CRYPTTECH Teknoloji Direktörü Burhan Ünal Canmaya İle Söyleşi
CRYPTTECH Teknoloji Direktörü Burhan Ünal Canmaya İle Söyleşi
CRYPTTECH, siber güvenlik alanında ürün ve teknoloji geliştiren bir Ar-Ge şirketidir. 2006 yılında kurulmuş olup, ilk ürününü 2008 yılında piyasaya çıkarmıştır. Siber güvenlik zekâsı, zafiyet analizi, siber saldırılar, gelişmiş kalıcı tehditler, ileri seviye korelasyon motorları, uyumluluk ve büyük veri çözümleri üzerine çalışmaktadır. CRYPTTECH’in geliştirdiği ürün ve teknolojiler özel sektör ve kamu kurum / kuruluşları dâhil olmak üzere 3000’in üzerinde KOBİ ile 800’ün üzerinde büyük ölçekli kurumsal firma tarafından tercih edilmektedir. SIEM, güvenlik izleme, log yönetimi, hotspot, sızma testleri, DLP ve güvenlik izleme ürünleri ile bütünleşik siber tehdit zekâsı alt yapısı sunmaktadır. CRYPTTECH, hedefleri doğrultusunda, gittikçe karmaşıklaşan siber güvenlik dünyasında uzmanların işlerini kolaylaştıracak, hızlandıracak ve otomatize edecek yeni teknolojileri geliştirmek için çalışmalarına dinamik, yenilikçi ve alanlarında uzman takım arkadaşları ile devam etmektedir.
Bu bilgiler ışığında; siber güvenlik alanında bilgi ve bilinç düzeyini arttırmak, konu ile ilgili teknolojik gelişmeleri izlemek, milli teknolojilerin geliştirilmesine katkı sağlamak, bireysel, kurumsal ve ulusal düzeydeki riskler konusunda farkındalık oluşturmak amacı ile Türkiye’de bilişim sektörünün durumu, devletimizin kalkınmasında BT ve Telekomünikasyon sektörünün yeri ve bilhassa siber güvenlik yatırımları ve milli çözümler, Kişisel Verilerin Korunması Kanunu kapsamında bilinmesi gerekenler ve çözüm önerileri konularında ülkemizin bugünü ve geleceği adına yapılması gerekenleri konuştuk.
CyberMag: Öncelikle dünyada ve Türkiye’de bilişim sektörünün bugünü ve geleceği hakkında neler söylemek istersiniz?
Burhan Ünal Canmaya: Bağımsız araştırma kuruluşlarının raporlarını incelediğimizde dünyanın en büyük şirketlerini 2000'li yılların başına kadar enerji, finans, otomotiv şirketleri oluşturuyordu. Son 15-20 sene içerisinde dünya devleri arasında artık yeni nesil, genç, dinamik ve geçmişi çok eski olmayan teknoloji şirketleri görmeye başladık. Hatta bu şirketler çok az sayıda çalışan ve çok az maliyetlerle yüksek kar oranlarını açıkladılar. Bu firmaların mutfağındaki dahi mühendisler, yazılımcılar, akademik kadroların çıkardığı kolay ve ihtiyaca yönelik tüm ürünler hayatımızın çok kısa sürede parçası oldular. Tüm dünyaya çok hızlı yayıldılar ve yayılmaya devam ediyorlar. Böylece iletişimimiz hızlandı, evlerimiz arabalarımız daha da akıllandı, bireyler hem daha fazla tüketici hem de üretken oldular. Bu altyapıları, teknolojileri, ürünleri geliştiren firmalar, takımlar veya bireyler dünyanın ve Türkiye'nin göz bebeği olmaya başladılar. Bilişim sektörü her sektörü geliştiren ve tamamlayan bir sektör olması nedeniyle günümüzdekinden çok daha fazla olarak geleceğimize yön verecektir. Dünyadaki ciddi yatırımların inovatif yaklaşımla ürün geliştiren firmalara yapıldığını görüyoruz. Ülkemize de katma değer katan bu nadide şirketlerin hepsinin desteklenmesi gerekmektedir.
CyberMag: İnternet kullanım oranlarındaki artışı neye bağlıyorsunuz? İnsanlar açık bilgi ortamlarına neden bu kadar istekli?
