BVK Teknoloji Satış ve Pazarlama Direktörü Serhan Atabaş ile Söyleşi
BVK Teknoloji Satış ve Pazarlama Direktörü Serhan Atabaş ile Söyleşi
Bilgi güvenliği alanında toplumun her kesiminde bilgi ve bilinç düzeyini arttırmak, bu konu ile ilgili teknolojik gelişmeleri izlemek, milli teknolojilerin geliştirilmesine katkı sağlamak; bireysel, kurumsal ve ulusal düzeydeki riskler konusunda farkındalık oluşturmak amacı ile dünyada ve Türkiye’de bilişim sektörünün bugünü ve geleceği, bilhassa siber güvenlik hususunda ülkemizin bugüne kadar ki konumunu ve gelecek adına yapılması gerekenleri, BVK Teknoloji’nin bu alanda yapmış olduğu çalışmaları (çözümler, servisler vs.) Serhan Atabaş ile konuştuk.
CyberMag: Öncelikle dünyada ve Türkiye’de bilişim sektörünün bugünü ve geleceği hakkında neler söylemek istersiniz?
Serhan Atabaş: Bilişim sektörünün sahip olduğu inovasyon gücü, esnekliği ve adaptasyon kabiliyeti beni hayran bırakıyor. İnsanoğlunun kısa ve uzun vadedeki ihtiyaçlarına karşı bilişim sektörünün getirdiği akıllı ve erişilebilir çözümler muhteşem. Bu yönüyle diğer sektörlerden çok daha önde diye düşünüyorum. Türkiye’de de bilişim sektörü bu yönleriyle öne çıkıyor. Maalesef bizi yarışta geri bırakan hususlar kaynakların sınırlı olması ve fırsat eşitsizliği. Potansiyelimiz ve istekliliğimiz fazlasıyla yeterli.
CyberMag: İnternet kullanım oranlarındaki artışı neye bağlıyorsunuz? İnsanlar açık bilgi ortamlarına neden bu kadar istekli?
Serhan Atabaş: İnternetin iletişimi özgürleştirmesi, kendini ifade etme fırsatı vermesi ve bilgiye erişimi çok kolaylaştırması bireylere ve topluma çok cazip geliyor. Asıl motivasyonun bu olduğunu zannediyorum.
CyberMag: Devletimizin kalkınmasında bilişim sektörüne yapılacak yatırımların yeri ve önemi nedir? Endüstri 4.0 trenini kaçırmamak adına özel sektörün ve devletimizin alması gereken sorumluluklar nelerdir?
Serhan Atabaş: Tartışmasız çok önemli. Çünkü tarım, sanayi ve hizmet sektörlerinin gelişimi artık bilişim altyapısının güçlenmesi ve teknoloji katkısıyla yapılabiliyor. Elbette eğitimli ve mesleki kabiliyetleri gelişmiş iş gücü de çok önemli ama her sektörde maliyetlerimizi düşürmek, verimliliğimizi artırmak, daha rekabetçi olmak, ithal etmek yerine ihraç edebilmek için her kategoride yerli teknolojilerimizi geliştirebiliyor olmamız ve mümkünse yerli teknolojileri tercih ediyor olmamız lazım. Kamu alımlarında bunun çok öncelikli olduğunu gözlemliyorum ama devletin bir sorumluluğu da bilişim sektörünün büyümesi için teşvik imkânlarını artırmak ve her ihtiyaç sahibinin kolayca erişmesini sağlamak olmalı. Bunu başardığımızda o endüstri 4.0 treni de kaçmayacaktır.
CyberMag: Son yıllarda internetin kullanımının artmasıyla birlikte ortaya çıkan IoT(Nesnelerin İnterneti) kavramı ve internete bağlı cihaz sayısının artışı; bir başka hayati husus olarak Bilgi Güvenliği konusunun önemini, yerel ve milli çözümlerin ülkemiz adına geliştirilmesi gerektiğini gösteriyor. Bu bilgiler ışığında, Türkiye’deki Siber Güvenlik Sektörü’ nün durumu hakkında ne düşünüyorsunuz?
Serhan Atabaş: IoT dediğimizde tüketicilere yönelik cihazlar ve uygulamalar aklıma geliyor. Tüketicilerin bilgi güvenliği olarak konuya baktığımızda, Kişisel Verilerin Korunması ile ilgili çıkan yasayı çok olumlu buluyorum. Ama gerçekçi olmak gerekirse, işletim sistemlerinin, mobil cihazların ve hepimizin sıkça kullandığı iletişim uygulamalarının tamamının yabancı kaynaklı ve sunucuların da yurtdışı merkezli olduğu bir ortamda kişisel veri güvenliğimizin tam anlamıyla olamayacağı görüşündeyim.
