Dünyada stratejik ve kârlı bir sektör haline gelen siber güvenlik henüz Türkiye’de beklenen atılımı gerçekleştiremedi. Bu gelişmeye paralel olarak Türkiye menşeli güvenlik şirketleri gerek bölgesel gerek küresel pazarlarda kendilerine yer bulmakta zorlanıyor. Bu durumun birkaç istisnasından biri SignalSec. Şirketin kurucusu Celil Ünüver ile sektörün Türkiye’deki durumunu, ülkenin önündeki potansiyelini ve kendisi gibi bu kouya meraklı gençlere önerilerini konuştuk.
Celil Ünüver kimdir?
Celil Ünüver, tersine mühendislik , exploit geliştirme ve SCADA güvenliği alanlarında çalışmalar yapan bir güvenlik araştırmacısıdır. Siber tehdit istihbarat hizmeti veren birçok global firmaya zero-day zafiyet araştırmacısı olarak hizmet vermiş ve yazılım güvenliği üzerine yaptığı çalışmaları uluslararası birçok konferansta sunmuştur. Şu an çalışmalarına kurucu ortağı olduğu SIGNALSEC Ltd. altında devam
etmektedir.
Türkiye’de siber güvenliğin durumunu anlamak için akademi ve şirketler arasındaki ilişkiden başlayalım. Üniversite ve sektör arasındaki bağlantıyı nasıl değerlendiriyorusunuz?
– Türkiye’de birkaç üniversite sektörle işbirliği yaparak bilgi güvenliği alanında dersler ve yüksek lisans programları sunuyor. Bu işbirliğinin diğer üniversitelerde de artması , hem akademinin hem de sektörün gelişmesini sağlayacaktır. Güvenlik alanında çok az yayın yapan bir akademik camiamız mevcut. Yapılan yayınlar ise yıllardır network güvenliği ve kriptolojinin dışına pek çıkmıyor. Özellikle NYU Polytechnic üniversitesinin sektörle olan işbirliği güzel bir örnek olabilir ülkemiz için.
Dünyada bir start-up jenerasyonunu n oluştuğunu görüyoruz, bunu Türkiye’de siber güvenlik sektörüne yansımaları bulunuyor mu? Teknokentlerde kurulan siber güvenlik şirketleri var mı?
– Türkiye’de start-up firmaları malesef e-ticaret , alışveriş ve çöpçatan sitelerinden oluşuyor. Siber güvenlik alanında faaliyet gösteren start-up şirketi ise çok az. Teknokentlerde az sayıda siber güvenlik şirketi bulunuyor. Türkiye’deki teknokentleri vergi avantajlarından yararlanmak için büyük firmaların doldurduğunu görüyoruz. Start-up şirketlerine pek yer kaldığı söylenemez.
Devlet siber güvenlik sektörünün gelişmesi ve dünyaya açılması için neler yapıyor? Bu konuyla ilgili şahsi tecrübeleriniz var mı?
– Devlet teknoloji sektörünün gelişmesi için son yıllarda girişimcilere ve firmalara elinden gelen desteği sağlıyor. Biliyorsunuz Tübitak, Ulaştırma Bakanlığı , Sanayi Bakanlığı vb. kurumların ar-ge ve girişim desteği programları mevcut. Bu programlarda sıklıkla siber güvenlik ile ilgili konular öncelikli alan olarak belirleniyor. Sektörde bu programlardan yararlanan birçok siber güvenlik firması mevcut ancak malesef çoğu dünyaya açılacak ürünler geliştirip aldıkları desteğin hakkını verebilmiş değil. Bu konudaki bireysel tecrübelerim de malesef pek iç açıcı değil. Devletin sağladığı destek programlarındaki jüri üyeleri bazen projenizi anlayacak potansiyele ve tecrübeye sahip olmayabiliyor. 2010 yılında henüz şirketimi kurmadan önce böyle bir devlet desteğinden yararlanmak için başvurmuş ancak jüri aşamasında projemi anlatamayıp elenmiştim. 2010 yılında elenen o projemiz, 2014 yılında ise Avrupalı bir yatırım firmasından milyon dolarlık yatırım teklifi aldı.
Siber güvenlikte yerli üretim ne seviyede? Yerli üretim diye sunulan ürünler ne kadar yerli?
– Malesef siber güvenlikte gerçekten yerli üretim yapan firma sayısı bir elin parmaklarını geçmez. Ülkemizdeki yerli üretim modası, çeşitli linux / bsd distrolarının (pfsense vb.) arayüzünü değiştirerek , birkaç modül ekleyerek UTM, Firewall olarak sunmak ya da zafiyet tarama ve OSINT araçlarını harmanlayarak web portalında toplamak. Malesef ortaya çıkan bu sözde yerli ürünler ile devlet desteklerinden yararlanmak da oldukça kolay.
