Etiket arşivi: roportaj

Türkiye

“Rahat köşenizde oturarak dünya pazarında rekabet edemezsiniz”

Yorum yapın

Siber/bilgi güvenliği konusunda hem akademide varlık göstermiş hem de sektörde belirli bir başarıyı yakalamış isimleri bulmak zor. Bu iki hüneri birleştirebilmiş nadir girşimci/akademisyenlerden olan Süleyman Özarslan bilgi güvenliği konusunda uzun zamandır devam ettiği akademik çalışmalarına, ortaklarıyla kurduğu Picus Security firmasıyla devam ediyor. Özarslan ile akademik geçmişini, Picus’un kurulma hikayesini ve yeni girişimcilere tavsiyelerini konuştuk. Türkiye merkezli siber güvenlik şirketlerinin dünya pazarına açılmasında yaşanan sorunlara da değinen Özarslan, sadece devletin teşviklerinin bu konuda yeterli olmayacağını üniversite ve sektörün biraraya gelmesinin hayati öneme sahip olduğunun altını çizdi.

Merhaba, bize biraz kendinizden bahseder misiniz? Kaç yıldır güvenlik sektöründesiniz? Nerelerde çalıştınız? Kendi şirketinizi kurmaya nasıl karar verdiniz?

Ege Üniversitesi Matematik  Bölümü’nde öğrenim görürken danışman hocamın etkisiyle 2000 yılında kriptoloji çalışmaya başladım, bu çalışmaların sonucu olarak da 2002 yılında ODTÜ’de düzenlenen Savunma Teknolojileri Konferansı’nda ilk makalemi sundum.  Akademik tarafta siber güvenlikle ilgili olan ilgim bu şekilde devam ederken arka planda da underground BBS ve IRC kanallarında virüs yazma ile ilgili tartışmalara katılıyor, VXer’lik yolunda ilerliyordum. O dönemde websiteleri hazırlamak popülerdi, bir yandan da web uygulamalarındaki güvenlik açıklarına kafa yormaya başlamıştım. Fakat şu ana kadar ne yazdığım virüslerle ne de diğer yollarla (kendi bilgisayarlarım dışında) hiç bir kişiye veya kuruma bir zarar vermedim. 2005 yılında ODTÜ Enformatik Enstitüsü’nde yüksek lisansa ve araştırma görevlisi olarak çalışmaya başladım. Bir yandan da freelancer olarak güvenlikle ilgili çalışıyordum, düzenli olarak güvenlik denetimleri yapmaya ise 2009 yılında başladım. 2013 yılında ortaklarımla birlikte Picus Security’yi kuruncaya kadar pek çok orta ve büyük ölçekli kurum ve kuruluşta sızma testleri, DDoS testleri, ağ güvenliği ve sosyal mühendislik analizleri gibi konularda güvenlik denetimleri yaptım.

Yaptığımız güvenlik testlerinde saldırı engelleme sistemi (IPS) ve web uygulama güvenlik duvarları (WAF) gibi güvenlik cihazlarının teknik kısıtlar, konfigürasyon eksiklikleri, insan hataları gibi sebeplerden dolayı siber atakları yeterince engelleyemediklerini ve kurumların hedefledikleri/sandıkları güvenlik seviyesinin çok altında olduklarını gözlemledik. Yaptığımız testler maliyetli olduğundan ve sık tekrar edilemediğinden, güvenlik cihazlarının farklı siber atakları engelleyip engellemediğini otomatik olarak test edecek bir ürün aradık. İhtiyacımız, güvenlik cihazlarının yapılandırmasını sürekli olarak kontrol ederek, kurum güvenlik altyapısını mevcutta bilenen siber atakları engelleyebilecek bir seviyeye getirecek bir otomasyon yazılımı bulmaktı. Piyasada böyle bir yazılım bulamadık. Neden biz yapmayalım ki diyerek, bu sorunu çözmek amacıyla Picus Güvenlik’i kurduk. Şu anda 8 kişilik bir ekiple çıktığımız yolda ilerliyoruz.

Ürününüz hakkında biraz bilgi verir misiniz?

Picus Güvenlik sadece kuruluş amacındaki sorunu çözmek için çalıştığından, ürünümüzün adını da Picus koyduk. Picus, kurumların siber tehditlere karşı hazırlık seviyelerini devamlı olarak denetleyen bir yazılım çözümüdür. Temel olarak hackerlar tarafından kullanılan güncel siber atakların kurumunuza yapılması durumunda, bu atakları ne ölçüde engelleyebileceğinizi sürekli olarak test edebileceğiniz ve hangi atak yöntemlerine karşı zayıf olduğunuzu görebileceğiniz bir sistem. Böylece, gerçek bir siber atağa maruz kalmadan önce, proaktif olarak kurum güvenlik işletimindeki sorunları görüp,  gerekli teknik ve operasyonel iyileştirmeleri gerçekleştirmeniz mümkün olacaktır.

Picus Yazılım Bileşenleri, hem hacker saldırı tekniklerini hem de zafiyet içeren sistemleri simüle ederek, bu sistemlerin birbirine saldırması halinde kurum güvenlik sistemlerinin davranışını ortaya koymaktadır. Bu nedenle, Picus, bir zafiyet analiz ya da bir otomatik sızma testi aracından farklıdır. Kurumların risklerini zafiyet bilgisine ek olarak, tehdit odaklı analiz edilmesini mümkün kılar. Bu sistemin en iyi yanı ise, bünyesinde üretim ortamlarını tehlikeye atacak herhangi bir uygulama veya zafiyet bulundurmamasıdır.

Ürününüz ABD’deki bir yarışmada ödül alıyor bildiğimiz kadarıyla. Ondan biraz bahsedebilir misiniz?

Picus Security olarak 17-18 Mart 2015 tarihlerinde Security Innovation Network (SINET) ‘ün Silikon Vadisi’nde düzenlediği IT Security Entrepreneurs Forum (ITSEF)  2015‘e katıldık. ITSEF, bilişim güvenliği alanında faaliyet gösteren startup’ları, yatırımcıları, büyük şirketleri ve danışmanlık firmalarını bir araya getirerek, bilişim güvenliği alanındaki güncel sorunlarının tartışılmasını ve olası iş birlikteliklerinin kurulmasını amaçlayan bir oluşum. Konferansın ikinci günü bilişim güvenliği alanında faaliyet gösteren 12 startup’ın katıldığı Shark Tank yarışmasında, girişimcilerin 2 dakika içerisinde asansör sunumlarını yaptı. Yarışma jürisinde bilişim güvenliği alanında önemli yatırımcılardan AGC Partners, Paladin Capital Group ve Alsop Louie Partners yöneticileri yer aldı. Picus Güvenlik, etkinlik sonunda yapılan törende diğer ABD startup’larını geride bırakarak Shark Tank kazananı olarak açıklandı ve AGC’s 2015 Information Security & Broader Technology Growth Conference ve SINET 16 Innovator Showcase etkinliklerine davet edildi. Bu sonuç ABD’deki tanınırlığımıza katkıda bulundu ve bazı yatırımcılar ve güvenlik firmalarının bizimle iletişime geçmesine vesile oldu.

