Siber güvenlik konusunda ülkemizdeki üniversiteler son birkaç yıldan beri yüksek lisans dersleri açmaya başlasa da, yurtdışındaki eğitim kurumlarına Türkiye’den giden akademisyenlerin küresel siber güvenlik camiasında önemli yer edindiğine şahit oluyoruz. Bu isimlerden biri dünyanın çalışmalarını yakından takip ettiği önemli bir akademisyen olan Engin Kırda. Boston’daki Northeastern Üniversitesinde ders veren Kırda, aynı zamanda ilerlemiş tehdit analizi bulma ve analiz etme konusunda çalışan Lastline Inc. şirketinin de kurucuları arasında yer alıyor.
Siber güvenlik üzerine yoğunlaşan bir IT lideri olarak değerlendirilen, onlarca yüksek lisans doktora öğrencisi yüzlerce akademik makalesi bulunan Engin hoca ile akademisyenlerin şirket kurmasından, ABD’nin siber tehdit algılarına kadar birçok konuyu konuşma imkanı bulduk.
Küresel siber güvenlik sektörünün önümüzdeki yıllarda nasıl bir yol izleyeceğini düşünüyorsunuz? Açıklanan son verilere göre güvenlik harcamalarının neredeyse yarısı bulut güvenliğine ayrılıyor. Bunun böyle devam edeceğini düşünüyor musunuz? Ön plana çıkacağını düşündüğünüz başka alanlar var mı?
Küresel güvenlik harcamalarının önünüzdeki yıllarda da hızla artacağını düşünüyorum. Bu konuda sanırım herkes hemfikir. Ama, bunun ne kadarının bulut güvenliği için ayıralacağını kestirmek güç. Bulut güvenliğinin avantajları olduğu kadar, aynı zamanda, insanları düşündürdüğü noktalar da var. Mesela bilgilerin özelliğinin ne derece garantilenebileceği hala tartışma konusu. Ashley Madison ya da Apple örneğinde göründüğü gibi bir başkasının sizin bilgilerinizin güvenliğinizi sağlaması büyük derecede karşı tarafa güvenmenizi gerektiren bir durum. Onun için en azından benim içinde bulunduğum sektörde (yani, zararlı yazılım tesbiti) bir çok organizasyon hala kendi bulut sistemlerini kurmayı ve bilgi paylaşmamayı tercih ediyor.
Benim tahminim, önümüzdeki yıllarda zararlı yazılım ile yapılan saldırıların artacağı ve problemin bir çok ülke ve organizasyon için daha akut hale geleceği yönünde. Mesela, mobil plaformlarda (cep telefonu gibi) ve embedded sistemlerde daha çok saldırı göreceğimizden maalesef benim pek şüphem yok.
İLGİLİ HABER >> SİBER GÜVENLİK HARCAMALARI 170 ML$ DOLAR OLACAK
Bir akademisyen olarak kendi şirketinizi kurmaya nasıl karar verdiniz? Benzer bir girişim yapmak isteyen akademisyenlere tavsiyeniz nedir? Akademisyenin olmanın iş dünyasında eksisi – artısı nedir?
2010 yılında University of California, Santa Barbara’dan iki profesör arkadaşımla Lastline’ı kurmaya karar verdik. Bunun ana sebeplerinden biri bizim kullanıcılarımızdan gelen talep oldu. Yaptığımız akademik sistemlerin İnternet’te çok sayıda kullancısı vardı ve bize mesaj atarak bu sistemleri kendi organizasyonları için satın alıp alamayacaklarını bize çok sık soruyorlardı. Biz de bunu bir şirket kurararak yapmaya karar verdik. Hedeflerimizden biri, daha çok sayıda kullanıcıya erişip, aynı zamanda da daha ilginç araştırmalar yapabilmekti. Lastline sayesinde elimizde ilginç veriler var, ve bu da son yıllardaki araştırmalarımıza da yansıyor.
Akademisyen olmak Avrupa’da ve Türkiye’de bazen dezavantaj olarak görülebiliyor. Çünkü klasik bir akademisyen, bu yerlerde “teorisyen” olarak bilinir genelde. Ama Amerika’da durum biraz daha farklı. Üniversitelerden çok sayıda ilginç fikir ve şirket çıkıyor (mesela Akamai, VMWare, Google) ve üniversiteler ve özel sektör yakın bir işbirliği içinde. Konu itibari ile Lastline’ı kurmadan önce bizim zaten bir çok şirket ile yakın ilişkilerimiz vardı ve bu da şirketimiz açısından yararlı oldu.
Bir başka avantaj da şirketimizde çok sayıda doktoralı, eski post-doc ve öğrencilerimizin bulunması. Bu çocuklar zor soru çözme konusunda eğitimli ve olaylara çok daha bilimsel, ve yapıcı yaklaşıyorlar.