Siber güvenlik olarak daha çok savunma sanayii, kamu hizmetleri, finansal servisler ve diğer ticari bilgi güvenliğini düşünebiliriz. Bu alanda da gelişmiş, yenilikçi ve rekabetçi yerli çözümlerimiz olmakla birlikte maalesef sektörde henüz söz sahibi bir konumda değiller.
CyberMag: Bildiğiniz üzere siber güvenliği sağlamanın püf noktası güvenli, yerli ve milli yazılımlar kullanmak. Ancak ülkemizde kullanılan güvenlik yazılımların büyük çoğunluğu yabancı menşeli. Sizce kullandığımız yabancı menşeli güvenlik yazılımlarını bir an önce millileştirebilmemiz için üniversitelerimizin, özel şirketlerimizin ve devletimizin atması gereken adımlar nelerdir?
Serhan Atabaş: Bu konuda AB’nin teknoloji geliştirmeyle ilgili izlediği metodoloji aynen yerelde de uygulanabilir kanaatindeyim. Yani kısa, orta ve uzun vadeli ihtiyaçlar belirlenir ve konu odaklı ar-ge teşvik çağrıları yapılarak özel sektörün ve üniversitelerin bu konuda daha fazla proje üretmeleri sağlanabilir.
CyberMag: ATM’lere ve bankalara yönelik yapılan siber soygunlar internet yoluyla işlenen suçlarda ciddi bir artışın olduğunu gösteriyor. Sizce bu durumun sebepleri nelerdir? Siber suçların önüne geçebilmek için hem teknik hem de hukuki anlamda ne gibi düzenlemeler yapılmalıdır?
Serhan Atabaş: Bu artışın sebebi sanıyorum ki siber soygunun başarılı olması halinde bir seferde ele geçirecekleri paranın çok fazla olacağıdır. Alanların başında bankacılık sistemleri ve tabii ki ATM’ler geliyor. Her ülkede bu suçlar meydana geldiği için hukuki olarak şunu yaparsak bu dertten kurtuluruz diyebilecek noktada olmadığımızı düşünüyorum. Teknik olarak yapılabilecek çok şey var ve biz teknoloji olarak bu konularda epey yol kat ettik doğrusu.
CyberMag: BVK Teknoloji olarak kullanıcıların ve müşterilerin kötü niyetli kişiler tarafından dolandırılmasını engellemeye yönelik çözümler üretiyorsunuz. Öncelikle dünyada ve Türkiye’de gerçekleştirilen ve gerçekleştirilmekte olan ATM dolandırıcılıklarına yönelik bilgi verebilir misiniz? Kullanılan teknikler nelerdir? ATM dolandırıcıları ne miktarda maddi kayba yol açıyor?
Serhan Atabaş: ATM’lerin yaygın olarak kullanılmaya başlandığı 1970’li yıllardan bu yana sanıyorum ATM dolandırıcılığı da hep süre geldi. ATM dolandırıcılığını iki ana kategoride değerlendirebiliriz. Birincisi adi suç niteliğinde ATM’ye yapılan fiziki saldırılar. Bombalama, gaz ile patlatma, bütün bir ATM’yi çalıp götürme vs. Çok şükür ki ülkemizde bu tip vakalar çok seyrek görülüyor. Diğer kategori ise siber suç kapsamında görebileceğimiz yöntemler. 2015 yılına kadar bu anlamda en çok rastlanan yöntem ATM’nin dışına yerleştirilen bir korsan cihazla kart kopyalama (card skimming) ve kopyası oluşturulmuş kartla başka bir ülkede herhangi bir ATM’den kart sahibinin hesabındaki parayı çekmek şeklindeydi. 2000’lerin başından itibaren kartlarımızın EMV standartlarında çipli kartlara dönüşmüş olması da buna bir çare olamadı, çünkü hala kartlarımızda bir manyetik şerit var ve dünyada EMV uyumluluğunu sağlayamamış çok sayıda ülke mevcut. Bizim de öncüleri arasında yer aldığımız teknoloji sağlayıcılarının ATM’nin dışından yapılan kart kopyalamaya karşı gelişmiş anti-skimming çözümleri mevcut ve bunlarla engellemek mümkün. Ancak 2015 yılından sonra yöntemlerde ciddi değişiklikler olduğunu gözlemliyoruz. Artık kart kopyalamayı ATM kart okuyucusunun içine yerleştirilen korsan cihazlarla gerçekleştiriyorlar. Bunu tespit edebilen, raporlayabilen ve engelleyebilen dünyadaki tek çözümü de biz sunabiliyoruz. Bir diğer yeni nesil yöntem ise korsan yazılımlarla ATM’nin kasasını ele geçirmek ve içindeki tüm parayı tek seferde çalmak. Bu gelişmeler tek seferde bankaya verilen zararı çok ciddi artırdı maalesef.
