Şirketler ulusal siber caydırıcılığın bir parçası haline geldi



Türkiye’deki siber güvenlik şirketleri arasında AR-GE’ye ayırdığı yüksek bütçe ve geliştirdiği ürünlerle küresel piyasada yer bulmasıyla dikkat çeken Labris Networks’un CTO’su Oğuz Yılmaz Siber Bülten’e şirketin vizyonunu, dış piyasalardaki başarısını ve siber güvenlik şirketlerinin bir ülkenin milli güvenliğindeki yerini anlattı. Ürünleri hakkında bilgi vermeye haklı bir gururla “Vietnam’dan Polonya’ya kadar uzanan coğrafyada toplam 20 ülkede ürünlerimiz çalışıyor.” diyerek başlıyor ODTÜ mezunu Yılmaz. Labris’in temel olarak üç ürün grubu bulunuyor: Bir kurumun kullanacağı ağ güvenliği çözümlerinin oluşturduğu UTM ürün ailesi, 5651 no’lu yasaya göre çözüm sunan LOG ürün ailesi ve siber dünyanın baş belası DDoS’a çare olacak HARPP. Toplamda kamu ve özel sektör olmak üzere 4 binin üzerinde kurumsal müşteriye sahip olan Labris askeri güvenlik bürokrasisi tarafından güvenilen bir firma olarak öne çıkıyor. Yılmaz her ne kadar her ürünümüz bizim için aynı değerde dese de, HARPP’ın ayrı bir yeri olduğunu hissetmek zor değil. ‘DDoS gibi basit bir saldırı neden yıllar geçmesine rağmen başarılı olmaya devam ediyor?’ sorusuna kafa yoran Yılmaz ve ekibi uzun çalışmalar sonucu saldırıların evrimleşerek geliştiği gibi saldırıya karşı koyan ürünlerinde değişerek gelişmesi üzerine bir strateji oluşturmuş. ‘Ağ güvenliği için kullanılan Firewall ve IPS gibi ürünlerin ana amacı DDoS saldırılarını durdurmak değil. Görevi DDoS’u engellemek olan bir ürün ailesi ihtiyacını gördük ve HARPP’ı geliştirdik.” diyen Yılmaz Türkiye’nin hedef olduğu Anonymous ve Redhack saldırılarının yaşanmasının ardından 2013 yılında ürünlerini piyasaya sürdüğünü anlatıyor. Fakat o dönem medyada dolaşan ‘Siber Kalkan kuruldu’ haberleri Türkiye piyasasını gereksiz bir rehavete sokmuş olacak ki, HARPP dış piyasalarda özellikle Doğu Avrupa’da ülkemizde olduğundan daha fazla teveccüh görmüş. Avrupa gibi zorlu bir pazarda dört ülkede ürünleri kullanıldığını söyleyen Yılmaz, bu ülkelerden birinde kamu kurumlarında Labris gibi bir Türk firmasının geliştirdiği ürünün güvenle tercih edildiğine dikkat çekiyor. Tabi bu başarı kolay gelmemiş. 2002 yılından bu yana çeşitli zorlukları aşmaya çalıştıklarını belirten Labris yöneticisi siber güvenlik ihracatında başlıca mücadele alanları olarak “Diğer yabancı IT firmalarının bıraktığı olumsuz izlenim ve Türkiye’de yabancı ürüne hayranlığı” sıralıyor. Yerli ve milli firma olmanın her zaman kendilerine yardımcı olmadığının altını çizen Yılmaz, Bugün siber güvenlikte yerli firmalar yerli çözümler üretiyorsa ve yerli müşteriler bunları alıyorsa bu önemli ölçüde Labris’in değiştirdiği algı sayesindedir. Bu bir başarı hikayesidir.” ifadelerini kullanıyor.  harpp 5 milyon TL ödenmiş sermaye ve 50’nin üzerindeki teknik personelle Türkiye’nin siber güvenlik üretimi anlamındaki en yetkin ve geniş şirketleri arasında yer alan Labris’in göz bebeği HARPP neden farklı? “Var olan çözümler saldırılara detaylı değil yüzeysel bakıyorlar. IP paketlerini normal kargo paketi gibi düşünün. Bu paketlerin üzerindeki alıcıya baktığınızda bir bilgi görürsünüz buna göre bir tasnif yapabilirsiniz. Bu paketin içine baktığınızda farklı seviyede bir algılama yapabilirsiniz. İkincisi daha maliyetli ama daha garanti. Biz Katman 7 incelemesi dediğimiz yerde inceleme yapan statik kurallara göre