Başka akademisyenlere genel bir tavsiye yapmam zor çünkü biraz nerede olduklarına bağlı. Amerika’da hocaların şirket kurması teşvik edilen bir durum. Üniversiteler bunun önemini anlamış durumda. Ama başka yerlerde (mesela Fransa’da) bir çok bürokratik engel çıkabiliyor maalesef.
İLGİLİ RÖPORTAJ >> KÖŞENİZDE OTURARAK DÜNYA PAZARINDA REKABET EDEMEZSİNİZ
DefCon CTF’lerine öğrencilerinizle birlikte kurduğunuz takımla katılıyorsunuz. Buradaki tecrübeleriniz anlatabilir misiniz? Öğrencilerle beraber aynı takımda yarışmak nasıl bir his? Sizin ve öğrencilerinizin gelişimine nasıl katkı sağlıyor bu tür etkinlikler?
Evet, öğrencilerimiz ile DefCon CTF’e yıllardır katılıyoruz; ama takımı tek başıma kurmuş olduğumu söylemek UC Santa Barbara’daki profesör arkadaşlarım Giovanni Vigna ve Chris Kruegel’e haksızlık olur. İşin aslında gerçeği, Giovanni’nin bu işe bizden önce başlamış olduğu. O bu işe gönül verdikten sonra yaklaşık 10 yıl önce hepimiz ortak bir takım yaratıp öğrencilerimizle katkı sağlamaya başladık. Takımızın ismi Shellphish ve genelde ilgili öğrencilerden oluşuyor.
Ben 4-5 yıl önce DefCon’u kaçırmamaya çalışıyordum her yıl, ama son zamanlarda vaktim çok kısıtlı olduğundan maalesef ve öğrencilere maddi destek vermek ve organizasyon dışında fazla bir katkım olduğunu iddia edemem. Ama geçmişte yarıştığımda çok eğlenceli oluyordu. Özellikle benden daha zeki ve becerikli kişilerle aynı takımda olabilmek, beni mutlu eden birşey. Ya da benim derslerden tanıdığım çocukların zamanla teknik olarak ne kadar iyi olduklarını, beni kat kat geçtiklerini görmek tatmin edici bir duygu.
DefCon CTF gibi yarışmaların akademik ve bilimsel olarak çok önemli olduğunu düşünmuyorum ben. Sonuçta en iyi hacker her zaman en iyi bilimci olmuyor. Ama öğrencilerin teknik yeteneklerini geliştirme açısından bence çok yararlı. Ve aynı zamanda da eğlenceli olduğu için moral ve motivasyon açışından çok faydalı.
DefCon CTF’e eskisi gibi sık katılamasam da, derslerimde buna benzer CTF tarzı ödevler organize ediyorum hala. Ve bu benim için de zevkli oluyor. Öğrenciler genel olarak bu ödevleri eğlenceli ve zevkli buldularını söylüyorlar ve bu dersler de oldukça popüler.
İLGİLİ HABER >> TÜRKİYELİ UZMANLAR HACKİNGİN SÜPER LİGİNDE TER DÖKECEK
Secure System Lab’ını kurdunuz. Burada nasıl faaliyetler yapılıyor? Kuruluş aşamasında ne gibi zorluklar yaşadınız? Benzer labların Türkiye’de kurulabilmesi için hangi adımların atılması gerekiyor? Bu noktada sivil toplum ne yapabilir?
Secure System Lab’i kurmakta fazla bir zorluk yaşamadık. Elimizde yeterli kaynak vardı ve zaten bir bilgisayar lab’i kurmak için fazla birşeyler gerekmiyor kanımca. Öğrencilerin oturacağı yer, bilgisayar, ve bir kaç server olduktan sonra herkes bu tip bir lab kurabilir. İşin güzelliği de bu bence zaten. Fizik ve kimya konusunda dünya çapında bir lab kurmak için milyonlarca dolara ihtiyacınız olabilir, ama bizim alanda bir kaç bin dolara lab kurup, uluslararası çapta güzel birşeyler yapabilirsiniz. Bizim konular çok soyut ve yaratıcılık ve teknik yetenek olduktan sonra herşey mümkün.
Türkiye’de böyle birşey yoksa sorun insan kaynağı sorunu ve bilgisayar bilimine genel bakış kanımca.
TÜRKİYE’DE BİLGİSAYAR BİLİMİ EĞİTİMİ VERİLDİĞİNİ SANMIYORUM
Siber güvenliğin giderek bir uluslararası ilişkiler meselesi olarak devlet yönetimlerinin de güvenlik bağlamında ele aldıkları bir konu haline gelmesinin bilimadamı – devlet ilişkisini nasıl değiştireceğini düşünüyorsunuz?