Bu ödül Picus Security’nin girişimlerin katıldığı yarışmalardaki ilk başarısı değil. Şubat 2013’te Türkiye’de 2000’ün üzerinde girişim arasından eTohum tarafından gelecek vadeden ilk 15 girişim (e15) arasına seçildik. Mayıs 2013’te ODTÜ Teknokent tarafından düzenlenen Teknojumpp hızlandırma programına seçilen 8 firma arasında girdik ve bir ay süren Teknojumpp ABD kampına katıldık. Kasım 2013’te Bootcamp Ventures’IX İstanbul organizasyonuna seçilen 20 teknoloji girişimi arasında yer aldık. Yine Kasım 2013’te 500 Startups’ın kurucusunun da (Dave McClure) katıldığı Geeks on a Plane (GOAP) İstanbul etkinliğinde “Startup Olympics” yarışmasını kazandık.

Kendi şirketini kurmak isteyenlere ne tavsiye edersiniz? Fikirlerine inanıyorlarsa istifayı basıp çalışmaya mı konulsunlar? Sizin karşılaştığınız zorluklar nelerdi?

Çok güzel bir soru ancak cevabı biraz uzun. Bu sorunun cevabını ortağım Volkan Ertürk Hacktrick14 Ankara etkinliğinde “Bir fikrim var! Bilgi Güvenliği Alanında Yazılım Geliştireceğim” konulu 45 dakikalık sunumla vermeye çalışmıştı. Göz atmak isteyenler için Picus’un Slideshare’inde etkinlik sunumu mevcut.

Belli satır başlarına değinmek gerekirse, girişimcilik tek kişilik bir şey değil, bir takım oyunu. Başarılı girişimlerin istatistikleri 3-4 kişilik kurucu ekiple yola çıkan ekiplerin daha başarılı olduğunu söylüyor. Ekip kurarken dikkat edilmesi gereken konuların başında, farklı ilgi alanları ve kabiliyetlerde kişilerin bir araya gelmesine dikkat etmektir. Üç iyi yazılımcı yola çıkarsa süper bir ürün geliştirebilirler, ancak ekipte bu ürünü pazarlayacak ve satacak bir kişi yoksa, bu ekibin başarılı olması çok güç. Girişimci olmak bir firmada çalışmaktan çok farklıdır. Hukuktan, muhasebeye, devlet desteklerinden, nakit yönetimine, pazarlama/satış stratejilerine ve yatırımcı görüşmelerine kadar öğrenmeniz ve tecrübe etmeniz gereken çok konu var. Paranız varsa bu konularda destek de alabilirsiniz ancak her durumda bu konularda ekipte belli bir bilgi birikiminin olması şart. Belli alanlarda çok iyi olabilir ekip ancak diğer alanlarda geçer not alacak kadar performans gösteremezseniz, başarılı olma ihtimaliniz çok azalacaktır.

Girişimcilik konusunda başarılı olmak da çok göreceli bir kavram. Girişim Fabrikası hızlandırma programına katıldığımızda her 10 girişimden 9’unun bir yıl içinde kapandığını söylemişlerdi. Bir yıldan uzun hayatta kalmak bir başarı olabilir. Udemy gibi üst üste yatırım alarak hızlı büyüyen bir girişim de başarılı kabul edilebilir. Bu aşamaya gelen girişim sayısı gerçekten çok az. Son birkaç yıldır girişimci olmak moda belki de. Hatta melek yatırım bulmak ve belli bir büyüklüğe gelmek de görece daha kolay. Ancak ABD’de kurumsal yatırımcılardan Seri-A yatırımı alan girişim istatistiklerine bakıldığında, yeni şirket kuruluş sayısı patlamışken, belirli bir olgunluğa ulaşan girişim sayısı neredeyse artmamıştır. Özetle, girişimcilik kolay bir iş değil. Çok okuyarak, çok deneyerek, hata yaparak, hatanızı hızlı fark ederek, doğruyu aramaya devam ederek geçiyor bu süreç. Paranız bitmeden bunu başarmaya çalıştığınız bir süreç.

Girişime niyetli arkadaşlara, işin salt teknik kısmına odaklanmamalarını önerebilirim. Bahsettiğim bu konuları dikkate alsınlar, çok okusunlar. Başarı ve başarısızlık hikayelerini dinlensinler. Etohum’un Türk girişimcilerinin tecrübelerini paylaştıkları çok güzel videoları var. 500 Startups gibi hızlandırma programlarının da girişimcilik konusunda eğitim ve seminer kayıtları mevcut. Bunların hepsi nefis hap bilgiler. Birçok hatayı yapmanıza engel olacak, size zaman ve para tasarrufu sağlayacak kaynaklar. Girişimciliği öğrenmeye zaman ayırmalarını tavsiye ederim özetle.

Ne zaman istifa edelim? Zor bir soru. Istıfa ettiğiniz zaman kum saati dönüyor ve zamana karşı yarış başlıyor. Bu adımı atmadan önce makul seviyede hazırlık yapmalarını tavsiye ederim. Diğer yandan ben ilk iş tecrübesi olarak girişimciliği pek önermiyorum. Belli başlı konularda tecrübe elde etmek için doğru bir yerde birkaç yıl çalışmanın önemli olduğunu düşünüyorum. Bu kişinin bakış açısını geliştireceği gibi, bir network oluşturmasına da katkı sağlayacaktır.

Şirketinizin Ankara’nın yanı sıra bir de San Fransisco’da bir ofisi bulunuyor? ABD’de ofis açmanın nedeni nedir?

Bilişim güvenliği özelinde Türkiye küçük bir pazar. Devlet destekleri, yerli ürün algısı ve network etkisi girişimleri belli bir büyüklüğe gelmesini mümkün kılmaktadır. Ancak dünya pazarında rekabet edebilecek ve kolay satılabilecek ürün ve iş modeline ulaşmak için rahat köşemizde oturmamamız gerekiyor. Bunun için müşteri, iş ortakları, rakip ve yatırımcılara dokunmak ve sürekli iletişim halinde olmak önemli. Bu nedenle Picus’un ABD’de varlık göstermesine çok önem veriyoruz. Bünyesinde yer aldığımız ODTÜ Teknokent’in benzer bir vizyona sahip olması ve San Francisco’da bir ortak çalışma ofisi açmasıyla birlikte bu adımı atmak bizim için bir nebze daha kolay oldu.

Diğer yandan bilişim güvenliği pazarında üreticiye güven konusu da önemli olduğu için, Türkiye merkezli bir firma olarak yurtdışında satış yapmanın zor olduğunu gördük. Picus’un ABD ofisinin bulunması ve oluşturmaya çalıştığımız satış kadrosuyla, devam etmekte olan kavram ispatı/demo çalışmalarının daha hızlı satışa döneceğini öngörüyoruz.

Bir yandan kendi şirketinizi yönetirken aynı zamanda akademik çalışmalara da devam ediyorsunuz. Akademik olarak hangi alanlarda üretim veriyorsunuz? Ne tür faaliyetler gerçekleştirdiniz/ gerçekleştiriyorsunuz?

Akademik olarak yakın zamanda ODTÜ Enformatik Enstitüsü’nde Siber Güvenlik yüksek lisans programını açtık ve şu anda başvuruları almaya devam ediyoruz. Aynı zamanda yine Enformatik Enstitüsü bünyesinde siber güvenlik ve siber savunma alanında AR-GE çalışmaları yapmak, üniversite ve endüstri kaynaklarını bir araya getirmek üzere CyDeS isimli Siber Savunma ve Güvenlik Araştırma Laboratuvarı’nı kurduk. Ayrıca 2012 yılından beri ODTÜ Enformatik Enstitüsü bünyesinde 6 farklı ülkeye NATO Barış ve Güvenlik İçin Bilim (SPS) kapsamında iki haftalık uygulamalı siber savunma eğitimleri verdik ve vermeye devam ediyoruz.