Burhan Ünal Canmaya: Bilgi; güçtür, kolaylıktır, statüdür, paradır, unvandır. Bu olumlu sıfatların sayısını çokça artırabiliriz. İnsan, doğası gereği daha fazla bilmek, öğrenme arzusu içerisindedir ve cahil kalmak istemez yaşamı boyunca. Bu hedefte yöntemler, araçlar ve teknolojiler geliştirir. Bu yüzden bir bilene danışırız, üniversitelere gideriz, kitaplar okuruz ve araştırmalar yaparız. Artık bunları yapmamız için aynı konumda olmamıza gerek yok. Uçsuz bucaksız bilgi kaynakları, hızlı gelişen ve kolay erişilen teknoloji sayesinde herkesin evine, cebine girmeye başladı. İnsanın özündeki sürekli öğrenme isteği ve internetin kolay erişilebilir olması, internetin kullanım oranlarını gün geçtikçe artıracaktır. Sadece insanların değil bütün nesnelerin internete ya da birbirine erişeceği dünyada yaşamaya başlıyoruz.
CyberMag: Devletimizin kalkınmasında bilişim sektörüne yapılacak yatırımların yeri ve önemi nedir? Endüstri 4.0 trenini kaçırmamak adına özel sektörün ve devletimizin alması gereken sorumluluklar nelerdir?
Burhan Ünal Canmaya: Bilişim sektörü, kendi başına bir alan olmanın yanında, diğer sektörler için de tamamlayıcı bir parçadır. Örneğin bir e-ticaret firması milyonlarca ürünle yüzbinlerce kişiye hitap edebilmesi için kararlı, güvenli bir teknik altyapı ve sisteme sahip olabilmelidir. Bilişim firmalarının geliştirdiği yazılım ve bu altyapıları geliştiren mühendisler sayesinde çok büyük veri içerisinde analizler yapabilen endüstriyel kontrol sistemleri ortaya çıkmaktadır. Yazılım, iletişim, güvenlik, ağ, veri analizi her sektörün içindedir artık. Bu sebeple ana konusu bu alan olan ve küreselleşme ihtimali çok yüksek olan bilişim firmalarına gerekli mali, bürokratik ve teknolojik desteklerin yapılması çok önemlidir. Dünyadaki örneklerini incelediğimizde devlet destekli büyüyen teknoloji firmalarının ülkelerine kazandırdıkları finansal kazançlar yapılan yatırımların fazlasıyla önüne geçmiştir. Endüstri 4.0, çok yönü olan bir kavramdır. Otonom kontrol sistemleri, nesnelerin interneti, büyük veri, siber güvenlik, sensörler ve hızlı iletişim (5G) bunlardan temel olanlarıdır. Bu alanların her biri başlı başına akademik ve mühendislik çalışmalardır. Bu yönde uluslararası standartlara katkı sağlamak, üreten ve ürünleşen firmalara teşvik fonları çıkarmak gerekir.
CyberMag: Son yıllarda internetin kullanımının artmasıyla birlikte ortaya çıkan IoT(nesnelerin interneti) kavramı ve internete bağlı cihaz sayısının artışı; bir başka hayati husus olarak bilgi güvenliği konusunun önemini, yerel ve milli çözümlerin ülkemiz adına geliştirilmesi gerektiğini gösteriyor. Bu bilgiler ışığında, Türkiye’deki siber güvenlik sektörünün durumu hakkında ne düşünüyorsunuz? Siber güvenlik yatırımlarını yeterli buluyor musunuz?
Burhan Ünal Canmaya: Türkiye'den çıkmış global firmalar olarak, birinci önceliğimiz markalaşma ve küreselleşme olmalı. Tüm dünyaya yönelik ürün geliştirmeyi hedeflersek ülkemizi de kapsamış oluruz. Milli menfaatlerimiz açısından daha katkısı olacaktır zaten. Sadece IoT nezdinde değil genel olarak siber güvenlik konusu, bireylerin, kurumların ve devletlerin hassas olması gereken en önemli alanlardan biri haline geldi. Artık tüm sistemlerimiz dijitalleşiyor, erişilebilir hale geliyor hatta kritik altyapılar hedef olabiliyor. Güvenlik açıklıklarının sayısı günden güne artıyor. Bu zafiyetler siber silah olarak kullanılıyor. Bağımsız araştırma kuruluşlarının raporlarını incelediğimizde sonuçlar çok iç açıcı değil. Ancak yapılan çalışmalara, geliştirilen ürünlere ve kurumların farkındalığına baktığımızda durumumuz kötü değil. Kendimizi geliştirmemiz gereken noktaları biliyoruz. “2016-2019 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı” bu durumu doğruluyor. Bu stratejiye göre, sorumluluk sahibi herkes üzerindeki görevleri hayata geçirmeli. Güvenliğin temelinde savunma var. Yatırımlar hiçbir zaman yeterli olmayacaktır. Optimum noktayı sırasıyla, insana, süreçlere ve araçlara yatırım yaparak bulabiliriz.
