Türkiye’de adli bilişim deyince akla ilk gelen isimlerden biri Halil Öztürkçi. Siber güvenlik alanında yaptığı çalışmalar ve başında bulunduğu ADEO şirketinin faaliyetleri yanı sıra kendisini takip edenlerin yakından bildiği gibi sanat müzik ve edebiyat düşkünü. Çok yönlü kişiliği ile güvenlik camiasında ön plana çıkan Öztürkçi ile siber alanda giriştiği suçlu avından, kişisel güvenlik tedbirlerine, ADEO’unun gelecek vizyonundan devletin siber alan stratejisine kadar birçok konuyu konuştuk. Tabi ki, Twitter fenomeni Faut Avni’nin kendisi hakkındaki ‘İran ajanı’ iddialarını da sormadan edemedik.
Yıldız Teknik Üniversitesi Elektronik Haberleşme bölümünden mezun olan Halil Öztürkçi 2002 yılına kadar ağ yöneticisi olarak çalışmış. O yıldan sonra gelecekte güvenlik sektöründe bir patlama olacağını öngörerek, çalışmalarını bu alana kaydırmış. Kendi deyimiyle kariyerini üçe ayırıyor: ‘İşin önce operasyonel tarafındaydım, daha sonra güvenlik açıklarının kimlerin nasıl kullandığı üzerinde çalıştım; bir sonraki aşama olarak da bu açıkları kullananları nasıl yakalarız sorusu üzerinde durdum.’
Her ne kadar iki kez yüksek lisanstan atılmayı başarsa da, bugün birkaç üniversitede ders vermeye devam ediyor; her sene onlarca konferans ve seminere konuşmacı olarak katılıyor. ‘Bilgisinin zekatını vermeye çalışan bir adamım, arkadaş!’ diye de bu durumu açıklıyor.
Fiziksel dünyada suçlu-polis ilişkisi hakkında ‘mahalledeki hırsızları en iyi polisler tanır’ ifadesinin siber dünyada ne kadar geçerli olduğunu sorduğumuz Öztürkçi, özellikle APT analizlerinde aslında işin arkasındaki kim olduğuna dair önemli ipuçlarının bulunduğuna dikkat çekti. ‘Aynı DLL dosyasının kullanılması, şifrelemek için başvurulan tool’lar, Twitter üzerinden CC sunucusuyla haberleşilmesi, aynı ülkedeki sunucu üzerinden data çıkartılması gibi birçok yöntemdeki benzerlik suçun arkasındaki kişiler hakkında bilgi verebilir.’ ifadelerini kullanan Öztürkçi, ‘bu ipuçlarının büyük hacker grupları için kullanılabileceğini bireysel suçluları tespit etme de işe yaramayabileceği’ uyarısını eklemeyi ihmal etmiyor.
Devlet devletliğini göstermeli
Röportaj sırasında Halil Öztürkçi’nin bir konuda şikâyetçi olduğunu görüyoruz. O da devletin veri kaçaklarına karşı duyarsızlığı ve yaptırım uygulamaması. ‘Siber alemde bir başıboşluk var.’ diye söze başlayan Öztürkçi, ‘Devlet devletliğini göstermeli, otoritesini ortaya koymalı. Hem ceza hem ödül açısından devletliğini yapmalı.’ ifadelerini kullanıyor ve ekliyor: ‘Maalesef bugün siber alanda bir suç işleyenin büyük oranda bu suç yanına kar kalıyor. Devlet sadece suçluları bulup cezalandırmakla yetinmemeli, suça imkan verecek ortamı da önlemeli. Suça giden yolları kapatma konusunda yaptırım uygulamalı, sorumluluk vermeli.’
Devlet ve özel sektördeki yöneticilerin bilgi güvenliği konusundaki farkındalığın beklenen seviyede olmadığı hatırlatılan siber güvenlik uzmanı, üst düzey yöneticilere bilgi güvenliği anlatmaya teknik terimleri bir yana bırakarak başlanması gerektiğinin üzerinde duruyor. ‘İş açısından yaklaşılması lazım. Risk nedir, bu riski üstlendiğinizde sürdürdüğünüz işteki etkisi ne olacaktır? Bunun düzgün şekilde yöneticilerin önüne konulması gerekiyor.’