Amerika’da her konuda devlet ile bilimadamları arasında yakın bir ilişki var zaten. Araştırma için güvenlik alanında da üniversiteler ve şirketler için büyük araştırma kaynakları ayırılıyor son zamanlarda. Avrupa’da bu alanda 5 yıl önce -ben oradayken- kaynak açısından siber güvenliğe daha çok kaynak ayırılmaya başlanmıştı, ama son zamanlarda bunun biraz değiştiğini ve kriptolojiye daha çok ağırlık verdiklerini duydum. Bunun ne kadar verimli olacağı konusunda şüphelerim var.
Türkiye’de de siber güvenlik için değişik devlet birimlerinin kaynak ayırdığını duydum, ama bunun başka ülkelere göre ne derece başırılı ve etkili olacağını kestirmek bence henüz güç. En büyük sorun, bu konuda bilgili insan eksikliği ve o da hemen para yatıralarak anında çözülebilecek bir sorun değil.
Bence ana sorunlardan biri Türkiye’de bir çok akademisyenin ve insanın bilgisayar bilimine bakışı. Hala teknik alanlarda mühendislik en önemli nitelik olarak görüldüğü için bir çok okulda gerçek anlamda “computer science / bilgisayar bilimi” eğitimi verilebildiğini sanmıyorum. “Aman elektronik oku, zaten herkes kod yazabilir” düşüncesi var olduğu sürece, ve üniversitelerde dergi yayınlarına her zaman konferans yayınlarından daha çok önem verildiği sürece bilgisayar biliminin (ve siber güvenliğin) ilerlemesi kanımca biraz zor.
Avrupa Komisyonuna ve Temcsilciler Meclisine yükselen tehditler konusunda danışmanlık verdiniz. Buradan yola çıkarak hem AB hem ABD açısından değerlendirmenizi alabilir miyiz?
Avrupa Birliği çok sayıda ülkeden meydana geldiği için genel olarak zaten belli bir mevzuat üzerinde anlaşmaları zor oluyor. Buna siber güvenlik de dahil tabii. Ülkelerin çok ciddi eğitim ve teknik farkları var. ENISA kanımca çok yetersiz ve etkisiz bir birim. Desteklenmesi yararlı olabilir. Ama ENISA’nin görevleri ve yararı konusunda bile tam bir mutabakat olduğunu sanmıyorum ben. ENISA yerine gerçek anlamda teknik ve bilgili (yani insanların saygısını kazanabilecek) yeni bir birim bence daha çok katkı sağlayabilir.
İLGİLİ YAZI >> AB’NİN SİBER GÜVENLİĞİ UDO HEMBRECHT’E EMANET
ABD açısından bakıldığında ulusal tehdit önceliklendirmesi nasıl yapılıyor? Her ne kadar Amerikalı yetkililer siber alanda Rusya’yı öncelikli tehdit olarak açıklasa da, bunun eski bir Soğuk Savaş alışkanlığı olduğu değerlendirilmesi yapılıyor.
ABD’nin kimi tehdit olarak gördüğü sürekli değişen bir durum. Daha 4-5 yıl önce haberlerde her gün Çin en büyük tehdit olarak gösteriliyordu mesela. Şimdi ise son hack’ler yüzünden ve politik durum sebebiyle Rusya’yı çok duyuyoruz. Bence haberlerde okuduğumuz söylemlerle Amerika’nın kimi tehdit olarak algıladığını biraz ayırmak lazım. Bence Amerika siber tehditin her yerden gelebileceğinin farkında. Onun için belli ülkeler tehdit olarak listelense de, kendilerine yakın ülkelerin de kendilerine karşı arada “birşeyler” yaptıklarını biliyorlar tabii ki (mesela, İsrail ve Fransa). Zaten bir ülkeyi tehdit olarak belirlemek de teknik açıdan bir saldırıyı engellemeniz konusunda size bir avantaj sağlamıyor maalesef. Her hangi bir açık, her hangi birisi tarafından kullanılabilir. Onun için önem verilen konu, bu tür açıkların ve saldırıların otomatik olarak engellenmesi ve bulunması.
Güvenlik üstüne yoğunlaşmak isteyen öğrencilere neler tavsiye edersiniz?
Bu çok duyduğum bir soru. Bazen tanımadığım öğrencilerden mesaj alıyorum bu konuda. Maalesef çok sayıda mesaj aldığım için bir çok kez geri dönemiyorum. Kusuruma bakmasınlar.
Bence önce bu öğrenciler iyi bilgisayar bilimci olsunlar. Yani programlama yeteneklerine ve genel bilgilerine önem versinler. İyi bir bilgisayarcı olduktan sonra güvenlik sorunlarını anlamak ve bu konuda yoğunlaşmak (mesela doktora ya da master yaparak) daha kolay olacaktır. Kod yazmadan heyecan duymayan, bunu zevkle yapmayan birinin bu alanda çok başarılı olduğunu görmedim diyebilirim sanırım.
HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ
[wysija_form id=”3″]