CyberMag: Türkiye siber güvenlik alanında diğer ülkelere göre sizce ne durumda? Son dönemde dijital dönüşüm ofisinin oluşturulması veya USOM ve SOME birimlerinin hayata geçirilmesi gibi birçok adım atıldı. Siz bu adımları yeterli buluyor musunuz? Rusya veya ABD gibi bu alanda sözü geçen bir ülke konumunda olmak için neler yapmamız gerekiyor?
Burhan Ünal Canmaya: Siber güvenlik alanında atılan adımlar hiçbir zaman yeterli olmayacaktır. Çünkü teknolojiler sürekli gelişmekte ve değişmektedir. Bu değişim beraberinde farklı güvenlik yaklaşımları getirmektedir. En önemlisi bu konuda dışa bağımlılığı azaltmaktır. Bilişimin temel konularında kendi teknoloji ve ürünlerimizi bir an önce çıkarmalıyız. Özellikle Ar-Ge yapan firmaların tüm motivasyonunu bu konu üzerine çevirmesi gerekmektedir. Ülkemizin ürünleşme ve markalaşma problemi vardır. Bunu aşabilirsek nice başarılı firmamız parlayacaktır, nice zeki çalışkan mühendislerimizin projelerde harcadıkları emekler boşa gitmeyecektir. Gelişen ürünlerin olgunluğu, kararlılık, performans, kullanım kolaylığı ve güvenlikten geçmektedir. Güvenlik için ödül avcılığı programları düzenlenirse birçok güvenlik araştırmacısının dikkatini üzerlerine çekeceklerdir.
CyberMag: Bu bilgiler ışığında, siber güvenlikle ilgili strateji ve politikalar nasıl oluşturulmalı? Kısa, orta ve uzun vadede olumlu sonuçlar almak için özel sektör ve kamu nasıl bir yol izlemeli?
Burhan Ünal Canmaya: Bilgi güvenliği stratejileri ve politikaları için oluşturulmuş uluslararası standartlar var. Aynı zamanda uyulması gereken yasal zorunluluklar var. Kısa vadede bu standartları ve yasal zorunlulukları uygulamak kuruluşları daha güvenli hale getirecektir. Modern yaklaşımda risk analizi ve tehdit modelleme ile hedeflerimize ulaşabiliriz. Bilgi güvenliğinin temeli olan gizlilik, bütünlük ve erişilebilirlik konularında fedakârlık etmeden iş sürekliliği sağlanmalıdır. Alt başlıklara baktığımızda; erişim denetimleri, fiziksel ve ağ/sunucu/istemci güvenlik sıkıştırma adımları, yedekleme, parola politikaları, kayıt altına alma, güvenlik zafiyet tespiti gibi konuların oluşturulması, periyodik takibi ve güncellenmesi gerekmektedir.
CyberMag: Bildiğiniz üzere siber güvenliği sağlamanın püf noktası güvenli, yerli ve milli yazılımlar kullanmak. Ancak ülkemizde kullanılan güvenlik yazılımların büyük çoğunluğu yabancı menşeli. Sizce kullandığımız yabancı menşeli güvenlik yazılımlarını bir an önce millileştirebilmemiz için üniversitelerimizin, özel şirketlerimizin ve devletimizin atması gereken adımlar nelerdir?
