ICTERRA Yönetim Kurulu Başkanı Vedat USLU ile Söyleşi
ICTERRA Yönetim Kurulu Başkanı Vedat USLU ile Söyleşi
1 Mart 2013’de yönetimin Siemens Enterprise Communications’ı devralmasıyla %100 yerli bir firma haline gelen ICterra, yolculuğuna 1991’de Siemens Türkiye bünyesinde beş kişilik bir yazılım Ar-Ge ekibi olarak başlamış, 2004’de 60 kişilik ekibi ile ODTÜ Teknokent ofisini açmış, 2006 yılında Siemens EC’nin Dünya’daki ilk beş Ar-Ge merkezinden biri olmuştur. 2016 sonu itibarı ile Türkiye’nin ilk 500 Bilişim Şirketi sıralamasında “yazılım ihracatı” kategorisinde 6., “sektörlere özel yazılım üretimi” kategorisinde 7. sıradaki ICterra, çalışmalarına 25’i yüksek lisans sahibi 190 mühendisle ODTÜ Teknokent ve İstanbul Ataşehir’deki ofislerinde devam etmektedir. ICterra’nın başlıca faaliyet alanı olan yazılım geliştirme süreci CMMI – Seviye 3 uyumludur.
Bu bağlamda, bilhassa bilgi güvenliği alanında toplumun her kesiminde bilgi ve bilinç düzeyini arttırmak, bu konu ile ilgili teknolojik gelişmeleri izlemek, milli teknolojilerin geliştirilmesine katkı sağlamak; bireysel, kurumsal ve ulusal düzeydeki riskler konusunda farkındalık oluşturmak amacı ile ICTERRA Yönetim Kurulu Başkanı olan Vedat USLU ile Türkiye’de bilişim sektörünün durumu, devletimizin kalkınmasında IT ve Telekomünikasyon sektörünün yeri ve bilgi güvenliği alanında bilinmesi gerekenler ve çözüm önerileri hususunda ülkemizin dünü, bugünü, geleceği ve yapılması gerekenleri, ICTERRA’nin bu alanda bu güne kadar yapmış olduğu çalışmaları ve ileriye yönelik hedeflerini konuştuk.
CyberMag: Öncelikle dünyada ve Türkiye’de bilişim sektörünün bugünü ve geleceği hakkında neler söylemek istersiniz?
Vedat USLU: İlk olarak nazik ziyaretiniz için teşekkür ederim.
Benim üniversiteden mezun olduğum 1990 yılından 2017’ye kadar bilgisayar alanında birkaç paradigma kayması gerçekleşti. Mainframe’lerin ardından kişisel bilgisayarlar, sonra istemci sunumcu mimarisi ağırlık kazandı. Ardından sanallaştırma ve bulut bilişim gelişti. Zaten bu kadar yoğun bilişim kullanımının ne donanım maliyetine, ne klimasına, ne sistem yöneticisine güç yeter. Son olarak bilişim teknolojisinin “Akıllı Çözümler” için kullanılmaya başladığını görüyoruz. Akıllı şebeke, akıllı ulaştırma, akıllı şehir uygulamaları, yazılım tabanlı ağlar insanlığın karşı karşıya kaldığı kaynak darboğazlarını aşmaya yönelik. Bilişim insanlığa asıl katkıyı bundan sonra yapacak. Burada tabii muazzam pazarlar, muazzam fırsatlar var. Ama Türkiye olarak biz hep takipçi konumundayız. Hiç bir zaman teknolojiyi şekillendiren, teknolojiye yön veren bir güç olmamışız. Türkiye’de bilişim sektörünün durumuna baktığımızda da aynı tablo ortaya çıkıyor. Uygulama yazılımlarımızın bir bölümünü geliştirebiliyoruz. Bunu azımsamamak gerekir. Ancak işletim sisteminde, veri tabanında, ofis uygulamalarında dışa bağımlıyız. Donanımda, birkaç istisna dışında yokuz maalesef.
CyberMag: Devletimizin kalkınmasında IT ve Telekomünikasyon sektörünün yeri ve önemi nedir?
