Türkiye’de son yıllarda kurulan siber güvenlik şirketleri arasında yurt dışından aldığı işler ile göze çarpan Infinitum’un kurucusu Gökhan Yüceler, Siber Bülten’e verdiği röportajda Türkiye Cumhuriyeti vatandaşlarına ait kişisel verilerden bazılarının yasal olmayan veri ticaretinin yapıldığı bir online platform olan Dark Web’de yok pahasına satıldığını söyledi.
Yüceler, çeşitli zamanlarda sızdırılan kişisel verilere neredeyse herkesin kolayca ulaşabilecek olmasından dolayı ‘maddi değerini’ yitirdiğini ifade ederek, “Dark web’de kamunun verisi deli gibi dolaşıyor. TCKN’den kullandığımız ilaca kadar her verimiz dark web’de. Bu kadar kötü bir şey olabilir mi? Bazı verilerimizi bedavaya indirebiliyorsun. O kadar satan var ki değeri kalmamış. Onur kırıcı bir durum değil mi bu?” şeklinde konuştu.
Türkiye haziran ayında 50 milyon vatandaşın kişisel verilerinin çalınması haberi ile sarsılmıştı. Bir GSM şirketinin sisteminden sızdırılan verileri kredi kartı dolandırıcılığı başta olmak üzere çeşitli suçlarda kullanan 3 kişilik çete Ankara’da düzenlenen operasyon ile çökertilmişti.
2016’da ABD’den döndükten sonra Infinitum’u kuran Gökhan Yüceler, yurt dışı odaklı bir stratejiyle ‘trusted advisor’ olarak Blue Team hizmetleri veriyor. Yüceler ile ABD’den geri dönme sürecini, yurt dışında iş yapma tecrübesini ve siber güvenlik sektörüyle ilgili fikirlerini konuştuk.
Özellikle IT sektöründeki insanlar son yıllarda yurt dışına çalışıp orada hayatını kurmaya çalışıyor. Gün geçmiyor ki, Türkiye’de yetişmiş bir yazılımcı veya başka bir bilişim sektörü çalışanı yurt dışına gitmesin. Yüceler ise tersi bir yol izleyip ABD’de yaşamasına rağmen oradaki düzenini bırakıp Türkiye’ye yerleşmiş. Neden döndünüz sorusuna ‘Ailevi sebepler’ diyor ve ekliyor: “Hayat orada tozpembe değil. Berkeley Üniversite’sinde programlama üzerine bir burs aldım. Eğitimden sonra işe başladım. Para kazanıyorsun, işin iyi ama yeterli değil. Orada yalnızsın. Genç arkadaşların yurt dışına gitmesini anlayabiliyorum. Bir start-up fikrim var. Gerekirse sokakta yatacağım ve milyon dolar şirket yapmadan dönmeyeceğim dersin. O bir idealdir. Fakat ben de öyle bir idealim yoktu. Aynı işi Türkiye’de de yapabiliyorsam neden dönmeyeyim dedim.”
ÜRÜN BAĞIMSIZ BÜTÜNLEŞİK GÜVENLİK ANLAYIŞI
Infinitum kurucusu Gökhan Yüceler, şirketin sektörde kendini ‘ürün bağımsız danışmanlık’ ve ‘vizyoner güvenlik anlayışı’ özellikleriyle ön plana çıkmasını için çaba harcıyor. Türkiye’de siber güvenlik hizmetlerinden beklentinin değiştiğini vurgulayan tecrübeli uzman, artık sadece penetrasyon testinin yeterli olmadığını müşterilerin daha köklü ve kapsamlı çözümler aradığının altını çiziyor: “Müşterilerin beklentileri değişti. ‘Artık gelip bana benim nasıl hacklenebileceğimi anlatma ben zaten hacklenebileceğimi biliyorum. Defansif güvenlik tarafında neler yapabilirim?’ Bu konuda öneriler ver bana diyor yöneticiler. İnsanlar şuna aç: ‘Ben bir sistem kullanıyorum. Bu sistemi bütünleşik güvenlik anlayışlı içerisinde nasıl saldırılara karşı daha sağlam hale getirebilirim.’ Detayla konusunda ne istediğini ancak siz önüne bir yol çizdiğinde hakim oluyor. Vizyonu çizdiğinizde ‘Evet işte tam bunu istiyorum’ diyor.