Burhan Ünal Canmaya: Belirli seviyeye kadar açık kaynak ürünler ihtiyaç görmektedir. Mümkünse bu ürünler kullanılabilir. Yabancı ürünlerin muadili yerli çözümler varsa kesinlikle tercih edilmelidir. Güvenliğin kritik yerde durması ve ülke ekonomisine katkısı açısından tercih sebebi olmalıdır. Amaç yabancı ürünleri yerlileştirmek değil, bu ürünlere rakip global ürünler geliştirmek olmalıdır. Üniversite-sanayi işbirliği önemli, teknokentlerin sayısı artırılmalıdır. Ar-Ge destek fonları artırılmalıdır. Projeler, proje olarak kalmamalı, ürünleşmeli ve markalaşmalıdır. Siber güvenlik alanındaki yeni girişim firmalarına yatırımlar daha fazla olmalıdır.
CyberMag: Yapılan araştırmalar sonucunda, dünyada 1,5 milyon siber güvenlik uzmanı açığı olduğu söyleniyor. Türkiye’nin dünya pazarından %1 pay aldığı göz önünde bulundurulursa, ülkemizde 15.000 siber güvenlik uzmanına ihtiyaç olduğu söylenebilir. Bu bilgiler ışığında, yeni nesil insan kaynaklarının eğitilmesi ve yetiştirilmesinde, Türkiye’deki üniversitelerin ve STK’ların yeri ve önemi hakkında kısaca bilgi verir misiniz? Genelde ne tür oluşumlar var ve ne tür faaliyetler yürütmektedirler?
Burhan Ünal Canmaya: Son dönemlerde üniversitelerde bölümlerin, öğrenci kulüplerinin, güvenlik yarışmalarının, derneklerin ve organizasyonların artması beni gerçekten heveslendiriyor. Bu konuda farkındalığımız günden güne artmaktadır. Hatta yazılım, güvenlik ve teknoloji liselerinin örneklerini de görmekteyiz. İlkokullarda kodlama derslerini müfredatlara koymaya başladık. Demek ki çok güzel şeyler oluyor ülkemizde. Dünyada genel geçer bir durum var şu an ortada. Siber güvenlikte işsizlik oranı yüzde sıfır (%0). Arz talepten çok fazla. Güvenlik operasyon merkezleri, siber güvenlik projeleri, bilgi güvenliği departmanları gün geçtikçe daha fazla istihdam ihtiyacı doğurmaktadır. Bu alandaki iş ilanlarını incelemenizi tavsiye ederim.
CyberMag: Malesef son dönemde siber güvenlik noktasında bir bilgi kirliliği oluşmuş durumda ve insanlar bu bilgi kirliliği sebebiyle ne gibi önlemler alması gerektiğini tam olarak bilmiyorlar. Siber saldırıların mağduru ya da bu saldırılara istemeden alet olmamak için vatandaşlarımızın alması gereken önlemler sizce nelerdir?
Burhan Ünal Canmaya: Öncelik olarak “sürekli şüphe” duymak gerekir. Teknik yöntemlerin çoğu ilk başta insanı kullanır. Bu nedenle şüphecilik atılması gereken adımların ilkidir. Vurdumduymazlık ile paranoyaklık arasında durmak lazım. Fazla bilgi talebinde bulunulması durumunda ikinci defa düşünmek gerekir. Karmaşık parolalar ve iki faktörlü doğrulama, kullandığımız hesapların kötü niyetlilerin eline geçmesini büyük ölçüde engelleyecektir. Periyodik olarak parolalarımızı değiştirelim. Kimlik bilgilerimizi kendi ellerimizde başkalarına vermemek için bağlandığımız sitelerin, indirdiğimiz uygulamaların doğru nokta olduğunu kontrol etmeliyiz. Oltalama saldırılarına maruz kalan insan sayısı çok fazladır. Fidye yazılımları oltalama ile bilgisayarlarımıza bulaşıp dosyalarımızı şifrelemektedir. Son olarak lisanslı ve güncel ürünler kullanmak gerekir. Evimizdeki modemden başlayarak tüm sistemleri sürekli güncel tutalım. Ön tanımlı parolalar varsa değiştirelim. E-ticaret sitelerinde güvenli giriş ve ödeme yöntemlerini tercih etmek ve sanal kredi kartı kullanmak gerekir. Sosyal medyalardan gereğinden fazla paylaşımcı bilgiler ile korsanlara açık kapı vermeyelim.