değil, yapay zekayı ve makine öğrenmesini kullanan bir motor geliştirdik HARPP içerisinde ve bu yüzden ISP’ler tarafından sunulan hizmetlerin vazgeçilmez bir tamamlayıcısı.” Bir ürün sadece yerli olduğu için tercih edilir mi? “Bir ürünün sadece yerli olması yeterli olmaz; aynı zamanda piyasadaki muadillerine göre rekabetçi olması da gerekiyor.” diyen Yılmaz’a göre, IT’de yerli malın kullanılması konusunda bundan önce 3 kez yayınlanan yerli malı genelgesi, ciddi bir etki sağlamadı. Buna karşın kamu ihale kanununda yerli ürünün yabancı muadiline göre yüzde 15’e kadar pahalı olsa da tercih edilmesinin zorunlu olması olumlu bir adım olarak değerlendiriyor. “Ama nihai hedefe ürünlerin rakipleri karşısında reelde tercih edilmesi ile ulaşılabilir” diyor. Yerli ürün üretip dünyaya satmak hedef olmalı Türk mühendisler ile geliştirdikleri ürünler ile dünya piyasalarında at koşturan Labris’in başarısının sırrını sorduğumuz Oğuz Yılmaz ürün geliştirme felsefesinde global hedeflerin olması gerektiğine dikkat çekiyor. “Yerli ürün üretmek diye bir şey yok. Dünyaya ürün üretmek ve Türkiye’ye de satmak lazım. Bakışın bu olması lazım. Bizim bakışımız da bu. Ürünlerimizle de bunu başardık.”  Yerli ürün takıntısını istismar eden aktörler yok mu?  Rekabetin olmadığı bir yerde bu durum yüzde yüz olur. Devlet yerli ürünü desteklesin ama bazı standartlar da koysun yaklaşımındayız. Bu ürünler yine bu testlere tabi tutulup ona göre alınması lazım. Belirli standartlarla ürünleri talep etmesi lazım. Tek kriter ürünün yerli olması olmamalı. Sadece güvenli olduğu için bir aracı almazsınız. En güvenli aracın içinde radyo olmasa alır mısınız? Almazsınız. Yerli ürünü kullanan biri yabancı ürünü kullanan başkasına baktığında eksiklik hissetmemeli. Geçmişte Devlet eliyle korumacı pazarda regülasyonla korunan yerli üretim yaşamadı. Gerçek rekabetçi ortamdan regülasyonla korursanız bugün olmasa da yarın bu ürün ilerleyemez. Hiçbir müşteri çağının on yıl gerisinde bir ürün almaz.”    Siber tehdit istihbaratında her yerde olmak esastır. Dünyayı gören ürün daha güçlenir. Ürünlerimizle global pazarda yer almak, siber tehditlerin mümkünse hepsine maruz kalmak ve hepsine karşı da savunma geliştirmeyi amaçlıyoruz. Her yerli üretici bir destek alır ancak yurtdışında satabiliyorsa verilen desteğin daha farklı olması gerekir. Türkiye’deki kamu kurumları önemli müşterileriniz arasında yer alıyor. Aynı zamanda yurtdışında da devletlerle özel sektörle çalışıyorsunuz. Snowden sonrası dönemin getirdiği özellikleri göz önünde bulundurursak, devlet ile siber güvenlik şirketleri arasındaki ilişkiyi nasıl değerlendiriyorsunuz? Türkiye’de kamu kurumları ile yakın çalışmamızın yurtdışındaki işlerimizde olumsuz bir etkisi olmadı. Hatta 2 yıl içerisinde yurtdışında Türkiye’de olan işimizden daha fazla işimiz olacak. Devletler siber güvenlikte başarılı olmak istiyorsa özels sektöre muhtaç, firma başarılı olmak istiyorsa o da desteğe ve bilgiye muhtaç. Siber güvenlik ekosistemi ile devlet arasında regülasyonla düzenlenen bir ilişki var ABD’de. Kamu kurumları siber tehdit bilgilerini firmalar ile paylaşıyorlar, firmalar 3. partilerden elde ettiği bilgileri devletle paylaşıyorlar. Bu sayede firmalar tehditten daha hızlı haberdar olarak müşterilerini daha hızlı koruyorlar. Ancak Türkiye’de iki kamu kurumunun birbirine bilgi açması bile zahmetli bir iş. Polonya devletiyle