2016 yılında Avrupa’da ATM dolandırıcılığının sebep olduğu zarar yaklaşık 350 Milyon Euro ve vaka başına da yaklaşık 80 Bin Euro’dur.
CyberMag: ATM dolandırıcılığını önlemek adına BVK Teknoloji ne gibi çözümler sunuyor? Bankaların müşterilerini mağdur etmemek için almaları gereken önlemler nelerdir? Bunun yanı sıra, müşteriler ATM dolandırıcıları tarafından kandırılmamak için nelere dikkat etmelidir?
Serhan Atabaş: Az önce de bahsettiğim gibi ATM’nin dışına yerleştirilen korsan cihazlarla kart kopyalamaya karşı son derece güvenilir bir tespit ve engelleme çözümünü 36 ülkede bankalara sunuyoruz. Ancak, teknoloji olarak ATM konusunda faaliyet gösteren uluslararası STK’ların ve Avrupa ATM sahtekârlığı uzman grubunun üyesiyiz ve bahsettiğim yeni teknikler konusunda hemen ve ilk elden bilgiye erişimimiz var. Bu sayede son iki yıldır ortaya çıkan tehditleri de göz önüne alarak çalışmalarımızı erişim kontrol teknolojilerini geliştirmeye yoğunlaştırdık. “otcaccess” adını verdiğimiz bir ürün ailesi çıkardık. Bu sayede ATM kasası (ve her türlü kasa), ATM dolabı (ve her türlü dolap), ATM kabinin kapısı (ve her türlü iç ve dış mekân kapıları), alarm paneli kullanıcı yönetimi gibi erişim noktalarına kişi, yer, zaman ve fonksiyon esaslı tek kullanımlık şifrelerle erişimi kontrol edebiliyoruz. Bu fiziki erişim yöntemlerine ilave olarak Windows PC’lerdeki uygulamalara erişimi de aynı şekilde kontrol edebiliyoruz. Bu sayede bankalar, sokaklarda kabin içine yerleştirdiği ve içi para dolu ATM’lerinde hem kart kopyalama konusunda, hem de izinsiz erişim sağlayarak ATM’nin kontrolünü ele geçirebilecek herkese karşı tedbir alabiliyorlar. Bu tedbir herkes tarafından kullanılabiliyor, özellikle banka personeli ve bankaya hizmet sunan taşeron firmaların personelleri de dâhil olmak üzere.
CyberMag: Bildiğiniz üzere kullanımda olan ATM’lerin birçoğunda Microsoft tarafından desteği sonlandırılan ve neredeyse 16 yıl önce piyasaya sürülen Windows XP işletim sistemi kullanılıyor. Bu durumu ATM güvenliği açısından nasıl değerlendiriyorsunuz? Windows XP işletim sistemi kullanımının uzmanlık alanınız olan ATM dolandırıcılığında yansımaları nelerdir?
Serhan Atabaş: Bankalar genellikle uzun uğraşlar ve yatırımlarla bir kararlılık seviyesine ulaştırdıkları sistemlerini değiştirmemek eğiliminde olurlar. Sistemde yapılacak bir değişiklik yeni bir test ve sertifikasyon sürecini de beraberinde getirir. Bu sebeple, ATM’lerde Windows XP’den daha üst bir sürüme geçmek zor ve zaman alan bir süreç oluyor bankalar için. Ancak, Microsoft’un artık güvenlik yamaları çıkarmıyor ve destek vermiyor olması da büyük bir risk taşıyor. Bu anlamda hala Windows XP kullanan ATM’lerin ciddi bir risk altında olduğunu söyleyebiliriz. Ayrıca bilgi güvenliği üzerinde yazılım temelli çözümler üreten bizleri de geriye dönük uyumluluk anlamında çok güç durumda bırakıyor.
