Güvenlik Röportajları #17 Onur ARIKAN

Güvenlik kahvesinin bu haftaki konuğu Biznet Genel Müdür Yardımcısı Onur ARIKAN.

NGB: Kısaca kendinizden bahsedebilir misiniz?

Onur ARIKAN:  1968 kasımında Ankara’da doğdum. Çocukluğum ve gençliğim Ankara’da geçti. TED Ankara Koleji’nin ilk orta ve lise kısımlarını bitirdikten sonra üniversite sınavında Istanbul’a gelmeyi kafaya koydum. Dolayısıyla tercihlerimin tamamına yakına Boğaziçi’ydi. Ama üniversite sınavına ODTU’de girecektim. Sınav yerini gormek için bir arkadaşımla ilk defa ODTÜ kampüsüne gittim. Mayıs ayının sonlarıydı yanlış hatırlamıyorsam. Bilenler bilir kampusün en cıvıl cıvıl olduğu öğrencilerin dersliklerden ziyade kırlara uzandığı zamanlar. “Burası da pek fena bir yere benzemiyormuş” diye düşünerek ama kafamda Istanbul, ODTÜ Elektrik Elekronik Mühendisliğini, ilk yedi Boğaziçi tercihi içinde bir yere yazdım. Ve körün attığı taş gibi orası tuttu. Böylece Ankara’lılığa devam ettim. Ta ki 2006 yılının Ağustos’unda temelli Istanbul’a taşınana kadar. 

Okuldan mezun olunca TürkiyeElektrik Kurumu’nun Bilgi İşlem Daire Başkanlığı’nda sistem programcısı olarak çalışmaya başladım. Mainframe okuldan sonra orada da karşıma çıktı. Sonra 386 işlemciler ile PC dünyası. TEK’te iki buçuk senelik bir çalışmadan sonra askerliğimi Türk Hava Kuvvetleri’nin bilgi işleminde uzun dönem gerçekleştirdim. 

12 ay olarak askere gidip 17 ay olarak askerlik yapanlardan olarak, bu görev oldukça uzun oldu. Ama askerlik dönemindeki çalışmalar benim için çok yararlı oldu. İlk TCP/IP network, UTP kablolama, fiber sonlandırma, terminal sunucular, switchler, routerlar karargah iletişim ağının kurulması benim için önemli kazanımlardı. Aslında benim görevim Cobol ile program yazmaktı ama aklım orada yeni kurulmakta olan yapıdaydı. Ve bu deneyim benim bir network firması olan VİS’e girmeme sebep oldu 1994 yılında. Ankara bölge müdürlüğünde hem teknik hem satış ağırlıklı olarak çok mutlu bir şekilde çalıştım. Altı sene sonra oradaki misyonumu tamamladığımı düşünerek VİS’den ayrıldım, ve yine aynı şirkette çalışan arkadaşlarımla 2000 yılının aralık ayında Biznet’i kurduk. 

Biznet tamamen bilgi güvenliği odaklı çalışmayı hedeflediğimiz bir firma olarak kuruldu ve bu sene de 10. yılımızı kutlayacağız.

NGB: Güvenlik işine nasıl bulaştınız?

Onur ARIKAN: Aslında network işiyle başladım bilişim sektörüne. İlk mainframe kablolaması ve  IP ağlar burada karşıma çıktı. Router ve modem satışı, Internet’e bağlanmak isteyenlere demo yapmak en önemli konulardandı. 

1995 yıllarında Ankara’da önemli bir müşterimize ilk güvenlik duvarını satınca artık işin ucu güvenliğe de dokundu. Böylece diğer güvenlik ürünlerinin satış, kurulum ve teknik desteği ile de tanıştım. Kendi şirketimiz olan Biznet ise artık mümkün olduğunca network işi yapmamak, tamamen güvenliğe odaklanmak niyetiyle oluşurduğumuz bir yapıydı.

NGB: Turkiye’de bilgi guvenligi konusunu degerlendirebilir misiniz?