Vedat USLU: E-Devlet’in başarısı tartışılmaz. Maliyet açısından da vatandaşın hizmete erişimi açısından da. UYAP tartışılmaz. Kamu Veri Merkezi yıllardır gündemde; bir an önce gerçekleşmesini isterim. Dünya’nın gittiği yer belli, iletişimin nasıl hız kazandığı belli. Ben devletimizin konunun önemine vakıf olduğunu ve gereken adımları attığını düşünüyorum.
CyberMag: Türkiye’deki Ar-Ge desteklerini ve teşvikleri yeterli buluyor musunuz? Sizce yapılması gereken nelerdir? Geçtiğimiz yıllarda cironuzun önemli bir dilimini Ar-Ge projeleri için harcadığınızı görüyoruz. Yürüttüğünüz Ar-Ge projeleri ile ilgili bilgi verir misiniz?
Vedat USLU: İnandığımız projeleri TÜBİTAK’ın destek programlarına götürdük. Her seferinde değerli hocalarımız hakem olarak geldiler, çabamızı takdir ettiler, desteklediler. WebRTC olsun, dijital çalışma alanları olsun, siber güvenlik olsun, dünyada en güncel konu neyse, en geçerli yazılım altyapısı neyse onun üstüne koyarak çözüm üretiyoruz. Benim destek kapsamında TÜBİTAK’a veya diğer kurumlarımıza herhangi bir eleştirim yok. Araştırma-geliştirmeyi başarıyoruz. Ancak milli çözümlerin kullanıcı ile buluşturulması konusunda sıkıntımız var. Kendi evimizde deplasmanda gibiyiz. İhtiyaç sahipleri ile milli geliştiricileri buluşturup kendi çözümlerimizi üretmeli, sahaya sürmeliyiz.
Ar-Ge projelerimizin hepsini bulut bilişim perspektifi ile şekillendirdik. POINT (“Platform of Online INTercommunication”) anlık mesajlaşma, sesli ve görüntülü görüşme gibi WebRTC servislerini kullanan uygulamaların geliştirilmesini sağlayan bir PaaS (Platform as a Service) uygulamasıdır. AİP (Akıllı İşbirliği Platformu), bu servisleri kullanan bir Software as a Service örneğidir. Pek çok ilave işlevi vardır. Kurumlar arası iletişim ve işbirliğini geliştirmeye yardımcı olacak bir uygulamadır. BESEL (Bulut ve Entegre Sistemlerde Esnek Lisanslama Platformu) yine SaaS yapısı ile uyumlu bir uygulama. Tek lisans şablonu ile SaaS ve “On-premise” yazılımlara uygun lisans üretimi sağlıyor. Dinamik şablon günümüz ihtiyaçlarına ve değişen ihtiyaçlara adapte edilebilecek esneklikte. Siber güvenlik projelerimize ayrıca değinmek isterim.
CyberMag: Son yıllarda internetin kullanımının artmasıyla birlikte ortaya çıkan IoT (Nesnelerin İnterneti) kavramı ve internete bağlı cihaz sayısının artışı; bir başka hayati husus olarak Bilgi Güvenliği konusunun önemini, yerel ve milli çözümlerin ülkemiz adına geliştirilmesi gerektiğini gösteriyor. Bu bilgiler ışığında, Türkiye’deki Siber Güvenlik Sektörü ’nün durumu hakkında ne düşünüyorsunuz?
Vedat USLU: Siber güvenlik kapsamında milli olarak geliştirilen bir takım sistemler var. Biz de o alanda değer üretebileceğimizi düşündük. Saldırı Tespit Sistemi geliştirdik, Bal Küpü Sistemi geliştirme çalışmalarımız halen devam ediyor. Ama büyük resme baktığımızda Türkiye ağırlıklı olarak ithalatçı durumunda. Siber güvenlik deyince sadece sınır güvenliği sistemlerini de düşünmemek lazım. Omurga anahtarı var, yönlendirici var, bunların güvenliği de önemli. Bu sistemlerde çalışan prototokoller belli, standartları belli, karmaşıklığı belli. 30 yıl önce yazılmış. Aman aman bir zorluğu yok. Performans optimizasyonunu da öğrenirdik. Bunlara girmemişiz. Kriptolojiye girmişiz, birkaç VPN cihazı yapmışız. TÜBİTAK yapmış, ASELSAN yapmış. Ağın kalanını bırakmışız. Bu noktada maddi kayba ilave olarak güvenlik açığı da verebiliriz.
