Marsh Sigorta Siber Risk Direktörü Ulvi Cemal Bucak İle Söyleşi
Marsh Sigorta Siber Risk Direktörü Ulvi Cemal Bucak İle Söyleşi
Bilgi ve bilişim güvenliği alanında toplumun her kesiminde bilgi ve bilinç düzeyini arttırmak, bu konu ile ilgili teknolojik gelişmeleri izlemek, milli teknolojilerin geliştirilmesine katkı sağlamak; bireysel, kurumsal ve ulusal düzeydeki riskler konusunda farkındalık oluşturmak amacı ile güvenilirlik, süreklilik ve gizlilik politikaları ile yoluna devam eden Marsh Sigorta Siber Risk Direktörü Cemal Bucak ile Türkiye’de bilişim sektörünün durumu, devletimizin kalkınmasında IT ve telekomünikasyon sektörünün yeri ve bilhassa bilgi güvenliği alanında bilinmesi gerekenler ve çözüm önerileri hususunda ülkemizin dünü, bugünü ve geleceği adına yapılması gerekenleri konuştuk.
CyberMag: Öncelikle dünyada ve Türkiye’de bilişim sektörünün bugünü ve geleceği hakkında neler söylemek istersiniz?
Cemal Bucak: 2020 itibarıyla büyüklüğü 5 trilyon dolara ulaşan, dolayısıyla dünya ekonomisinde çok önemli bir sektörden bahsediyoruz. Ülkemiz her geçen sene bu alanda gerek yeni teknolojilerin uygulanması gerekse yerli bazı çözümlerin geliştirilmesi anlamında önemli mesafeler kat ediyor. Buna rağmen global pazardaki payımız, olması arzu edilenden düşük. Ekonomik büyümenin yanı sıra özellikle ulusal güvenlik boyutuyla da bu alana ülke olarak daha fazla eğilmemiz gerektiğine inanıyorum. Bilişim alanındaki baş döndürücü gelişmeler ve trendlerle ilgili altını çizmem gereken önemli bir konu ise; bunların beraberinde getirdiği riskler ve olumsuz etkilerdir. Yeni teknolojileri kurum bünyesinde kullanmaya başlamadan önce verimlilik ve faydaları kadar, beraberinde getirdiği siber risklerin analiz edilmesi, entegrasyon aşamasının vazgeçilmez bir parçası olarak gereken bazı güvenlik önlemlerinin alınması günümüzde çok daha fazla önem kazanıyor.
CyberMag: Türkiye’de ki Ar-Ge ve inovasyon yaklaşımları ve politikaları göz önünde bulundurulduğunda, bu konuda yapılan düzenlemeler nelerdir? Ar-Ge destekleri ve teşviklerini yeterli buluyor musunuz? Sizce yapılması gereken nelerdir?
Cemal Bucak: Dünyadaki bilişim sektöründeki payımızı artırmak, bilişim teknolojilerini takip eden, daha çok kullanan olmaktan ziyade, teknolojiyi üreten bir ülke konumuna gelmek için atılması gereken önemli adımlar olduğunu düşünüyorum. Bu konuda bizden ileride olan ülkelerle aramızdaki açığı kapatabilmek için, Ar-Ge teşviklerinin çok ötesinde kapsamlı ulusal bir strateji ve plan geliştirilmesi gerekiyor. Bu planı başarılı uygulamak için en önemli etkenlerden biri kanaatimce eğitime önem vermektir. Bu kapsamda, ülkemizde bilişim vadileri kurmak, buralara ülkemizde ve hatta yurtdışında yetişmiş önemli know-how aktarabilecek mühendisleri getirerek tersine beyin göçünü sağlayacak adımlar atılması önem taşıyor.
Türkiye’de bu konularda hem kamunun hem de çok sayıda şirketin destek sağlıyor olması gelecek için umut verici. Bu alanda çalışmak isteyenlerin desteklenmesi gerekiyor. Maddi desteğin yanında mentörlük desteği de Ar-Ge çalışmaları yürütenleri doğru yönlendirmek adına çok önemli bir adımdır.
