Türkiye’nin öncü bilgi güvenliği danışmanlığı şirketlerinden Lostar 1 Ocak’ta 20. yaşını doldurdu. Bilgi güvenliği kavramının olmadığı’ yıllarda kurulmuş olan şirketin kurucusu Murat Lostar ile geçmişi, gelecek planlarını, Londra’da açılan Lostar ofisini ve küresel bir şirket olma hedefini konuştuk.
1986’da daha üniversite öğrencisiyken çalıştığı yazılım şirketi için bir muhasebe programı yazan Murat Lostar, daha sonra kurduğu şirkette Türkiye’nin ilk sigorta yazılımları başta olmak üzere birçok farklı alanda yazılım geliştirmiş. Network ve veri tabanları alanında da çalıştıktan sonra kendi şirketini kurmaya karar vermiş ve 1 Ocak 1998 günü Lostar doğmuş.
Sektörün bugünkü haline geleceğine kimsenin ihtimal vermediği 90’lı yılların ortalarında bilgi güvenliği alanında bir şirket kurmak fikrinin nasıl doğduğunu sorduğumuz Murat Bey şirketin bir hobi sebebiyle doğduğunu açıkladı: “Bilgi güvenliği ile uğraşmak onunla ilgili konularda çalışmak benim için bir hobi olduğundan Bilgi Teknolojileri alanında nereye yöneleceğim diye kendime sorduğumda güvenlik doğal olarak yönlendiğim alan oldu.”
“İlk kurulduğumuz yıllarda bir banka CIO’suna firewall’u anlatmak zorunda kaldım.”
Lostar’ın sektörde geçirdiği deneyimler Türkiye’nin bilgi güvenliği alanında geçirdiği evriminde bir göstergesi. Murat Lostar’dan dinleyelim:
“Bir banka CIO’suna – tabi o zamanlar bilgi işlem yöneticisi diyorduk- firewall’un güvenlik açısından gerekli bir ürün olduğunu uzun bir süre anlattım. Yönetici sessizce dinledikten sonra sunucuların önüne yeni bir şey koymanın gerek olmadığını söyleyiverdi. Başkalarına da anlatmaya çalıştım ancak başarılı olamadım. Üstelik bunu yaparken bir ürün satıcısı olarak da yapmadım. Ama yine de ikna edemedim.”
Türkiye’deki bilgi güvenliği seviyesinin henüz istenen seviyeye ulaşmamış olmasından ötürü Lostar’ın ilk müşterileri yurtdışından olmuş:
“İlk 2-3 yıl daha çok yurtdışında projeler oldu. Compaq diye bir şirket vardı. Compaq’a güvenlik ile ilgili bir kitap yazdım ve bu kitabın kursunu oluşturdum. Şirketin bütün Avrupa’daki bayilerinin eğitimi gibi projeler aldım.”
Bugüne geldiğimizde Türkiye’deki farkındalık seviyesini sorduğumuz tecrübeli yöneticiden, 20 yıl önceki gibi yine firewall’un gerekli bir ürün olduğunu anlatmak zorunda kaldıkları durumlar olduğunu öğreniyoruz.
“Bilgi güvenliği farkındalığı seviyesini değerlendirirken kurumlar ve bireyler olarak iki grup oluşturmamız gerek. Kurumları büyüklüklerine göre, hatta büyük kurumları da sektörlerine göre ayırmamız lazım. Regüle sektörler yani, bankacılık, enerji, telekom, hem regülasyonları gereği hem de geçmiş yıllarda yaşadıkları musibetleri gereği, bu konuda oldukça yüksek farkındalığa sahipler ve git gide bu farkındalık seviyeleri artıyor. Çok iyi bütçeler ayırıyorlar ama yeterince eleman bulamadıkları için taşıma su ile devam etmek zorunda kalıyorlar. Regüle olmayan sektörlerde ise, kurumun başındaki insanların vizyonları doğrultusunda bir bilgi güvenliği olgunluğundan bahsedebiliriz. Bu farkındalık seviyesine 100 üzerinden 60 dersek, bunlar dışındaki sektörlerde ne yazık ki hızla sıfıra doğru gerilediğini görüyoruz. “
“Akıllı telefonları aptal telefonlar gibi kullanıyoruz.”
“Bireyler açısından bakarsak, bilgisayar okuryazarlığımız Avrupa ve ABD ile yarışacak seviyede. Ancak bilgi güvenliği okur yazarlık seviyesini karşılaştıracak olursak standardın altında kaldığınız görürüz. Bir teknolojiyi kullanıyorsanız o teknolojinin getirdiği risklere karşı almanız gereken önlemleri bilmeniz lazım. Ütüyü yangınlardan, arabayı hırsızlıklardan öğrendik ama akıllı telefonları bilgisayarları bilmiyoruz. Güvenlik okur yazarlığımızın seviyesi sahip olma seviyemizin de oldukça altında. Akıllı telefon alıyoruz ama bunu bir aptal telefon gibi kullanıyoruz. SMS yerine WhatsApp’ı kullanıyoruz. Güvenlik açısından bakarsak zaten daha el freni ve frenin yerini bilmiyoruz.” diye ekliyor Murat Lostar.
Lostar 2038’de nerede olacak?