Hem akademide hem özel sektörde bulunmanın birbirini besleyici yanları var mıdır? Yoksa biri diğerine ayırdığınız mesaiden mi çalıyor?

Yukarıdaki verdiğim örneklerden de anlaşılacağı gibi hem akademide hem özel sektörde bulunmamın olumlu yanları oldukça fazla. Özellikle özel sektörde bulunmamın üniversitede yaptığım akademik çalışmalara katkısı oldukça yüksek. Akademik tarafta da yenilikleri takip etmeyi, sürekli yeni kalmayı, yenilikler ortaya koymayı ve araştırmayı öğreniyorsunuz. Ülkemizde siber güvenlik alanında hem akademik tarafta hem de özel sektörde bulunan profesyonel sayısı çok az. Bu sayı arttıkça akademi ve özel sektör birbirini daha iyi anlayacaktır.

Siber güvenlik konusunda Türkiye’de akademi ve özel sektörün etkili bir iş birliği için neler lazım desem hangi maddeleri sayarsınız?

Açıkçası son yıllara kadar siber güvenlik denilince akademide sadece kriptoloji akla geliyordu. Ne yazık ki ülkemizde siber güvenlik alanındaki çalışmalar teoride kalıyor, uygulamaya dönüşen akademik çalışmaların sayısı bir elin parmaklarını geçmez. İşte bu noktada, yani akademik çalışmaların ürüne dönüşme noktasında akademinin özel sektöre ihtiyacı var. Diğer taraftan, özel sektörün dünya çapında siber güvenlik ürünleri geliştirmek için ciddi AR-GE çalışmaları yapması gerekiyor. Bunun için de özel sektörün akademiyle etkili bir işbirliği içinde olması önemli.  Kısacası, akademi ve özel sektör birlikte etkin bir biçimde AR-GE çalışmaları yapmalı.  Bu işbirliğinden genel olarak gördüğümüz bir biçimde AR-GE projelerinde kağıt üzerinde bir akademik danışman görünmesini değil, akademisyenlerin yüksek lisans ve doktora öğrencileriyle birlikte etkin olarak projelere dahil olmasını ve bu projelerden lisansüstü tezlerin, uluslararası yayınların ortaya çıkmasını kastediyorum.

Türkiye’de siber güvenlik şirketlerinin durumunu nasıl değerlendiriyorsunuz?

Türkiye’de siber güvenlik alanında faaliyet gösteren çeşitli kurumlar mevcut. Bunların bir kısmı, bu alanda çözüm geliştiren ve pazarlayan yabancı üreticiler, bir kısmı uluslararası danışman firmaların birkaç kişiden oluşan bölümleri, bir kısmı da geçmişleri çoğunlukla en fazla 5-10 yıla dayanan yerel firmalar. Bahsi geçen kurumların hedefleri ve menfaatleri birbirlerine göre çeşitlilik arz ettiğinden pazara getirdikleri hizmetler ve beklentileri de farklılık arz ediyor. Örneğin yabancı bir firmanın ilk önceliği, daha olgun ve doymuş pazarlara hitap eden güvenlik duvarı, antivirüs, vb. mevcut çözümleriyle birlikte hızla gelişmekte olan siber tehdit çözümlerini pozisyonlamak iken temel odağı siber tehditler olan yerli bir firmanın önceliği pazarda adını duyurup hayatta kalmak olabiliyor. Bu durum da yabancı firmaların yerli firmalara karşı pazarda bir kaç adım ileride yer almasına neden oluyor.

Yerli ürün geliştirdiğini söyleyen şirketlerin ürünleri ne kadar yerli?

Kendi adımıza ürünümüzün tamamen yerli olduğunu söyleyebilirim. Bizim dışımızda da özellikle son dönemde gerçekten iyi yerli ürünler ortaya çıkmaya başladı. Fakat, sektördeki herkesin bildiği gibi ne yazık ki yerli olduğunu iddia eden bir çok ürün de aslında mevcut çeşitli yazılımlara arayüz yazmaktan ibaret.

Sektördeki aktörlerin yurt dışında da ses getirecek başarılı ürünler geliştirmesinin önünü açmak için ne yapılabilir?

Devletin ve özel sektörün özellikle bilim ve teknolojiye daha yatırım yapması ve teşvik vermesi gerekiyor. ABD, İsrail, Hindistan gibi ülkelerde bilişim sektörüne yapılan yatırım bizim katbekat ilerimizde. Ayrıca ülkeler arası iletişimin arttırılması ve karşılıklı destek programları ile farklı ülkelerdeki kaynakların kullanıma açılması da faydalı olacaktır. Örneğin Türkiye’deki yeni bir yazılım şirketinin ülke dışı pazarlara açılması ile yukarıdaki bahsi geçen ülkelerdeki bir yazılım şirketinin ülke dışı pazarlara açılma süresi arasında çaba, zaman ve mali anlamda dağlar kadar fark var. Şu da bir gerçek, ülkemizdeki yerli yazılım üreten firmaların birçoğu eğer ABD’de kurulsaydı şu andaki durumları çok farklı olurdu.

Yüzde yüz yerli firmaların sadece kuruluş aşamasında değil devamlılıklarının sağlanması açısından hem ticari alanda hem de uluslararası alanda daha çok desteklenmeleri gerektiğini düşünüyoruz. Uluslararası seminerlere katılım, pazarlama ve reklam konularında verilecek devlet destekleri ile bu tip kurumların verdikleri yaşam savaşlarında daha başarılı olacakları kanaatindeyiz.

Ülkede stratejik seviyede karar vericilerin siber güvenlik farkındalığını nasıl değerlendiriyorsunuz?

Bu konuda ülkemizde olumlu gelişmeler olduğunu söylemeliyiz. 10 sene öncesine kadar özellikle kurumsal ve kamusal alanda ürün ve farkındalık seviyesi oldukça düşükken artık siber tehditlerle ilgili seminerler, kurumlar, bölümler ve yerli firmalardan bahsedebiliyoruz. Bizce bunlar önemli atılımlar ama hala olması gerekenin oldukça gerisinde.

Türkiye

‘Nasıl SOME kuracağız?’ diye kara kara düşünenler var

Yorum yapın

Her geçen gün daha tehlikeli hale gelen siber tehditlere karşı önlem almaya çalışan Türkiye’de, kurumsal siber güvenlik çalışmalarını artırmak amacıyla kritik sektörlerde Siber Olaylara Müdahale Ekibi (SOME) kurulması zorunluluğu getirildi. Fakat bu kanuni zorunluluğun hayata geçirilmesinde bir çok pratik sorun ortaya çıkıyor.

Siberbulten.com’a özel bir röportaj veren Ağ Yöneticileri Derneği (AYD) Kurucu Başkanı Gökhan Akın böyle bir kanunun olumlu yönde atılmış bir adım olduğunu fakat uygulamada birçok eksiklik bulunduğunu ifade etti. Akın bu ekiplerin kurulmasının önündeki sorunlardan birinin yetişmiş eleman açığı olduğunun altını çizdi.