CyberMag: Son yıllarda internetin kullanımının artmasıyla birlikte ortaya çıkan IoT (nesnelerin interneti) kavramı ve internete bağlı cihaz sayısının artışı; bir başka hayati husus olarak bilgi güvenliği konusunun önemini, yerel ve milli çözümlerin ülkemiz adına geliştirilmesi gerektiğini gösteriyor. Bu bilgiler ışığında, Marsh Sigorta Siber Risk Direktörü olarak, Türkiye’deki siber güvenlik sektörünün durumu hakkında ne düşünüyorsunuz?
Cemal Bucak: Kurumlara yönelik operasyonel verimliliği, rekabet gücünü, inovasyonu artırmak, yeni hizmetler sunmak ya da bireylerin hayatlarını kolaylaştırmak için birtakım elektronik cihaz ve sensorlerin internet üzerinden haberleşmesini gerektiren IoT ve benzeri çözümler geliştirilirken, güvenli ürün geliştirme kriterlerinin atlanması durumunda faydadan çok daha büyük riskler oluşabiliyor. Kötü niyetli kişiler tarafından internet veya ağ üzerinden kontrolü ele geçirilen bir kalp cihazı, akıllı sayaç, akıllı araba ya da şehrin enerji otomasyon sisteminin sebebiyet verebileceği olumsuz durumları tahmin etmek zor değil. Dolayısıyla IoT, M2M, blockchain veya yeni herhangi bir teknolojik çözümü uygulamadan evvel bunlarla ilgili siber risklerin değerlendirilmesi ve gerekli güvenlik önlemlerinin alınması çok önemli. Türkiye’de siber güvenlik ve risk yönetimi konusunda farkındalığın, regüle edilen, uluslararası faaliyet gösteren ve büyük kurumlar dışında maalesef istenen seviyede olmadığını görüyoruz.
Marsh Sigorta olarak siber güvenlik konusunun yanı sıra iş sürekliliği, kriz yönetimi, kurumsal risk yönetimi, sabit kıymet risk analizi gibi tüm alanlarda bütüncül bir yaklaşımla sektöre ve müşterilerimize hizmet sağlıyoruz. Yerli ve milli çözümlerle ilgili olarak, bu konuda yapılan çalışmaların ve bazı firmalarımızın geldiği noktanın geleceğe yönelik umut verici olduğunu söyleyebilirim. Ancak ilerlemenin daha hızlı sürmesi açısından özellikle kurumlar nezdinde bu çözümlerin mutlaka değerlendirilerek daha fazla desteklenmesi gerektiğini düşünüyorum.
CyberMag: İnternet kullanım oranlarındaki artışı neye bağlıyorsunuz? İnsanlar açık bilgi ortamlarına neden bu kadar istekli?
Cemal Bucak: İnsanların bilgiye hızlı erişimi, her şeyden anlık olarak haberdar olma ve diğer insanlarla sürekli iletişim halinde olabilme isteği gün geçtikçe artıyor. Bunun yanında artan dijitalleşme uygulamaları sonucunda kurumların iş yapma süreçleri değişiyor. Tüm bunlar, internet kullanımını ve bağımlılığı ciddi oranda artırıyor.
CyberMag: Ülkemizde internet yoluyla işlenen suçlarda artış var. Bunu nasıl açıklayabiliriz? Yapılan saldırıların yol açtığı maddi zarar ne boyuttadır?
Cemal Bucak: İnternet yoluyla işlenen suçlarda ciddi bir artış olmasını birkaç nedene bağlayabiliriz. Sosyal mühendislik ve oltalama gibi metodlarla siber riskler konusunda farkındalığı düşük kişiler kolayca kandırılıp suça alet edilebiliyor. Diğer bir neden ise, artan bir hızla dijital dönüşümlerini tamamlarken güvenlik yapılandırmalarını tamamlamadan ya da açıkları tespite yönelik güvenlik testleri gerçekleştirmeden devreye alınan kritik sistem ve uygulamalar. Bunlar kötü niyeti saldırganlar tarafından çok kolay bir şekilde ele geçirilebiliyor. Bu tür saldırıların Türkiye özelinde rakamsal olarak ne seviyede maddi zarara sebebiyet verdiğini söylemek pek mümkün değil. Ancak son dönemde verilen KVKK cezaları, maddi zararın oldukça yüksek olduğunu ve çok daha ciddi boyutlara ulaşacağını gösteriyor. Yaptığımız siber risk modelleme ve sayısallaştırma çalışmalarında, özellikle büyük kurumlar nezdinde birtakım siber risklerin neden olduğu finansal maliyetin tahmin edilenden çok daha büyük rakamlara ulaşabildiğini görüyoruz.