CyberMag: Küresel çapta gerçekleşen WannaCry ve Petya gibi siber saldırıların etkileri ve zararları nelerdir? Teknik tedbirleri destekleyecek diğer unsurlar nelerdir? Birey, şirket, kurum ve devlet özelinde konuşursak bu hususta neler yapılmalıdır ve nelere ihtiyaç vardır?
Burhan Ünal Canmaya: Shadow Broker's tarafından sızdırılan araçlar arasındaki en kritik olan EternalBlue, 2017'ye damgasını vurdu. WannaCry arkasındaki motivasyon ticari iken, Petya siyasi/askeri bir siber savaş örneği idi. Bu iki saldırı bize aslında çok şey öğretti. Öncelikle yıllardır kullanılan güvenli bildiğimiz protokol, sistem veya standartlar üzerinde bile güvenlik açıkları çıkabileceğini bir kez daha görmüş olduk. Bu kritik zafiyetleri barındıran sistemlere ulaşmak çok zor değildi. Basit bir oltalama maili ile insanları kullanarak kurum içlerine kolaylıkla zararlı yazılımlar aktarılabildi. Bilgi güvenliğinin temel ilkelerinden gizliliği kullanarak veriler şifrelenebildi ve tüm dosyaların erişilebilirliği ortadan kaldırıldı. Kendine çok güvenen, çok sıkı güvenlik kuralları olan kurumlara bile sızılabildi. Saldırganlar izlenebilirliği çok zor olan kripto paralar talep etti ve çoğu talep ettiği miktarlara sahip oldu. Yedek sistemlerinden geri dönebilenler kendilerini şanslı hissediyorlardı ancak içlerinde her zaman tekrar oluşması korkusu oluşmuştu. Aynı zafiyetten yararlanarak bana göre dünyanın en ciddi siber saldırı operasyonuna yine çok geçmeden tanık olduk. Bu sefer ismi Petya olmuş, çoğunluk olarak Ukrayna hedefli windows işletim sistemine sahip ve güncellemesini geçmemiş enerji şirketleri, finans kuruluşları ve bakanlıklar kurban seçilmişti. Günlük hayat ciddi anlamda etkilenmiş ve ekonomik kayıplar açıklanamayacak seviyelere ulaşmıştı. Bir ülkenin bütün altyapılarını etkileyebilecek bu saldırıdan ülke olarak öğrenmemiz gerekenler, bu zamana kadar yazılan her cümlenin altında farklı adımlar ile sıralanabilir. Önleyici faaliyetler, güvenlik sıkılaştırma adımları, saldırı yüzey alanlarının daraltılması ve güncellenmesi, bireysel farkındalığının artırılması olarak özetlenebilir. Ancak bu konu ufak bir özetle geçilebilecek bir mevzu değildir.
CyberMag: Fidye yazılımlarının artışı, ATM’lere ve bankalara yönelik yapılan siber soygunlar internet yoluyla işlenen suçlarda ciddi bir artışın olduğunu gösteriyor. Sizce bu durumun sebepleri nelerdir? Siber suçların önüne geçebilmek için hem teknik hem de hukuki anlamda ne gibi düzenlemeler yapılmalıdır?
Burhan Ünal Canmaya: Bir bankayı fiziksel olarak soyacak hırsız sayısı, açık bir market kasasından para çalacak hırsız sayısından daha azdır. Market soygunu sayısı da yolda kapkaç yapan hırsızlık vakalarından daha azdır. Teşbihte hata olmaz derler. İzlenebilirlik kaybedilirse ya da erişilebilirlik kolaylaşırsa suçlar da artacaktır. Önleyici tedbirler alınmazsa, caydırıcı etkenler kullanılmazsa her zaman bu tür vakalarla karşılaşabiliriz. İnsanlık giderek zarara uğramaktadır. Saldırgan tarafındaki motivasyon ve psikolojiler detaylı incelenmelidir. Haksız kazanç elde etmeye çalışan insanların yöntemleri değişse de iç dünyasındaki eğilimler çok farklı değildir. Siber suçlarla sürekli mücadele olmazsa olmazlardandır. Ceza-i müeyyideler, dinamik güncel teknolojileri anlayacak şekilde olmalıdır. Çünkü bu saldırıların çoğunda kurban olarak kullanılmak da vardır. Savunma açısından değerlendirmek gerekirse, tüm dünyanın uyguladığı metodolojilere göre hareket gerekir. İnsana, süreçlere ve sonrasında araçlara yatırım yapmak gerekir.
