veya gerçek işlevselliğine erişemez; yalnızca davranışın yüzeysel semantik iz düşümünü okur. Böylece tüm dijital karşılaşmalar OOO’nun “nesneler birbirine kapalıdır” teoremini mükemmel bir mühendislik deney alanına dönüştürür.

Bu nedenle dijital evrende gerçek anlamıyla “etkileşim” yoktur; yalnızca fenomen alışverişi vardır. Bir nesnenin diğerine sunduğu şey onun ontik özü değil, yalnızca o öze eşlik eden fenomenal yüzeydir. Örneğin bir rootkit’in kernel seviyesine “sızdığı” söylenir, ancak gerçekte rootkit kernel ile temas etmez; yalnızca kernel’in görünürlük rejimini kandıracak bir fenomen yüzeyi üretir. Kernel’in içsel mekanizması rootkit tarafından dönüştürülmez; yalnızca kernel’in kendi kendine ürettiği fenomen değişir. İşte OOO’nun “ilişki varlığın kendisinde değil, görünürde kurulur” ilkesi tam da burada dijital ontolojinin doğal yasası hâline gelir.

OOO’nun bir diğer temel ilkesi, nesnelerin yalnızca kendi içsel gerçekliklerine göre fenomen üretebilmeleridir. Yani hiçbir nesne, kendine sunulan bir veriyi olduğu gibi almaz; onu kendi ontik yapısının süzgecinden geçirerek yeniden üretir. Bu da dijital evrende harfi harfine işlemektedir:
Firewall bir paketi olduğu gibi görmez; kendi kurallarının semantik ve sentaktik matrisleri aracılığıyla paketi yeniden oluşturur.
Antivirüs zararlı kodu olduğu gibi algılamaz; kendi imza veya davranış modellerinin izin verdiği fenomenleri yeniden üretir.
Makine öğrenimi tabanlı bir detection sistemi davranışı olduğu gibi okumaz; kendi latent space’inin geometrisi doğrultusunda davranışı yeniden yorumlar.

Bu yeniden üretim süreci, OOO’daki “ilişkiler nesnenin kendi içsel kapasitesinin ürünüdür” ilkesinin dijital karşılığıdır. Nesneler birbirlerine veri vermez; sadece birbirlerinin fenomenal yüzeylerinde yansıma üretir.

Daha da radikal olan şudur:
OOO’nun en tartışmalı iddiası — nesnelerin birbiriyle gerçek anlamda ilişki kuramadığı — dijital evrende yalnızca doğru olmakla kalmaz, aynı zamanda zorunludur.

Eğer dijital nesneler birbirlerinin ontik gerçekliğine erişebilseydi, sandbox mimarisi, hypervisor izolasyonu, process separation, memory safety gibi tüm temel güvenlik ve işletim sistemi prensipleri çökerdi. Modern bilgisayar bilimi, OOO’nun withdrawal ilkesini neredeyse bir kanun gibi uygulamak zorundadır; aksi hâlde bütün mimari çöker.

Bu nedenle dijital evren yalnızca OOO’nun örneklenebileceği bir alan değil, aynı zamanda onun zorunlu olarak gerçekleştiği bir ontolojik evrendir. Fiziksel dünyada nesnelerin birbirinden geri çekilmesi metafizik bir çıkarım olabilir; dijital dünyada ise bir mühendislik kuralıdır.

Sonuç olarak, dijital evren OOO’nun argümanlarını teyit eden bir epistemik laboratuvardır:
– Nesneler kapalıdır.
– Temas yoktur.
– İlişkiler yüzeyde belirir.
– Fenomen, ontikten bağımsızdır.
– Karşılaşma, içsel gerçekliğe değil semantik yoğunluğa dayanır.

Bu nedenle dijital evren OOO’nun soyut bir felsefi model olmaktan çıkarak mühendisliksel bir ontolojiye dönüştüğü yerdir. Bu model, siber güvenlikte neden gerçek bir “savunma”nın mümkün olmadığını ve tüm güvenlik pratiklerinin neden yalnızca fenomen mühendisliği olduğunu anlamanın temelini oluşturur.                                                                                                                                          

7.1. SolarWinds: görünmez yoğunluğun içeride aylarca akması

SolarWinds Supply-Chain vakası, dijital ontolojinin temel iddiasını — “dijital dünyada saldırı diye bir olay yoktur; yalnızca görünmez yoğunluk akışının, sınır yüzeyinde geç fark edilen bir semantik kırılmaya dönüşmesi vardır” — en berrak biçimde açığa çıkaran örnektir. Çünkü bu vakada hiçbir savunma mekanizması “aşılmamış”, hiçbir kapı “kırılmamış”, hiçbir filtre “yanıltılmamış”, hiçbir güvenlik katmanı “delinmemiştir.” Olan tek şey, zaten içeride bulunan bir akışın semantik kimliğinin, insan bakışına görünmez bir zaman penceresi boyunca değişmeden akmaya devam etmesidir. Ontolojik açıdan bu durum, 0-1 akışının şeffaf karakterini ve savunma mekanizmalarının yalnızca yoğunluk fenomenini yeniden adlandıran semantik yüzeyler olduğunu dramatik biçimde teyit eder.

SolarWinds güncelleme mekanizmasına yerleştirilen zararlı kod, meşru akışın bit dizisel formundan hiçbir tözsel fark taşımadığı için, savunma dizgeleri açısından ontik olarak “ayrışabilir” bir varlık değildir. 0 ve 1’in varyasyonlarından oluşan dijital maddede, tehdit ile meşru akış arasında fiziksel dünyadaki gibi bir tözsel ayrım bulunmadığından, savunmanın bu kodu tehdit olarak algılayabilmesi için yoğunluk yüzeyinde bir semantik sapma belirginleşmeliydi — fakat belirginleşmedi. Böylece aylar boyunca sınır yüzeyinde hiçbir yoğunluk farkı görünürleşmedi ve saldırı, saldırı olarak algılanmadı; çünkü dijital ontolojide algılanabilirlik, ontik farktan değil, görünürlük artışından doğar.

Bu olay, “içeri sızma” kavramını tamamen geçersiz kılar:
Gerçekte hiçbir şey içeri girmedi; iç-akışın bir segmenti, semantik olarak tehdit kategorisine henüz atanmadığı için meşru akışla aynı görünürlük düzeyinde kaldı. Savunmanın görevi olan “tehlikeyi durdurmak” aslında teknik bir eylem değil, bir görünürlük mühendisliği operasyonu olduğundan, yoğunluk yüzeyi değişmediği sürece hiçbir savunma mekanizması tetiklenmedi. Böylece dijital ontolojide saldırının, savunmanın ve tehlikenin eşzamanlı olarak fenomenal yapılar olduğu gerçeği açıkça görünür oldu.

SolarWinds vakasının ontolojik olarak çarpıcı yanı şudur:
Dijital evrende tehdit, davranışla, niyetle, zararlı kodun kendisiyle değil; yoğunluk fenomeninin yüzeye çıkmasıyla başlar. Bu yoğunluk, semantik bir farkın kritik eşiğe ulaşmasıyla görünür olur. SolarWinds’te ise semantik fark gecikmiş, tehdit kategorisi aylarca tetiklenmemiş, içerideki yoğunluk akışı “meşru” şeklinde yorumlanmaya devam etmiştir. Yani sistemde bir tehlike yoktu — tehlikenin adı konmamıştı.

Bu nedenle SolarWinds, dijital savunmanın neden bir simülasyon olduğunu kanıtlar:
Savunma, tehdit ortaya çıktığı için değil, yoğunluk görünür olduğu için devreye girer. SolarWinds’te tehdit zaten oradaydı, fakat görünmezdi; bu yüzden savunma yoktu. Tehdit görünür olduğunda savunma ortaya çıktı, fakat bu savunma olayın kendisini değil, yalnızca yoğunluk yüzeyinin semantik etiketini değiştirdi.

Kısacası SolarWinds örneği, dijital evrende “korumanın” neden teknik bir kapasite değil, fenomenal bir eşik olduğunu net biçimde kanıtlar:
Saldırı = İçerideki yoğunluğun gecikmeli görünürleşmesi.
Savunma = Görünürlük eşiği aşıldığında yüzeye verilen semantik isim.

Bu vakada yaşanan şey tam olarak budur:

Aylarca görünmez kalan yoğunluk, semantik çerçeve değişince bir anda “saldırı” adını aldı — oysa ontolojik olarak hiçbir şey değişmemişti.                                                                                                     

7.2. Log4j: potansiyelin zaten içeride olması; sınır eşiklerinin çökmesi

Log4j (Log4Shell) vakası, dijital evrenin ontolojik yapısını belki de en çarpıcı biçimde açığa çıkaran saldırıdır; çünkü burada gerçekleşen şey bir “sızma” ya da bir “geçiş” değildir — zaten içeride var olan bir potansiyelin, yalnızca semantik eşiği çöktüğü için görünür hâle gelmesidir. Bu olay, dijital ontolojinin temel tezlerinden birini kristal berraklığında doğrular: Tehdit, akışın içinde değildir; tehdit, akış içindeki bir yoğunluk farkının semantik olarak düşmesiyle, yani maskenin kaymasıyla yüzeye çıkar.

Log4j’de saldırıyı mümkün kılan şey, sistemde çalışan log bileşeninin “rasgele bir string” içindeki belirli bir paterni yorumlama biçimidir. Yani saldırganın dışarıdan eklediği bir şeyden çok, sistemin kendi içsel semantik mekanizmasının bir özdeşlik yanılsaması devreye girer ve böylece “dışarıdan gelen komut” diye adlandırılan olay aslında şudur:
Kod, zaten içeride var olan bir potansiyeli mobilize eder ve bu mobilizasyon, görünürlük eşiğinin çökmesiyle bir “tehdit” fenomeni üretir.

Ontolojik açıdan Log4j, dijital dünyanın şu yapısal gerçeklerini açığa çıkarır:

1. Saldırı dışarıdan gelmez — içerideki semantik açıklığın yeniden düzenlenmesidir.

Bit dizilerinin tamamı aynı ontik maddeden (0–1 akışı) türediği için, dışarıdan gelen herhangi bir komut, sistemin içindeki diğer komutlardan ontolojik olarak farklı değildir. Bu nedenle Log4j’de gerçekleşen şey, sistemin kendi semantik yüzeyinin, belirli bir patern eşleşmesiyle kendi kendini yeniden kodlamasıdır.
Saldırı dediğimiz olay ise sadece bu yeniden kodlamanın, yoğunluk fenomenini görünür kıldığı noktada başlar.

2. Sınır yoktur — sınır eşikleri vardır, eşikler çöktüğünde “tehdit” ortaya çıkar.

Log4j, dijital evrende fiziksel anlamda bir içerisi/dışarısı ayrımı olmadığını en açık şekilde gösterir. Log bileşeni, dışarıdan gelen string’i değerlendirdiği anda “sınır” diye düşündüğümüz şey çoktan ortadan kalkmıştır. Çünkü sınır, maddi bir bariyer değil, semantik bir eşiktir.
Eşik çökerse “dış komut” iç komut hâline gelir; bu da ontolojik bir ihlal değil, yorumlama düzeyinde bir kaymadır.

3. Tehdit içkin potansiyeldir — saldırı, potansiyelin güncellenmiş bir yorumudur.

Log4Shell’in yarattığı kriz, tehditin sistemin içine sonradan sokulmasından değil, sistemin zaten sahip olduğu fonksiyonların farklı bir yoğunluk rejimi altında çalıştırılmasından kaynaklanır.
Bu, potansiyelin aktüelleşmesinden başka bir şey değildir; ontolojik açıdan hiçbir “yabancı madde” ortaya çıkmamıştır.

4. Savunma algoritmaları tehdidi tanıyamaz — çünkü tehdit bir “varlık” değil, bir “yorum kaymasıdır.”

Log4j vakasında güvenlik sistemleri saldırıyı durduramamıştır, çünkü durdurulacak bir “şey” yoktur; yalnızca semantik olarak yanlış konumlanmış bir yoğunluk vardır.
Savunma mekanizmalarının tamamı tehdit varmış gibi işler; oysa Log4j gösterir ki:
Tehdit = Semantik eşik çökmesi.
Bu nedenle hiçbir antivirüs, hiçbir IDS/IPS bu olayı “algılayamaz”; ancak eşik çöktükten sonra fenomenal yoğunluk artışı görünürleşir.

5. Log4j, dijital evrende saldırının ontik değil fenomenal olduğunu ispatlar.

Yani Log4j, dijital ontolojinin belki de en saf deneysel doğrulamasıdır:

• Saldırı yoktur, yalnızca potansiyelin semantik kırılması vardır.

• İçeri girme yoktur, yalnızca yorumlama yönünün değişmesi vardır.

• Tehdit yoktur, yalnızca yüzeyde görünür hâle gelmiş yoğunluk farkı vardır.

Dolayısıyla Log4j, dijital evrende güvenliğin neden ontolojik olarak imkânsız, savunmanın neden semantik bir yeniden kodlama, saldırının ise neden bir fenomenal çökme olduğunu en basit ama en sahici biçimde ortaya koyar. Sistem zaten kırılmış değildir — kırılabilir bir yapıda çalışmaktadır.           