Onur ARIKAN:  Hergeçen  gün daha iyiye gittiğimizi düşünüyorum. Ama gerçekten çok yavaş ilerliyor. Bu biraz kültür meselesi. Şirketler, önceden önlem almak yerine başına bir iş gelmesiyle bilgi güvenliğine önem veriyor. Hastalık ve doktor analojisi gibi. Proaktif yaklaşım, tanımlı yazılı kurallar yerine, günlük ve yangın söndürmeye daha yakın yaklaşımlar sıklıkla karşılaştığımız. Ama özellikle bazı sektörlerdeki regulasyonlar, standartlara uyum gereksinimi dış denetimler ve rekabetçi yaklaşım bilgi güvenliğinin önemini daha fazla belirgin hale getirdi.

Yine aynı şekilde yapılan izlemeler kurumların ve çalışanların yanlış hareketlerden haberdar olmasına ve önlem almasına yardımcı olmaya başladı.

Diğer ülkelere göre daha geriden gelmemizin farklı sebepleri var. Ama en önemli konu yazılı kuralları, politikaları tanımlamamak ve bunlara uymak konusundaki isteksiz davranmak. Bu da şirket yöneticilerinin önceliklerinin çok farklı olmasından kaynaklanıyor. Çoğu şirkette konunun öncelik kazanmasını için şirketin başına bir güvenlik olayı gelmesi gerekiyor malesef. 

NGB: Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

Onur ARIKAN:  Biz de yazılım geliştiren firma olduğumuz için bu konuya dikkatli yaklaşmak gerekiyor. Benim görüşüm daha önceden geliştirilmiş ve zaten onlarca ürünün olduğu pazarlarda benzer ürünler geliştirme çabası çok olumlu sonuçlar doğurmuyor. Bunun yerine daha önce geliştirilmemiş ya da birçok özelliği açısından mevcut ürünlerden daha farklı özellikleri olan ürünler geliştirmek için her türlü desteğin verilmesi gerektiğine inanıyorum. Ama örneğin ben güvenlik duvarı yazılımı yazacağım ya da ben saldırı tespit sistemi yazılımı geliştireceğim diyenlere saygı duymakla birlikte bunun  ülke için olumlu bir sonucu olacağına pek inanmıyorum. 

Ürünün milli olması gibi bazı yaklaşımların sadece pazarlama amacıyla kullanıldığına tanık oldum bu güne kadar. Özetle yerli güvenlik ürünlerinin özgün olması, gerçekten ülke ve kurumlar için bir fayda yaratması, pazardaki yerli/yabancı diğer ürünlerle karşılaştırıldığında önemli avantajları olması gerekli. Bu tür ürünlerin desteklenmesi için özellikle teknoloji geliştirme bölgelerinde çeşitli destekler mevcut. Bu teşviklerin sürekli olması, özendirici yarışmalar ve ürünlerin kurumlara satılması sürece olumlu katkı yapacaktır. 

NGB: Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Onur ARIKAN: Eğitim şart. Bu konuda çalışan sayısının artması için ücretli ve ücretsiz eğitimlerin artması gerekiyor. Yeni uzmanların sektöre kazandırılması için bu tür eğitimler yararlı olacaktır. Bunun dışında konuyu sürekli gündemde tutacak yayın, aktivite, portal ve raporların da kullanılması gerekli. 

NGB: Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

Onur ARIKAN: Özellikle birçok kurumla koordinasyon ve olaylardan öğrenme için gerekli olduğunu düşünüyorum. Güvenlik olaylarının incelemesinin sonunda oluşan raporların paylaşılması farkındalık ve öğrenme sürecini hızlandıracaktır. Örneğin bugün hemen herkes Amterdam havaalanına inerken düşen Türk uçağında ne tür sorunlar olduğunu biliyor. Bu paylaşılmasaydı bunlardan ders çıkarmak da mümkün olmayacaktı. Bilgi Güvenliğinde de bu paylaşım yararlı olacaktır.

NGB: Bu ise yeni baslayanlara neler onerirsiniz?