CyberMag: İnternet kullanım oranlarındaki artışı neye bağlıyorsunuz? İnsanlar açık bilgi ortamlarına neden bu kadar istekli?
Vedat USLU: “Merak deha alametidir” derler. Biz millet olarak yeniliklere her zaman açık olmuşuz, meraklı olmuşuz. İletişime düşkünlüğümüz bence Türkiye’nin bir kuvvetidir. Sosyal medya üstünden bilgi akışı olağanüstü düzeyde. Orda mizah da yapılıyor, fırsatları da alıyorsunuz, tehditleri de alıyorsunuz. Bizim açımızdan da açık bilgi kaynakları azımsanmayacak değerde. Ar-Ge yapacağınız alanda önce literatür taraması yapmanız, “state of art”ı yakalamanız gerekir. Mühendislikte bunun en pratik yolu açık kaynaklardan patent taraması yapmak.
CyberMag: İnternet yoluyla işlenen suçlarda artış var. Bunu nasıl açıklayabiliriz?
Vedat USLU: Her yere o kadar hızlı ulaşma şansınız var ki. Ben buradan Yeni Zelanda’ya iki günde ancak giderim ama bankalarının WEB sitelerine iki dakikada ulaşırım. Dört dakikada portlarını tararım, açıkları varsa bir saatte, hadi bir günde bulurum. Bunu kullanmak isteyen insanların çıkması sürpriz değil. Kullanım yaygınlaştıkça güvenliği sağlamak güçleşiyor. Hassas bilgi işleyen sistemlerin güvenliğini tasarımın başından itibaren çok dikkatli yapmak lazım.
CyberMag: Yıllarca bilişim sektöründe görev yapmış birisi olarak, Türkiye siber güvenlik alanında diğer ülkelere göre sizce ne durumda? Son dönemde Siber Güvenlik Kurulunun oluşturulması veya USOM ve SOME birimlerinin hayata geçirilmesi gibi birçok adım atıldı. Siz bu adımları yeterli buluyor musunuz? Rusya veya ABD gibi bu alanda sözü geçen bir ülke konumunda olmak için neler yapmamız gerekiyor?
Vedat USLU: Gerçekten önemli adımlar atıldı. Artık mesele işlerliğini sağlamak, yaşatmak. Şöyle düşünürüm, siber güvenlikte söz sahibi olmak veya önde gidenleri yakalamak uzay teknolojisinde veya uçan platformlarda yakalamaktan daha kolay. İnsan kaynağına eğilirsek kısa sürede büyük mesafe alınabilir. Ben bu bağlamda siber güvenliği bağımsız bir konu olarak görmüyorum. Siber tehditlerin kullandığı açıkların önemli bölümü uygulama yazılımlarından çıkıyor. Yazılım mühendisliğinde, bilgisayar ağları konusunda uzmanlaşmış insan kaynağımızın bir kısmı siber güvenliğe kayabilir. Tabii asıl öğrenme, proje yaparken oluyor. Mezunlarımızın önüne ciddi projeler, ciddi hedefler koymak zorundayız. Yoksa gelişemezler.
CyberMag: Bu bilgiler ışığında, siber güvenlikle ilgili strateji ve politikalar nasıl oluşturulmalı? Kısa, orta ve uzun vadede olumlu sonuçlar almak için özel sektör ve kamu nasıl bir yol izlemeli?
Vedat USLU: Ulusal Siber Güvenlik Stratejisi ve Eylem Planı siber güvenliğin hemen her yönüne değiniyor. Uzman açığı bütün dünyada en büyük problem. Bu bağlamda bilgisayar mühendisliği bölümlerine önemli görev düşüyor. İkinci olarak, kamu ile özel sektörün iletişimi daha iyi olabilir. Sivil toplum kuruluşlarının ve derneklerin aracılığı bu noktada çok değerli. Ben hamlelerin ihtiyaca göre şekillendirilmesinden yanayım. Kamunun, özel sektörün siber güvenlik konusunda en acil ihtiyacı nedir? Önce bunu tespit etmeliyiz. Strateji belgesinde yer alan kavramsal riskleri kurumsal ölçeğe indirmek gerekiyor. Kurumsal ölçekte risk analizini yapamıyorsak başımıza neler gelebileceğini bile bilmiyoruz demektir.