7.3. Rootkit: saldırı savunmayı aşmaz; görünürlüğü yeniden kodlar

Rootkit olgusunun dijital ontolojideki yeri, siber güvenliğin neden yapısal olarak “savunma” üretemediğini en çıplak hâliyle açığa çıkarır. Çünkü rootkit, geleneksel güvenlik anlatısının ima ettiği gibi “savunmayı aşarak içeri giren bir tehdit” değildir; tam tersine, zaten içeride var olan akışın görünürlük rejimini yeniden kodlayan bir yoğunluk modülüdür. Bu durum, 0–1 ontolojisinin en kritik sonucunu doğrular: dijital evrende saldırı yoktur, yalnızca görünürlüğün yeniden dağıtılması vardır.

Rootkit’in yaptığı şey, işletim sisteminin ya da kernel’in çalışmasını zorla değiştirmek değildir; kernel ile rootkit zaten aynı maddeden, aynı ontik akıştan, aynı bitstream dokusundan meydana gelir. Dolayısıyla rootkit, “başka bir tözden gelen yabancı unsur” olarak tanımlanamaz. Tam tersine, rootkit, mevcut bit akışının içinde yeni bir semantik eksen açar; sistemdeki yoğunluk dağılımını değiştirerek hangi olayların görünür, hangilerinin görünmez olacağını belirler. Bir başka deyişle, rootkit saldırı değildir — ontolojik ışıklandırma düzenidir.

Bu ontolojik perspektifle bakıldığında rootkit’in işlevi OOO (object-oriented ontology) açısından daha da berraklaşır: OOO’ya göre hiçbir nesne diğerine tam olarak erişemez; aralarındaki ilişki, her zaman bir arayüz, bir temas yüzeyi üzerinden gerçekleşir. Rootkit tam da bu yüzeyi yeniden inşa eder. Kernel ile kullanıcı uzayı arasındaki ilişkiyi kesmez; yalnızca ilişkiyi yöneten semantik tabakayı değiştirir. Böylece sistem hâlâ “normalmiş” gibi görünür, çünkü ontik işlemler aynı ritimde çalışmaya devam eder; fakat görünürlüğü belirleyen koreografi başkalaşmıştır. Bu, OOO’nun “nesneler kendi iç gerçekliğini gizler” ilkesinin dijital karşılığıdır.

Savunma sistemleri (antivirüs, EDR, kernel integrity kontrolü vb.) rootkit’i tespit edemez, çünkü tespit dediğimiz şey bir varlığın “orada olup olmadığını görmekten” ibaret değildir; tespit, bir yoğunluk farkının algısal rehberlik üretmesidir. Rootkit tam bu farkı siler. 0–1 akışı kesintiye uğramaz, madde değişmez, yalnızca yoğunluğun dağılımı yeniden düzenlenir. Bir IDS’in ya da antivirüsün göremediği şey, rootkit’in yokluğu değil, rootkit’in sistemde kurduğu yeni görünürlük rejimidir. Saldırı burada gerçekleşmez; saldırı, kategorik olarak mümkün değildir. Mümkün olan tek şey, yoruma açık olan yoğunlukların yeniden düzenlenmesidir.

Rootkit, kendini gizlemek için savunma mekanizmalarının üzerinde yeni bir semantik filtre kurar. Bu filtre, “görmeyi” sağlayan koşulları değiştirdiği için, savunma mekanizması çalışıyor görünür ama aslında yeni yoğunluk düzenine uyarlanmıştır. Böylece savunma, rootkit’in bir yan fonksiyonuna dönüşür. Bu noktada savunma, savunma olmaktan çıkar; sistemin ontolojik zeminini taşıyan görünürlük modunun bir devamına dönüşür.

Bu tam olarak şunu kanıtlar:
Dijital evrende tehdit ve savunma birbirine karşıt kategoriler değildir; aynı ontolojik malzemenin iki görünürlük düzenidir.
Rootkit bunu yalnızca dramatik bir formda ortaya çıkarır. Çünkü rootkit’in başarısı, bir saldırının sisteme girmesiyle değil, sistemin kendisinin başka bir semantik düzende çalışmaya devam etmesiyle mümkündür. Bu, 0–1 evreninde “içeri sızmak” diye bir şey olmadığını, sistemde zaten mevcut olan akışın algısal rejimini manipüle etmekten ibaret olduğunu gösterir.

Rootkit’in varlığı, siber güvenliğin ontolojik imkânsızlığının en keskin ifadesidir:

Savunma, saldırıyı engellemez — saldırının görünür olmasını sağlayan yoğunluk farkını kontrol eder. Rootkit, bu farkı siler. Böylece saldırı ortadan kalkmaz; yalnızca tanımlanamaz hâle gelir. Ontolojik düzeyde, tanımlanamaz olan ile olmayan arasında fark yoktur. Bu sebeple rootkit, dijital evrende “saldırı” kavramının kendisini geçersiz kılar.                                                                                               

7.4. ML Tabanlı Detection: Yoğunluk Görünmezse Saldırı da Yoktur

Makine öğrenimi tabanlı tespit sistemleri (ML-based detection), dijital ontolojinin en kritik paradoksunu görünür kılan örnektir: Dijital evrende saldırı, ancak görünür hâle getirildiğinde vardır; görünürlük üretilmezse saldırı ontolojik olarak gerçekleşmiş sayılmaz. Bu, yalnızca teknik bir hata değil, 0–1 ontolojisinin zorunlu sonucudur.

ML tabanlı sistemlerin varoluş dayanağı, “davranış” olarak adlandırılan yoğunluk örüntülerinin gözlemlenebilir olmasıdır. Ancak dijital varlıklar, fiziksel dünyadaki gibi kendine özgü davranış karakterlerine sahip değildir; hepsi aynı maddeden, 0–1 akışından ibarettir. ML modeli, bir davranışı “şüpheli” yapan özelliğin ne olduğunu gözlemleyemez; yalnızca görünür hâle gelmiş örüntüler arasında istatistiksel farklar arar. Fark yoksa saldırı da yoktur — çünkü bu evrende saldırı “yapılamadığı” için değil, tanımlanamadığı için.

Bu, siber güvenliği teknik bir problem olmaktan çıkarır; ontolojik bir imkânsızlık hâline getirir.

ML modeli dijital akışı izlerken aslında hiçbir zaman saldırıyı izlemez; görünürlüğün semantik yoğunluğunu izler. Modelin “normal” ile “anomali” arasındaki ayrımı kurabilmesi için, sistemde zaten bir yoğunluk farkının ortaya çıkmış olması gerekir. Bu fark yoksa, modelin kavramsal dünyasında saldırı diye bir şey yoktur. Çünkü ML, yalnızca kendisine gösterilen şey üzerinden ontoloji kurar. Gösterilmeyen, onun evreninde var olamaz.

Bu durum OOO çerçevesiyle daha netleşir: Nesneler birbirine hiçbir zaman doğrudan erişemez; yalnızca arayüzler aracılığıyla ilişki kurar. ML modeli de dijital nesnelerle doğrudan ilişki kurmaz; yalnızca onlardan üretilmiş semantik yüzeylerle ilişki kurar. Bu yüzeyde saldırının izine rastlanmazsa, saldırı “fiilî olarak yaşanmış olsa bile” modelin ontik evrenine hiç girmemiş olur.

Bunun en çarpıcı sonucu şudur:
ML detection saldırı tespit etmez; görünürlüğün kıvamını ölçer.
Eğer görünürlük yoksa, saldırı da yoktur — çünkü dijital evrende varlık, görünürlüğe indirgenmiştir. 0–1’in kendisi “davranış” üretmez; yalnızca akış üretir. Model bunun içinden davranış “çıkarıyormuş” gibi görünür, fakat bu aslında akışın yüzeysel yorumudur.

Savunma ile saldırının aynı maddeden oluştuğunu zaten biliyoruz (0–1 ontolojisi). ML detection bu gerçeği daha da keskinleştirir:
Model, savunmaya dair örüntüler ile saldırıya dair örüntüler arasında tözsel bir fark olmadığını asla ayırt edemez. Çünkü ayırt edilecek bir töz farkı yoktur. Ayırt edilen tek şey, yoğunlukların istatistiksel dağılımıdır.

Yoğunluk görünmezse, dağılım değişmemişse, ML modelinin önünde saldırı yoktur. Bundan dolayı en gelişmiş sistemler bile derin rootkit aktivitelerini, kernel-level persistent implant’ları veya sessiz konfigürasyon manipülasyonlarını “saldırı” olarak sınıflandıramaz. Modelin evreninde böyle bir kategori hiç doğmamıştır.

Bu noktada ontolojik gerçek şudur:
Davranış yoksa saldırı yoktur; saldırı yoksa savunma da yoktur.
Çünkü hepsi aynı akışın semantik yorumlarıdır.

ML tabanlı detection, dijital evrende saldırının neden hiçbir zaman mutlak olarak tespit edilemeyeceğini kanıtlar. Saldırı, fiziksel dünyadaki gibi bir “eylem” değil, yalnızca görünürlüğün belirli bir yoğunlukta kristalleşmesidir. Yoğunluk kristalleşmezse — başka bir deyişle görünürlüğe dönüşmezse — saldırı kavramı ontolojik düzeyde işlem dışıdır.

Sonuç:
ML modeli saldırıyı gözden kaçırdığı için başarısız değildir.
Saldırının kendisi görünürlük üretmediği için modelin evrenine dahil olamaz.
Bu, dijital evrenin yapısal gerçeğidir:
Görünür olmayan hiçbir şey var değildir.

Bu nedenle siber güvenlik bir “tespit bilimi” değil, bir görünürlüğü idare etme sanatıdır.                      

7.5. Dijital Dünyada Hiçbir Şey “İçeri Girmez”: Yalnızca İç Akış Yeniden Düzenlenir

Dijital evrende “içeri girme” fikri, fiziksel dünyanın sezgisel metaforlarından ödünç alınmış bir yanılsamadır. Gerçekte ise dijital varlıkların ontolojisi, böyle bir kavramın mümkün olamayacağını en temel düzeyde gösterir: 0–1’den oluşan kapalı bir akış evreninde hiçbir şey dışarıdan içeri girmez; yalnızca mevcut akış yeniden düzenlenir, yeniden yorumlanır, yeniden yönlendirilir.

Bu, siber güvenlik disiplininin tamamını kökünden sarsan bir ilkedir. Çünkü savunma doktrinlerinin neredeyse tamamı, “dış tehdit içeri girmeye çalışır” varsayımı üzerine kurulur. Oysa dijital evrenin ontik yapısı böyle bir ayrımı tanımaz. Dışarısı yoktur; içerisi yoktur; yalnızca akışın kendi içinde topolojik olarak yeniden örülmesi vardır.

Fiziksel dünyada bir duvarın ötesinden içeri giren bir varlık, mekânsal bir ihlal gerçekleştirir. Dijital dünyada ise bu analoji çöker: Paket, işlem, syscall, hook, token ya da credential; hepsi sistemin zaten içsel semantik yüzeyinin parçalarıdır. Bir “yabancı” yoktur. Yabancı gibi görünen şey, aslında mevcut iç yapının yeniden düzenlenmiş bir versiyonudur.

Rootkit, Pass-the-Hash, BGP hijacking, supply-chain implant’ları gibi saldırı tekniklerinin tamamı buna aynı şekilde işaret eder: Saldırgan, sisteme bir şey sokmaz; sistemin var olan akışlarını yeniden yönlendirir.
Kök dizine bir binary bırakılması bile “dışarıdan içeri gelme” değildir — çünkü binary’nin anlamı, konumu ve işlevi tamamen sistemin iç semantiği tarafından belirlenir. Varolan akışa yeni bir düğüm eklemek, fiziksel bir sokulma değil, mevcut semantik ağda bir yeniden kodlama işlemidir.

Bu durum OOO (Object-Oriented Ontology) çerçevesinde daha da netleşir: Nesneler birbirine doğrudan erişemez; ancak arayüzleri üzerinden etkileşime geçerler. Bir saldırı, sisteme dışarıdan bir nesnenin girmesi değildir; sistemin arayüzünün semantik olarak yeniden programlanmasıdır. Yani “içeri giren şey” yoktur — içerinin anlamı değişmiştir.

Bu noktada dijital evren ile klasik güvenlik doktrinleri arasındaki en büyük çatışma görünür olur. Güvenlik, dışarıdan bir saldırganın yapı içine nüfuz etmeye çalıştığını varsayar. Dijital evren ise bu varsayımı reddeder ve şu gerçeği dayatır:

Siber saldırı = iç akışın yeni bir semantik konfigürasyon almasıdır.

Her saldırı, içeride zaten bulunan yapısal eşiklerin yeniden okunması, yeniden yönlendirilmesi veya yeniden bağlanmasıdır.
Hiçbir paket, hiçbir işlem, hiçbir kod parçası “dışarıdan içeri sızmaz.”
Tümü, mevcut akışın daha önce gözlemlenmeyen bir bağlantı örüntüsü almasıdır.

Bu nedenle savunma mekanizmalarının “engelleme” işlevi de ontolojik olarak yanlıştır. Engellenecek dış nesne yoktur; yalnızca yeniden semantize edilmiş iç akış vardır. Savunma dediğimiz şey, akışı durdurmak değil, akışın yeniden düzenlenmiş haline farklı bir görünürlük dağılımı uygulamaktır.

Bu yüzden hiçbir firewall saldırıyı “içeri sokmaz”: Firewall yalnızca paketlerin semantik interpretasyonunu değiştirir. IDS hiçbir şeyi engellemez: Sadece görünürlüğü artırır ya da azaltır. ML detection saldırıyı durdurmaz: Saldırının görünür olmasını sağlayan yoğunluk eşiğini yeniden hesaplar.