CyberMag: Kuşkusuz ki siber güvenlikte yerli ve milli çözümler olmadan güvende olamayız. Kurumunuz bünyesinde yapmış olduğunuz yerli ve milli yatırım ve çalışmalar nelerdir?
Burhan Ünal Canmaya: CRYPTTECH olarak siber güvenlik ürünleri ve projeleri geliştiriyoruz. Tek odak noktamız bu. Türkiye'de doğan ve hızla büyüyen global bir marka oluşturmaya çalışıyoruz. Bunu yaparken bulunduğumuz ekosisteme de elimizden geldiği en iyi şekilde katkı sağlamaya çalışıyoruz. Yazılım geliştirme süreçlerimize de güvenlik bakış açısında yaklaşıyoruz. Kurumlara, organizasyonlara farkındalık eğitimlerinin yanı sıra uygulamalı çalışma dersleri veriyoruz. Çalıştaylarda fikirlerimizi sunuyoruz. Ticari kazancın dışında, ulusal güvenliği ilgilendiren konularda ilgili birimleri ve kamuoyunu bilgilendirmeye çalışıyoruz.
CyberMag: Kişisel Verilerin Korunması Kanunu’na uyum süreçlerinde danışmanlık hizmetleri de veriyorsunuz. Dünyadaki örnekleri de dikkate alarak (AB’nin kullandığı General Data Protection Regulation, Amerika’nın kullandığı The Privacy Act of 1974 veya İngiltere’nin kullandığı 1984 tarihli Data Protection Act ) ülkemizde yürürlüğe giren Kişisel Verilerin Korunması Kanunu’nu değerlendirebilir misiniz? Kişisel verilerin korunması adına yapılması gerekenler nelerdir?
Burhan Ünal Canmaya: Biraz geç kalınmış bir hareket olarak değerlendiriyorum. Yine de bir an önce herkes önlem almak zorunda. Equifax saldırısında gördük ki, milyonlarca kişinin hesap bilgileri çok kısa sürede sızdırılabiliyor. Bir gecede hisse senetleri yarı yarıya düşebiliyor. Ülkemizde de maalesef kötü örneklerini gördük. Verileri neden topladığımızı belirtmek, bir zaman diliminden sonra silmek, anonimleştirmek veya maskelemek zorundayız artık.
CyberMag: Kişisel veri denince akla ilk bankalar ve sağlık kuruluşları gelse de Twitter, Facebook gibi sosyal medya veya Whatsapp gibi mesajlaşma uygulamaları da kişisel verilerimizi barındıran ve işleyen platformlardır. Yürürlükteki Kişisel Verilerin Korunması Kanunu kişisel verilerimizi ülkemiz dışında saklayan ve işleyen sosyal medya şirketlerini nasıl etkileyecek? Bahsi geçen kanun sosyal medya şirketleri tarafından işlenen verilerimizin ülkemiz içinde tutulmasına ve işlenmesine ön ayak olabilir mi?
Burhan Ünal Canmaya: KVKK’nun dokuzuncu maddesinin ikinci fıkrasında yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin bulunması durumunda bu verilerin ülkemiz dışında yabancı bir ülkede tutulmasına izin verebiliyor. Yeterli korumanın bulunması kriterlerinin net çizilmesi gerekir. Aslında bunun bir amacı da bu verileri tutan şirketlerin veri merkezlerini Türkiye'ye çekmektir.
CyberMag: Kanunun koruma altına aldığı kişisel veri kavramından bahsedebilir misiniz? Hangi bilgiler kişisel veri kapsamına girer?
Burhan Ünal Canmaya: Yasa bunu çok net bir çizgiyle tanımlıyor. Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi kişisel veri olarak belirtiyor. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak yazıyor. Burada kişiyi adreslemesi önemlidir. Örnek vermek gerekirse sigara içenleri A marka spor otomobil tercih ediyor diye veriyi anonimleştirip kullanabilirsiniz. Ancak topladığınız veri içerisinde sadece bir kişi sigara içiyorsa belirlenebilir kişi olması sebebiyle KVKK ihlali gerçekleştirmiş olursunuz.