CyberMag: Siber güvenlik pazarının ve tehditlerin bugünkü durumu nedir? Bir siber savaşta neler tehdit altında?
Vedat USLU: Bilişim harcamalarının ciddi bir bölümü siber güvenliğe gidiyor. Türkiye de kamusuyla, özel sektörü ile bilişim teknolojilerine önemli ölçüde harcama yapan bir ülke. Ama ne kadar bilinçli olarak yapılıyor? Asıl mesele burada. Tehditler sürekli dönüşüyor, gelişiyor. Umarım siber savaş görmeyiz. OECD’nin “Reducing Systemic Cybersecurity Risk” başlıklı raporunda bir görüş vardı “Konvansiyonel boyutu olmayan, salt siber savaş olmayacaktır” şeklinde. Bana inandırıcı gelmişti. Ama savaş çıkarsa artık siber savaş boyutu da olacaktır mutlaka. Siber savaşta internete bağlı tüm sistemler saldırı alabilir. Kritik altyapıları internete bağlamadan önce iki kere düşünmek lazım. Kritik altyapıları bir tarafa bırakalım, günlük internet trafiğimiz nerelerde dolaşıyor? Bu konuda yeterli bilince sahip olduğumuz kanısında değilim.
CyberMag: Bilinen siber saldırı yöntemleri ve güvenlik çözümleri hakkında bilgi verebilir misiniz?
Vedat USLU: Bütün saldırı yöntemlerini bilemeyeceğimizi görüyoruz her gün. İşletim sistemlerinin, tarayıcıların, ofis uygulamalarının yayımlanan her yazılım güncellemesi yeni açıklarla geliyor. Üreticinin kendi test sürecinde yakalayamadığı açıkları bulup satan uzmanlar olduğunu duyuyoruz. Bu açıkları kullanan kötücül yazılımların geliştirildiğini görüyoruz. “Gelişmiş Siber Tehdit” diye, hedefe özel saldırgan yazılımlar geliştirildiğini görüyoruz. İlk örneği Stuxnet’tir; Batılıların İran’daki uranyum zenginleştirme tesisini devre dışı bırakmak için kullandığı sisteme özel bir yazılımdır ve başarılı olmuştur. Keşfedilmeden önce bu yazılımların saldırdıkları sistemde aylarca çalıştığını, bilgi topladığını görüyoruz. Bu problemin basit çözümü yoktur. İş sürecinizin tamamını, bilgi sisteminizi, güvenlik boyutunu düşünerek planlamanız gerekir. Yazılım geliştirmede yapılması gereken de aynıdır: Riskleri ve güvenlik işlevlerini işin başından itibaren düşünmek gerekiyor. Ortak Kriterler bunu bize iyice öğretti.
CyberMag: Siber saldırıların mağduru ya da bu saldırılara istemeden alet olmamak için vatandaşlarımızın alabileceği önlemler nelerdir?
Vedat USLU: En başta güncel yazılım kullanılması gerektiğini anımsatmak isterim. İşletim sistemi ve WEB tarayıcıların güncellemelerini yüklemeleri gerekir. Java, Adobe Reader gibi WEB’e erişimde çalışan kritik uygulamaların güncellemelerini yüklemeleri gerekir. Anti Virüs programı kullanabilirler. WLAN modemlerinin parolalarının karmaşık olması da çok önemli. Sizin modeminizi kullanarak WEB’e bağlanan ve suç işleyen biri yüzünden çok zor duruma düşebilirsiniz.
CyberMag: Siber güvenlikte teknik tedbirleri destekleyecek diğer unsurlar nelerdir?