CyberMag: Siber saldırıların mağduru ya da bu saldırılara istemeden alet olmamak için vatandaşlarımızın alabileceği önlemler nelerdir?
Cemal Bucak: Bireyler bu risklerden kendilerini koruyabilmek için dikkatli ve tedbirli davranmak durumunda. İnternette gezinirken bilinmeyen internet sitelerine girilmemesi, tanımadığımız kişilerden gelen maillerin açılmaması, açılması durumunda linklerin tıklanmaması, kişisel bilgi ve kredi kartı gibi verilerin tanımadığımız veya emin olmadığımız şahıs ve kurumlarla paylaşılmaması gibi basit tedbirler vatandaşlarımızı birçok olumsuz durumdan korumada etkili olacaktır.
CyberMag: Siber güvenlikte teknik tedbirleri destekleyecek diğer unsurlar nelerdir?
Cemal Bucak: Bilgi güvenliğini etkin bir şekilde sağlamada teknik tedbirler, diğer ifadeyle güvenlik çözümleri yanında iki önemli unsur söz konusu: Bilgi güvenliğinin insan ve süreç boyutu. Bilgi güvenliği yönetim sistemi ve sorumlusu olmayan, bu konuda farkındalığın çok düşük olduğu bir kurumda, yeni nesil bir veri güvenliği ya da network güvenlik çözümü devreye alıyor olmanın, tek başına siber güvenliğin etkili yönetimi ya da risklerin engellenmesi anlamında katkısı yok denecek kadar azdır.
CyberMag: Uluslararası bir şirketin yöneticisi olarak, diğer ülkelere kıyasla siber güvenlik sektörüne yönelik devlet desteğini yeterli görüyor musunuz? Bunun yanı sıra, geçtiğimiz yıllarda kabul edilen “Kişisel Verilerin Korunması Kanunu” ve Ulaştırma ve Altyapı Bakanlığı tarafından hazırlanan 2016-2019 Ulusal Siber Güvenlik Stratejisi’ne yönelik geriye dönük değerlendirmeleriniz nelerdir?
Cemal Bucak: Özellikle son senelerde yerli siber güvenlik çözümlerinin geliştirilmesine yönelik özel sektör ve devlet kurumları tarafından verilen Ar-Ge desteği ve teşviklerde artış görüyoruz. Ayrıca farkındalığın artırılmasına yönelik kamu kurumlarını da kapsayacak şekilde konferans ve çalıştaylar düzenleniyor. Ancak çoğu zaman güvenlik kriter ve testleri tamamlanmadan yeni teknolojik çözümlerin kullanıma alınması önemli bir sorun. Aynı zamanda karmaşıklaşan siber tehditler, yeni zafiyet ve atak vektörlerinin güvenlik araştırmacıları ve hackerlar tarafında keşfedilmesi gibi gelişmeler, kurumların risklerini artırıyor. Bu nedenle kurumlar açısından ilk sırada yer alan siber risklerle mücadele, çok kapsamlı bir strateji, planlama ve işbirliği gerektiriyor. Burada devlet kurumlarının yanı sıra üniversiteler, teknoloji firmaları ve bilhassa kritik altyapıyı yöneten büyük kurumlara da önemli roller düşüyor. KVKK, benzeri kanun ve yönetmeliklerin kurumların siber güvenlik farkındalığını artırıcı ve yatırımları teşvik edici önemli bir katkısı var. Ancak kurumlarımızda uyumluluk yanında risk odaklı yaklaşımın benimsendiği, organizasyon içerisinde bağımsız ve güçlü siber güvenlik ve risk birimlerinin tesis edildiği yapılara geçilmesi bu konuda ülke olarak daha hızlı mesafe almamıza imkân sağlayacak.
CyberMag: Bunların yanı sıra Marsh Sigorta Siber Risk Direktörü olarak bize şirketinizden bahsedebilir misiniz?
Cemal Bucak: Marsh & McLennan Şirketler Grubu bünyesindeki dört şirketten biri olan Marsh, sigorta brokerliği ve risk yönetimi alanında faaliyet gösteren küresel bir liderdir. Müşterilerimizin riskleri ölçümlemelerine, yönetmelerine ve büyümek için yeni fırsatlara ulaşmalarına yardımcı oluyoruz.