Dijital ontolojinin kaçınılmaz sonucu şudur:

Dijital dünyada “sızma” yoktur.
Dijital dünyada yalnızca “yeniden örülmüş iç akış” vardır.

Bu nedenle saldırı, dışarıdan gelen bir güç değil; içerinin kendi kendine aldığı yeni bir formdur. Savunma da bu formu engellemek değil; o forma hangi görünürlüğün atanacağına karar vermektir.   

8. Savunma = Semantik Re-Kodlama: Ontolojik Sonuç

8.1. Savunmanın Gerçek Bir Engelleme Olmayışı

Dijital evrende “savunma” kavramı, fiziksel dünyadan ödünç alınmış metaforların tamamen yanlış bir tercümesidir. Fiziksel dünyada savunma, bir şeyin engellenmesi, durdurulması, geçişinin fiziksel bir bariyer tarafından kesilmesi anlamına gelir. Duvar, kapı, filtre, zırh… Hepsi mekânsal temasın kesilmesine dayanır.

Fakat dijital ontoloji böyle bir temas mantığını tanımaz. Çünkü dijital evrende temas yoktur; tözsel ayrım yoktur; dışarısı–içerisi ayrımı yoktur. Tüm varlıklar, kod-madde olarak aynı ontolojik akışın varyasyonlarıdır. Bu nedenle hiçbir savunma mekanizması “bir şeyi engellemez.”
Engelleyebileceği bir şey zaten yoktur.

Savunma ≠ Engelleme
Savunma = Akışın semantik olarak yeniden düzenlenmesi

Bir firewall’ın paketi “durdurduğunu” düşünürüz — ama gerçekte olan, firewall’ın o paketi başka bir semantik kategoriye yeniden kodlamasıdır.
IDS/IPS’in saldırıyı “tespit ettiğini” düşünürüz — ama gerçekte olan, IDS/IPS’in akış içindeki belirli bir yoğunluk örüntüsünü başka bir sınıfa yeniden atamasıdır.
Antivirüsün bir dosyayı “karantinaya aldığını” düşünürüz — fakat ontolojik olarak dosya hiçbir yere gitmez; yalnızca sistemin semantik yüzeyinde farklı bir görünürlük bölgesine taşınır.

Engelleme, ancak dışarıdan gelen özerk bir varlık ile içerideki özerk bir varlık arasındaki temasın kesilmesi anlamını taşır. Oysa dijital evrende:

• Özerk tözler yoktur, yalnızca akış biçimleri vardır.

• Temas yoktur, yalnızca fenomenal görünürlük vardır.

• Dışarısı yoktur, yalnızca iç akışın çeşitli konfigürasyonları vardır.

Dolayısıyla “engellenen saldırı” diye betimlenen şey, aslında akışın mevcut topolojisinin yeniden şekillendirilmesinden başka bir şey değildir. Saldırı dediğimiz şey, akışın belirli bir düğüm noktasında aldığı spesifik bir semantik formdur. Savunma, bu formu “yok etmez”; yalnızca onun görünürlük statüsünü değiştirir — örneğin:

• Daha az görünür hâle getirir,

• Farklı bir yola yönlendirir,

• Semantik olarak etkisiz bir kategoriye taşır,

• Ya da yorumlanamaz hâle çevirir.

Bu nedenle savunma, ontik değil fenomenal bir pratiktir.
Gerçek bir engelleme yoktur; çünkü engellenecek ayrı bir tözsel varlık yoktur.
Savunmanın tüm efekti, akışın yüzeyinde yapılan bir yorumlama değişikliğidir.

OOO perspektifinden bakıldığında bu daha da netleşir: Nesneler birbirine dokunamaz; yalnızca arayüzleri üzerinden fenomen üretirler. Bu nedenle bir saldırı, savunmanın engellemeye çalıştığı “şey” değildir; savunma ile saldırı aynı arayüzü farklı şekilde yorumlayan iki semantik düzenlemedir.

Siber güvenlik mühendisliği bunu teknik bir problemmiş gibi tarif eder — “block,” “deny,” “terminate,” “drop,” “quarantine.”
Oysa ontolojik olarak yapılan şey tümüyle başkadır:

Savunma, dijital akışın semantik haritasını yeniden çizmekten ibarettir.
Ve bu yeniden çizim, bir şeyi durdurmaz; yalnızca başka bir yere taşır, başka bir kategoriye sokar veya görünmez hâle getirir.

Bu yüzden gerçek anlamda engelleme yoktur — yalnızca semantik yeniden kodlama vardır.

Savunma adı verilen şey, ontik bir bariyer değil, fenomenal bir manipülasyondur.                                      

8.2. Tehdidin Yok Olmaması, Yalnızca Görünmezleşmesi

Dijital evrende “tehditin yok edilmesi” söylemi, fiziksel dünyanın içgüdüsel metaforlarını dijital ontolojiye yanlış aktarmaktan doğan bir yanılsamadır. Fiziksel dünyada bir tehdit yok edilebilir; çünkü tehdit, bir bedene, bir kütleye, bir mekânsal konuma sahiptir. Ateş söndürülebilir, bir taş duvardan atılınca parçalanabilir, bir saldırgan yere düşürülebilir. Tehdit, mekân içinde yer kaplayan, dolayısıyla ortadan kaldırılması mümkün bir töz olarak düşünülür.

Oysa dijital evren tamamen farklıdır:
Tehdit dediğimiz şey, 0 ve 1 dizilimlerinin belirli bir yoğunluk düzeni ve belirli bir semantik yorumu dışında hiçbir ontik varlığa sahip değildir. Tehdidin bir “bedeni” yoktur; yalnızca akış içindeki bir konfigürasyonu vardır. Bu nedenle tehdit bir kez ortaya çıktığında, onu ortadan kaldırmak mümkün değildir — çünkü ortadan kaldırılabilecek ayrı bir töz, ayrı bir madde yoktur.

Savunmanın yaptığı şey tehdit maddesini yok etmek değil, tehdit örüntüsünü görünmez hâle getirmektir. Bu görünmezlik de ontik bir yok oluş değil; fenomenal yüzeyin semantik yeniden düzenlenmesidir.

Dijital bir tehdidin yok olmaması üç temel nedenle zorunludur:

1) Tehdit ile savunma aynı maddeden yapılmıştır: 0–1 bit akışları.
Bir antivirüsün “zararlı kodu yok ettiğini” düşünmek, aynı maddeden oluşmuş iki nesnenin birbirini fiziksel olarak tüketebileceği gibi yanlış bir fiziksel analojiye dayanır.
Oysa antivirüs, virüs kodunu yok etmez; yalnızca:

• onu çalıştırılabilir bağlamdan çıkarır,

• izin verilen semantik bölgeye ulaşmasını engeller,

• davranışını başka bir kategoriye taşır,

• görünürlük düzeyini sıfırlar.

Kod hâlâ vardır; ama artık “tehdit” olarak görünmez.

2) Dijital evrende yok oluş yoktur; yalnızca yeniden adresleme vardır.
Bir dosya silindiğinde bile gerçekte yok olmaz; yalnızca işaretçisi kaldırılır. Bir paket engellendiğinde yok olmaz; yalnızca başka bir akış mantığına aktarılır.
Tehdidin “yok olması”, ontolojik anlamda hiçbir zaman gerçekleşmez.
Tehdit yalnızca yer değiştirir, yorum değiştirir, bağlam değiştirir.

Bu yüzden görünmezlik, var olmama demek değildir; sistem tarafından erişilemez veya yorumlanamaz hâle getirilen bir varoluş biçimidir.

3) Tehdit kategorisi semantiktir; semantik değiştiğinde tehdit de “kaybolmuş” gibi görünür.
Bir davranış tehdit kategorisinden çıkarılıp “benign” kategorisine atıldığında, aynı davranış sistem tarafından artık “tehdit” olarak algılanmaz.
Ancak bu ontolojik olarak davranışın değiştiği anlamına gelmez; yalnızca sınıflandırmanın değiştiği anlamına gelir.
Yani: Tehdit yok olmaz; “tehdit olarak belirlenme” niteliği kaldırılır.

Bu nedenle dijital evrende tehdit, ontik bir şey değil, bir yorumlama biçimidir. Yorumlayanın — antivirüsün, IDS’in, firewall’ın, makine öğrenimi modelinin — semantik yapısı değiştiğinde tehdit de görünmez olur. Bu görünmezlik, tehdit davranışının yokluğu değil, görünüş rejiminin değişimidir.

OOO perspektifinde ise bu daha temel bir gerçekliğe işaret eder: Nesneler birbirine dokunamaz; yalnızca fenomen üretirler. Yani virüsün “yok olması” demek, onun fenomenal görünürlüğünün yüzeyden geri çekilmesi demektir.
Kendisi hâlâ vardır, ancak artık görünürlük yüzeyinde bir fenomen üretmediği için “yokmuş gibi” kabul edilir.

Böylece dijital savunmanın en paradoksal gerçeği ortaya çıkar:

Savunmanın yok ettiği hiçbir şey yoktur.
Yalnızca görünmez kıldığı şeyler vardır.

Bu görünmezlik de bir engelleme değil; sistemin semantik topolojisinin yeniden düzenlenmesidir.
Tehdit maddesi yok olmaz; yalnızca yorumsal haritadan silinir.

Ve bu nedenle, dijital evrendeki her savunma başarısı ontolojik düzeyde bir simülasyon başarısıdır.      

8.3. Siber Güvenliğin Teknik Değil Fenomenolojik Bir Pratik Oluşu

Siber güvenlik, gündelik teknik literatürde daima “teknik bir disiplin” olarak tanımlanır: kurallar, protokoller, algoritmalar, güvenlik yamaları, imza veritabanları, davranış analizi, firewall politikaları, IDS/IPS motorları, makine öğrenimi tabanlı modeller… Bunların toplamı bir mühendislik alanı olarak sunulur. Bu çerçevede güvenlik, teknik araçlarla sağlanan teknik bir sonuç gibi görünür.

Ancak dijital evrenin ontolojik analizi bu yaklaşımın temelde yanlış olduğunu ortaya koyar. Dijital evren, fiziksel dünya gibi tözsel olmayan, ilişkisel temasın mümkün olmadığı, yalnızca fenomenlerin belirdiği bir yüzeydir. Bu nedenle siber güvenliğin icra ettiği her şey teknik bir müdahale değil, fenomenolojik bir yeniden görünürlük düzenlemesidir.

Teknik olarak açıklanan eylemler, ontolojik düzeye çekildiğinde tamamen farklı bir doğaya sahiptir:

• Bir firewall paketleri durdurmaz; yalnızca fenomenal akışın haritasını yeniden çizer.

• Antivirüs zararlıyı silmez; yalnızca görünürlük yüzeyinde o zararlıya “fenomen üretmeme” statüsü verir.

• IDS/IPS saldırıyı düşürmez; yalnızca saldırı fenomeninin ortaya çıkabileceği semantik topolojiyi yeniden yapılandırır.

• Bir davranış analizi modeli tehdit davranışını “kesmez”; yalnızca davranışı başka bir semantik kategoriye taşır ve görünüş biçimini değiştirir.

Dijital dünyanın tamamında, hiçbir mekanizma gerçek anlamda ontik bir işlem yapmaz; yalnızca bir fenomenin belirme biçimini değiştirir.

Bu durumun neden zorunlu olduğunu açıklayan üç ana ontolojik ilke vardır:

1) Kod-kod ilişkileri ontik değil fenomenaldir.

Kod bir başka kodla temas edemez; çünkü dijital evrende tözsel temas yoktur.
Nesneler birbirlerinin içine girmez, birbirlerini “tahrip etmez”; yalnızca birbirlerinin görünme biçimlerini etkileyen koşullar yaratır.
Bir antivirüsün tarama yapması bile, gerçekte bir “virüs nesnesi” ile temas kurduğu anlamına gelmez: antivirüs, yalnızca belirli bir bit örüntüsünün kendi semantik tablosundaki karşılığıyla bir fenomen kurar.

Yani temas yok → yalnızca fenomenler var.

2) Güvenlik, ontik varlıkları değil, fenomenal eşikleri yönetir.

“Saldırı oldu”, “savunma durdurdu”, “zararlı içeri sızdı”, “paket engellendi” gibi kavramların tamamı fenomenolojik yanlış anlamalardır.
Bu terimler fiziksel dünyadan ödünç alınmış, dijital evrene uygunsuz şekilde aktarılmış metaforlardır.

Gerçekte olan şudur:

• Bir saldırı fenomeni belirir.

• Savunma, bu fenomenin belirme koşullarını yeniden konfigüre eder.

• Fenomen görünmez olur.

Burada hiçbir ontik değişim gerçekleşmez.
Saldırının ontolojik statüsü değişmez — yalnızca belirişi (appearance) değişir.

3) Dijital savunma teknik değil, görünürlük mühendisliğidir.

Modern güvenlik terminolojisi, yüzeyde teknik gibi görünür; ama tüm teknik operasyonların ortak yapısı tek bir şeydir:

Görünürlüğün yeniden kodlanması.

Bu yeniden kodlama:

• bit akışını fiziksel olarak durdurmaz,

• tehdidi ontik olarak yok etmez,

• savunma ile tehdit arasında gerçek bir mücadele yaratmaz.

Sadece görünürlük yüzeyinde hangi fenomenlerin belirebileceğini ve hangilerinin belirmeyeceğini belirler.