Vedat USLU: Aslında teknik tedbirlerin destekleyici olması gerekir. Önce bilgi güvenliği yönetimini ele almanız lazım. Risk analizi, eğitim, iç tetkik, bir olay olduktan sonra yönetimin gözden geçirmesi ile düzeltici/önleyici faaliyet açmak bilgi güvenliğinin de siber güvenliğin de olmazsa olmazıdır. Risk analizini yaparken kaçırılmaması gereken nüanslar var. Donanım envanteri çıkararak risk analizi yapmak doğru değil. Donanımın değeri içindeki bilgiden, bilginin değeri de hangi işe hizmet ettiğinden çıkar. Önce “Hangi işlerim önemli? Gizli bilgi olarak elimde ne var? Asla kaybolmaması gereken bilgi olarak elimde ne var?” sorularının cevaplarını belirlemek ve güvenlik hedeflerini ortaya çıkarmak gerekiyor. Hedef belli olduktan sonra oraya ulaşılır. Güvenlik biraz da nizam-intizam işidir. Gizli bilgiyi önce bir yere toplayacaksınız, sonra güvenliğini sağlayacaksınız. Gizli dosyalar personelin dizüstü bilgisayarlarında, hafıza kartlarında dolaşıyorsa o eninde sonunda kaybolur veya birilerinin eline geçer. Özetle, bilgi güvenliği hedeflerine ulaşmak amaç, teknik tedbirler araçtır. Amaçla aracı birbirine karıştırmayalım.
CyberMag: Bu bilgiler ışığında, siber güvenlikle ilgili strateji ve politikalar nasıl oluşturulmalı? Türkiye’de siber güvenlikten kim sorumlu? Bugüne kadar bu konuda neler yapıldı?
Vedat USLU: Siber güvenliğin ulusal güvenliğin ayrılmaz parçası olarak algılanması gerekir. Bu konuda Barack Obama’nın çok güzel bir sözü var. “Siber uzay kara, deniz, hava ve uzaydan sonra beşinci cephedir” diyor. Dolayısıyla Türkiye’nin güvenliğinden hangi makam sorumluysa, siber güvenliğinden de o makamın sorumlu olması gerekir. Bildiğim kadarı ile Türkiye’de politika belirleme yetkisi bakanlıklarda ve düzenleyici/denetleyici kurumlarda. Ulusal Siber Güvenlik Stratejisi’ni Ulaştırma Bakanlığı yayımladı. Peki, sağlık sektöründe bu politikayı uygulatma yetkisi var mıdır? Enerji sektöründe bu politikayı uygulatma yetkisi var mıdır? Sanmıyorum. Her sektörün regülatörü kendi politikalarını belirleyip uyguluyor. Sonra bakıyorsunuz BDDK hassasiyet göstermiş, finans sektörünün siber güvenliğini toparlamış. EPDK nisbeten geri kalmış. Hâlbuki enerji belki daha kritikti belki bilemiyoruz.
Siber güvenlik konusunda bir çipin güvenliği olsun, kurumsal güvenlik olsun, ulusal güvenlik olsun, ölçek değişiyor ama yapılması gerekenler değişmiyor. Önce risk analizi, “Siber güvenlik kapsamında korumam gereken hangi sistemlerim var?” sorusunun cevabının verilmesi gerekir. Tabii bunun çıktısı gizli olacaktır.
CyberMag: ICterra ile ilgili kurumsal yapınızı ve uzun vadede hedeflerinizi belirtir misiniz?
Vedat USLU: Yurt içinde ağırlıklı olarak savunma sektörüne yazılım mühendisliği desteği veren, yurt dışına yazılım ihraç etmeyi başaran milli sermayeli bir KOBİ’yiz. Kalite direktörlüğümüz, iç işleyişimizle ilgili olarak yolumuza ışık tutar. Mühendislik direktörlüğümüz geliştirmeyi yürütür. Sektör direktörlüklerimiz savunma ve kurumsal sektörlerde iş geliştirme yapar. Satış bölümümüz yoktur. Ar-Ge ve Ür-Ge yaparak yolumuza devam ediyoruz. En değerli sermayemiz insan kaynağımızdır. Çalışanlarımızın kariyer yollarını tanımlamaya çalışıyoruz. İnsan kaynakları direktörlüğümüz kurum içi/kurum dışı eğitimlerle personelimizi zenginleştirmeye çalışır. Hedefimiz çok uluslu şirket olarak hem kendi esnekliğimizi arttırmak, hem de Türkiye’ye döviz getirmektir.
CyberMag: ICterra siber güvenlik sektöründe kendisine nasıl bir rol biçiyor?