Marsh’ın sigorta brokerlik hizmetleri dışında kalan ve sigortalanabilen/sigortalanamayan risklere ilişkin danışmanlık hizmeti veren danışmanlık ekibi (Marsh Risk Consulting) olarak; siber risk yönetimi, iş sürekliliği ve kriz yönetimi, sabit kıymet risk danışmanlığı, kurumsal risk yönetimi gibi farklı alanlarda şirketlere risk yönetimi çözümleri sunuyoruz.
CyberMag: WannaCry, NotPetya gibi dünya çapında hızla yayılan saldırılar sebep oldukları maddi hasarlarla geçtiğimiz senelerde gündeme geldi. WannaCry’ın 4 milyar dolar, NotPetya’nın ise 850 milyar dolarlık zarara neden olduğu tahmin ediliyor. Bu doğrultuda, Türkiye’de de siber güvenlik risklerinin ve hedefli saldırıların, dünyadaki gelişimine benzer şekilde sürekli artış gösterdiğini söyleyebilir miyiz?
Cemal Bucak: WannaCry ve NotPetya saldırıları, bahsettiğiniz sonuçlarıyla siberin bir risk başlığı olarak global manada ne kadar ciddi etkileri olabileceğini gösteren iki örnek. Zafiyet ve yama yönetimi, güvenlik izleme ve olay müdahale gibi güvenlik kavramları barındıran bilgi güvenliği yönetiminin önemini gözler önüne seren iki vaka olarak tarihe geçti. Yayımlanan araştırma raporları, medyaya yansıyan haberler, kimi zaman sahada tanık olduğumuz güvenlik vakaları, müşterilerimizden gelen bu alandaki danışmanlık ve çözüm arayışlarına yönelik artan talepler, Türkiye’ye yönelik siber risklerin de bu anlamda dünyadaki trende benzer şekilde arttığını doğrular nitelikte. Marsh olarak, 2018 ve önceki senelere kıyasla 2019 senesinde siber poliçe alan müşterilerimiz sayısında çok ciddi oranda artış olduğuna da dikkat çekmek istiyorum.
CyberMag: Siber saldırılara maruz kalanların maddi kayıpları telafi edilebilirken, itibar kaybının telafisi ve paydaşlar nezdinde güven algısının yeniden inşası oldukça zor. Bu yüzden, “siber güvenlik tedbirleri şirketlerin asla gözden kaçırmamaları gereken, bir harcama değil geleceğe yönelik bir yatırımdır” diyebilir miyiz?
Cemal Bucak: Kurumun büyüklüğü, içinde bulunduğu sektör, pazardaki konumu ve teknolojiye olan bağımlılığına bağlı olarak yaşanacak bir siber saldırıda iş kesintisi, gelir kaybı, dava masrafları, sözleşmesel ve yasal cezalar gibi ciddi finansal kayıplar söz konusu olabilir. Bunun yanı sıra itibar kaybı da söz konusu olacaktır. Müşteri ve iş ortakları nezdinde yaşanan itibar ve güven kaybının doğuracağı zararın telafisi birtakım iletişim ve reklam kampanyalarıyla kapatılmaya çalışılsa da bu çok kolay olmuyor. Bu anlamda bilgi güvenliğini kurum içinde uçtan uca tüm birimleri kapsayacak şekilde ele alan etkili bir siber güvenlik programı hazırlanmalı. İnsan, süreç ve teknoloji perspektifinde kurum tarafından yapılacak yatırımlar, bu risklerin olasılığını ve olması durumunda hızlı müdahaleyle etkilerini azaltmada çok önemlidir. Siber vakaların önemli bir kısmının içerideki şirket çalışanları tarafından kasıtlı veya hatayla gerçekleştiği gerçeğini de göz önünde bulundurmak gerekir. Etkili bir siber güvenlik programının, kapsamı doğru belirlenmiş bir siber poliçe ile desteklenmesi en doğru ve etkili yaklaşım olacaktır.