Dolayısıyla siber güvenliğin özü teknik değil, fenomenolojik bir seçicilik mekanizmasıdır:
0–1 akışının hangi bölümlerinin dünyaya “tehdit”, hangi bölümlerinin “zararsız”, hangilerinin “yokmuş gibi” görüneceğini tasarlayan bir yüzey mühendisliği.

Bu, güvenlik disiplininin teknik külfetini küçültmez; ama onun doğasını yanlış yere konumlandıran tüm geleneksel anlayışı kökten çökertir.
Siber güvenlik mühendisliği, ontik varlıklarla ilgili değildir; fenomenlerin düzenlenmesi, kısıtlanması, gizlenmesi, ortaya çıkarılması ile ilgilidir.

Sonuç olarak:

Siber güvenlik bir teknik müdahale değil; dijital varlığın fenomenolojik koreografisinin yönetilmesidir.

Bu nedenle her “engelleme”, “izin verme”, “düşürme”, “taramadan geçirme” eylemi, gerçekte yalnızca görünürlük yüzeyinin semantik yeniden dizaynından ibarettir.                                                                    

8.4. Savunmanın Varlık Düzeyinde Değil Yüzey Düzeyinde İşlemesi

Dijital evrende hiçbir savunma mekanizması kodun ontik düzeyine, yani varlığın kendisine müdahale edemez. Çünkü dijital nesnelerin varlığı, fiziksel nesnelerde olduğu gibi içyapısına girilip değiştirilebilecek bir töz değildir; tamamen kendi üzerine kapanmış, yalnızca 0 ve 1’in akışına içkin bir potansiyel alanıdır. Kod, OOO’nun “withdrawn” dediği biçimde, kendinden başka hiçbir şeyle temas edemeyen bir varlık kipidir. Bu yüzden savunma, kodun ne olduğuna dokunamaz; yalnızca kodun dışarıda nasıl belirdiğini, fenomenal yüzeyde nasıl görüldüğünü değiştirebilir. Varlık kapalıdır; savunma, yalnızca fenomenlere erişebilir. Bu temel fark, bütün siber güvenlik pratiklerinin gerçekte neden yüzeysel olmak zorunda olduğunu açıklar.

Antivirüsün zararlıyı “sildiği”, firewall’un akışı “durdurduğu”, IPS’in paketi “düşürdüğü” iddiası, ontolojik olarak yanlış kategorilendirilmiş teknik bir dildir. Silinen bir tehdit yoktur; yalnızca görünürlüğü kapatılmış bir fenomen vardır. Durdurulan bir akış yoktur; yalnızca savunmanın izin verdiği semantik patikaya yönlendirilmiş bir trafik vardır. Düşen bir paket yoktur; yalnızca yorumlanma biçimi değiştirilmiş bir veri vardır. Dijital evrende hiçbir işlem, ontik düzeyde “varlığı değiştirme” anlamına gelmez; yalnızca yüzeydeki fenomenlerin dağılımını yeniden şekillendirir. Savunma mekanizmalarının teknik dili, aslında ontolojik düzeyi yanlış temsil eden bir metafor setidir—ve bu metaforlar, fiziksel dünyanın kategorilerini dijital alana taşımaya çalıştığı için kökten yanıltıcıdır.

Dijital ontolojide yüzey, gerçekte tek politik ve müdahale edilebilir düzlemdir. Kodun iç dizilimi, kendi içkin kurallarına göre işler ve hiçbir savunma mekanizması onu durduramaz, askıya alamaz, silemez veya engelleyemez. Yapılabilen tek şey, bu iç akışın dışarıya yansıyan fenomenlerini yeniden düzenlemektir. Bu yüzden güvenlik, ontik bir mücadele değil, fenomenal bir tasarım sürecidir: neyin tehdit olarak görüleceğine, neyin görünmezleştirileceğine, hangi yoğunluk eşiğinin alarm üretmesine, hangi semantik kategorinin “zararlı” olarak seçileceğine dair bir yüzey mühendisliği. Koruma dediğimiz şey, gerçekte varlığı korumak değil, varlığın görünme biçimlerini yeniden çerçevelemektir.

Bu açıdan başarı olarak sunulan her güvenlik eylemi ontolojik bir illüzyondur. Bir saldırının “enginlendiği” söylendiğinde, engellenen bir saldırı yoktur; yalnızca görünürlük rejimi yeniden kodlanmış bir fenomen vardır. Bir tehdidin “yok edildiği” söylendiğinde, yok edilen bir varlık yoktur; yalnızca görünmez kategoriye taşınmış bir semantik yoğunluk vardır. Güvenliğin teknik dili, ontolojik olarak gerçekleşmeyen bir şeyi olmuş gibi gösteren, fenomenleri yeni adlandırmalarla maskeleyen bir söylemdir. Dijital dünyada varlık değişmez; değişen yalnızca varlığın nasıl belirdiğidir.

Dolayısıyla savunma, hiçbir zaman derine inemez; yalnızca yüzeyi yeniden düzenler. Ontolojik olarak mümkün olan tek müdahale, yoğunluk, eşik, görünürlük ve semantik kategorilerin yeniden dağıtımıdır. Savunma mekanizmaları, kodun tözüne erişemez; yalnızca onun fenomenal gölgeleri üzerinde işlem yapar. Bu nedenle siber güvenliğin gerçek doğası, varlığı korumak değil, görünürlüğü yönetmektir. Dijital evrende savunmanın ontik değil fenomenal oluşu, onu kaçınılmaz biçimde bir “yüzey siyasetinin” içine yerleştirir ve bütün güvenlik pratiklerini, varlığı değil yalnızca görünümü manipüle eden bir yeniden-kodlama faaliyetüne indirger.                                                                                            

8.5. Gerçek Savunmanın Ontolojik Olarak İmkânsız Oluşu

Dijital evrende “gerçek savunma” denilen şeyin neden ontolojik olarak imkânsız olduğu, kodun varlık kipinin kendisinden kaynaklanır. Kod, fiziksel bir nesne gibi dışarıdan müdahale edilebilecek, durdurulabilecek, engellenebilecek ya da ortadan kaldırılabilecek bir yapı değildir; kendi içkinliği içinde işleyen, yalnızca 0 ve 1’in akışından oluşan özerk bir varlıktır. Bu varlığa dışarıdan dokunmak, tıpkı OOO’nun tarif ettiği gibi, başka herhangi bir nesnenin özüne nüfuz etmek kadar imkânsızdır. Dijital nesneler birbirlerinin özüne erişemez, birbirini etkileyemez, birbirini dönüştüremez; yalnızca birbirlerine fenomenal olarak görünürler, yani yüzeysel yansımalarını algılarlar. Bu nedenle savunma mekanizmalarının saldırıyı “engellemesi”, antivirüslerin kodu “silmesi”, firewall’un paketi “durdurması”, IPS’in saldırıyı “önlemesi” gibi ifadelerin tümü dilsel bir yanılsamadır. Hiçbir savunma, kodun varlığına dokunmaz; yalnızca onun görünürlüğünü yeniden düzenler.

Gerçek anlamda savunma, bir tehdidi varlık düzeyinde ortadan kaldırmak demektir. Ancak digital ontolojide tehdit diye bir varlık zaten yoktur; yalnızca belirli semantik eşiklerde yoğunluğu artan fenomenler vardır. Bu yüzden savunma, varlığı koruyamaz; çünkü dijital evrende korumaya ihtiyaç duyulan bir varlık yoktur, yalnızca akış ve bu akışın yüzeydeki görünürlüğü vardır. Savunma pratikleri “varlık koruma” iddiasında bulunsalar bile, aslında yaptıkları tek işlem bu akışın görünürlüğünü azaltmak, yönünü değiştirmek veya yeniden adlandırmaktır. Saldırı diye görünen şey de, savunma diye adlandırılan şey de aynı maddeden yapılmıştır; bu yüzden biri diğerini tözsel olarak zayıflatamaz, yok edemez veya engelleyemez. Tözsel fark yoksa, tözsel savunma da yoktur.

Bu noktada ontolojik imkânsızlık ortaya çıkar: savunmanın mümkün olabilmesi için saldırı ile savunma arasında bir töz farkı, bir kategorik ayrım, bir varlık düzeyi farkı olması gerekir. Fiziksel dünyada bu böyledir: kalkan ile ok, duvar ile istilacı, beden ile mikrop arasında gerçek maddesel ayrımlar vardır. Dijital dünyada ise bu ayrım bütünüyle çöker. Zararlı yazılım, antivirüsün kullandığı talimat setiyle aynı talimat setini kullanır. Firewall’un “engelleme” kuralları da yine saldırgan kodun bankerliğini yaptığı aynı protokoller üzerinden işler. Kernel hook’u da, kernel savunma modülü de aynı API’yi invoke eder. Saldırı ve savunma arasında ontolojik bir sınır olmadığı için “savunma” kelimesi yalnızca yüzeysel bir metaforun kalıntısıdır.

Bu nedenle savunma, ontik bir olay olamaz; yalnızca semantik bir düzenleme olabilir. Bu düzenleme de tehdit olarak algılanan fenomenin yoğunluğunu yüzeyde yeniden yaymak, yoğunluğu görünmez hâle getirmek, semantik kategorilerin eşiklerini değiştirmek, davranış modellerini yeniden etiketlemekten ibarettir. Savunma hiçbir zaman saldırıyı yok etmez; yalnızca onu fark edilmez hâle getirir. “Engelleme” dediğimiz şey, akışın gerçekten durması değil, başka bir akış olarak yeniden yorumlanmasıdır. “Silme” dediğimiz şey, varlığın ortadan kalkması değil, görünürlük rejiminden çıkarılmasıdır. “Koruma” dediğimiz şey, varlığın güvence altına alınması değil, yalnızca fenomenlerin daha az tehditkâr bir biçimde düzenlenmesidir.

Bu bağlamda gerçek savunma imkânsızdır; çünkü dijital evrende gerçek anlamda saldırı yoktur, yalnızca fenomenal yoğunluk değişimleri vardır. Savunma bu yoğunluğu durduramaz, yok edemez, dengeleyemez; yalnızca semantik olarak yeniden kodlar. Ontolojik düzeyde hiçbir savunma eylemi, tehdit diye adlandırılan şeye temas etmez. Savunma tehditten korunmaz; tehdit savunmanın içinden geçer ve onunla aynı ontik zeminde var olur.

Dijital evrende savunmanın imkânsızlığı, saldırının gücünden değil, ikisini birbirinden ayıracak tözsel bir farkın bulunmayışından kaynaklanır. Saldırının engellenemez oluşu, saldırganın yeteneğiyle değil, dijital ontolojinin yapısıyla ilgilidir. Dijital evren, savunmanın kendisini de içine alan bir akış ontolojisidir; savunma, bu akışın sadece bir görünüm varyantıdır. Bu nedenle gerçek savunma yoktur: sadece görünürlüğü değiştiren bir simülasyon vardır.                                                                      

9. Siber Güvenliğin Nihai Statüsü: Bir Savunma Simülasyonu

9.1. Dijital Evrende Tözsel Ayrım → Yok

Dijital evrenin en temel ve çoğu zaman fark edilmeyen ontolojik gerçeği şudur: bu dünyanın tüm varlıkları aynı tek maddeden oluşur. Zararlı yazılım da, antivirüs de, işletim sisteminin çekirdeği de, firewall kuralları da, kimlik doğrulama token’ları da, bir ağ paketinin taşıdığı en küçük veri parçası da aynı şekilde, yalnızca 0 ve 1’in dizisel varyasyonlarıdır. Bu nedenle dijital evrende fiziksel dünyadaki gibi savunma ve tehdit arasında kökten bir varlık farkı kurmak imkânsızdır. Kalkan ve saldırgan kılıç farklı metallerdendir; fakat antivirüs ile virüs aynı bitstream’den yapılmıştır.

Bu noktada mesele basit bir “ikisi de koddur” önermesini çok aşar. Burada söz konusu olan, tözsel bir ayrımın yokluğudur. Dijital varlıkların hepsi aynı ontik rejimin ürünüdür; hiçbir dijital nesne, başka bir dijital nesneye aşkın değildir. “Savunma bir üst varlık düzeyindedir, saldırgan kod alt düzeydedir” gibi hiyerarşik düşünceler dijital ontolojinin doğasına aykırıdır; çünkü dijital evrende hiyerarşi, tözsel bir kategori değil, yalnızca yorum farkıdır.

Bu nedenle, fiziksel dünyada anlamlı olan "koruma" fikri dijital evrene aktarılamaz. Çelikten yapılmış bir kalkan, çeliğe nüfuz eden bir saldırıyı fiziksel olarak engelleyebilir; çünkü töz farkı, mekanik kuvvet farkı, tensel ayrım vardır. Ama dijital evrende savunma ile saldırı arasında böyle bir tözsel karşıtlık bulunmadığı için, birinin diğerini doğrudan “engellemesi” ontolojik olarak mümkün değildir. Bir bit dizisi, aynı maddeden yapılmış başka bir bit dizisini maddî anlamda durduramaz; sadece görünürlüğünü değiştirir, yorumunu değiştirir veya sınır yüzeyini yeniden kodlar.

Savunma sistemlerinin teknik belgelerde kullandığı ifadeler —“engellendi”, “karantinaya alındı”, “silindi”, “bloklandı”, “önlendi”— bu nedenle gerçek birer nedensel işlem değil, algoritmik fenomenlerin insan zihnine çevirisidir. Bu kavramlar fiziksel sezgilerimizi tatmin eder ama dijital evrenin ontolojik yapısını temsil etmez. Gerçekte olan şey, saldırgan kodun yok edilmesi değil, yalnızca bit akışının semantik bağlamının yeniden düzenlenmesidir.