“Biri öksürüyor diye biz ona şurup verip göndermiyoruz. Çocukluğuna kadar iniyoruz. Psikolojik nedenleri olabilir mi ona bakıyoruz. Çevresel etkenlere bakıyoruz ve root cause’u bulmaya çalışıyoruz. Zaafiyetini arayarak kendimizi tatmin etmemize gerek yok.” diyen Yüceler, Infinutum’un ürün önermediğini müşterilerinin almayı planladığı güvenlik ürünlerini de onlar için test ettiğini sözlerine ekliyor.
BÜYÜMEK İSTEMİYORUZ, KALİTE BİZİM İÇİN ÖNEMLİ
Gökhan Yüceler müşteri ile bire bir ilişkinin onun güvenlik anlayışını ve ihtiyacını anlamada yardımcı olacağına inanıyor. “Butik bir işletmeyiz ve butik kalmak istiyoruz. 15-20 kişiler olmak istemiyoruz. Bu kadar teknik adamı Türkiye’de bir arada tutmak da zor. Ekibimizi büyütüp kaliteden de taviz vermek istemiyoruz. Müşterilerimize kendim gidip dokunmak istiyorum. Butik olarak kalacağız, odak alanımız belli. Siber güvenliğin Türkiye’de gelişmesini isteyen taraftayız. 9 kişilik bir ekibiz ve büyümeyi düşünmüyoruz. Girmek istemediğimiz işler oluyor kendi politikalarımıza göre bunları reddediyoruz çünkü odak noktamızı değiştirmek istemiyoruz. Çok başarılı yeni şirketler var bunların başarılı olması için katma değerli hizmetlerin kişisel ilişkilerin önüne geçmesi gerekiyor.” ifadelerini kullanan Yüceler’e göre Türkiye’de Blue Team ve danışmanlık kavramları tam olarak oturmadı.
“Türkiye’de Blue Team, Red Team ayrımı henüz oturmadı. Red Team senaryolar belirli sürelerde yapılıyor, faturası kesiliyor, ve genel bir reçete yazılıyor. O şirketin şartlarına durumuna özel olarak hazırlanmış bir reçete yazılmıyor. Bir şirket özelinde, o şirketin koruması gereken bilgiler nedir, karşılaşma olasılığı olan tehditler nedir şeklinde bir analiz yapılmıyor. Bir kurum için mail tehditken başka bir kurum için olmayabilir.
ÜRÜN SATMAYI ÖNCELİK HALİNE GETİREN DANIŞMANLIK OLMAZ
Şirketlerin güvenlik yatırımları anlamında doğru yönlendirildiklerini sanmıyorum. Bir yönlendirme varsa Türkiye’de ürün odaklı danışmanlığın bir ederi yok. Danışmanlık için iki algı var ülkede:
Birincisi ‘Yöneticime danışmanlık alacağız desem “Sen ne işe yarıyorsun?’ diyecek bana’ anlayışı. Diğerinde ise kurumsal firmalar danışmanlığa daha sıcak bakmakla birlikte, danışmanlık alacağı firmanın ürün satışını önceliklendirmesi durumu bulunuyor. Yani şöyle bir ürünüm var bunu sana satayım onun yanında da bir danışmanlık vereyim gibi bir yaklaşım var. Türkiye’deki firmalar bu şekilde kendi ayaklarına sıkıyorlar.
Biz ise ‘trusted advisor’ anlayışına sahibiz. SIEM mi alacaksın kurumuna uygun SIEM için çalışma yapıp raporluyoruz. Antivirüs mü alacaksın, özel malware geliştiriyoruz, test edip raporluyoruz. Farklı markalarda bu kadar malware denedik performansları bunlar diyoruz. Hangisinin alacağına firmanın ihtiyaçlarına göre beraber karar veriyoruz. Ürün satmadığım için firmanın menfaatleri ön planda oluyor. Ama genelde piyasada hakim olan durum ürün alırken rasyonel kriterlerle değil etkinliklerdeki pazarlama yöntemlerine göre veriliyor kararlar.