Özellikle teknolojik çözüm geliştiren veya hizmet sektöründe faaliyet gösteren firmalar açısından ele alındığında, geliştirilen ürünlerin üst seviyede güvenlik kriterlerini karşılayacak şekilde tasarlanması gerekiyor. Ayrıca müşteri verilerinin güvenlik politikalarına uygun bir şekilde yönetiliyor olmasının rekabet avantajı oluşturacağı da açık. Dolayısıyla bu taraftaki güvenlik yatırımlarının, firmanın marka algısına ve dolayısıyla büyümesine çok olumlu katkı sağlayacağını da unutmamak gerekir.
CyberMag: Marsh Sigorta gelecekte ne gibi organizasyonlar planlıyor? Genel olarak düzenlenen organizasyonların siber güvenlik sektörü açısından önemi hakkında ne düşünüyorsunuz?
Cemal Bucak: Marsh olarak her sene referans niteliğinde bir rapor yayımlıyoruz. 2020 Küresel Riskler Raporu’nu geçtiğimiz aylarda Davos’ta yayımladık. Marsh Türkiye olarak, Mart 2020’de Türkiye’deki müşterilerimize bu raporun önemli noktalarını sunduğumuz bir konferans planladık. Yine globalde Microsoft ile birlikte 2017 ve 2019 yıllarında tamamladığımız siber risk algı anketinin bir benzerini Türkiye’de yürütüyoruz. Bu çalışmanın lansmanını ise yine Mart ayı içerisinde küresel riskler raporu ile birlikte gerçekleştirdik. Bu sene içinde ayrıca belli sektörlere yönelik siber risk senaryolaştırma ve sayısallaştırma, kurumsal risk yönetimi, iş sürekliliği ve kriz yönetimine ilişkin eğitim ve seminerler düzenleyeceğiz. Üniversitelerle işbirliğimiz çerçevesinde, 2020’de Marsh danışmanlık ekibi olarak tüm risk danışmanlık alanlarımıza yönelik eğitimler de planlarımız arasında yer alıyor.
CyberMag: Son olarak, yeni projelerinizden, çalışma ve faaliyetlerinizden bahseder misiniz?
Cemal Bucak: Marsh içerisinde yer alan Marsh Risk Consulting markası altında sorumlu olduğum siber risk ve iş sürekliliği danışmanlık hizmetleri kapsamında siber güvenlik olgunluk analizleri gerçekleştirilmesi, siber güvenlik strateji ve yol haritasının belirlenmesi, siber senaryoların belirlenmesi ve finansal etkilerinin sayısallaştırılması, IT denetimleri, KVKK & veri güvenliği, iş sürekliliği ve kriz yönetimi yapısının kurulması gibi birçok konuda danışmanlık hizmetleri sağlıyoruz.
Buna ek olarak kıta Avrupa’sına da hizmet veren lokal data analitik ekibimizle birlikte, siber alanda risk finansman optimizasyonu çalışmaları gerçekleştirerek risk transferine ve siber poliçe kapsamına ilişkin doğru program yapısının oluşturulabilmesi konusunda destek oluyoruz.
Biraz evvel bahsettiğim ve halen çalışmalarını yürüttüğümüz siber risk algı anketimiz Türkiye’de bu konuda yapılacak ilk araştırma olacak. Sonuçlarının ülkemiz için faydalı ve yol gösterici olacağına inanıyoruz.
Marsh bünyesinde, yurtdışında uluslararası projelerde yer almış tecrübeli bir ekibe sahibiz. Bu anlamda hizmet verdiğimiz konularla ilgili Orta Doğu, Avrupa ve Afrika kıtalarındaki bölge ekipleriyle birlikte büyük çaplı projelere destek veriyoruz.
CyberMag: CyberMag Dergisi, siber dünyadaki riskler ve siber güvenlik konusuna odaklanmış Türkiye’nin ilk basılı ve elektronik dergisi olarak farkındalığı artırmayı ve insanları bilgilendirmeyi amaç edinmektedir. Bu amaçla yola çıkan ve yayın hayatında 4. yılını dolduran CyberMag Dergisi hakkında düşünceleriniz nelerdir?
Cemal Bucak: Ulusal güvenliğimizin yanı sıra şirketlerimizin geleceğini olumsuz etkileyebilecek tehditlerin başında gelen siber risklerle ilgili farkındalık ve bilinci artırmaya yönelik gayretlerinizle çok önemli bir hizmette bulunduğunuzu söylemek isterim. Yüklendiğiniz misyonun bu anlamda çok önemli olduğuna inanıyor ve çalışmalarınızda başarılar diliyorum.