Vedat USLU: Bizim sektörden sektöre değişen bir rolümüz veya beklentimiz yok. Yazılım mühendisliği firması olarak paydaşlarımıza güven veren bir yol arkadaşı olmayı, yazılım geliştirme kabiliyetimizi daha ilerilere, yurt dışına taşımayı istiyoruz. Siber Güvenlik konusunda henüz çalışma yapılmamış veya çok az çalışılmış Bal Küpü Sistemi gibi konularda yatırım yapmanın yerinde olacağını düşündük. Akıllı Tehdit Engelleme Sistemi’ni Ortak Kriterler EAL 4+ sertifikalı olacak şekilde geliştirdik. Yazılım geliştirme sürecimiz CMMI-3 uyumludur. Paydaşlarımıza güven vermek istiyoruz.
CyberMag: ICterra bünyesinde geliştirmiş olduğunuz BT servis yönetimi, yazılım danışmanlığı ve test hizmetlerinden okuyucularımıza bahseder misiniz? Yazılım teknolojileri açısından baktığımızda, ICterra’yı farklı kılan noktaları nasıl sıralarsınız?
Vedat USLU: UNIFY için yıllardır yaptığımız yazılım işi bize çok uluslu bir geliştirme ortamında başarılı olabileceğimizi gösterdi. Almanya gibi, mühendislikte bizden ileri olduğu su götürmeyen bir yerde bile kendimizi kabul ettirebileceğimizi gösterdi. O güvenle yurt dışında farklı işlere yöneldik. Her çalışma şeklinin kendine özgü zorluklarını, bu zorlukları yönetmeyi öğrendik. Agile’dan Waterfall’a kadar her çeşit geliştirme sürecini yaşadık. Gömülü, mobil, sunucu platformlarına yazılım geliştirdik. Deneyimliyiz. Test sürecimiz de, projede kullanılan geliştirme yaşam döngüsü ile uyumlu olacak şekilde kurgulanır. Savunmadan Aviyoniğe, Telekomdan WEB ve mobile kadar pek çok sektörde test deneyimimiz mevcuttur. Hataların, tutarsızlıkların yaşam döngüsü içinde olabildiğince erken bulunmasını sağlarız. Geliştiricilerden bağımsız test ekibi yazılımın kalitesini yükselten çok önemli bir unsurdur.
BT servis yönetiminde BMC’nin iş ortağıyız. Öncü, yenilikçi çözümler üreten bir firmadır. Hizmet masası çözümü, varlık yönetimi, altyapı kapasite yönetimi çözümleri vardır. Ağda keşif yapan, hangi platformda hangi yazılımın koştuğunu çıkaran çözümleri vardır. Bu araçlar yardımıyla kurumsal bilgi güvenliğine önemli katkı yapabiliyoruz.
CyberMag: ICTERRA’nin üstlenmiş olduğu en önemli proje size göre nedir? Bu proje hakkında biraz bilgi verir misiniz?
Vedat USLU: İnsanları da firmaları da yaptıkları işler şekillendiriyor. Tek bir projeye “en önemli” demeyi çok doğru bulmam, her projenin kazandırdıkları kendine özgüdür. İlkler daha özel oluyor. Siber güvenlikte yaptığımız ilk proje ATES (Akıllı Tehit Engelleme Sistemi) de bizim için özeldir. Gene de bir projeye indirmek gerekirse, ben workit.biz isimli dijital çalışma alanı uygulamamızı düşünürüm. Sesli/görüntülü arama dâhil kurumsal iletişimi, koordinasyonu sağlayan, dosya paylaşımı, toplantı organizasyonu, iş atama gibi pek çok yararlı özelliği olan bir WEB uygulamasıdır. Masaüstü bilgisayarlardan hiç bir yazılım kurmadan Google Chrome tarayıcı ile kullanılabiliyor. Akıllı telefonlar için de iOS, Android uygulamalarımız birkaç dakikada kurulabiliyor. Bu uygulamanın güvenliğe katkısından kısaca bahsetmek isterim. Şu anda WhatsApp’dan yazıştığımızda, GMail’den mesaj attığımızda, Skype’dan konuştuğumuzda paylaştığımız bilgiyi bu firmaların sunucularına yüklemiş oluyoruz. Elimizle teslim ediyoruz bilgiyi. Bu bilgi muhakkak ki firmanın tabi olduğu ülkenin güvenlik kuruluşları tarafından en titiz şekilde değerlendirilecektir. Bizim hangi konularla ilgilendiğimiz, ne kadar aktif olduğumuz, ne düşündüğümüz, ne kadar hızlı karar alabildiğimiz, kiminle işbirliği yapmayı düşündüğümüz, ne aldığımız, ne sattığımız, huyumuz, suyumuz, en ince ayrıntısına kadar analiz edilecektir, yorumlanacaktır. Buna rağmen kamu kurumlarımızın dahi bu uygulamaları zaman zaman kullandığına şahit oluyoruz. Sızma testinde aranan açıklıklar bellidir. Dışardan kurumun bilgi sistemine girilebiliyor mu diye de bakılır, ama kurumsal iletişimin nerelerden geçtiğine bakılmaz. O yüzden bu durumlar açıklık olarak da gündeme gelmiyor.