HAFTALIK SİBER BULTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ
[wysija_form id=”2″]3-5 siber güvenlik uzmanıyla büyük etki oluşturabilirsiniz
Devletlerin siber güvenlik operasyonlarını asimetrik bir güç olarak kullandığı bir dünyada yaşıyoruz. Bugün Kuzey Kore gibi bir yönetim siber saldırılar ile ABD’ye kafa tutabiliyor. Bu konudaki görüşleri sorulan Öztürkçi ülkelerin çok büyük yatırımlar yapmaya gerek kalmadan siber alanda geniş operasyon alanı bulabileceğine dikkat çekti. Nükleer silahlarla siber silahları karşılaştıran uzman, “Nükleer silah için know-how, finansal yatırım ve insan gücüne ihtiyacınız var. Bunlar olsa bile bazı malzemelerin size satılmadığı için uranyum zenginleştirilmesi gereken malzeme size verilmiyor. Siber dünyada böyle bir şey yok. Siz siber güvenlik konusunda yetişmiş 3-5 uzmanınızı iki sene dışarıya çalışmaya gönderin, sizin adınıza çok büyük etki oluşturabilecek saldırılar yapacak duruma gelebilir. Ufak bir güçle büyük etki oluşturabilirsiniz. Bu zaman kadar siber saldırıların şirketlerin kapatılmasına neden olduğunu gördük. Aynısını hükümetler için de yapabilirsiniz. Hükümetin bir parçasını da devirebilirsiniz. Bunu yapmanız için milyarlarca dolara ihtiyacınız yok.” ifadelerini kullandı.
Taarruz kadar savunma da önemli
Türkiye Cumhuriyeti devleti ofansif siber stratejiler üretme konusunda çekingen mi davranıyor?
“Hem ofansif, hem defansif tarafta çok da iç açıcı durumda değiliz. Bir takımda 11 kişi gol atmaya giderse kale boş kalır gol yersiniz. Karşı tarafın 11 kişisine karşı kalede sadece 1 kişiniz varsa yine gol yersiniz. Dengeyi iyi kurmanız gerekiyor.
Her adımınızı ofansif olarak dizayn ederseniz, sizinle alakalı olarak yapılacak bir operasyona karşı gelecek elinizde ne bilgi vardır, ne insan gücü ne de teknik kapasite kalır. Siber güvenlik uzmanı yetiştiriyoruz diyenlerin çok büyük bir kısmı saldırı tarafına daha fazla ağırlık veriyor. Ama bunun savunma tarafını da düşünmeniz lazım. Saldırı gücünüzü geliştirdiğiniz defansif tarafa yeterince önem vermediğiniz zaman, bilgi toplarsınız fakat başkalarının da sizin bilginizi çalmasına engel olamazsın. Bunun için savunma eğitimi içerisine saldırıyı yerleştirebiliriz. Fakat görünen o ki bugün herkes beyaz şapkalı hacker yetiştirme derdinde. Siber ordu sadece öncü kuvvetlerden oluşmaz. Ön taraftaki kuvvetleri besleyen arka tarafta da birimler vardır.”
Böyle giderse zombi bir ülke haline geliriz
Dünyadaki örneklerle Türkiye’yi karşılaştıran Öztürkçi insana yatırımın altını çiziyor. “Alttan zehir gibi gençler geliyor. Bunlara yönelik de bir politika geliştirilmesi gerekiyor. Aklı bu konuda meraklı çocukları bulup 2050 vizyonunda bunlara yer açmak lazım. Eğer biz bu çocukları oyunun içine katmazsak, her geçen saat biz bu oyundan düşüyoruz. ‘10 sene onlar yatırım yapmış biz aynı yatırımı 2 seneden yapar bu işi başarırız’ gibi bir anlayış söz konusu olamaz. Biz eğer yarıştan düşmeye devam edersek zombi bir ülke haline geliriz.”