Geçmiş ile ilgili düşüncelerini sorduğumuz Murat Lostar’dan bir de gelecek planlarını dinlemek istiyoruz. Lostar 2018’in şirket için bir milat olduğunu söylüyor ve bunun nedenini şöyle açıklıyor:
“Bende ve diğer mesai arkadaşlarımın heyecanında bir kayıp yok. Bununla beraber 20. yılı biz bir milat kabul ederek başlıyoruz. 20. yıl bizim için sıfırıncı yıl. Çünkü ilk kez yurt dışında, Londra’da, bir ofis açtık. Bir taraftan Türkiye’deki işlerimize devam ederken, diğer taraftan da Londra merkezli yurtdışı işlerimi genişleterek devam edeceğiz. Geçtiğimiz 20 yıl ile önümüzdeki 20 yıla karşılaştırmak için bakarsak sadece ticari faaliyetlerimizde büyüme değil aynı zamanda işletme biçimimizde de değişiklikler olacağını görüyoruz. Mesela ilk 20 yılda çok ürün geliştirmedik, danışmanlık hizmeti verdik. Önümüzdeki yıllarda ürün vermeye ağırlık vereceğiz.” diyen Murat Lostar, şirketin bilgi güvenliği farkındalığı konusundaki birikimini kullanıcıların davranış değişikliklerini dönüştürmek için kullanacaklarını ve bunu bir ürünle yapacaklarını açıkladı.
Farkındalığı artırmanın yanında davranış biçimlerini değiştirecek metodoloji: ESAM (Employee Security Awareness Methodology)
“Ülkemizde bilgi güvenliği farkındalığını artırmak için yıllardır çeşitli çalışmalar yaptık. Bu faaliyetlerimizin bazı şirketlerde neden çalıştığını bazılarında neden çalışmadığını gözlemledik. O gözlemlerimiz sonucunda yeni bir bakış açısı geliştirdik: Güvenlik Farkındalık Metodolojisi (Employee Security Awareness Methodology-ESAM). Şimdi ESAM’ı alt tarafta destekleyecek ürünler geliştiriyoruz. Ürünler ve metodoloji ile bilgi güvenliği konusunda sadece farkındalığın artmasını değil bununla beraber davranış değişikliği konusunda ilerleme kaydetmeyi hedefliyoruz. Bilgisayarın başından kalkarken, bilgisayarın kilitlenmesi gerektiğini kime sorsanız gerekli der. Ama bilgisayarın başından kalktığında bilgisayarı kilitlemek başka bir iştir. Biz şimdi bu başka iş üzerine odaklanacağız.”
Lostar CEO’su şirketin Londra yolculuğunda devletin çeşitli kurumlarından destek aldıklarını da ifade etti: “Ürün satmayan ve mühendislik yapan bizim gibi kurumların çok da uzun ömürlü olamadığını gördük. Bir birikimin oluşabilmesi için bir sektörde uzun yıllar çalışmak gerekiyor. Yurtdışındaki bir ürünün Türkiye’deki versiyonunu satmaktan bahsetmiyoruz. Yeni bir fikri yaratmaktan bahsediyoruz. ESAM’ın geliştirilmesi sürecinde TÜBİTAK’tan farklı projelere destekler aldık. İngiltere yolculuğumuzda Ekonomi Bakanlığının destekleri bize fayda sağladı ve sağlamaya devam edecek.”
Lostar Londra’yı seçmelerinin arkasında 4 yıllık bir çalışma olduğunu da sözlerine ekledi. İlk olarak yurtdışı ofisi için hazırladıkları listede 10 ülke bulunduğunu aktaran Murat Lostar, daha sonra bunu 3’e indirdiklerini Brexit sürecine rağmen Londra’da karar kıldıklarını söyledi.
“Geleceğin iş insanları bugünkünden çok farklı olacak.”
Murat Lostar’ın gelecekte siber güvenliğin nasıl bir hal alacağına dair öngörüleri hayli dikkate değer. Lostar, asansörün ilk kullanılmaya başladığı zamanlarda asansör kabininde bulunan ve insanların gitmek istediği katlara basan ‘asansör görevlisine’ benzettiği BT uzmanlarının gelecekte yaptıkları işlerin büyük bir kısmını devredeceklerini ve buna paralel olarak güvenlik anlayışının değişeceğini düşünüyor:
“BT’ciler görevlerinin önemli bir kısmını işi BT olmayan insanlara devredecek. Şu andaki avukatlar bilgisayarla sonradan tanıştılar. Ama avukat adayları bilgisayarla doğdular. Onlar avukat olduklarında bugünkü bilgi işlemcinin yaptığı işleri tıpkı müşteriye giderken asansörde çıkacakları kata kendi bastıkları gibi kendileri halledebilecek. Bilgi işlemcilik farklı bir boyut kazanacak. Davranış biçimlerinde de farklılıklar olacak. Biz bugün güvenliği çalışanların yetkisini elinden alarak sağlama içgüdüsüyle ilerliyoruz. Çünkü o insanların bilgisayarı nasıl kullanacağını sınırlandırarak güvenliği sağlıyoruz. Ama önümüzdeki dönemde hayat bu şekilde yürüyemeyecek. O insanlar buna razı olmayacaklar. Buna bağlı olarak da güvenlik de değişecek. İstediğiniz programı indirme, local admin yetkisi verirseniz bugünkü güvenlik anlayışı yerini başka bir anlayışa bırakacak. Güvenlik ihtiyacı da değişecek. Ben normalde sadece BT’nin içindekilere verdiğim eğitimi diğer departmanlara da vermek durumunda kalacağız.”
Siber Bülten abone listesine kaydolmak için formu doldurunuz