Workit.biz neyi sağlıyor, kendi sunucunuza kurarsanız bilginiz sizde kalır. İletişiminizi kendi ağınızın içinde yaparsınız. Mahremiyeti sağlama açısından da ciddi bir adımdır.
CyberMag: Birden çok ağın aynı güvenlik standardına ulaştırılmasını sağlamak üzere tasarlanan Akıllı Tehdit Engelleme Sistemi’nin, rutin gündelik kullanım sırasında ağınızda neler olup bittiğine ilişkin faydalı bilgiler de üreterek siber güvenlik konusunda atılabilecek somut adımların belirlenmesine yardımcı olduğunu söylüyorsunuz. ATES ve Bal Küpü Sistemi projelerinden bahsedebilir misiniz?
Vedat Uslu: “... as a Service” yaklaşımı siber güvenlikte de geçerli. “Cyber Security as a Service”, temelde siber güvenlik yönetiminin uzman kurum tarafından yapılması anlamına geliyor. Sensörlerle yönetim merkezi ayrıdır, yönetim merkezi kurumda da kurumun dışında da olabilir. Biz siber güvenlik projelerimizde bu mimari ile uyumlu sistemler geliştirdik. Kurumunuza sensörü kurarsınız, güvenlik hizmetini veren firma kendi ağındaki yönetim merkezinden durumunuzu izler, alarmları izler, size uyarılarını yapar. Bu mimarinin pek çok avantajı var. Mesela sensörlerden gelen farklı farklı tehdit bilgilerinin, saldırı bilgilerinin yönetim merkezinde toplanması ve hizmet alan tüm kurumlarla paylaşılması. Böylece farkındalığı arttırmak. Akıllı Tehdit Engelleme Sistemi’nde (ATES) de, Bal Küpü Sisteminde de yönetim merkezi ayrı, sensör ayrıdır. Sistem yöneticisi yönetim merkezinde çalışır, müdahalelerini yapar.
ATES açık kaynak Suricata saldırı tespit ve engelleme sistemine dayanıyor ancak klasik imza tabanlı tespit ve engelleme ile yetinmek istemedik. Davranış tabanlı analize de dokunmak istedik. Bunun için de ağ trafiğinin nerden geldiğini, hangi servislere yöneldiğini, gün içindeki değişimi izlemek, saldırıları algılama açısından çok değerli. ATES sistem yöneticisine çok sayıda ağ istatistiğini izleme şansını veriyor. Anormal trafik ve bu trafiği üretenlerle ilgili olarak alarm da veriyor. ATES’i geliştirmeye devam edeceğiz.
Bal Küpü Sistemi’ne gelince, diğer sunucuların arasına yerleştirilen, saldırganların eylemlerini yakından izlemek için kurgulanmış sunucu sistemleridir. Ağ trafiğini izleyen güvenlik duvarı, içerik filtresi vb. sistemleri tamamlayıcı özellik gösterir. Ağda akan veri TLS vb. yazılımlarla kriptolandığı için bu trafiği dinleyerek toplanamayacak bilgileri, sunucuda kriptolu veri çözüldükten sonra alırsınız.