Sektörün devlete bağımlı olarak ilerlediği fikrine katılıyor musunuz? Eğer böyle bir durum varsa bu sektörün dışarı açılması ve gelişmesi önünden bir engel midir?
– Bu fikri ortaya atanlar muhtemelen çoğunlukla devlet kurumlarına iş yapan sektör oyuncuları. Gelişmekte olan bir ülkeyiz ve ülkemizde siber güvenliğin durumu da malum. Böyle bir ortamda bu firmaların sıradan ürün ve hizmetlerini devlet kurumlarına biraz korku yaratarak satmaları gayet olağan ancak aynı ürün ve hizmetler ile yurtdışına açılmaları ve gelişmiş ülkelerde pay edinmeleri imkansız. Dolayısıyla bu şirketlerin ayakta kalabilmesi için devletin alımlarını ve desteğini sürdürmesi lazım. Ülkemizde bebek endüstri , yerli malı vb. korumacı politikaların uygulanmasının sektördeki firmaları daha da tembelleştireceğine inanıyorum. Zira şu an birçok “yerli” ürün geliştiren firma yabancı ürün korkusu ve paranoyası yaratarak satış yapmaya çalışıyor.
Kaliteli olarak bilinen üniversitelerin bilgisayar mühendisliği ve siber güvenliğe yakın diğer bölümlerinde güvenlik çalışmalarının gelişmediğini gençlerin bu sektöre ilgisinin az olduğunu görüyoruz. Henüz lisans eğitimi alan öğrencilerin bu alanda özelleşmeleri için neler önerirsiniz?
– Son yıllarda bunun değiştiğine inanıyorum. Bazı üniversitelerde kurulan başarılı ve aktif bilgi güvenliği öğrenci kulüpleri, CTF grupları mevcut. En son Romanya’da katıldığım bir konferansta BilkentSec isimli bir grubun, konferansın CTF finaline kaldığını ve yarıştığını görüp mutlu oldum. Bu alana meraklı üniversite öğrencilerine, başarılı olmak istiyorlarsa, bilgi güvenliği uzmanı veya etik hacker olmaya özenmemelerini tavsiye ederim. Başarılı olmak istiyorlarsa gerçek manada hacker olmaya özenip , Phrack okuyarak işe başlayabilirler. Tabi önce gerçek manada hacker olmanın , oraya buraya zarar vermek, yasal olmayan işler yapmak olmadığını da anlamaları gerekiyor 🙂
Kendi siber güvenlik hikayenizi bizimle paylaşır mısınız? Her şey nasıl başladı?
– Çocukluğumdan beri herşeyi bozmayı , parçalara ayırmayı severdim. Yaratan sanırım beni de kırmaya programlamış. Ufak yaşta babamın işi gereği bilgisayarla tanıştım. Yine erken sayılabilecek bir yaşta programlamaya başladım. Ancak içimdeki kırma hevesi, programlamayı da başka programları kırma amacıyla kullanmaya yöneltti. Doğru zamanda, doğru kişilerle (Yasin Sürer, Ahmet Cihan, Ahmet Akbulut vb.) yapılan arkadaşlıklar ve kar amacı gütmeyen çalışmalar, oluşumlar bu alanda ilerlememi sağladı. Türkiye’deki sektörün tersine giderek, siber güvenliğin farklı alanlarında uzmanlaşmaya (vulnerability research, exploit development) çalıştım. İlk başlarda bu konular üzerine Türkiye’de çalışamadığım ve iş yapamadığım için yakınıyordum ancak bu durum bana çalışmalarımı yurtdışına taşımamı, birçok ülkede çok farklı ve heyecanlı işler yapmamı sağladı..
Türkiye’de stratejik siber güvenlik çalışmalarına ihtiyaç var mı? Bu konuda neler yapılabilir?
– Türkiye siber güvenlik ile ilgili gelişmeleri maalesef geriden takip ediyor ve uyguluyor. Dolayısıyla özellikle siber güvenlikte stratejik çalışma alanlarını belirleyebilecek stratejik düşünce oluşumlarına ihtiyacımız var. Bu konular özellikle Amerika’da güvenlik stratejileri gelistiren think-thank kurulusları catısı altında geliştiriliyor. Stratfor, CNAS gibi kuruluslar bunlardan bazıları. Ülkemizde devlet politikalari geliştiren bir takım düşünce kuruluşları var fakat hali hazirda bu alanda aktif denebilecek stratejiler çıkarmanın çok geresindeyiz. Bunun sebeplerinden bir tanesi özgün fikirler üretebilmenin yanı sıra, uygulamaya geçirecek yetkinlikte olmamamız…
HAFTALIK SİBER BÜLTEN RAPORUNA ULAŞMAK İÇİN FORMU DOLDURUNUZ
[wysija_form id=”2″]
