Bigi Güvenliği Akademisi, Türkiye’de bilgi/siber güvenlik alanında faaliyet gösteren bir kaç köklü kurumdan biri olarak öne çıkıyor. 2008 yılından bu yana sektörde olan BGA 20 kişilik uluslararası geçerliliğe sahip sertifikalı teknik ekiple faaliyetlerini Ankara ve İstanbul ofislerinde sürdürüyor. Stratejik siber güvenlik danışmanlığı da veren kurumun başındaki isim Huzeyfe Önal ile Türkiye’de siber güvenliğin geleceğini konuştuk.
Türkiye’de siber güvenlik sektörünün gelişimini siber güvenlik tehdit algısının artışına paralel olarak görüyor musunuz?
Güvenlik tehdit algısı ile doğru orantılı olarak gelişen bir süreç oldugu icin Türkiye’de siber güvenlik konusu son yıllara kadar ciddi bir gelişim gösteremedi. Hasta olmadan doktora gitmeme ya da sınava son gece çalışarak dersi geçme konusunda mahir olan bir kültür için güvenlik olgusunun sıkıntılar yaşandıkca önem kazanmasını normal karşılayabiliriz.
Türkiye harici diğer dünya ülkelerinde de benzeri durum olmasına rağmen Türkiye’de biraz daha musibet yaşandıkca aksiyon alınması ve güvenliğe yatırım yapılması “musibed based security” modelinin işlediğini göstermektedir.
Bir müddet daha bu şekilde güvenlik problemleri yaşandıkca önem artmaya başlayacak ve sonra bizler de bu işin doğrusuna yöneleceğiz, yani testi kırılmadan önlemlerimizi alacağız.
Dünyadaki siber güvenlik gelismeleri Türkiye’de yeterince yakindan takip edilebiliyor mu? Eğer edilmiyorsa, bu durumu ülkenin siber güvenlik alaninda geri kalmasinda bir faktör olarak görebilir miyiz?
Türkiye’de henüz siber güvenlikle entellektüel seviyede ilgilenen ciddi bir kitle oluşmadı, siber güvenlik olayları gazetelerin 3. sayfa haberleri gibi daha magazinsel sunuluyor.
Ben Türkiye’nin siber güvenlikte geri kalmasının temel nedenini dış ülkelerden ciddi saldırılar almamasına(Dış ülkelerin hedefi olabilecek kaç tane uluslararası marka firmamız var), yerel hacker gruplarının gerçekleştirdiği saldırılarda amaçlarının ticaretten çok mesaj verme olmasından kaynaklandığını düşünüyorum. Her ne kadar son bir iki yılda Türkiye’de yaşanan siber güvenlik problemleri ticari odaklı olmasına rağmen henüz yeteri dikkati çekememiştir.
Bir de konuyla ilgili olanların bir kısmının yabancı dilde haber okumama, her tür haber icin sadece merkez haber kaynaklarını takip etmeleri nedeniyle konudan uzak kaldıklarını düşünüyorum.
Siber güvenlik Türkiye’de ne zaman yükselise geçti / geçecek?
Yaklaşık 14 yıldır bu konuyla ilgili olan ve Türkiye’deki durumu izleyen biri olarak yaşanan süreci 3 aşamaya bölüyorum. 1. aşama 2000-2011 , ikinci aşama 2011-2015 ve son aşama da 2015-2020. 2. aşamada alınan yol geri kalan 10 yıllık süreçten daha önemlidir. Yapılan etkinlikler, bu konudaki çıkan haberler ve yatırımlar incelendiğinde ikinci aşamanın çok önemli olduğunu görebiliriz.
Ama bence henüz Türkiye siber güvenlikte altın çağını yaşamadı, sektörde ciddi manada “kalifiye” eleman eksikliği ve stratejik manada bunu anlatabilecek yönetici (kamu. özel sektör) eksiliği var. Akademik dünyada siber güvenlik ise daha emekleme aşamasına bile gelemedi. Bu üç bileşenin 2017-2018 yıllarında çok ciddi artışa gececegini düşünüyorum.
Stratejik siber güvenlik alaninda Türkiye ne durumda? Sizce ilerlemesi için hangi adimlarin atilmasi gerekiyor?
Strateji kelimesi bu ülke için çoğunlukla bilgisayar oyunlarıyla birlikte anılıyor. Gerçek manada stratejik adımların atılabilmesi icin bu konuda daha fazla insan kaynağının yetişmesi, yetişen mühendis, teknik adam kadar işin sosyal boyutunu irdeleyebilecek insanların da olması gerekir.
Orta seviyede bu konu ile ilgili hemen herkesin söyleyebileceği bir sürü fikri vardir bu konuda, bizleri yönetmekle sorumlu kişilerin radikal kararlar alarak bu konuyu ön plana çıkartmadıkları müddetce stratejk ilerleme konusunda beklentileri düşük tutmakta fayda var. Obama 2010 yılında ulusa sesleniş konuşmalarından birinde “Amerika’nın 21. yüzyıldaki refah seviyesi Siber Güvenik konusunda atacağı adımlara bağlıdır” mealinde bir cümle kullanmıştı. O zaman abartı gibi gelen bu cümle şimdilerde doğruluğunu gösteriyor.
Akademi ve özel sektör iş birligi siber güvenlikte nasıl sağlanabilir?
Son 10-15 yılın en önemli tartışma konularından biri Akademi-özel sektör iş birliği. Diğer alanlarda bunu başaramadı Türkiye ama siber güvenlik konusunda alınacak hızlı kararlarla başarılacağını düşünüyorum ben. Bu başarının önündeki en önemli engel Türkiye’deki akademisyenlerin teori dünyasında boğulması ve siber güvenlik konusunda yerli ürünleri de içine alacak ar-ge çalışmalarının Türkiye’de yeterli seviyede yeşermemiş olması
NSA skandalından sonra dünyada siber güvenlik sektöründeki özel sirketler ile devlet arasindaki iliskiler gündeme geldi. Vodafone gibi dünya devlerinin dahi devletlere vatandaslari takip edebilmesi ve dinleyebilmesi için yardımcı olduğu ve bazı uygulamalarına göz yumduğu ortaya çıktı. Bu konudaki görüşlerini paylaşabilir misiniz?
NSA’den sızan belgeler incelendiğinde bu tip gayri resmi işlemlerin 2007 yılından itibaren düzenli olarak yapıldığı görülmektedir. Internet sokağının bir vatandaşı olarak bireysel mahremiyete dokunacak her tür işleme karşı çıkmayı ve buna karşı önlem almayı hepimizin öğrenmesi gerekiyor. EFF gibi organizasyonların daha fazla desteklenmesi, takip edilmesi aynı gemide yol alan internet kullanıcılarının yararına olacaktır.
Diğer yandan dünyanın süper gücü olmayı kendine hedef edinmiş bir devletten farklı bir şey de beklenmezdi. Ben ilk okuduğumda bu belgeleri aklından geçen ilk cümleler “… boşuna süper güç olunmuyor, bizim filmlerde olacağına ihtimal getirmediğimiz senaryoları adamlar yapmış…” oldu.
Özel sektörün, bağlı bulunduğu ülkenin kanunlarına göre yönetildiğini düşünürsek uzun vadede global firmaların lokal sistemlerle iş yapmaya başlamak zorunda kalacağını söyleyebiliriz.