Onur ARIKAN:  Günümüzdeki öğrenme olanakları çok fazla. Üretici eğitimleri, güvenlik portalleri, dokümanlar, araçlar, güvenlik listeleri inanılmaz kaynaklar. Ben ilk başlarda öğrenmek için kütüphaneleri ve firmaların paralı satılan raporlarını bulup okumaya çalışırdım. Mesela DataPro raporları o zamanlarda çok değerliydi. Şu anda kişinin kendisini geliştirmesi için Internet bağlantısı, bir iki makinadan oluşacak bir labarotuvar çok yararlı olacaktır. Ama yine de benim temel düşüncem “İş İşte Öğrenilir.”

Bu yüzden bilgi güvenliği konusuna meraklı arkadaşların vakit geçirmeden  bu konuda uzmanlaşmış bir firmada yarı zamanlı ya da tam zamanlı olarak iş hayatlarına başlamasını öneririm.

NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?

Onur ARIKAN: Ben mobil cihazlar için güvenliğin giderek daha fazla önem kazanacağını düşünüyorum. Bunun yanında saldırıların çeşitliliği ile  farklı saldırı engelleme sistemleri, izleme sistemleri de gündeme gelecek. IP dünyasının konutlardaki cihazlara kadar uzamasıyla güvenliğin evlere kadar genişlemesi kaçınılmaz olacak. Kişisel olarak ben yine Apple’ın ilginç çözümlerini konuşacağımızı tahmin ediyorum.

NGB: Güvenlik sertifikaları konusunda ne düşünüyorsunuz?

Onur ARIKAN: Ticarileşmemiş ve gerçekten kişinin yetkinliğini gösteren sertifikaların faydalı olduğuna inanıyorum. Ama bence bu sertifikaların altını başarılı referanslar ile doldurmak gerekiyor.  Sertifikası olmayanlar bu işi bilmiyor anlamına gelmiyor tabi ki. Ama müşterilere konu hakkındaki bilgi ve deneyimi göstermek için önemli bir araç sertifikalar.  

Ben özellikle güvenlik işi yapanların CISSP sertifikasına sahip olmasını önemserim. Bunu takiben güvenlik alanında çalışan firmaların üst düzey sertifikalarını sahip olmak da konuya ne kadar zaman ve emek harcadığınızı gösterecektir. Bunların yanında sırasıyla CISM, CISA, SANS, OSSTMM, PCI DSS QSA sertifikalarını da öneririm.

Unutulmaması gereken bir nokta da bu sertifikalar sadece teknik yetkinliğinizi değil etik değerlere bağlılığınızı da gösterecektir. 

NGB: Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Onur ARIKAN: Benim karşılaştığım en belirgin sorun ürünlere olan aşırı güven. Güvenliği bir süreç olarak görmeyip ürün alarak güvenli hale geleceğini düşünen kurumlar hem sahte bir güvenlik hissine kapılıyor hem de ciddi miktarda parayı heba ediyor. 

NGB: Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitapların okunmasını tavsiye edersiniz?

Onur ARIKAN: En son okuduğum kitap Linux Security Cookbook’tu. Okuduğum ve konuyla ilgilenen herkese tavsiye edeceğim kitaplar ise Hacking Exposed serisi, Art of Deception, CISSP Prep Guide. Bunun dışında sayısız makale var Internet’te.

NGB: Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?

Onur ARIKAN: Sanırım öyle birisi yok şimdilik.

NGB: Güvenlik dünyasında en fazla kullandığınız yazılım hangisi?

Onur ARIKAN: Daha çok zafiyet tarayıcıları kullanıyorum. Nessus vb.

NGB: Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

Onur ARIKAN:

www.securityfocus.com,

www.secunia.com,

http://www.nist.org,

http://netsecurity.about.com,

http://www.bilgiguvenligi.gov.tr/ 

NGB: Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

Onur ARIKAN: Evet seçerdim.

NGB: Zaman ayırarak röportajımıza katıldığınız için  teşekkür ederiz.

This entry was posted in Röportajlar and tagged . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

one × five =