Bir varlığın, kendisiyle aynı tözden olan başka bir varlığı yok etmesi mümkün olmadığı için dijital dünyada tehdit de ontolojik bir varlık değildir. Tehdit, ancak belirli bir görünürlük eşiğinde “tehdit” olarak adlandırılır; yani nesnenin kendisi değil, görünürlüğünün artması tehlike olarak algılanır. Bu, saldırının var olmadığı anlamına gelmez; ama saldırı bir varlık değil, bir yoğunluk fenomenidir.

Bu koşullar altında siber güvenlik adı verilen tüm disiplin, özünde parçalanmış iki karşıt varlık (savunma vs tehdit) üzerinden değil, tek bir ortak maddeden türetilen varlıkların semantik olarak yeniden ayrıştırılması üzerinden işler. Dijital evrende tözsel ayrım yoksa, dijital evrende gerçek savunma da yoktur; çünkü savunma ancak ontik farkların olduğu dünyalarda mümkündür. Dijital dünya ise farkı yalnızca yorum düzeyinde üretir; dolayısıyla savunma kavramı burada özsel değil, tamamen simülasyoneldir.

Bu yüzden siber güvenliğin nihai düzeyde yaptığı şey, saldırgan ile savunucu arasında tözsel bir mesafe oluşturmak değil, aynı tözden yapılan iki dizinin görünürlük yoğunluğunu yeniden dağıtmaktır. İşlenen kodun ontik yapısı değişmez; değişen yalnızca insanların “tehdit”, “normal akış”, “şüpheli yoğunluk”, “koruma yüzeyi” gibi tanımlamalarla oluşturduğu semantik çerçevedir.

Dijital evrende tözsel ayrım olmadığı için, siber güvenlik bir metafizik gerilim içinde doğar: Savunma, varlık düzeyinde imkânsızdır ama fenomen düzeyinde zorunludur.

Bu paradoksun fark edilmesi, makalenin tüm final bölümünü belirleyen temel ontolojik kırılma noktasıdır.                                                                                                                                                      

9.2. Algoritmalar Arası Temas → Yok

Dijital evrende hiçbir algoritma, hiçbir kod parçası, hiçbir paket, hiçbir işlem diğerine dokunmaz; aslında dokunamaz. Bu yalnızca teknik bir sınırlılık değil, dijital ontolojinin kendisinden türeyen zorunlu bir ilkedir. Etkileşim dediğimiz şey, iki varlığın birbirini fiziksel anlamda değiştirmesi, birbirinin üzerinde bir iz bırakması, bir kuvvet uygulaması anlamına gelir. Fakat dijital evrende kodlar, asla birbirine temas edebilen maddi nesneler değildir; onların “etkileşimi”, insan gözünde bir ilişkiymiş gibi görünen fakat gerçekte yalnızca fenomenal yüzeylerde beliren görünürlük değişimlerinden ibaret olan bir yanılsamadır.

Bir antivirüsün bir virüse “dokunması”, firewall’un bir paketi “engellemesi”, bir IDS’in saldırıyı “yakalaması” teknik dilde gerçek etkileşim gibi görünür. Ama ontolojik düzeye indiğinde tüm bu kavramlar çöker. Çünkü virüs de antivirüs de aynı bit dizisinin farklı düzenlenmiş formlarıdır. Bu iki yapı arasında fiziksel bir yakınlaşma, çarpışma, enerji transferi ya da karşılıklı içkinlik yoktur. Kod, kodu itmez, çekmez, sıkıştırmaz, parçalamaz; yalnızca yorumlama düzeyinde bir yoğunluk farkı üretir. Sistemlerin “karşılaşma” dediği şey, iki dizinin semantik olarak yakın bir konfigürasyona gelmesidir; bu ise hiçbir zaman doğrudan temas anlamına gelmez.

Bu ontolojik yapı, OOO’nun “nesneler birbirine kapalıdır; hiçbir nesne diğerinin özüne dokunamaz” tezinin dijital karşılığıdır. Bir virüs, antivirüsün iç yapısına nüfuz etmez; yalnızca antivirüsün gözünde bir fenomen üretir. Aynı şekilde antivirüs de virüsü “yakalamaz”; sadece kendi semantik şeması içinde virüs dizisini belirli bir kategoriye eşler. Bu durum, dijital varlıkların birbirine temas ettiğini iddia eden tüm güvenlik söylemlerini bir anda hükümsüz kılar. Çünkü temas yoksa, durdurma da yoktur; durdurma yoksa koruma da yoktur; koruma yoksa siber güvenlik maddi bir çarpışma değil, zorunlu bir görünürlük simülasyonudur.

Algoritmalar arasındaki bu temas yokluğu, saldırı–savunma ilişkisini bir anda kökten dönüştürür. Bir saldırı, bir savunma mekanizmasını “aşmaz”; çünkü aşılacak bir maddi bariyer yoktur. Bir savunma, bir zararlıyı “durdurmaz”; çünkü durdurulacak bir fiziksel akış bulunmaz. Tek gerçekleşen şey, sistemin belirli bir yüzeyinde yoğunluk farkının artması ve bu farkın insan tarafından “saldırı var” şeklinde adlandırılmasıdır. Yani saldırı, varlık değil, bir adlandırma momentidir; savunma ise varlığa müdahale değil, bir yeniden adlandırma pratiğidir.

Bunu en iyi gösteren şey, en karmaşık saldırılarda bile aslında saldırının “içeri girmesi” diye bir fenomenin bulunmamasıdır. SolarWinds saldırısında içeri giren bir şey yoktur; yalnızca sistemin kendi güncelleme mekanizması üzerinden görünmez bir yoğunluk akışı devam eder. Log4j’de dışarıdan bir istila yoktur; zaten içeride olan potansiyelin görünürlük kazanması vardır. Rootkit’te saldırı çekirdeğe nüfuz etmez; çekirdeğin semantik yüzeyini yeniden renklendirir. ML tabanlı sistemlerde saldırı davranışı olmadığı sürece “yok”tur; çünkü görünmez olan, ontolojik olarak algılanamaz. Tüm bunlar, “içeri girme” dediğimiz şeyin aslında var olmayan bir fiziksel metafor olduğunu kanıtlar.

Eğer algoritmalar temas edemiyorsa, bu durumda “engelleme” nedir?
Sadece şudur: sistemin ∂AB sınır yüzeyinin yeniden düzenlenmesi.
Bir firewall’un bir paketi engellemesi, paketin varlığını yok etmez; yalnızca onun görünürlük haritasını değiştirir. Bir antivirüsün bir zararlıyı silmesi, onu varlık düzeyinden çıkarmak değildir; yalnızca diziyi başka bir bağlamda yorumlamaktır. Bir IDS’in bir davranışı “tehlikeli” diye işaretlemesi, davranışın özünü değiştirmez; saatlerdir orada olan aynı yoğunluğa insan-semantiği tarafından yeni bir isim verilmiştir.

Bu nedenle dijital evrende temas yoktur; fakat temas yokluğu, güvenliğin imkânsızlığını değil, güvenliğin başka bir şey olduğunu söyler. Güvenlik, maddi bir çarpışma değil, yüzeysel bir karşılaşmadır. Kodlar birbirine karışmaz; yalnızca birbirine yansır. Bu yansımanın yoğunluğu arttığında biz buna “saldırı” deriz; yoğunluğu azaltıldığında biz buna “savunma” deriz. Bu iki kavramın ontik bir karşılığı yoktur; yalnızca fenomenal statüleri vardır.

Dolayısıyla algoritmalar arası temasın olmaması, siber güvenliğin en derin ve en keskin ontolojik sonucunu doğurur:

Savunma diye adlandırdığımız tüm pratikler, aslında temasın yokluğunu semantik olarak telafi eden simülasyonlardır.                                                                                                                                

9.3. Tehlike → Yok (Yalnızca Fenomenal Görünürlük Var)

Dijital evrende “tehlike” dediğimiz şey, geleneksel güvenlik söyleminin ima ettiği gibi saldırgan bir varlığın sistemin bütünlüğünü tehdit etmesi değildir; çünkü dijital dünyada tehdit taşıyan bir varlık ile tehdit almayan bir varlık arasında ontolojik bir ayrım yoktur. Aynı maddeden oluşan iki yapı arasında “zararlı–zararsız” farkının varlık düzeyinde karşılığı bulunamaz. Bu nedenle tehlike, dijital evrende gerçek bir şey değildir; yalnızca beliren bir görünürlük fenomenidir.

Buradaki kırılma noktası şudur:
Bir fenomenin görünür hâle gelmesi, o fenomenin ontolojik olarak var olduğu anlamına gelmez. Görünürlük, varlık değildir; yalnızca varlığın belirli bir eşikte kendini temsil edişidir. Dijital evrende görünürlük bir representasyon değildir, bir yoğunluk yüzeyinin patlak vermesidir. Bu yüzey patladığında insanlar buna “tehlike” der. Tehlike dediğimiz şey, aslında yalnızca görünürlük artışına atılmış insani bir etikettir.

SolarWinds örneğinde tehlike aylarca yokmuş gibi göründü çünkü yoğunluk görünür değildi; Log4j’de tehlike bir anda “ortaya çıktı” çünkü zaten var olan potansiyelin görünürlüğü eşik seviyesini geçti; Rootkit’te tehlike görünmezdi çünkü yoğunluk, semantik olarak sistemden saklanmıştı. Bunların hiçbiri tehlikenin yoktan var olduğu veya varken kaybolduğu anlamına gelmez. Sadece yoğunluk yüzeyi hareket etti, görünürlük semantiği değişti.

Tehlikenin hiçbir zaman var olmaması, saldırının da var olmadığı anlamına gelmez; ama saldırı da tehlike gibi bir varlık değil, bir yoğunluk fenomenidir. Yoğunluğun taşması, semantik maskenin düşmesi ve sistemin belirli bir yüzeyinde eşiğin aşılmasıyla insanın kavramsal çerçevesi “tehlike var” sonucunu üretir. Bu üretim, insan zihninin fiziksel evrendeki sezgilerine dayandığı için son derece ikna edicidir; fakat dijital evrende madde olmadığı için, bu sezgilerin burada ontolojik karşılığı yoktur.

Bir firewall’un bir paketi reddetmesi “tehlikeyi durdurdum” anlamına gelmez; sadece görünürlüğü yeniden düzenlediği anlamına gelir. Bir antivirüsün bir zararlıyı silmesi “tehdidi ortadan kaldırdım” anlamına gelmez; yalnızca yoğunluğu farklı bir semantik bağlama ittiği anlamına gelir. Bir IDS’in bir davranışı şüpheli olarak işaretlemesi, davranışın ontik statüsünü değiştirmez; sadece görünürlüğünü teknik bir kategoriye bağlar.

Yani tehlike dediğimiz şey, ne kodun kendisidir, ne kodun eylemidir, ne de sistemin kırılganlığıdır. Tehlike, sadece bir görünürlük konfigürasyonudur. Kod kendinden bağımsız bir tehlike niteliği taşımaz; tehlike kodun üzerinde taşınan bir öz değil, kodun yorumlandığı bağlamın ürettiği bir semantik yüzeydir. Savunma pratiklerinin çoğu, “tehlikeyi ortadan kaldırmayı” amaçladığını iddia eder, fakat ortadan kaldırdıkları şey hiçbir zaman tehlike değildir; çünkü tehlike varlık düzeyinde mevcut olan bir şey değildir. Onların yaptığı tek şey, görünürlük semantiğini yeniden dağıtmaktır.

Bu noktada güvenlikte kullanılan dil tamamen çözülür:
“Tehlike yükseldi”, “tehlike ortadan kalktı”, “tehlike içeri sızdı”, “tehlike durduruldu”.

Bu cümlelerin hiçbiri ontolojik olarak doğru değildir. Tehlike yükselmez; görünürlük yoğunlaşır. Tehlike ortadan kalkmaz; görünürlük eşik altına iner. Tehlike içeri sızmaz; içeride zaten vardır ve yalnızca semantik yüzeyde belirdiği anda fark edilir. Tehlike durdurulmaz; durdurulan yalnızca tehlike fenomeninin görünürlük haritasıdır.

Dolayısıyla tehlike dijital evrende var olmaz; yalnızca belirir. Beliren şey de tehlikenin kendisi değil, tehlike olarak yorumlanan yoğunluk artışıdır. Bu yüzden siber güvenlikte tehlike, maddi bir varlık değil, epistemolojik bir olaydır. Kodun taşıdığı bir nitelik değil, gözlemcinin yüzeyde yakaladığı bir dalgalanmadır. Varlığın değil, fenomenin hareketidir. Dijital evrende gerçek anlamda bir tehlike olmadığı için, savunma hiçbir zaman bir tehlikeyi yok edemez.

Bu da şu kaçınılmaz sonucu doğurur:
Dijital evrende tehlike yoktur; fakat görünürlük vardır.