Fuat Avni sizin İran ajanı olduğunuzu iddia etti. Ne diyorsunuz?
Çok komik. Fuat Avni’nin dijital soytarı ve yalancı olduğunu düşünüyorum. Ben 35 yaşında türemiş bir adam değilim. Oldukça açık bir adamım. Dünya müziklerine merakı olan bir adamım. İran müzikleri benim için kıymetlidir. Paylaştığım İran müziklerinden yola çıkarak böyle bir çıkarım yaptılar.
Fuat Avni diye değil de Suat Avni diye bir şey çıkartıp algı operasyonu yapabilirim. Bu sosyal medyanın artık maalesef bir gerçeği. Ben neden böyle bir iftiraya maruz kaldım. Kritik bir davada bilirkişiydim. O davanın sonucu o örgütün geleceğini de etkileyecekti. Ben ne Fuat Avni’yi ne başkasını takacak adam değilim. Doğru bildiğimi yaparım. Bir Allah’ta korkarım.
Bir iş adamısınız İran’dan bir iş gelirse bunu kabul eder misiniz?
Öyle bir konjonktürdeyiz ki, ülke içindeki bir şirketle bile iş yaparken bir kaç kez düşünmeniz gerekiyor.
Bir gazeteye verdiğiniz röportajda ‘devlet Fuat Avni’nin kimliğini biliyor ifadesini kullandınız?
Aslında biliyor olabilir diye bir ifade kullanmıştım. Birkaç kez manşet şehvetine kurban gitmişliğim vardı, bu da onlardan biri oldu. Devlet Fuat Avni’nin kimliğini biliyor olabilir. Ama biliyor demedim hiçbir zaman.
Kişisel olarak nasıl bilgi güvenliği önlemleri alıyorsunuz?
Kendini ispatlamış dijital platformlar kullanıyorum. Evimde kritik işler yapmam. En fazla Netflix’den dizi Youtbe’dan video izlerim. Kişisel ve iş bilgisayarlarım ayrıdır. 3 tane bilgisayarım var birini asıl iş için kullanırım. Disk şifrelemesi var ciddi bir kimlik doğrulama sürecinden geçmek gerekiyor, yanlış bir şey olursa disk kendini yok ediyor. İş bilgisayarımda açık kablosuz internet bağlantısını kullanmıyorum.
Fiziksel güvenlik önlemleri olarak, bilgisayarımı yanımdan ayırmıyorum. Elzem değilse iş bilgisayarımı seyahatte yanımda götürmüyorum. İş ve ofisimde güvenlik kamerası ve alarm sistemi mevcut.
Ofiste analiz için gelen dijital verilerin saklandığı yerlere iki kat güvenlik uyguluyoruz. Güvenlik hayatımın bir parçası. Ofisimin önünde aynı arabayı 3. gün gördüğümde benim için soru işaretleri doğurmaya başlar. Siber dünyanın kişiye kattığı özelliklerden biri de, fiziksel dünyadaki güvenlik açıklarına karşı algılarınız daha açık oluyor.
ADEO’yu on sene sonra nerede görüyorsunuz?
Devlet zehir gibi öğrencilere el atsın diyoruz ama Adeo olara biz de el atıyoruz. İkincisini bu sene düzenlediğimiz staj & çalışma programınıdüzenliyoruz. Özel projelerin eğitimlerin bulunduğu 3 aylık bir süreç. Bunu başarıyla tamamlayanlarla yola devam ediyoruz. 10 sene sonra Adeo’nun işlerinde Türkiye ufak bir kısmını oluşturacak. Bundan sonra yerel pazarı adresleyerek bir şey yaparsanız ayakta kalmanız zor gibi düşünüyorum. Burada 1 müşteriniz varsa, dışarda 99 müşteriniz var. Neden açılmayalım?