Ağ yönetimi konusunda eğitimler veren AYD yaklaşık 2 yıl önce kurulmasına rağmen kısa sürede 400’e yakın üye sayısına ulaşmış başarılı bir dernek. 30 kişiden oluşan asil üyelerin hepsinin ağ yöneticisi olan dernek eğitim faaliyetleri üzerinde yoğunlaşıyor. İstanbul Milli Eğitim Müdürlüğü ile yaptıkları protokol ile bilişim dersleri bulunan meslek liselerinde ağ yöneticiliği ile ilgili farkındalık oluşturmak için etkinlik düzenlemeleri derneğin faaliyetlerinden sadece birini oluşturuyor.

Dernekleri bünyesinde verdikleri eğitimlerinin içeriğini anlatan Akın, siber güvenlik tanımı, siber alanda yaşanmış önemli olaylar, siber tehditler ve bu tehditlere çözüm önerilerini katılımcılara aktardıklarını söyledi. Tehditleri ikiye ayırdıklarını da anlatan Akın, iç ve dış tehditleri ayrı ayrı işlediklerini ekledi.

Tüm bilgisayar kullanıcılarına yönelik içeriklerin yer aldığı eğitimler veren AYD’nin Başkanı Akın eğitimlerin çeşitlendirilmesinin üzerinde duruyor. Son kullanıcılar ile SOME’de çalışacak kişileirn aynı eğitimi almamasını hatırlatan Akın, “SOME kanunu koymak yeterli değil, altının da doldurulması, personelin yeterli sayıda ve eğitimli olması gerekiyor. Bu personelin ve birimin belirli periyotlarla kurumlardan bağımsız bir yapı tarafından denetlenmesi lazım. Devletin X brimi Y birimini denetlediğinde objektif sonuçlar olabilir.” ifadelerini kullandı.

Kurumların IT konusundaki istihdam politikasını eleştiren Gökhan Akın, “Kurumlar her şeyi bilen insanları bu birimlere koyuyorlar. Türkiye standartlarında orta çaplı bir firmanın ağ uzmanı yok, aslında ihtiyacı da yok. Orta çaplı bir firmanın 300 ila 500 arasında bir sayıda cihazı bulunduğunu kabul ediyoruz. Bu çapta bir firmanın aylık olarak danışman tutması gerekir.” dedi.

Türkiye’de ağ yöneticilerinin networkü ayakta tutma konusunu (accessibility) -haklı olarak- birinci öncelik olarak belirlediklerini fakat eleman açığından dolayı tüm iş gücünün bu öncelik için harcandığını güvenlik için çalışma yapılmadığını belirtti. “Dolayısıyla sıra güvenliğe bir türlü gelmiyor. Networkü ayakta tutmayı başaran bir ağ yöneticisinden beklenen ikinci hedef ise devletin koyduğu 5651 no’lu kanuna uygunluğunun sağlanması.”

“İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun” başlıklı 5651 kanununa göre bir ağ içerisinde kullanıcının hangi IP ile ne yaptığının gerektiğinde devlete bildirilmesi öngörülüyor.

AYD gibi bir yapıya siber tehditlerin hızla yaygınlaştığı bir dönemde daha fazla ihtiyaç duyulduğunu ifade eden Akın, özellikle küçük ve orta boy işletmelerin karşılaştıkları siber musibetlerde ulaşacakları ve yardım isteyebilecekleri bir platform olmayı misyon edindiklerini dile getirdi.

Siber tehditler büyüdükçe ve ağ bağımlılığı genişledikçe risklerin arttığna dikkat çeken Akın, kurumlarda IT birimlerinde çalışan insanların yetersiz sayıda olması ve sorumluluklarının net olarak belirlenmemesinin önemli bir sorun olduğuna dikkat çekti.

“Printer kartuşu yönetmekten mail sunucusu yönetmeye her şeyi yapıyorlar. Ağ durduğu anda Windows ve Linux la uğraşmaktan ğa dönüp bakmadığı için çaresiz kalabiliyor.” diyen Akın, “İnsanlar sadece accessibility ile uğraşıyorlar. Anadolu üniversitelerin çoğunda 2-3 kişi vardır IT bölümünde, SOME kuracağız ama nasıl kuracağız diye kara kara düşünüyorlar.”

“Küçük ve orta boy işletmelerin bir ağ yöneticisi istihdam etmelerine gerek yok. Danışman tutmak daha verimli bir yol.” görüşünü savunan Akın AYD’nin kuruluşunda etkili olan bir tecrübesini de paylaştı:

“Askerlik arkadaşım yıllar sonra  bir gün beni aradı. Çalıştığı şirkete uzaktan erişimi olan yağan bir sunucularına bir hackerın yetkisiz erişim sağladığını anlamışlar.Tüm sunucuyu Cryptolocker ile kilitlemiş. Arkadaş ‘Senin de bu işlerle uğraştığını hatırladım’ deyip aramış.” diyen Akın, şirketin hackerın istediği 3 bin doları ödemesine rağmen muhasebe kayıtlarını kaybetme riskiyle karşı karşıya kaldığını, kendisinin sağladığı uzman yardımıyla kayıtların büyük bir kısmının kurtulduğunu aktardı.

Bu tür taleplerin artması üzerine arkdaşlarıyla www.agciyiz.net adlı siteyi kurduklarını anlatan Akın, en büyük sorunlarının “Ğ” olmasından yakınıyor. “Ağdacıyız olarak anlayan bile oldu sitenin adını. Türkçeleştirmek için networkü kullanmayı tercih etmedik. Ama derneği ilk kurduğumuzda, bir yetkili ‘Ne ağı? Balık ağı mı?’ diye sordu. Adam haklı.”

Türkiye

Devletin beğenmediği projeme Avrupa’dan milyon dolarlık teklif geldi

Yorum yapın

Dünyada stratejik ve kârlı bir sektör haline gelen siber güvenlik henüz Türkiye’de beklenen atılımı gerçekleştiremedi. Bu gelişmeye paralel olarak Türkiye menşeli güvenlik şirketleri gerek bölgesel gerek küresel pazarlarda kendilerine yer bulmakta zorlanıyor. Bu durumun birkaç istisnasından biri SignalSec. Şirketin kurucusu Celil Ünüver ile  sektörün Türkiye’deki durumunu, ülkenin önündeki potansiyelini ve kendisi gibi bu kouya meraklı gençlere önerilerini konuştuk.

 

 

 

 

 

 

 

Celil Ünüver kimdir?

Celil Ünüver,  tersine mühendislik , exploit geliştirme ve  SCADA güvenliği  alanlarında çalışmalar yapan bir güvenlik araştırmacısıdır. Siber tehdit istihbarat hizmeti veren birçok global firmaya zero-day zafiyet araştırmacısı olarak hizmet vermiş ve yazılım güvenliği üzerine yaptığı çalışmaları uluslararası birçok konferansta sunmuştur. Şu an çalışmalarına kurucu ortağı olduğu SIGNALSEC Ltd. altında devam
etmektedir. 

Türkiye’de siber güvenliğin durumunu anlamak için akademi ve şirketler arasındaki ilişkiden başlayalım. Üniversite ve sektör arasındaki bağlantıyı nasıl değerlendiriyorusunuz?