YURT DIŞINDAKİ CISO’LAR TEKNİK OLARAK DONANIMLI
Gelirinin çoğunu yurt dışından temin eden Infinitum, iki yıl gibi kısa bir süre içerisinde ABD, İngiltere ve Çek Cumhuriyeti’nden müşteriler bulmayı başarmış. Türkiye’deki güvenlik camiasının teknik anlamda dünya standartlarından çok eksiği olmadığını kaydeden Yüceler için en büyük fark yurt dışındaki CISO’ların teknik birikimi olmuş: “CISO’lar ile malware geliştirirken kullandığımız modüllerin performansları hakkında konuşabiliyoruz. Sorumluluğu koordinasyon olan CISO’nun derin teknik bilgisinin olması, bu kişinin karşına gelecek ürün satıcısının da danışmanın da o kalibrede olmasına yol açıyor. Böyle bir CISO’nun çalıştığı şirket mutlaka daha katma değerli hizmet alıyorlar ve daha önemlisi danışmanlığın değerini biliyorlar. Çünkü ne bilmediklerini biliyorlar.”
DONANIM SATANDAN PENTEST HİZMETİ ALMAK BÜYÜK YANLIŞ
“Bugün Türkiye’de siber güvenlik hizmeti alan şirketlerin yaptığı hatalardan bir tanesi donanım satan şirketlerden aynı zamanda penetrasyon testi hizmeti de satın almaları. Pentest hizmet Red Team’i oturtmuş, globalde dolaşan güncel senaryoları takip eden ve kendi senaryolarını bunlara uyarlayan şirketlere yapılması lazım. Bazı saldırıların şirketlerde hesabının sorulmadığını, halı altına süprüldüğünü görüyoruz. Böyle durumlarda arada farklı bir ilişki olduğunu anlamak zor değil. 1000 makinasına fidye yazılım bulaşmış bir şirket bir süre sonra bir anti-virüs firmasının başarı hikayesi olarak lanse edilebiliyor.”
TEKNİK KALİTENİ ORTAYA KOYARSAN ÜLKENİN ÖNEMİ KALMIYOR
“Terfi almak istediğimde ABD’de çalışırken teknik beceri ve iş tecrübesi açısından yabancı olmayan birini tercih etmişlerdi. Sanıyorum bu tür küçük düşürücü olaylar ile iş hayatında karşılaşmayan yoktur Türkiye dışında çalışanlardan. Denver’da bir etkinliğe gittik malware analiz yapıyoruz. Atlatma tekniklerimizi gösterdik çok farklı konseptler denedik canlı olarak yaptık. Karşımızda bir de ABD’li firma vardı. Bir onlar bir biz hünerlerimizi gösteriyoruz. Onlar piyasada bilenen Kali üzerinde antivirüs yüklü olmayan hedefler üzerinde çalıştılar. Teknik olarak kapasitenizi ortaya koyarsanız, pasaporta kimse bakmaz.”
“NERDEN BAŞLAYACAĞIM DİYENE KADAR BİR YERDEN BAŞLA”
“Nerden başlamalıyım aşamasını geçmeliyiz. Geçen bir arkadaşla tanıştım 21 yaşında zehir gibi bir şey. Yerinde duramıyor. Nerden başlayacağım diye düşünene kadar bir yerden başlasan o seni götürecek. Merak ilmin hocasıdır. Bunun bir reçetesi yok. Birinin peşinden gitmek istiyorsan onun hep gerisinde kalırsın, kendi yolunu çizmen lazım.”
“Ben evliyim çocuğum var. Hala eşim bana kızıyor biraz şu bilgisayardan uzaklaş diye. Ben yazılımcı kökenliyim. Sürekli geliştirmek zorunda hissediyorum kendimi. Ne yapmalıyım diye soranlara cevap verirsek hazıra alıştırmış oluyoruz. Çok takdir ettiğim üniversite öğrencileri var. Proje yapıyorlar mesela güvenlik üzerine yurt dışına pazarlıyorlar. İngiltere’ye üniversite birinci sınıfta aylık 4 bin pund’a işe alınan çocuklar tanıyorum. Derslerle yetinmeyin somut projeler üretin. Gözünüzü yurtdışına dikin.”
Siber Bülten abone listesine kaydolmak için formu doldurunuz