Savunma, tehlikeyi durdurmaz; görünürlüğü yeniden düzenler.                                                                  

9.4. Engelleme → yok (yalnızca akış re-map’i var)

Dijital evrende “engelleme”nin hiçbir zaman gerçek bir olay hâline gelemeyişinin nedeni, kodun maddi olarak parçalanabilir bir varlık değil, yalnızca yönlendirilebilir bir akış olmasıdır. Fiziksel dünyada bir taş, bir kapı ya da bir duvar, başka bir nesnenin hareketini gerçekten kesebilir; çünkü maddeler arasında tözsel ayrımlar, çarpışma yasaları ve yer kaplama zorunlulukları vardır. Oysa dijital evren bu türden bir maddi karşılaşma alanı değildir: burada bütün varlıklar tek maddeden — 0 ve 1’in yoğunluk örüntüsünden — yapılmıştır ve bu ortak töz, nesneler arasında bir çarpışma mantığı değil, yalnızca yeniden konumlanabilirlik üretir. Bir firewall’un “blokladığı” paket yok olmaz; yalnızca görünürlüğün farklı bir yüzeyine yönlendirilir. IPS’in “engellediği” davranış buharlaşmaz; anlamlandığı semantik yüzey yeniden kodlanır. Savunma sistemi her yeni kural eklediğinde saldırı ortadan kalkmaz; sadece bir başka topolojik rota açılır ve akış, bu yeni haritanın içinde var olmaya devam eder. Çünkü dijital evrende “dur” komutu, fiziksel bir bariyer değil, semantik bir işarettir; akışın anlamlandığı bağlamı değiştirir, varoluşunu değil. Bu nedenle engelleme ile yok etme arasında hiçbir ontik bağ yoktur: drop edilen bir paket, silinen bir log, quarantine’e alınan bir dosya bile varlığını kaybetmez — yalnızca sistemin başka bir katmanında, başka bir yoğunluk düzeyinde, başka bir görünürlük rejimi içinde sürer.

Engellemenin imkânsızlığı, dijital evrende “içeri girmek” ve “dışarı çıkmak” gibi kavramların da anlamsız olduğunu gösterir; çünkü bu terimler, sınırın tözsel bir ayrım olduğu fiziksel metaforlara dayanır. Oysa dijital sınır, bir çeper değil, bir yorum tablosudur; kodun nereye yazılacağını, hangi yüzeyde görüneceğini, hangi yoğunlukta algılanacağını belirleyen semantik bir matristir. Bu yüzden engelleme denen şey aslında yeni bir yorumlama rotasıdır. NAT, routing, ACL, ML-based filtering veya signature matching hiçbir zaman akışı kesmez; yalnızca hangi bağlamda, hangi adreste, hangi semantik profil altında görünür olacağını belirler. Yani akış durmaz; akış yer değiştirir. Davranış yasaklanmaz; davranış yeniden adlandırılır. Tehdit yok edilmez; tehdit başka bir koordinata kaydırılır. Tüm “engelleme” operasyonlarının özü budur: tözsel müdahale değil, topolojik yeniden çizim.

Bu nedenle dijital saldırılar hiçbir zaman gerçekten durdurulmaz; sadece sistemin görünürlük yüzeyleri arasında sürekli yer değiştirir. Bazı akışlar görünürlükten çekilerek sessiz yoğunluk hâline gelir, bazıları savunmanın müdahalesiyle daha belirginleşir, bazıları ise hiç dokunulmayan bir yüzeye akarak varlığını sürdürür. Engelleme, saldırıyı bitirmez; görünürlüğünü başka bir profile gömer. Dijital evrenin yapısı buna zorlar; çünkü akışı durdurmak, akışın varlık koşulunu ortadan kaldırmak demektir ki bu ontolojik olarak mümkün değildir. Kod kodu engelleyemez; ancak yeniden konumlandırır, yeniden yorumlar, yeniden haritalar. Böylece dijital dünyada engelleme yalnızca bir fenomen olarak belirir — ontolojik bir olgu olarak değil. Saldırının kendisi değil, algılanma biçimi değişir; tehlikenin varlığı değil, görünürlüğü yer değiştirir; savunma da aynı şekilde bir varlık değil, bir görünürlük mühendisliği mekanizması hâline gelir.

Dolayısıyla 9.4’ün nihai iddiası şudur:

Dijital evrende hiçbir engelleme gerçek değildir; engelleme dediğimiz şey yalnızca akışın yeniden haritalanması, yani re-map’tir. Akış durmaz, kesilmez, yok olmaz; yalnızca başka bir yüzeye, başka bir semantik katmana, başka bir görünürlük düzlemine taşınır. Dijital güvenlik, engelleme değil akışın topolojik kaderini yeniden yazma işlemidir.                                                                        

9.5. Koruma → yok (yalnızca simülasyon var)

Dijital evrende “koruma” kavramının hiçbir zaman gerçek bir varlık hâline gelemeyişinin nedeni, korunacak olan ile koruyan yapının tözsel olarak ayırt edilebilir olmamasıdır. Fiziksel dünyada bir zırh ile bir beden arasında maddi bir ayrım vardır; zırh dışarıdan gelen kuvveti soğurabilir, yönünü değiştirebilir veya tamamen engelleyebilir. Oysa dijital düzlemde koruyucu (antivirüs, firewall, EDR, IDS/IPS, sandbox, ML-engine) ile korunacak olan (kod, process, memory, paket, sistemin kendisi) aynı maddeden, yani 0–1 akışından yapılmıştır. Bu durum, koruma kavramını daha ilk anda ontolojik statüsünden eder: aynı maddeden yapılmış iki varlık birbirini “koruyamaz,” sadece birbirinin görünürlük profilini değiştirir. Dijital evrende varoluş, ilişkisel değil fenomenaldir; bu nedenle koruma, tözsel bir engelleme değil, bir algı yönetimidir.

Bu nedenle koruma “tehdidi ortadan kaldırma” anlamına gelmez; tehdit yalnızca başka bir yüzeye çekilir, başka bir yoğunluk rejimine gömülür. Antivirüs bir zararlıyı “silmez”; onun yürütümünü, görünürlüğünü ve semantiğini başka bir adrese taşır. Quarantine edilen bir dosya, yok edilmez—yeni bir bağlamda yeniden konumlandırılır. Firewall bir paketi “drop” ettiğinde varlığını yok etmez; akışı yalnızca sistemin görünürlüğünün dışına iter, başka bir semantik yüzeyde yaşamaya devam etmesine izin verir. EDR davranışı tanımladığında tehdidi durdurmaz; sadece hangi davranışın tehdit olarak algılanacağına dair metrikleri yeniden yazar. Yani koruma denen şey, saldırının tözünü ortadan kaldırmaz; saldırının algılanma biçimini re-kodlar.

Bu yüzden dijital evren asla “tehlikesiz” olamaz—tehlike yalnızca görünmezleşebilir. Tehdit ortadan kalkmaz, perspektiften çıkar. Zira dijital dünyada varlık yok olmaz; yalnızca görünürlüğü kayar, adı değişir, yoğunluğu azalır veya farklı bir semantik profile çözünür. Koruma mekanizmalarının tamamı bu yüzden ancak birer simülasyon olarak işleyebilir: tehdidin yokluğunu değil, yokluğun hissini üretirler. Bir sistemin “güvende” olması, gerçek bir güvenlik hâlinin değil, yalnızca belirli bir görünürlük düzeninin muhafaza edildiğinin işaretidir. Güvenlik panellerindeki yeşil işaretler, sistemde tehlike olmadığını değil, tehlikenin algılanmadığını bildirir.

Korumanın simülasyon olmasının kökeni, dijital evrenin hiçbir zaman ontik bir çarpışma alanı olmamasıdır. Kod ile kod “karşılaşmaz”; sadece birbirinin üzerinde çalışan yorumlayıcı yüzeyler üretirler. Bu nedenle bir savunma aracı tehdit üzerinde gerçek bir müdahale gerçekleştiremez—çünkü tehdit ile savunma arasında temas yoktur; sadece topolojik bir yakınlık vardır. Temassızlık ilkesi, korumanın maddi bir eylem olmasını ontolojik olarak yasaklar. Kalan tek imkân şudur: koruma, tehdit akışının göründüğü semantik yüzeyi yeniden çizerek sahte bir güvenlik duygusu yaratır. Böylece dijital evren, savunmayı tözsel bir işlem olarak değil, fenomenal bir görünürlük mühendisliği olarak yapılandırır.

Bu nedenle koruma gerçek değil, kaçınılmaz bir illüzyondur. Dijital sistemler “korunmuş” değildir—yalnızca belirli bir görünürlük rejimi içinde korunuyormuş gibi görünür. Çünkü dijital akış ontolojisinde koruma, varlığın sürdürülmesi değil, algısal bütünlüğün korunması anlamına gelir. Bu nedenle her siber güvenlik mimarisi, ontolojik değil fenomenal bir yapıdır: sistemin gerçekten güvenli olmasının değil, güvenli deneyiminin üretilmesidir. Kırmızı alarmın sönmesi tehdidin bitişi değildir; yalnızca görünürlüğünün ışığın altından çekilmesidir. Tehdit vardır, akışın içinde dolaşır, fakat görünür değildir—savunma da tam olarak bu görünmezlik hâlini sürdürmeye çalışır.

Sonuç olarak koruma, dijital evrende hiçbir zaman ontolojik bir eylem olamaz; yalnızca sürekli olarak yeniden üretilen bir simülasyonun adıdır. Tehdit yok olmaz; yalnızca görünürlüğü başka bir yüzeye kaydırılır. Savunma ise sistemi gerçekten korumaz; yalnızca sistemde “korunma hissi” yaratır. Dijital evrende koruma, varlığa değil algıya yöneliktir. Bu nedenle dijital güvenlik, varlığı savunmaz—algıyı düzenler. Ve bu düzenleme zinciri kırıldığı anda sistemin korunmuşluğu değil, korunmuşluk yanılsaması çöker.                                                                                                                                          

10. Sonuç: Dijital Evrende Gerçek Savunma Yoktur, Görünürlük Mühendisliği Vardır

Dijital evrenin tamamına yayılan temel ontolojik gerçek şudur: Savunma dediğimiz şey, tehdit ile koruyucu arasında gerçek bir temas varsayımına dayanır — fakat dijital dünyada temas diye bir şey yoktur. Kod, kodla çarpışmaz; paket, pakete değmez; virüs, antivirüs tarafından fiziksel bir engelle karşılaşmaz. Dijital varlıkların tümü aynı tözden, yani 0–1 akışından inşa edildiği için, biri diğerini “durduramaz”; yalnızca birbirlerinin görünürlüğünü yeniden üretir, yeniden şekillendirir, yeniden kurgular. Böylece dijital güvenlik, baştan sona ontolojik olarak imkânsız olan bir “engelleme” fikrine yaslanır; fakat aynı anda kullanıcıya bunun mümkün olduğu izlenimini vermek zorundadır. İşte bu zorunluluk, siber güvenliğin gerçek doğasını ortaya çıkarır: Savunma bir madde işlemi değil, bir görünürlük mühendisliği işlemidir.

Bu noktada savunmanın imkânsızlığı, dijital evrenin yapısal özelliklerinden doğar. Kod–kod ilişkilerinin hepsi fenomenaldir; ontik değildir. Bir varlık diğerine değmez, yalnızca onun üzerine yansır. Firewall’un “drop” ettiği paket yok olmaz; semantik düzlemde başka bir yüzeye itilir. Antivirüs’ün sildiği zararlı kaybolmaz; yalnızca erişilebilirlik eşiğinin arkasına taşınır. IDS/IPS’in engellediği trafik akışı durdurulmaz; başka bir yoğunluk rejimine gömülür. Makine öğrenimi tabanlı tehdit motorları davranışı ontik olarak yakalamaz; yalnızca tehdit ile tehdit-olmayan arasındaki görünürlük farkını yeniden tarif eder. Yani savunma bir gerçeklik müdahalesi değildir — bir yorumlama rejimidir.

Bu nedenle dijital dünyanın tehlikesi yok olmaz; tehdit yalnızca algılanabilirlik statüsünü değiştirir. Bir sistemin güvenli sayılması, tehdit bulunmadığı anlamına değil, tehditlerin belirli bir görünürlük eşiğinin altına itildiği anlamına gelir. “Güvenlik durumu” gerçekte bir varlık durumu değil, bir algı durumudur. Panelde yeşil ışık yanar; bu, hiçbir şeyin yanlış olmadığına değil, yanlış olanların görünür olmadığına işaret eder.

Aynı nedenle siber güvenlik “çarpışma” rejiminde çalışmaz; dijital varlıklar arasında çarpışma yoktur. Dijital akış ontolojisinde yalnızca karşılaşma vardır: fenomenal yüzeylerin birbirine değmeden oluşturduğu yoğunluk farkları. Tehdit ile savunma arasındaki bu temassız karşılaşma, savunmanın tözsel bir işlem olmasını engeller. Savunma, yalnızca sistem içi akışın semantik haritasını yeniden düzenleyebilir; tehdit akışını varoluştan silemez. Dolayısıyla “koruma” dediğimiz şey, varlığın korunması değil, algısal bir düzenin korunmasıdır.

Bunun sonucunda dijital evrende gerçek anlamda koruma yoktur; yalnızca korumaya benzeyen, onu taklit eden, fakat asla gerçekleştiremeyen bir simülasyon katmanı vardır. Kullanıcı, bu simülasyonun içinde güvenlik hissi yaşar; sistem de bu hissi sürdürebildiği sürece güvenli kabul edilir. Fakat bu his, tehditlerin görünürlük eşiğini aşmadığı sürece geçerlidir. Yoğunluk bir kez yükseldiğinde, görünürlük yeniden belirdiğinde, tehdit hiçbir zaman yok olmadığı için anında “var” hissedilir — aslında ortaya çıkan tehdit değil, tehdit algısıdır.