– Türkiye’de birkaç üniversite sektörle işbirliği yaparak bilgi güvenliği alanında dersler ve yüksek lisans programları sunuyor. Bu işbirliğinin diğer üniversitelerde de artması , hem akademinin hem de sektörün gelişmesini sağlayacaktır. Güvenlik alanında çok az yayın yapan bir akademik camiamız mevcut. Yapılan yayınlar ise yıllardır network güvenliği ve kriptolojinin dışına pek çıkmıyor. Özellikle NYU Polytechnic üniversitesinin sektörle olan işbirliği güzel bir örnek olabilir ülkemiz için.

Dünyada bir start-up jenerasyonunu n oluştuğunu görüyoruz, bunu Türkiye’de siber güvenlik sektörüne yansımaları bulunuyor mu?  Teknokentlerde kurulan siber güvenlik şirketleri var mı?

– Türkiye’de start-up firmaları malesef e-ticaret , alışveriş ve çöpçatan sitelerinden oluşuyor. Siber güvenlik alanında faaliyet gösteren start-up şirketi ise çok az. Teknokentlerde az sayıda siber güvenlik şirketi bulunuyor. Türkiye’deki teknokentleri vergi avantajlarından yararlanmak için büyük firmaların doldurduğunu görüyoruz. Start-up şirketlerine pek yer kaldığı söylenemez.

Devlet siber güvenlik sektörünün gelişmesi ve dünyaya açılması için neler yapıyor? Bu konuyla ilgili şahsi tecrübeleriniz var mı?

– Devlet teknoloji sektörünün gelişmesi için son yıllarda girişimcilere ve firmalara elinden gelen desteği sağlıyor. Biliyorsunuz Tübitak,  Ulaştırma Bakanlığı , Sanayi Bakanlığı vb. kurumların ar-ge ve girişim desteği programları mevcut. Bu programlarda sıklıkla siber güvenlik ile ilgili konular öncelikli alan olarak belirleniyor. Sektörde bu programlardan yararlanan birçok siber güvenlik firması mevcut ancak malesef çoğu dünyaya açılacak ürünler geliştirip aldıkları desteğin hakkını verebilmiş değil. Bu konudaki bireysel tecrübelerim de malesef pek iç açıcı değil. Devletin sağladığı destek programlarındaki jüri üyeleri bazen projenizi anlayacak potansiyele ve tecrübeye sahip olmayabiliyor. 2010 yılında henüz şirketimi kurmadan önce böyle bir devlet desteğinden yararlanmak için başvurmuş ancak jüri aşamasında projemi anlatamayıp elenmiştim. 2010 yılında elenen o projemiz, 2014 yılında ise Avrupalı bir yatırım firmasından milyon dolarlık yatırım teklifi aldı.

 

 

 

 

 

 

 

 

 

 

 

Siber güvenlikte yerli üretim ne seviyede? Yerli üretim diye sunulan ürünler ne kadar yerli?

– Malesef siber güvenlikte gerçekten yerli üretim yapan firma sayısı bir elin parmaklarını geçmez. Ülkemizdeki yerli üretim modası, çeşitli  linux / bsd distrolarının (pfsense vb.) arayüzünü değiştirerek , birkaç modül ekleyerek UTM, Firewall olarak sunmak ya da zafiyet tarama ve OSINT araçlarını harmanlayarak web portalında toplamak. Malesef ortaya çıkan bu sözde yerli ürünler ile devlet desteklerinden yararlanmak  da oldukça kolay.

Sektörün devlete bağımlı olarak ilerlediği fikrine katılıyor musunuz? Eğer böyle bir durum varsa bu sektörün dışarı açılması ve gelişmesi önünden bir engel midir?

–  Bu fikri ortaya atanlar muhtemelen çoğunlukla devlet kurumlarına iş yapan sektör oyuncuları. Gelişmekte olan bir ülkeyiz ve ülkemizde siber güvenliğin durumu da malum. Böyle bir ortamda bu firmaların sıradan ürün ve hizmetlerini devlet kurumlarına biraz korku yaratarak satmaları gayet olağan ancak aynı ürün ve hizmetler ile yurtdışına açılmaları ve gelişmiş ülkelerde pay edinmeleri imkansız. Dolayısıyla bu şirketlerin ayakta kalabilmesi için devletin alımlarını ve desteğini sürdürmesi lazım. Ülkemizde bebek endüstri , yerli malı vb. korumacı politikaların uygulanmasının sektördeki firmaları daha da tembelleştireceğine inanıyorum. Zira şu an birçok “yerli” ürün geliştiren firma yabancı ürün korkusu ve paranoyası yaratarak satış yapmaya çalışıyor.

 

 

 

 

 

 

 

 

Kaliteli olarak bilinen üniversitelerin bilgisayar mühendisliği ve siber güvenliğe yakın diğer bölümlerinde güvenlik çalışmalarının gelişmediğini gençlerin bu sektöre ilgisinin az olduğunu görüyoruz. Henüz lisans eğitimi alan öğrencilerin bu alanda özelleşmeleri için neler önerirsiniz?

–  Son yıllarda bunun değiştiğine inanıyorum. Bazı üniversitelerde kurulan başarılı ve aktif bilgi güvenliği öğrenci kulüpleri, CTF grupları mevcut.  En son Romanya’da katıldığım bir konferansta BilkentSec isimli bir grubun, konferansın CTF finaline kaldığını ve yarıştığını görüp mutlu oldum. Bu alana meraklı üniversite öğrencilerine, başarılı olmak istiyorlarsa, bilgi güvenliği uzmanı veya etik hacker olmaya özenmemelerini tavsiye ederim. Başarılı olmak istiyorlarsa gerçek manada hacker olmaya özenip , Phrack okuyarak işe başlayabilirler. Tabi önce gerçek manada hacker olmanın , oraya buraya zarar vermek, yasal olmayan işler yapmak olmadığını da anlamaları gerekiyor 🙂

Kendi siber güvenlik hikayenizi bizimle paylaşır mısınız? Her şey nasıl başladı? 

–  Çocukluğumdan beri herşeyi bozmayı , parçalara ayırmayı severdim. Yaratan sanırım beni de kırmaya programlamış. Ufak yaşta babamın işi gereği bilgisayarla tanıştım. Yine erken sayılabilecek bir yaşta programlamaya başladım. Ancak içimdeki kırma hevesi, programlamayı da başka programları kırma amacıyla kullanmaya yöneltti. Doğru zamanda, doğru kişilerle (Yasin Sürer, Ahmet Cihan, Ahmet Akbulut vb.) yapılan arkadaşlıklar ve kar amacı gütmeyen çalışmalar, oluşumlar bu alanda ilerlememi sağladı. Türkiye’deki sektörün tersine giderek, siber güvenliğin farklı alanlarında uzmanlaşmaya (vulnerability research, exploit development) çalıştım. İlk başlarda bu konular üzerine Türkiye’de çalışamadığım ve iş yapamadığım için yakınıyordum ancak bu durum bana çalışmalarımı yurtdışına taşımamı, birçok ülkede çok farklı ve heyecanlı işler yapmamı sağladı..

Türkiye’de stratejik siber güvenlik çalışmalarına ihtiyaç var mı? Bu konuda neler yapılabilir?