çalışıyorsunuz, oradan aldığınız bir bilgiyi Türkiye ile paylaşmayacağınızı nasıl garanti ediyorsunuz? Bundan 5 sene önce Symantec, Huawei ile bir ortaklık kurmuştu. ABD’nin Symantec ile paylaştığı biglileri Huawei’nin kullanmayacağının garantisi olmadığı için ortaklık bozulmuştu. Polonya’ya gittiğimizde şunu görüyoruz ki, ürünümüz diğer ürünlerin çok çok ötesinde. Türkiye’nin benim üzerimde nasıl bir emeli olabilir ki? Bizim (Türkiye’nin) yayılmacı bir emelimiz yok. İsrail ve ABD ürünü olsa daha kuşkucu yaklaşabilir; bizim böyle de bir avantajımız var. Şirketin bir numaralı sorumluluğu müşterilerine karşıdır. Güven siber güvenlikte temel ilkedir. Devlet gelse bizden böyle bir şey istese bizde buna hemen evet demeyiz. Güven ilişkisini korumak zorundayız. NATO’nun en büyük siber tatbikatlarından Lockedshields’de Siber Savunma Komutanlığı ile birlikte yer aldınız. Siber güvenlik şirketleri ulusal güvenliğin neresinde duruyor? Bu tür tatbikatlatra olaya müdahale, operasyon ve AR-GE ekiplerimizle katkı sağlamaya çalışıyoruz. Önümüzdeki yıllarda çok daha geniş bir katkı ile bulunmak istiyoruz. Her ülkenin menfaatine olan ürünlerini sergilemesi için de bir Arena burası. Bu firsatları çok bilinçli ve etkili kullanabilmek için ülke olarak farkındalığımız daha yüksek olmalı.  Tatbikatta NATO’nun kendi tercih ettiği ürünleri nasıl desteklediğini açık şekilde gördük. Gelecek sene ürünümüzle gitmek istiyor ve tatbikata katılan ülkelere ürünümüzü göstermek istiyoruz. Common Criteria standardizasyonu Amerikan ürünlerini destekleyecek şekilde belirleniyor. Bu mantık hep var. NATO tarafında da bu şekilde. Lockedshields’ı hem tanıtım hem test fırsatı olarak görmeliyiz, güveniyoruz ürünlerimize. Caydırıcı güç sadece ordumuzun büyüklüğü olarak değil, siber güvenlik ürünlerinin gücü ve yaygınlığı da siber caydırıcılığa hizmet eden bir faktör. Peki Türkiye devleti ile birlikte olmanız yurt dışındaki işlerinizi etkilemez mi?  Cisco’su, Palo Alto’su tatbikatlara girince sorun olmuyor da bizim neden olmuyor. İsrail siber güvenlik ihracatı konvansiyonel silah ihracatını geçti. Bunları tüm dünyaya satabiliyorsa Türk ürünü çok daha rahat şekilde satar. Türkiye’de siber uzman yetişmesi konusunda Labris neler yapıyor? Şirketimiz siber güvenlik iş gücünün gelişmesinde 13 yıldır kritik bir rol oynamıştır. Bu açıdan bir okuldur. Özgeçmişinde Labris yazan mühendisler sektör için yüksek değerdedir. Siber güvenlik Ar-Ge’sinin güçlü olması, bir ürün geliştirmeniz, o konuda yetişmiş mühendisleriniz olduğunu anlamına gelir bu da bir siber caydırıcılık faktörüdür. Önce bu birikimi ülkeye kazandırmak gerekir. Üçüncü sınıfta yarı zamanlı olarak beğendiğimiz personelleri alıyoruz ve bir süre beraber çalışıyoruz. Mezun olacakları zamanda masaya oturuyoruz sınıf arkadaşlarından çok daha iyi şartlarda işe alıyoruz. Ar-Ge kaynağımızın yüzde 65’i bu şekildedir. İnsan kaynağı konusunda üniversiteler önemli. İlgi uyandırmanız lazım. Üniversitelerde siber güvenliğin laboratuvarı olduğu zaman, öğrencinin kulağına su kaçırdığınız zaman gençler ilgi duyacaktır. Geç kaldık ama 5 yıl sürecek bugün atılan tohumların meyvesini yemek. İşe alımlarda diploma saplantımız yok. Lise mezunu gelse yeteneklerini ispat etse kesinlikle reddetmeyiz. Donanımı bilgi birikimi ona uygun bir pozisyon getirecektir kendisine.

İlginizi Çekebilecek Yazılar





İletişim | Gizlilik | Kullanım Koşulları