CyberMag: “Bilgi güvenliği risk analizi ile yani kuruluşun başına gelmesi muhtemel olayların ve oluşacak hasarın belirlenmesi ile başlar. Bilgi güvenliği risklerini belirlemeden teknolojik çözümlere yönelmek kurumun bilgi güvenliği hedeflerine ulaşmasına hizmet etmeyecektir” diyebilir miyiz?
Vedat USLU: Tabii, çok doğru. Öncelikle güvenlik hedeflerini belirlemek lazım. Kurum yönetimi, liderliğini güvenlik hedeflerini tanımlayarak gösterecek. “ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi Gereksinimleri” standardı bunu çok net ifade ediyor. Bilgi işlemin ondan sonra, “Bu hedeflere nasıl ulaşırım?” sorusuna cevap aranırken devreye girmesi gerekir. Türkiye’de bunun genellikle yanlış uygulandığını görüyoruz. Bilgi güvenliği olduğu gibi bilgi işleme havale ediliyor.
Erişim kontrolü ve türevleri gizlilik hedeflerine, yedekleme ve türevleri erişilebilirlik hedeflerine götürür. Hepsinin süreç tasarımı boyutu vardır, eğitim boyutu vardır, teknolojik boyutu vardır. Biri eksik kalırsa olmaz.
CyberMag: Sonuç olarak, Türkiye’de Siber Güvenlik çalışmaları beklediğiniz gibi ilerliyor mu? Ülke adına yapılması gerekenler nelerdir? Gereken düzenlemeler ve çalışmalar yapılmadığında ne gibi sonuçlar ortaya çıkacaktır?
Vedat USLU: Türkiye bir yandan hızla gelişen, bir yandan büyük problemlerle boğuşmak zorunda kalan bir ülke durumunda. Bu ortamda altyapı hizmetlerini sağlamak, sürdürmek, bilgi sistemlerini ayakta tutmak, yeni ihtiyaçları karşılayan yazılımları geliştirmek her zaman acil ihtiyaçların başında geliyor. Siber güvenlik ikinci planda kalıyor. EPDK gibi, BTK gibi, BDDK gibi düzenleyici kurumlarımızın hizmet üreten firmaların siber güvenliği nasıl yönettiğini daha sıkı takip etmesi gerektiği kanısındayım. Çözüm gerektiğinde yerli ve milli çözümlerin tercih edilmesi gerekir. Nasıl kendi tankımızı, piyade tüfeğimizi yapıyorsak, siber güvenlik sistemlerimizi de yapacağız. Çok kısa sürede yaparız. Gereken düzenlemeler yapılmazsa ne olur? Depremde olduğu gibi binaların yarısı yıkılır, yarısı ayakta kalır.
CyberMag: ICterra olarak ülkemizin gelecek yılları adına belirlemiş olduğunuz hedef nedir?
Vedat USLU: Ar-Ge destek bütçesi olsun, yatırımcı sayısı olsun, devletimizin koyduğu son derece somut hedefler var. Biz de kendi imkânlarımızla orantılı olarak Ar-Ge’ye yatırım yapmaya devam edeceğiz. Kamunun ve özel sektörün bilişim harcamalarında yerli katkı payını kat kat arttırabiliriz. Hem ekonomik açıdan, hem güvenlik açısından kazancımız büyük olur. Bu bağlamda kazanılan deneyim, dünya pazarlarında da varlığımızı güçlendirmemize, Türkiye’nin büyüme hedeflerine ulaşmasına yardımcı olur.
CyberMag: CyberMag, siber dünyadaki riskler ve siber güvenlik konusuna odaklanmış Türkiye’nin ilk basılı ve elektronik dergisi olarak farkındalığı artırmayı ve insanları bilgilendirmeyi amaç edinmektedir. Bu amaçla yola çıkan ve yayın hayatına daha yeni başlayan CyberMag hakkında düşünceleriniz nelerdir?
Vedat USLU: Son derece bilgilendirici. Bilgi güvenliğini tüm boyutları ile ele almanızı da takdir ediyorum. Mevzuattan kriptolojiye kadar pek çok başlıkta değerli yazılar yayımlıyorsunuz. Çok değerli öğretim üyeleri ile uzmanlarla röportajlar yapıyorsunuz. Ben CyberMag’i dikkatle izliyorum. Bizi ziyaret ettiğiniz için de tekrar teşekkür ederim.