–  Türkiye siber güvenlik ile ilgili gelişmeleri maalesef geriden takip ediyor ve uyguluyor. Dolayısıyla özellikle siber güvenlikte stratejik çalışma alanlarını belirleyebilecek stratejik düşünce oluşumlarına ihtiyacımız var. Bu konular özellikle Amerika’da güvenlik stratejileri gelistiren think-thank kurulusları catısı altında geliştiriliyor. Stratfor, CNAS gibi kuruluslar bunlardan bazıları. Ülkemizde devlet politikalari geliştiren bir takım düşünce kuruluşları var fakat hali hazirda bu alanda aktif denebilecek stratejiler çıkarmanın çok geresindeyiz. Bunun sebeplerinden bir tanesi özgün fikirler üretebilmenin yanı sıra, uygulamaya geçirecek yetkinlikte olmamamız…

HAFTALIK SİBER BÜLTEN RAPORUNA ULAŞMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]
Türkiye

Önal: “Türkiye’de siber güvenlik altın çağına giriyor”

Yorum yapın

Bigi Güvenliği Akademisi, Türkiye’de bilgi/siber güvenlik alanında faaliyet gösteren bir kaç köklü kurumdan biri olarak öne çıkıyor.  2008 yılından bu yana sektörde olan BGA 20 kişilik uluslararası geçerliliğe sahip sertifikalı teknik ekiple faaliyetlerini Ankara ve İstanbul ofislerinde sürdürüyor. Stratejik siber güvenlik danışmanlığı da veren kurumun başındaki isim Huzeyfe Önal ile Türkiye’de siber güvenliğin geleceğini konuştuk.

Türkiye’de siber güvenlik sektörünün gelişimini siber güvenlik tehdit algısının artışına paralel olarak görüyor musunuz?

Güvenlik tehdit algısı ile doğru orantılı olarak gelişen bir süreç oldugu icin Türkiye’de siber güvenlik konusu son yıllara kadar ciddi bir gelişim gösteremedi. Hasta olmadan doktora gitmeme ya da sınava son gece çalışarak dersi geçme konusunda mahir olan  bir kültür için güvenlik olgusunun sıkıntılar yaşandıkca önem kazanmasını normal karşılayabiliriz.

Türkiye harici diğer dünya ülkelerinde de benzeri durum olmasına rağmen Türkiye’de biraz daha musibet yaşandıkca aksiyon alınması ve güvenliğe yatırım yapılması  “musibed based security” modelinin işlediğini göstermektedir.

Bir müddet daha bu şekilde güvenlik problemleri yaşandıkca önem artmaya başlayacak ve sonra bizler de bu işin doğrusuna yöneleceğiz, yani testi kırılmadan önlemlerimizi alacağız.
Dünyadaki siber güvenlik gelismeleri Türkiye’de yeterince yakindan takip edilebiliyor mu? Eğer edilmiyorsa, bu durumu ülkenin siber güvenlik alaninda geri kalmasinda bir faktör olarak görebilir miyiz?

Türkiye’de henüz siber güvenlikle entellektüel seviyede  ilgilenen  ciddi bir kitle oluşmadı, siber güvenlik olayları gazetelerin 3. sayfa haberleri gibi daha magazinsel sunuluyor.

Ben Türkiye’nin siber güvenlikte geri kalmasının temel nedenini dış ülkelerden ciddi saldırılar almamasına(Dış ülkelerin hedefi olabilecek kaç tane uluslararası marka firmamız var), yerel hacker gruplarının gerçekleştirdiği saldırılarda amaçlarının ticaretten çok mesaj verme olmasından kaynaklandığını düşünüyorum.  Her ne kadar son bir iki yılda Türkiye’de yaşanan siber güvenlik problemleri  ticari odaklı olmasına rağmen henüz yeteri dikkati çekememiştir.

Bir de konuyla ilgili olanların bir kısmının yabancı dilde haber okumama, her tür haber icin sadece merkez haber kaynaklarını takip etmeleri nedeniyle konudan uzak kaldıklarını düşünüyorum.

Siber güvenlik Türkiye’de ne zaman yükselise geçti / geçecek?

Yaklaşık 14 yıldır  bu konuyla ilgili olan ve Türkiye’deki durumu izleyen biri olarak yaşanan süreci 3 aşamaya bölüyorum. 1. aşama 2000-2011 , ikinci aşama 2011-2015 ve son aşama da 2015-2020. 2. aşamada alınan yol geri kalan 10 yıllık süreçten daha önemlidir.  Yapılan etkinlikler, bu konudaki çıkan haberler ve yatırımlar incelendiğinde ikinci aşamanın çok önemli olduğunu görebiliriz.

Ama bence henüz Türkiye siber güvenlikte altın çağını yaşamadı, sektörde ciddi manada “kalifiye” eleman eksikliği ve stratejik manada bunu anlatabilecek yönetici (kamu. özel sektör) eksiliği var. Akademik dünyada siber güvenlik ise daha emekleme aşamasına bile gelemedi. Bu üç bileşenin 2017-2018 yıllarında çok ciddi artışa gececegini düşünüyorum.

 


Stratejik siber güvenlik alaninda Türkiye ne durumda? Sizce ilerlemesi için hangi adimlarin atilmasi gerekiyor?

Strateji kelimesi bu ülke için çoğunlukla bilgisayar oyunlarıyla birlikte anılıyor. Gerçek manada stratejik adımların atılabilmesi icin bu konuda daha fazla insan kaynağının yetişmesi, yetişen mühendis, teknik adam kadar işin sosyal boyutunu irdeleyebilecek insanların da olması gerekir.

Orta seviyede bu konu ile ilgili hemen herkesin söyleyebileceği bir sürü fikri vardir bu konuda, bizleri yönetmekle sorumlu kişilerin radikal kararlar alarak bu konuyu ön plana çıkartmadıkları müddetce stratejk ilerleme konusunda beklentileri düşük tutmakta fayda var. Obama 2010 yılında ulusa sesleniş konuşmalarından birinde “Amerika’nın 21. yüzyıldaki refah seviyesi Siber Güvenik konusunda atacağı adımlara bağlıdır” mealinde bir cümle kullanmıştı. O zaman abartı gibi gelen bu cümle şimdilerde doğruluğunu gösteriyor.

Akademi ve özel sektör iş birligi siber güvenlikte nasıl sağlanabilir?

Son 10-15 yılın en önemli tartışma konularından biri Akademi-özel sektör iş birliği. Diğer alanlarda bunu başaramadı Türkiye ama siber güvenlik konusunda alınacak hızlı kararlarla başarılacağını düşünüyorum ben. Bu başarının önündeki en önemli engel Türkiye’deki akademisyenlerin teori dünyasında boğulması ve siber güvenlik konusunda yerli ürünleri de içine alacak ar-ge çalışmalarının  Türkiye’de yeterli seviyede yeşermemiş olması

NSA skandalından sonra dünyada siber güvenlik sektöründeki özel sirketler ile devlet arasindaki iliskiler gündeme geldi. Vodafone gibi dünya devlerinin dahi devletlere vatandaslari takip edebilmesi ve dinleyebilmesi için yardımcı olduğu  ve bazı uygulamalarına göz yumduğu ortaya çıktı. Bu konudaki görüşlerini paylaşabilir misiniz?

NSA’den sızan belgeler incelendiğinde bu tip gayri resmi işlemlerin 2007 yılından itibaren düzenli olarak yapıldığı görülmektedir. Internet sokağının bir vatandaşı olarak bireysel mahremiyete dokunacak her tür işleme karşı çıkmayı ve buna karşı önlem almayı hepimizin öğrenmesi gerekiyor. EFF gibi organizasyonların daha fazla desteklenmesi, takip edilmesi aynı gemide yol alan internet kullanıcılarının yararına olacaktır.