CyberMag: ATM dolandırıcılarına yönelik çözümlerinizin yanı sıra tek kullanımlık şifreler ile çalışan sistemler de üretiyorsunuz. Tek kullanımlık şifrelerle çalışan sistemler yazılımsal sistemlerin güvenliğinin sağlanması için birçok şirket ve kurum tarafından tercih ediliyor. Bu durumu neye bağlıyorsunuz? Tek kullanımlık şifreler sizce güvenliğin sağlanması için tek başına yeterli midir? Bunun yanı sıra, hem yazılımsal hem de donanımsal güvenlik için ne gibi yeni sistemlerin kullanıma sokulması gerekiyor? Bu konudaki teknolojik gelişmeler hakkında okuyucularımızı bilgilendirebilir misiniz?
Serhan Atabaş: Tek kullanımlık şifreler özellikle bankalar tarafından internet ve mobil bankacılık hizmetlerine erişim tarafında bir süredir kullanılıyor. Tek kullanımlık şifreler, sabit şifreyle çalışan sistemlere kıyasla çok daha güvenli ve merkezden kontrol edilebilir bir yöntem olması sebebiyle daha çok tercih edilmeye başlandı. Ancak, bizim “otcaccess” adını verdiğimiz tek kullanımlık şifre ile erişim kontrol teknolojimiz daha farklı bir çalışma prensibine sahip. En önemli farklılığı tek kullanımlık kodlar; belirli bir kişinin belirli bir erişim noktasına belirli bir zamanda erişim sağlaması için üretilirler. Yani kim, nereye ve ne zaman erişim sağlayacak bunu merkezden yönetebiliyorsunuz. İsterseniz erişim sağlamak yerine farklı işlevleri yerine getirebileceği kodlar da üretmek mümkün. Bir başka farklılığımız ise, sistemin offline kontrol sağlaması. Mesela bankacılık uygulamalarına girişte kullanılan kodlar sunucu tarafından bir kişi için hemen o anda kullanılmak üzere rastgele üretilir ve kullanıcı kodu girdiği zaman kod sunucuya gider ve sunucu tarafından doğrulanır. Yani sistemin online olması zorunluluğu vardır. Ancak, otcaccess ile erişim noktası girilen kodun; kişi, yer ve zaman bakımından doğrulamasını kendi kendine yapar. Bu ağ üzerinden yapılabilecek sızmaları önlediği gibi, sistemin her yerde ve koşulda çalışmasını da garanti eder. Ayrıca otcaccess teknolojisinde, ne yazılım ne de donanım için yerelde bir kullanıcı tanımlamaya ihtiyaç yoktur!
Sistemin yeterliliğini sormuştunuz, pazardaki erişim kontrol yöntemlerini düşünürsek, sabit şifre ve kartlı geçiş sistemleri çalınması en kolay sistemlerdir ve bir kez çalındığında sınırsız geçiş imkânı anlamına gelir, biyometrik esaslı sistemlerde kişilerin biyometrik bilgilerini merkezde tutmak kanunen sınırlamalara tabi oldu. Erişim noktasında tutmak da kişi için çok kritik olan bir bilginin çalınması riskini doğuruyor. Düşünsenize, şifreniz çalınsa bunu fark ettiğinizde şifrenizi değiştirebilirsiniz, ama parmak izinizi veya iris bilgilerinizi değiştirme imkânınız olmayacak. Bu sebeple biyometrik esaslı sistemlerin de önemli eksikleri olduğunu düşünüyorum. Online doğrulanan tek kullanımlık şifrelerde de ağ üzerinden araya girerek sunucunun onay mesajını taklit etme riski vardır (Man-in-the-middle attacks). Ancak, otcaccess teknolojisinde tek kullanımlık kodlar, iki faktörlü kimlik doğrulama tekniğiyle, offline olarak ve zaman esaslı kullanılır. Güvenilir bir erişim kontrol sistemi için kesinlikle tek başına yeterli bir altyapıdır.
CyberMag: Maalesef güvenlik denince akla sadece kamera, kilit veya alarm sistemleri gibi fiziki sistemler geliyor. Ancak bir sistemin tam olarak güvenliğini sağlayabilmek için yazılımsal güvenliği de göz önünde bulundurmak gerekiyor. Güvenlik sistemlerinin daha çok fiziki tarafında yer alan biri olarak güvenli sistemler oluşturulurken siber güvenlik nasıl konumlandırılmalıdır? Siber güvenlik çözümlerinin fiziki güvenlik sistemleri kadar değer gördüğü bir gelecek mümkün müdür?