Bu noktada dijital evrenin yapısı kendini tam çıplaklığıyla gösterir: Savunma bir zorunluluk değildir; savunma simülasyonu bir zorunluluktur. Çünkü akış ontolojisinde her varlık yalnızca görünürlüğü üzerinden var olur. Bir şeyi gerçekten engelleyemezsin; sadece onun görünürlüğünü yeniden kodlayarak varlık algısını değiştirirsin. Dijital evren, bu nedenle, kendisini koruyan değil, kendisini korunuyor gibi gösteren bir yapı kurmak zorundadır.

Ve nihai tez tam da burada kristalize olur:
Dijital evren, savunma üretmek için değil, savunma simülasyonu üretmek için var olan bir akış ontolojisidir.
Tehdit yok olmaz; görünürlüğü yönetilir. Koruma gerçekleşmez; koruma deneyimi üretilir. Savunma ontik olarak imkânsızdır; fakat fenomenal olarak kaçınılmazdır.

Gerçekte güvenlik yoktur — yalnızca güvenliğin görünümü vardır.                                                          

10.1. Savunma İlüzyonunun Ontolojik Zorunluluğu

Dijital evrende savunmanın bir ilüzyon olarak ortaya çıkması bir hata, eksiklik veya teknik yetersizlik değildir; tam tersine, dijital ontolojinin bizzat yapısından türeyen zorunlu bir durumdur. Çünkü dijital varlıkların hepsi aynı maddeden — 0 ve 1’in kesintili diziliminden — oluşur ve aynı ontolojik düzlemde bulunur. Bu ortak düzlem, varlıklar arasında gerçek bir ayrım, fiziksel anlamda bir engelleme veya temasın mümkün olduğu bir yüzey üretmez. Kod, başka bir kodu “durdu­ramaz”; yalnızca onun görünürlüğünü yeniden şekillendirebilir. Bu yüzden savunmanın tözsel bir gerçekliği yoktur, fakat bu gerçekliğin yokluğu sistemin kendisini sürdürebilmesi için maskelenmek zorundadır. İşte bu maske, savunma ilüzyonudur.

Bu ilüzyonun zorunluluğu, dijital evrenin kendi istikrarını sağlayabilmesi için bir “güvenlik söylemi” üretmek zorunda olmasından kaynaklanır. Eğer kullanıcıya tehdit ile güvenli durum arasında ontik bir fark olmadığı gösterilseydi, tüm güvenlik mimarileri çökerdi; çünkü bu mimariler, tehditlerin gerçekten durdurulabileceği varsayımı üzerine inşa edilmiştir. Bu varsayım ontolojik olarak imkânsız olsa bile, sistemin işleyebilmesi için fenomenal bir gerçeklik olarak sürdürülmek zorundadır. Yani savunma, gerçekte var olmadığı hâlde varmış gibi görünmek zorunda olan bir yapıdır. Dijital evrenin kendi düzenini koruyabilmesi için bu görünümün devam etmesi gerekir; aksi hâlde akış ontolojisi çıplaklaşır, tehditler ile koruma arasındaki eşitsizlik yok olur ve dijital düzenin tamamı algısal bir çöküş yaşar.

Savunma ilüzyonu, sistemin iç akışlarının yeniden eşiklendirilmesiyle, yoğunlukların yeniden dağıtılmasıyla, görünürlüğün semantik olarak manipüle edilmesiyle üretilir. Firewall bir paketi “drop” ettiğini söylerken, aslında yaptığı şey paketin görünürlüğünü eşik altına itmekten ibarettir. Antivirüs bir zararlıyı “karantinaya aldığı” iddiasında bulunurken, gerçekte onu sistemin fenomenal yüzeyinden çekip başka bir semantik konuma taşır. IDS/IPS “engelleme” gerçekleştirdiğini rapor ettiğinde, ontolojik düzeyde durdurulan hiçbir şey yoktur; yalnızca akış farklı bir yorumlama rejimine aktarılmıştır. Bu işlemlerin tümü, savunma kavramının ontik değil fenomenal bir statüye sahip olduğunun göstergesidir.

Savunma ilüzyonu zorunludur çünkü dijital varlıkların birbirine temas etmemesi, engellemenin mümkün olmaması, tehdidin hiçbir zaman yok olmaması, tüm güvenlik mimarisini ontolojik açıdan boşa çıkarır. Eğer sistem bu çıplak gerçeği doğrudan gösterseydi, kullanıcıda güvenlik kavramının tüm anlamı çökerdi. Sistem bu çöküşü engellemek için güvenliği bir simülasyon olarak üretir; yani savunmanın kendisi değil, savunmanın algısı yaratılır. Kullanıcı bu algıyı deneyimler ve sistemin düzeni devam eder.

Dolayısıyla savunma ilüzyonu, dijital evrenin epistemik bir yan etkisi değil; ontolojik bir gerekliliktir. Dijital dünyada güvenliğin anlamı, tehditlerin yok edilmesi değil, tehditlerin görünmez hâle getirilmesidir. Güvenlik, tehditlerin akışını durdurmak değil, bu akışın görünürlüğünü belirli bir eşiğin altında tutmaktır. Bu nedenle savunma asla gerçek bir güç ilişkisi değildir; bir görünürlük mühendisliği pratiğidir.

Sonuç olarak:
Dijital evrende savunma ilüzyonu yalnızca kaçınılmaz değildir, aynı zamanda sistemin sürekliliği için zorunludur. Tehditlerin gerçekten durdurulamaması savunmayı yok etmez; tam aksine, savunmanın sürekli olarak yeniden üretilmesi gereken fenomenal bir yapı olmasını sağlar. Dijital evren, ontolojik düzeyde savunma üretemediği için, fenomenal düzeyde savunmanın görünümünü üretmek zorundadır — bu, varlığının şartıdır.                                                                                                                                

10.2. Siber Güvenliğin Çarpışma Değil Karşılaşma Rejimi

Siber güvenliğin geleneksel olarak “çarpışma” metaforuyla anlaşılması — saldırı ile savunmanın iki karşıt güç olarak birbirine temas ettiği, birinin diğerine zarar verdiği, karşılıklı bir mücadele alanı oluşturduğu fikri — dijital ontolojinin en temel yapısal özelliklerine bütünüyle terstir. Çünkü çarpışma, fiziksel dünyaya ait bir ontolojik kurgudur: iki tözün karşı karşıya gelmesi, momentum aktarımı, güç transferi ve mekanik etkileşim varsayar. Dijital evrende ise hiçbir varlık diğerine dokunamaz; tehdit, savunma, yazılım, paket, kernel, algoritma — hepsi aynı maddeden oluşur, aynı düzlemde var olur ve birbirleriyle yalnızca görünürlük seviyeleri üzerinden ilişki kurabilir. Bu nedenle dijital dünyada “çarpışma”dan söz etmek ontolojik bir kategorik hata, varlığın kendi doğasına yabancı bir metafordur.

Dijital evrende olan şey bir çarpışma değil, karşılaşmadır. Karşılaşma, iki varlığın birbirine temas etmeksizin, yalnızca fenomenal yüzeylerde oluşturdukları görünüm değişimleri aracılığıyla birbirlerinin varlığını koşullandırmasıdır. Kod asla başka bir kodu durdurmaz; yalnızca onun görünürlüğünü, hareket eksenini, semantik bağlamını yeniden şekillendirir. Bir paket hiçbir zaman fiziksel anlamda “bloklanmaz”; akış semantik olarak yeniden haritalanır ve paket artık görünürlük alanının dışında işler. Antivirüs bir zararlıyı “ortadan kaldırdığını” iddia ederken, zararlı ontik düzeyde hâlâ vardır; sadece görünürlüğü başka bir yüzeye çekilmiştir. Yani dijital ilişkide yaşanan şey bir güç mücadelesi değil, görünürlük rejimlerinin çarpışmadan doğan yeniden dağılımıdır.

Karşılaşma rejiminin temel niteliği şudur: varlıklar birbirlerine etki etmez, yalnızca birbirlerinin görünürlük yapısını değiştirir. Bunun ontolojik kökeni, sistemde tözsel fark bulunmamasıdır. Tehdit de 0–1’dir, savunma da 0–1’dir; bu yüzden biri diğerine üstün gelemez, onu yok edemez, ona temas edemez. Yapılabilen tek şey, iki akış arasındaki eşiklerin yeniden düzenlenmesi, akış yollarının semantik olarak güncellenmesi ve yoğunlukların yeniden dağıtılmasıdır. Bu nedenle siber güvenlik hiçbir zaman savaşmadı; yalnızca karşılaşmalar üretti.

“Karşılaşma rejimi” aynı zamanda dijital ontolojinin zaman-mekân yapısıyla da uyumludur. Çünkü dijital evrende olaylar ardışık bir mekânsal süreklilik içinde gerçekleşmez; olay dediğimiz şey, görünürlük yüzeyinde anlık yoğunlaşmalardan ibarettir. Bu da demektir ki saldırı, savunmanın karşısına çıkan bir güç değildir; savunmanın yorumlanabilir hâle geldiği bir görünürlük alanıdır. Savunmanın kendisi de bir eylem değildir; sistem içi akışın yeniden kodlanmasıdır. Dolayısıyla dijital evrende “karşılaşma”, iki varlığın birbirine dokunmaksızın, birbirlerinin fenomenal izdüşümlerini yeniden şekillendirdiği bir ontolojik etkileşim biçimidir.

Bu yüzden siber güvenliği gerçek anlamda kavramak isteyen biri, çatışma metaforlarını terk etmeli ve dijital ontolojiyi karşılaşma ekseninde düşünmelidir. Çünkü saldırı ile savunmanın birbirini tükettiği bir mücadele yoktur; yalnızca akışın ve görünürlüğün yeniden düzenlendiği bir fenomenal yüzey vardır. “Tehdit arttı”, “savunma devreye girdi”, “atak kırıldı” gibi ifadeler, bu fenomenal yüzeydeki yoğunluk hareketlerinin antropomorfik yorumlanmasından ibarettir. Gerçekte olan, varlıkların birbirinin yönünü değiştirerek karşılaşması, fakat hiçbir zaman çarpışmamasıdır.

Karşılaşma rejimi, dijital güvenliği daha açık bir ontolojik konuma taşır: burada savunma artık saldırıyı durduran bir güç değil, saldırının görünürlüğünü absorbe eden bir yeniden-kodlama sistemidir. Saldırı da savunmayı aşan bir güç değil, savunmanın semantik denklemine yeni bir yoğunluk olarak giren bir akıştır. Hiçbir şey yok olmaz, hiçbir şey engellenmez, yalnızca karşılaşır. Ve bu karşılaşma sırasında sistem kendi görünürlük düzenini yeniden üretir. İşte dijital güvenliğin özündeki gerçek mekanizma budur.                                                                                                                                                              

10.3. Kod–Kod İlişkilerinin Ontik Değil Fenomenal Oluşu

Dijital evrende hiçbir kod başka bir kodla ontik bir ilişki kurmaz; çünkü ontik ilişki, iki varlığın birbirine temas ederek birbirinin varlığını değiştirmesi anlamına gelir ve temas, dijital ontolojide yapısal olarak imkânsızdır. Kodlar — ister zararlı yazılım, ister antivirus motoru, ister kernel süreci, ister firewall kuralı, ister ML tabanlı algılama modeli olsun — aynı tözden, yani 0 ve 1’in kesintili dizilimlerinden ibarettir. Tek maddeden oluşan bir düzlemde, Aristoteles’in bile ayırt ettiği anlamda “etki”, “nedensel temas”, “dönüştürücü ilişki” gibi kategoriler ortadan kalkar. Çünkü ilişkisel bir etki yaratabilmek için tözsel fark gerekir; tözsel farkın olmadığı bir dünyada ilişki, yalnızca fenomenal biçimde ortaya çıkabilir. Bu nedenle dijital evrende kod–kod ilişkisi diye adlandırılan şey aslında yalnızca birbirine görünme tarzlarının değişmesidir.

Bu fenomenal yapı, dijital ontolojiyi fiziksel ontolojiden kesin çizgilerle ayırır. Fiziksel dünyada iki nesne çarpıştığında momentum aktarılır; kimyasal maddeler birleştiğinde moleküler yapı değişir; biyolojik bir organizmaya giren bir virüs hücreyi dönüştürür. Dijital evrende bunların hiçbiri yoktur. Bir virüs, bir antivirüsü “dönüştürmez”; antivirüs de virüsü “yok etmez”. Yaptıkları tek şey, birbirlerinin görünürlük rejimlerini yeniden düzenlemektir: antivirüs virüsü “karantinaya alır”, ancak virüs hâlâ sistemdeki 0–1 akışının bir parçasıdır; yalnızca başka bir semantik yüzeye itilmiştir. Virüs antivirüsü “atlatır”, fakat bu atlatma, ontik bir geçiş değil, görünürlüğün sistemin başka bir bölgesine kaymasıdır. Yani dijital karşılaşmalar ontik düzeyde değil, görünüm düzeyinde gerçekleşir — bu da onları fenomenolojik yapılar hâline getirir.

OOO’nun (Nesne-Yönelimli Ontoloji) withdrawal ilkesi burada tam anlamıyla işler: her dijital varlık, diğer tüm dijital varlıklardan geri çekilmiş hâldedir; hiçbirinin içsel gerçekliği diğerine açılmaz. Bir antivirus motoru, bir virüsün ne olduğunu gerçekten “bilmez”; yalnızca fenomenal belirtiler seviyesinde ona bir görünürlük formu atar. ML tabanlı modeller dahi davranış paternleri üzerinden bir “sapma” okur, fakat bu sapmanın arkasındaki ontik varlığı görmez. Çünkü dijital evrende ontik görmek diye bir şey yoktur; yalnızca fenomenleri okumak vardır. Kodun kodla ilişkisi, tıpkı gölge ile ışığın ilişkisi gibi, yalnızca yüzeyde gerçekleşen bir görünümsel devinimdir.