Diğer yandan dünyanın süper gücü olmayı kendine hedef edinmiş bir devletten farklı bir şey de beklenmezdi. Ben ilk okuduğumda bu belgeleri aklından geçen ilk cümleler “… boşuna süper güç olunmuyor, bizim filmlerde olacağına ihtimal getirmediğimiz senaryoları adamlar yapmış…” oldu.

Özel sektörün, bağlı bulunduğu ülkenin kanunlarına göre yönetildiğini düşünürsek uzun vadede global firmaların lokal sistemlerle iş yapmaya başlamak zorunda kalacağını söyleyebiliriz.

 

Türkiye, Uncategorized

Siber güvenlik hocası Tatlı: “Öğrencilere saldırgan bakış açısı vermeliyiz”

Yorum yapın

Türkiye’de bilimsel gelişmenin istenen hızla ilerleyememesinin önemli sebeplerinden birinin ‘beyin göçü’ olduğu sıklıkla ifade edilir. Ülkemizde yetişen akademisyenlerin yurt dışında elde ettikleri başarılar ile bir yandan gurur duyarken, diğer yandan ‘keşke burada kalsaydı’ diye hayıflanırız. Fakat son zamanlarda az da olsa yurt dışından Türkiye’ye memlekete hizmet düşüncesiyle dönen akademisyenlere de şahit oluyoruz. Onlardan biri de Medipol Üniversitesi Mühendislik ve Doğa Bilimleri Fakültesi, Elektirk ve Elektronik Bölümü öğretim üyesi Yrd. Doç. Dr. Emin İslam Tatlı. Yüksek lisans ve doktora eğitimini Almanya’da tamamlayan Tatlı ile Türkiye’de siber güvenlik algısını, güvenlik çalışmalarında diğer ülkeler ile Türkiye arasındaki farkları kouştuk. Tatlı özel sektör üniversite işbirliğinden siber güvenlik uzmanı yetiştirmede etkili gördüğü noktalara kadar bir çok konuda fikirlerini paylaştı. Öğrencilere saldırgan bakış açısı kazandırmalıyız

 

Türkiye’de siber güvenlik sektörünün gelişimini siber güvenlik tehdit algısının ve siber saldırıların artışına paralel olarak görüyor musunuz? 

Tehdit algısı ile birlikte insanların farkındalığının artması doğal bir reflekstir. Depremi yaşadıktan sonra insanların deprem sigortası konusunda farkındalığının artması gibi siber güvenlikte de insanlar kendi başlarına bir şey geldiğinde ya da bir başkasının başına gelen siber saldırılardan haberdar olduklarında farkındalık geliştiriyorlar ve çözüm arayışına giriyorlar. Bu çözüm arayışı siber güvenlik sektörünün gelişmesine vesile oluyor. Aslında bu sadece Türkiye’de değil dünyada da bu şekildedir. Stuxnet ortaya çıkana kadar küresel anlamda da endüstriyel sistemlerinin güvenliği pek sorgulanmıyordu. Ancak bazen bu geç oluşan farkındalığın telafisinin olmayacağı durumları unutmamak lazım. Örneğin müşterilerinize ait parolaları çaldırdığınızda parolaları yenilemek mümkündür ama T.C. kimlik numarası ya da genetik bilgiler gibi değiştirilmesi mümkün olmayan kişisel verileri çaldırdığınızda telafisi olmayan bir durumla karşı karşıya kalınabilir. Dolayısı ile farkındalığın daha saldırıya maruz kalmadan oluşması önemlidir.

Dünyadaki siber güvenlik gelişmeleri Türkiye’de yeterince yakından takip edilebiliyor mu? Sizce ilerlememiz için hangi adımların atılması gerekiyor? 

Özel sektörün dünyadaki siber güvenlik gelişmelerini bilgi güvenliği hizmeti veren şirketlerin de desteği ile daha iyi takip edebildiklerini düşünüyorum. Özellikle güvenlik politikalarının uygulanması konusunda daha titiz davranan Türkiye’deki uluslararası özel şirketler daha iyi konumdalar. Ancak son yıllarda gelişmeler olmasına rağmen ulusal güvenlik ürünleri üretmekte çok yeterli bir konumda değiliz. Birçok güvenlik ürününü yurtdışından ithal edip kullanmak durumunda kalıyoruz. Bunun sonucunda hem maddi zarara uğruyoruz hem de daha önemlisi güvenlik açısından çok kritik olan ulusal ürünlerimizi geliştiremiyoruz, AR-GE kabiliyetimizi ilerletemiyoruz. Bu konuda daha fazla gelişim göstermemiz gerekiyor. Ülkemizde bu tür yerli ürün projelerine sağlanan fon destekleri yurtdışındaki desteklerden aşağı kalmamaktadır.

Ulaştırma Bakanlığı öncülüğünde yayınlanmış olan Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planımız hem kamu kurumlarının, hem özel sektörün hem de akademik camianın siber güvenlikte ilerleme sağlaması için iyi bir yol planı çizmektedir. Ancak aradan geçen süre göz önüne alındığında bu eylem planı tekrar revize edilmeli, neleri yapıp neleri yap(a)madığımız incelenmeli ve özellikle akademisyenlerin desteği ile daha kapsamlı hale getirilmelidir. Bu revize edilecek eylem planı tarafından belirlenen aktivitelerin gerçekleştirilmesi ve bunların ilgili sorumlu kuruluşlar tarafından gözlemlenmesi ve destek verilmesi ülkemizdeki siber güvenlik çalışmalarına büyük katkı sağlayacaktır.

Diğer önemli gördüğüm bir konuda şudur. Kurumlar siber güvenliği merkezi bir konu olarak algılamamalılar. Yani devlet siber güvenlikle ilgili önlem almalı ve benim bir şey yapmama gerek yok düşüncesi olmamalıdır. Her kurum siber güvenliği kendi görevi bilmeli, verilerini ve sistemleri saldırılara karşı korumak için bilgi güvenliği yönetim sistemi oluşturmalı ve politikalarını uygulamalı, geliştirdiği ve kullandığı yazılımları, sistemleri sızma testi gibi güvenlik testleri ile daha güvenli hale getirmeli ve bunun yanında da devletin kendisine sağladığı siber güvenlik desteklerinden de faydalanmalıdır.

 SİBER BÜLTEN HAFTALIK HABER BÜLTENİNE ABONE OLMAK İÇİN LÜTFEN FORMU DOLDURUN

[wysija_form id=”2″]

Ülkemizde akademik siber güvenlik çalışmalarını yurtdışındaki çalışmalarla kıyasladığınızda nasıl bir manzara karşınıza çıkıyor? 

Üniversitelerimizde siber güvenlik üzerine hem eğitim hem de araştırma akademik çalışmalarında çok yeterli değiliz. Elektrik-Elektronik ve Bilgisayar Mühendisliği bölümleri mezunu birçok öğrenci bilgi güvenliği üzerine yeterli bilgiye sahip olmadan mezun oluyorlar. Bu mezunlarda haliyle güvenli tasarlama ve geliştirmenin prensipleri hakkında bir farkındalık olmuyor ve iş dünyasında geliştirdikleri sistemler ya da yazılımlar güvenlik zafiyetleri barındırıyorlar. Bilgi güvenliği lisans esnasında zorunlu bir ders olmalı ve öğrenciler bilişim teknolojilerine karşı ne tür saldırılar olduğu, saldırıların ne tür risklere sebep olduğu ve gerekli güvenlik kontrolleri üzerine bir farkındalık kazanmalıdırlar. Benzer şekilde araştırma projelerinin yeterli sayıda olmaması sebebiyle öğrenciler saldırı temellerini öğrenmeye yönelik pratik yapma fırsatını yeterince bulamamaktadırlar.