Serhan Atabaş: Her şeyin ve herkesin bir yere veya birbirine bağlı olduğu bir noktaya geldik. En ufak bir ihmalde binlerce kişinin kart bilgileri çalınabiliyor veya uluslararası siber saldırılarla şehirlerin elektrik şebekeleri çökertilebiliyor. Yani siber güvenlik en az fiziki güvenlik kadar önemli hale geldi bile. Ancak, iş çözüm üretmeye geldiğinde bir yere kamera sistemi kurdurmak veya kilit takmak kadar basit olmuyor maalesef. Daha kapsamlı ve detaylı bir yaklaşım gerektiriyor. teknoloji olarak, bu yılın başında yeni bir çözüm duyurduk. Uygulaması çok basit olan bu çözüm, getirdiği güvenlik ile çok önemli bir koruma sağlıyor. Dünyada bir benzeri olmayan bu çözüm, tek kullanımlık kod teknolojimizi kullanarak Windows PC’lere erişimi ve aynı zamanda uygulamalara erişimi de kişi, yer, zaman ve fonksiyon bazında kontrol etme imkânı veriyor. Tabii ki bu kontrol yine offline olarak yapılabiliyor. Aynı çözümle dosyaları da koruma altına almak mümkün. Çözümü kısaca özetlemek gerekirse, kimin, hangi PC veya sunucuda hangi uygulamayı ne zaman çalıştırabileceğini ve ne kadar süre kullanabileceğini bir merkezden üreteceğiniz tek kullanımlık şifrelerle kontrol edebiliyorsunuz. Bunun dışında uygulamaya girmenin veya koruma altındaki bir dosyaya erişim sağlamanın hiç imkânı yok. Ne bir kullanıcı olarak, ne de siber saldırı yöntemlerini kullanarak yetkisiz erişim sağlayamazsınız. Otcaccess for Windows adını verdiğimiz bu çözüm, siber güvenlik konusunda nereden başlayacağını bilmeyen veya sistemdeki açıklarını kapatmak isteyen kişi ve kuruluşlar için oldukça kullanışlı ve güvenli bir çözüm olduğunu söyleyebilirim.
CyberMag: BVK Teknoloji olarak, bilgi güvenliği konusunda çalışma yürüten sivil toplum kuruluşlarına, derneklere destek veriyorsunuz. Bu durum göz önünde bulundurulduğunda, sektör üzerinde bir sinerji oluşturmak ve farkındalık yaratmak adına sivil inisiyatif organlarına düşen görevler nelerdir?
Serhan Atabaş: Daha önce de belirttiğim gibi, olarak bazı uluslararası STK’ların üyesiyiz ama bunların içinde en çok yararlandığımız Avrupa ATM sahtekârlığı uzman grubu diyebilirim. Çünkü ATM sahtekârlıklarıyla ilgili yakalanan tüm vakaları konunun en uzmanı otoriteler bir araya gelerek değerlendiriyor ve deneyim paylaşımı gerçekleştiriyor. Bence, ülkemizde de ulusal düzeyde siber güvenlik suçlarını araştıracak, analiz edecek ve ulusal firmaların karşı önlemler geliştirmesiyle alakalı Ar-Ge yapmasını teşvik edecek bir sivil toplum inisiyatifine ihtiyacımız var.
CyberMag: CyberMag, siber dünyadaki riskler ve siber güvenlik konusuna odaklanmış Türkiye’nin ilk basılı ve elektronik dergisi olarak farkındalığı artırmayı ve insanları bilgilendirmeyi amaç edinmektedir. Bu amaçla yola çıkan ve yayın hayatına bir seneyi aşkın bir süredir devam eden CyberMag hakkında düşünceleriniz nelerdir?
Serhan Atabaş: Derginiz içeriği itibariyle sizin de altını çizdiğiniz amaçlara odaklanmış bir içeriğe sahip ve rahat okunan başarılı bir yayın. Bu anlamda sizi tebrik etmek istiyorum. Kısa bir süre içinde siber güvenlik alanında gündemin bu mecradan takip edilmeye başlandığını hep birlikte göreceğiz diye düşünüyorum.
CyberMag: Eklemek istediğiniz başka bir konu var mı?
Serhan Atabaş: Sektörde önemli bir boşluğu doldurduğunuzu düşünüyor, başarılarınızın devamını diliyorum.