CyberMag: Kanun kapsamında kural olarak kişisel verilerin işlenmesi için ilgili kişinin açık rızası gerekir. Ancak bazı koşullarda kişisel veri sahibinin rızasının alınmasına gerek yoktur. Kişisel verilerin işlenmesindeki bu istisnai durumlara örnek verebilir misiniz?
Burhan Ünal Canmaya: Yasanın yedinci maddesi bu konuyu kapsamaktadır. Kişisel veriler, resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Kişisel veriler; millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenebilir. Kişisel veriler millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenebilir. Kişisel veriler soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenebilir. İlgili kişinin kendisi tarafından alenileştirilmiş veriler kişinin rızası olmadan işlenebilir. O yüzden sosyal medyada yayımladığımız iletilere çok dikkat etmek gerekmektedir.
CyberMag: Veri işleyen ve veri sorumlusu kavramları çokça karıştırılıyor. Bu kavramları açıklayabilir misiniz?
Burhan Ünal Canmaya: Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Veri işleyen ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi adresler. Yani veri sorumlusu veriyi toplayan, tutan olurken bunlardan anlamlı sonuçlar çıkarmaya çalışan veri işleyen olmaktadır.
CyberMag: CRYPTTECH olarak, bilgi güvenliği konusunda çalışma yürüten sivil toplum kuruluşlarına, derneklere destek veriyorsunuz. Bu durum göz önünde bulundurulduğunda, sektör üzerinde bir sinerji oluşturmak ve farkındalık yaratmak adına sivil inisiyatif organlarına düşen görevler nelerdir?
Burhan Ünal Canmaya: Toplumun menfaatlerini göz önünde tutmak öncelikli olmalıdır. Ticari kaygılardan uzak, farkındalığın en üst düzeyde tutulacağı etkinlikler düzenlenmesi ve periyodik hale getirilmesi lazım. Global siber güvenlik etkinlikleri bile marka olmaya başladılar. Türkiye de buna hazır. Türkiye'den daha fazla sayıda ve daha kaliteli siber güvenlik yarışmalarını duyurmak lazım. Sivil toplum kuruluşları ve dernekleri farklı seviye teknik bilgiye sahip insanlar için eğitim kümeleri oluşturmalıdır. Yaz ve kış kampları düzenlenebilir, dizi, film ve reklam senaryolarına siber güvenlik anlamında mentörlük yapılabilir.
CyberMag: CyberMag, siber dünyadaki riskler ve siber güvenlik konusuna odaklanmış Türkiye’nin ilk basılı ve elektronik dergisi olarak farkındalığı artırmayı ve insanları bilgilendirmeyi amaç edinmektedir. Bu amaçla yola çıkan ve yayın hayatına dört seneyi aşkın bir süredir devam eden CyberMag Dergisi hakkında düşünceleriniz nelerdir?
Burhan Ünal Canmaya: Çalışmalarınızı takdir ediyorum öncelikle. Bireysel olarak takip ediyorum. Genelde basılı dergilerin sitelerinde içerik fazla olmaz. CyberMag bu konuda daha fazla paylaşımcı. Ufak bir önerim olacak: İçeriğin daha fazla olması kanaatindeyim.
CyberMag: Eklemek istediğiniz başka bir konu var mı?
Burhan Ünal Canmaya: CRYPTTECH, siber güvenlik dünyasında fark yaratacak yazılımlar geliştiren, ülkemiz adında da önemli kazanımlar elde etmeyi sağlayacak teknolojiler üreten gençleri her platformda desteklemeye ve onların yetiştirilmesine katkıda bulunmaya devam etmektedir. Bu hedeflerimizin bir parçası olarak kurduğumuz, gönüllü katılımcılara açık olan, CT-Zer0 siber güvenlik takımımızdaki genç arkadaşlarımız, sıfır gün açıklıkları bularak güvenliğe katkı sağlamak, kötü amaçlı kullanımların önüne geçmek için çalışmalar yapmakta ve bulduğu zafiyetleri üreticilere bildirerek güvenlik risklerine karşı önlem alınmasına yardımcı olmaktadır. Son olarak CRYPTTECH olarak silikon vadisinde bulunan satış ofisimiz ve 2018 yılı itibari ile Dubai bölgesine açacağımız satış ofislerimizle geliştirdiğimiz ürünleri yurtdışı pazarında daha yaygın olarak konumlandırmayı hedeflemekteyiz.