Bu eksikliğin bir nedeni de üniversitelerimizde bu alanlarda çalışan akademisyen sayısının az olmasıdır. Yurtdışındaki güvenlik araştırma grupları hem adet olarak çok fazla sayıdalar hem de her bir grup bünyesinde onlarca araştırmacı çalışmaktadır. Örneğin Almanya’daki üniversitelerde bilgi güvenliği ve siber güvenlik konularında çalışan 50’den fazla araştırma grubu bulunmaktadır. Her bir araştırma grubu kendi üniversitesinde CTF (capture the flag)  ekipleri kurulmasına ve öğrencilerini uluslararası CTF yarışmalarına katılmaları için destek vermektedirler. Örneğin en son yapılan Hack.lu CTF yarışmasında bütün dünyadan yaklaşık 400 takım katılmıştır. Bizim de üniversitelerimizde siber güvenlik konularını çalışan akademisyen sayısını artırmamız gerekmektedir. Üniversitelerimizde öğrencilerden CTF ekipleri kurmamız ve bunları desteklememiz gerekmektedir. Üniversitelerimizde akademisyen sayısı arttıkça hem bu alanda verilen ders ve araştırma projeleri sayısı artacak hem de sanayi-üniversite işbirliği projelerinde de sayıca artış sağlanacaktır.  

Üniversiteler ve özel sektör iş birliği siber güvenlikte nasıl sağlanabilir?

Siber saldırılar ve siber güvenlik çok dinamik ve sürekli gelişen alanlardır. Sürekli olarak var olan teknolojilerin gelişmesi, yeni teknolojilerin ortaya çıkması ve bu teknolojilerin hayatımızın her yerine girmesi bu dinamizmin ana etkenlerindendir. Siber güvenlik ve bilgi güvenliği alanındaki ticari ürünler bu dinamik yapıya ayak uydurabilmek için AR-GE yatırımları yapmak zorundadırlar. Zaten bu alandaki ticari büyük oyunculara bakacak olursak bunların geliştirmeden bağımsız üniversiteler ile iletişim halinde ayrı araştırma laboratuvarları olduğu görülmektedir. Hata yurtdışındaki şirketler kendi bünyelerindeki AR-GE birimlerinde üniversitelerle beraber çalışmak şartıyla doktora çalışması yürüten araştırmacıları istihdam edebilmektedirler.

Özel sektördeki şirketler üniversitelerdeki akademisyenler olmadan yenilikçi yönü güçlü ve dinamik piyasa ile rekabet edebilecek ürünler ortaya çıkaramazlar; benzer şekilde akademisyenler de son ürün ortaya çıkarmak için gerekli mühendislik işlerini üniversite bünyesinde yürütemezler. Dolayısı ile burada yapılacak ortak işbirliği iki taraf için de kaçınılmazdır. Ülkemizde özel sektör ve üniversitelerin beraber çalışmalarını sağlayacak TÜBİTAK TEYDEB, Avrupa Birliği Horizon2020 vb. birçok proje destek fonları bulunmaktadır. Bu destekler kapsamında akademisyenler ve güvenlik ürünü üreten şirketler bir araya gelmeli ve ortak projeler yapmalıdırlar. Bu işbirlikleri için dikkat edilmesi gereken bazı hususlar bulunmaktadır. Öncelikle proje başvurusu hazırlanırken ilgili akademisyenin ve ekibinin hangi konularda araştırma katkısı verecekleri çok iyi belirlenmelidir. Akademisyenden araştırma yönü olan ve elde ettiği sonuçları uluslararası dergilerde, konferanslarda yayınlanmasına olanak sağlayan konularda destek talep edilmelidir. Ayrıca ilgili akademisyenin danışmanlığının yanı sıra muhakkak yüksek lisans ya da doktora seviyesinde araştırmacılar projeye dahil edilmelidirler.

 

İstanbul Medipol Üniversitesinde siber güvenlik alanında nasıl çalışmalar yapılıyor? Gelecek planlarınız hangi yönde?

 2014 yılının başında İstanbul Medipol Üniversitesi bünyesinde Siber Güvenlik ve Mahremiyet Araştırma Grubunu kurmak üzere Almanya’dan İstanbul’a geri döndüm. Araştırma Grubumuz başlıca eğitim, araştırma, sanayi işbirliği ve CTF yarışmaları alanlarında aktif faaliyetler yürütmektedir.

Eğitim alanında lisans, yüksek lisans ve doktora programlarında bilgi güvenliği ve siber güvenlik üzerine teori ve pratiği bir araya getirdiğimiz dersler vermekteyiz. Araştırma Grubu olarak saldırı temelli eğitimi prensip ediniyoruz ve derslerimizi öğrencilerimize saldırgan bakış açısı kazandırmaya yönelik laboratuvar çalışmaları ile destekliyoruz.

Araştırma alanında başlıca siber güvenlik, zararlı (mobil) yazılım analizi, Botnet analizleri, ağ ve mobil adli bilişim analizleri, ulusal siber güvenlik eylem planımızın geliştirilmesi, güvenli yazılım/sistem tasarımı ve kodlaması, bulut ve mobil sistemlerin güvenliği, sağlık cihazlarının ve uygulamalarının güvenliği, donanım güvenliği, bilgi güvenliği yönetimi sistemleri, risk yönetimi ve mahremiyeti destekleyici teknolojiler gibi güncel ve kritik konular üzerine araştırma faaliyetleri yürütüyoruz.

Şu anda yaklaşık on kişilik doktora araştırmacısı ekibimizle bu alanlarda araştırmalar yapıyoruz. Özellikle Almanya’daki bazı üniversiteler ve akademisyenler ile işbirliği kurma çalışmalarımız var. Araştırmalarımızın detaylarına http://cybersec.medipol.edu.tr/research linkinden erişilebilir. Çalıştığımız alanlara ilgi duyan yeni yüksek lisans ya da doktora araştırmacıları ile ekibimizi büyütmeyi planlıyoruz.

Sanayi işbirliğine de çok önem veriyoruz. Şirketlerle birlikte ürün geliştirme projelerinde aktif rol alıyoruz. Özellikle güvenlik test ürünleri geliştiren şirketlerle ortak proje çalışmaları yürütüyoruz. Bunun yanında proje destek fonlarına farklı şirketler tarafından verilen proje tekliflerinde Hakem olarak görev alıyor ve burada sunulan projelerin uluslararası pazarda rekabet edebilmesi adına vizyonumuzu paylaşıyoruz.

CTF diğer tabirle “Bayrak Kapmaca” yarışmaları da Araştırma Grubumuzun çok önem verdiği konulardan birisidir. Güvenliği öğrenmenin en önemli yolu nasıl saldıracağını iyi bilmek ve saldırgan gözüyle bir sistemi inceleyebilmektir. Şu anda doktora öğrencilerimizden oluşturduğumuz bir CTF ekibimiz var ve bu ekiple üniversitelere yönelik düzenlenen uluslararası CTF yarışmalarına katılmak üzere çalışmalara başladık.