Bu nedenle, kod–kod ilişkilerinin ontik olduğunu varsayan her siber güvenlik söylemi — “virüs sisteme girdi”, “antivirüs virüsü durdurdu”, “paket firewall’a çarptı”, “IDS saldırıyı engelledi” gibi ifadeler — dijital evrenin varlık mantığına tamamen yabancı metafizik kalıntılardır. Bu ifadeler, fiziksel dünyadaki ilişkilerin dijital düzleme yanlış projeksiyonundan ibarettir. Oysa dijital evrende hiçbir şey “çarpmadığı” için hiçbir şey “durdurulmaz”; hiçbir şey “içeri girmediği” için hiçbir şey “dışarı atılmaz”; hiçbir şey “yok olmadığı” için hiçbir şey “yok edilmez.” Kod, yalnızca fenomenal görünümlerinin yerini değiştirir, yoğunluğunu artırır, zayıflatır veya başka bir semantik bağlama taşınır.

Bu fenomenal yapı, kod–kod ilişkilerinin zaman ve mekânla ilişkisini de radikal biçimde değiştirir. Çünkü dijital evrende zaman, ontik bir ardışıklığın değil, görünürlük yoğunluğunun değişim hızının ürünüdür. Bir virüsün “aktivite göstermesi”, ontik bir eylem değil, görünürlüğün belirli bir eşik üzerinde yoğunlaşmasıdır. Aynı şekilde bir güvenlik mekanizmasının “tetiklenmesi”, bir eylem değil, görünürlük yüzeyinin semantik olarak yeniden çerçevelenmesidir. Yani dijital evrende olay dediğimiz şey bile ontik değil, fenomenaldir; olay, görünürlük yoğunluğunun bir anlık artışından başka bir şey değildir.

Dolayısıyla kod–kod ilişkilerinin ontik değil fenomenal oluşu, tüm siber güvenlik pratiklerinin temelini yeniden tanımlar. Siber güvenlik, ontik bir savaş değil, fenomenal yüzeylerin yeniden düzenlenmesidir. Saldırı, ontik bir tehdit değil, görünürlük paterninin sıkışmasıdır. Savunma, ontik bir koruma değil, görünürlük akışının semantik olarak yeniden kodlanmasıdır. Kodlar birbirini yok etmez; yalnızca karşılıklı olarak birbirlerinin görünürlük eşiklerini değiştirirler. Ve dijital evrenin bir bütün olarak işleyişi, tam da bu fenomenal ilişkiler ağına dayanır.                                                                                    

10.4. Tüm Güvenlik Pratiklerinin Simülasyon Hâline Gelmesi

Dijital evrende savunma olarak adlandırılan her pratik, ontik bir engelleme değil, yalnızca bir simülasyon üretimidir; çünkü savunmanın hedef aldığı şeyin kendisi ontik bir varlık değil, bir görünürlük fenomenidir. Bir virüsün “sisteme girmesi” diye anlatılan şey gerçekte hiçbir zaman bir giriş değildir; akışta zaten mevcut olan yoğunlukların belirli bir yüzeyde fark edilir hâle gelmesidir. Firewall’un “engellemesi”, IDS/IPS’in “drop” işlemi, antivirüsün “silmesi”, sandbox’ın “izolasyonu” — bunların tamamı, akışın kendisine dokunmayan, yalnızca algoritmik yüzeyde yeni bir anlamlandırma katmanı üreten semantik işlemlerdir. Yani savunma dediğimiz şey, dijital evrende tözsel değil, kaçınılmaz biçimde temsilidir; varlığa değil, görünürlüğe müdahale eder.

Bu yüzden dijital savunma hiçbir zaman bir “çatışma”ya benzemez. Çatışma, iki ontik varlığın birbirine güç uygulamasını gerektirir. Oysa dijital evrende güç aktarımı yoktur; 0 ve 1’lerin hiçbir dizilimi, başka bir dizilime fiziksel anlamda temas edip onu zorlayamaz. Virüs bir antivirüsü “aşmaz”; antivirüs de virüsü “durdurmaz”. Her iki varlık da sadece kendi fenomenal yüzeyini, yani karşı tarafın ona dair üretebildiği görünüm biçimini dönüştürür. Bu nedenle saldırı ve savunma arasındaki tüm kavramlar — “penetrasyon”, “block”, “kill chain”, “defense in depth” — dijital ontoloji açısından semantik figürlerden ibarettir; ontik karşılıkları yoktur.

Simülasyon tam olarak bu noktada devreye girer: savunma mekanizması, sanki bir şey engellenmiş, durdurulmuş, çıkarılmış veya yok edilmiş gibi davranır, oysa yaptığından geriye kalan tek şey, görünürlüğü başka bir yüzeye taşımak, yoğunluğu başka bir eşikte seyrelterek hissedilmez kılmak ya da tehdit olarak yorumlanabilecek semantik bağlamı yeniden kodlamaktır. Antivirüs bir dosyayı karantinaya aldığında, dosya gerçekte yok edilmez; yalnızca sistemin belirli bir semantik parçasından diğerine taşınır. Firewall bir paketi “drop” ettiğinde, akışın kendisi kesilmez; yalnızca o paketin görünürlük zincirine eklenmesi engellenir. IDS bir davranışı “malicious” olarak sınıflandırdığında, davranış ontik anlamda değişmez; sadece anlamlandırma pratiği değişir. Bütün bunlar, savunmanın gerçekte bir engelleme değil, bir anlatı yönetimi olduğunu gösterir.

Savunmanın simülasyon hâline gelmesinin asıl nedeni ise, dijital evrenin ontik değil tamamen fenomenal bir düzleme sahip oluşudur. Bu evrende “eylem” dediğimiz şey ontik bir müdahale değil, yalnızca görünürlüğün yeniden düzenlenmesidir. Bu nedenle savunma, rakibi yok eden bir kuvvet olmaktan çok, kullanıcıya, sisteme veya operatöre “koruma illüzyonu” sağlayan bir estetik düzenleyici işlev görür. Yani savunmanın gerçek işlevi ontik tehditleri durdurmak değil, algoritmik varlıkların birbirlerine asla dokunmayacağı bir dünyada, temas varmış gibi bir görünüm üretmektir.

Böylece dijital güvenlik, fiziksel dünyanın savunma mantığını taklit eden fakat onu hiçbir zaman gerçekleştiremeyen bir pseudo-mekanizma hâline gelir: duvarı olmayan bir duvar, kapısı olmayan bir kapı, durdurmadığı şeyi durduruyormuş gibi yapan bir jest. Tüm modern güvenlik pratikleri — firewall mimarileri, antivirüs motorları, davranış analitiği, SIEM korelasyonları, hatta tehdit istihbaratının kendisi — gerçekte ontik bir savaşı yönetmez; yalnızca fenomenal bir görünürlüğü manipüle eder, bir simülasyon kurgular ve bu simülasyonun sürekliliği ölçüsünde bir “güvenlik hissi” üretir.

Bu nedenle dijital evrende savunmanın başarı ölçütü, tehditlerin ontik olarak yok edilmesi değil, onların fenomenal olarak görünmezleştirilmesidir. Savunma mekanizmasının iyi çalışması, gerçekte daha güvenli bir sistem yaratmaz; sadece daha iyi bir simülasyon yaratır. Tehdit oradadır, akışın içindedir, 0–1 ontolojisinin ayrılmaz bir parçasıdır — fakat güvenlik pratikleri onu farklı yüzeylerde eriterek, yoğunluğunu azaltarak veya semantik arka plana iterek, onu “yokmuş gibi” kılar. Böylece dijital güvenlik, ontik dünyada var olmayan bir karşılaşmayı simüle ederek işler: bir saldırgan varmış gibi, bir çarpışma yaşanıyormuş gibi, bir engelleme gerçekleşiyormuş gibi yapar; çünkü akış-ontolojisinde başka bir seçenek yoktur.                                                                                                                                         

10.5. Nihai Tez: Dijital Evren = Savunma Simülasyonu Üretmek Zorunda Olan Akış Ontolojisi

Dijital evrenin tamamı, temelde akıştan ibarettir: 0 ve 1’lerin durmaksızın yeniden dizildiği, hiçbir tözsel varlık içermeyen, yalnızca biçim değiştiren bir yoğunluk alanı. Bu akışın içinde ne saldırı ontik bir varlığa sahiptir ne savunma; ne tehdit fiziksel bir giriş yapar ne de koruma fiziksel bir duvar örer. Her şey yalnızca akışın farklı yüzeylerde ürettiği fenomenal görünürlüklerden ibarettir. İşte bu nedenle dijital evren, savunma simülasyonu üretmeye ontolojik olarak mahkûmdur: çünkü ontik bir savunma mümkün değildir, fakat güvenlik beklentisi olan bir bilinç (insan operatörü) vardır. Bu beklentinin tatmini, ancak simülasyon düzeyinde gerçekleşebilir.

Bu dünyada “gerçek savunma” diye bir şeyin bulunamayışı, ontolojik bir eksiklik değil, bizzat evrenin ilk özelliklerinden biridir. Dijital varlıkların hiçbiri birbirine dokunamaz; virüs antivirüsü aşamaz, antivirüs virüsü yakalayamaz, firewall saldırıyı durduramaz. Çünkü akışın içinde yön, taraf, mekân, giriş ve çıkış yoktur — yalnızca intensite farklarının fenomenal yüzeylere çarparak görünürleşmesi vardır. Bu nedenle saldırı dediğimiz şey ontik bir eylem değil, belirli bir anda yoğunluğun eşik aşımıdır. Savunma dediğimiz şey ise ontik bir bariyer değil, bu yoğunluğu başka bir semantik yüzeye taşıyan görünürlük mühendisliğidir.

Dijital evrenin savunma simülasyonu üretmek zorunda oluşu, fiziksel dünyadaki savunma-koruma metaforlarının bu evrene yanlış aktarılmasının değil, doğrudan dijital ontolojinin kendi iç zorunlulularının sonucudur. Çünkü akışın kendisi hiçbir zaman durmaz, kesintiye uğramaz, parçalanmaz; saldırı denilen şey akışın içindeki potansiyellerden yalnızca biridir. Bu potansiyelin fark edilmesi, onun gerçekleştiği anlamına gelmez; gerçekleşmesi de ontik bir “olay” oluşturmaz. Tek olan, akışın belirli bir yüzeyde form değiştirmesi ve bu formun bir tehdit fenomeni olarak yorumlanmasıdır. Bu yorum işlemi, savunmanın özünü oluşturur. Yani savunma, tehditten önce gelen yapısal bir olay değil, tehdidi fenomenal olarak tanımlayan semantik bir çerçevelemedir.

Bu nedenle dijital evrenin mantığı şudur:
Savunma, saldırının kendisinden değil, saldırının fark edilme biçiminden türeyen bir simülasyondur.

Aynı akış içinde üretilen tüm güvenlik katmanları — firewall politikaları, antivirüs imzaları, makine öğrenimi modelleri, IAM protokolleri, IDS/IPS davranış ağları — saldırıyı yok edemez; çünkü saldırı yok edilebilir bir şey değildir. Olsa olsa görünmez hâle getirilebilir, yeniden adlandırılabilir, farklı bir semantik yüzeye aktarılabilir. Bu da “koruma” gibi sunulsa da özünde semantik bir yeniden düzenlemedir. Koruma = tehdit fenomeninin farklı zamanlarda ve farklı yoğunluklarda yeniden paketlenmesi demektir. Ontik bir engelleme değildir, fenomenal bir yeniden mimaridir.

Böylece dijital evrenin nihai durumu ortaya çıkar:
Tehdit akışın içkin bir parçasıdır, savunma ise bu akışa dair bir farkındalık illüzyonu üretmekle yükümlüdür.

Bu illüzyon olmadan dijital evren, insan operatörü için yönetilemez hâle gelir. Çünkü insan, fenomeni ontik sanmaya eğilimli varlıktır; görünürlüğü gerçeklikle karıştırır. Güvenlik pratiklerinin işlevi, tam da bu bilişsel ihtiyacı tatmin etmektir: tehdit görünür olduğunda onu sıkıştırmak, görünmez olduğunda sistemin “güvenli” olduğunu ima etmek. Bu, ontik bir durum yaratmaz; yalnızca operatörün bilinç düzleminde düzeni simüle eder.

Sonuç olarak dijital evren, “gerçek savunma” yaratamaz çünkü böyle bir şey ontik olarak mümkün değildir; fakat savunma simülasyonu yaratmak zorundadır çünkü dijital dünyaya bakan bilinç bunu talep eder. Böylece dijital ontoloji, semantik re-kodlama üzerine kurulmuş bir güvenlik rejimini zorunlu kılar: saldırı olarak gördüğümüz şey akışın yoğunlaşmış bir fenomeni, savunma olarak gördüğümüz şey ise yalnızca o fenomenin anlam haritasını yeniden düzenleyen bir simülakr.

İşte nihai tez bunun için kaçınılmazdır:

Dijital evren = Gerçek savunmanın imkânsız olduğu, fakat savunma simülasyonunun zorunlu olduğu bir akış ontolojisidir.