Kısaca kendinizden bahsedebilir misiniz?

Ankara Atatürk Anadolu Lisesi ardından deniz aşkıyla İstanbul yolculuğu ve Galatasaray Üniversitesi’nde Bilgisayar Mühendisliği… 10 yıldır özel sektörde güvenlik ile ilgili çeşitli pozisyonlarda görev yaptım. Son 3 yıldır ufaklıklar (2 canavar) nedeniyle pek zaman ayıramıyor olsam da fotoğrafla ve ruhumu beslemek için de müzikle ilgileniyorum diyebilirim.

Güvenlik işine nasıl bulaştınız?

Üniversitede okurken 6 ay yarı zamanlı çalıştığım ISP’de kimin ne yaptığını izleme fırsatı yakaladım. Ve mezun olunca da nasıl bir kariyer istediğim orada netleşti diyebilirim. Bugün de geriye dönüp baktığımda bu alanı seçtiğim için ne kadar doğru bir karar verdiğimi düşünüyorum.
Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?

Türkiye’de büyük, kurumsal firmalarda, özellikle de Finans ve Telekom sektöründeyseniz, güvenlik konusunun ne kadar önemli olduğunu ve şirket içinde gereken değerin verildiğini hissedebiliyorsunuz. Ancak kurumsallaşamamış firmalarda veya kurumsal da olsa sektör farklılaştıkça, gerekli önemin verilmediğini, çevremdeki arkadaşlardan ya da çeşitli ortamlarda duyuyor ve de görebiliyorum. Ben kendimi bu konuda biraz şanslı sayıyorum diyebilirim. Keza hep bu iki sektörde çalıştım. J

Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

Türkiye’de yazılım denilince akla gelen büyük firmaların kaçı güvenlik ile ilgili yazılım üretiyordur, buna bakmak lazım. Çok net bir şey söylemem zor, ama biraz hissiyat ile cevap verecek olursam bu konuda zayıf olduğumuzu söyleyebilirim.

Güvenlik, çok niş bir pazar; yazılımlar ve son kullanıcı ürünlerini bir kenara bırakacak olursak, çok geniş kitlelere ulaşmıyor. Türkiye’de yerli yazılımın gelişmesi için elbette bu pazarın önemli bir oyuncusu olabilecek güçte bir firma olması ve kurumların da bu firmanın ürünlerine yatırım yapması gerekiyor. Ancak güvenlik yazılımlarının doğasına baktığımızda, birçok ürünün altyapıda kritik yerlere koyduğumuz, aynı zamanda, sorun çıkması halinde, altyapıyı ciddi riske sokabilecek ürünler olduğunu görüyoruz. Örneğinfirewall’unuzda veya IPS’inizde bir sıkıntı yaşadığınızı düşünün. Durum bu olunca da karşıda kurumsal bir firma göremezseniz bu yatırımı yaparken şapkanızı önünüze koyup düşünmeniz gerekiyor. Anında destek alabilecek miyim? Ne kadar yaygın bir kullanımı var? İhtiyacımı ne seviyede karşılayabilecek? Tecrübesi ne kadar ve bu tecrübesini ürüne yansıtabiliyor mu? Bu firma bu ürünü daha ne kadar desteklemeyi düşünüyor? Bu alanda devam edebilecek mi? Bunlar birer risk, bir yatırım yaparken de düşündüğünüz riskler elbette.

Yukarıda yazdığım günümüz gerçeğinin yanı sıra, yerli yazılımlar tercih edilecek bir noktaya mutlaka gelmeli elbette. Sadece ulusal güvenlik bile, siber savaşın bu kadar gündemde olduğu bir zamanda yeter de artar bu cevabı bulmak için. Umarım tercih edilebilecek ürünlerle de karşılaşacağız. Piyasada çok az sayıda da olsa bir iki örnek görüyorum. Firmamızda kullandığımız yerli yazılımı güvenlik ürünleri de var. Ama bazı alanlarda maalesef yukarıdaki sebeplerden dolayı risk alamıyor ve alternatifleri  değerlendiremiyor kimse.

Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Bireysel bilinç çok önemli. Etrafımda güvenlik ile uğraştığımı bilen ve bu konuda bilgi isteyen veya sorun yaşayan kişilerden gördüğüm şu: Maalesef bilincimizi artırmak için ciddi bir yol katetmemiz gerekiyor. Bilinci yukarı taşıma konusunda hepimize iş düşüyor; STK’lar, Devlet kurumları ve özel sektörün içinde yer alacağı bir oluşumla örneğin. Bu konuda da son 1 yıldır elle tutulur gelişmeler olduğunu gözlemliyorum. Umarım daha iyi noktalara geleceğiz.

Bu işe yeni başlayanlara neler önerirsiniz?
Meraklı olmak, heyecan duymak, kendini geliştirmeye istekli olmak… Bu saydıklarım olmazsa olmazları bu işin. Bunlar varsa sonrasına kendini istediğin alanda geliştirmek kalıyor. Yani hangi konuda uzman olmak istiyorsa o konuda bir kariyer planı çizmek; ağ güvenliği mi, uygulama güvenliği mi, güvenlik izleme mi, bilgi güvenliği mi, artık hangisini istiyorsa. J

Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?

İki açıdan bakıyorum ben bu duruma:

1. Son kullanıcı gözünden, bilincin daha yüksek olduğu bir toplum olacaktır elbette ama tehlikelerin de benzer şekilde daha etkin olacağı bir dünya demek bu. Teknoloji çok değişiyor. Kullanıcı tecrübeleri her geçen gün faklılaşıyor. Buna göre farklılaşan bir bakış ile ilerleyeceğiz diye düşünüyorum. Yeni nesil cep telefonları ve üzerindeki uygulamalar ve sosyal ağlar bu konuda çok güzel örnekler. Bu uygulamalara çok özelimiz bile olsa, birçok bilgiyi “güvenerek” teslim ediyoruz. Daha paylaşımcı, daha az sorgulayan bir kullanıcı profili var bugün. Buna bağlı olarak, yakın zamanda çok ciddi tehlikeler ile karşılaşacağız ve söz konusu tehlikeler son kullanıcıların farkındalığını yükseltecek diye bekliyorum. Keza bir ara sosyal ağ sitelerinden birinde “Privacy” ayarlarının yapılmasının ciddi bir başlık olduğunu hatırlıyorum.

1. Bilgi güvenliği, devlet ve kurumlar açısından çok daha dikkat edilen ve önemsenen bir konuma gelecek. Bunun yapmamanın acısını yaşayan kurumların örnekleri ile kurumsal bilinç daha da yükselecek ve  birçok konuda uyumluluk aranacak diye düşünüyorum

Güvenlik sertifikaları konusuna ne düşünüyorsunuz?

Belirli bir seviyede bilginizin olduğunu göstermek için güzel bir kanıt. Ancak maalesef birçok sertifika işin özümsenmesi üzerine değil, ezberlenmesi üzerine bir yaklaşıma yönlendiriyor. Bu nedenle seçici olmak ile birlikte işe alımda bir artı olarak değerlendirilebilir. Sertifika yeterli ve doğru tecrübe ile birleşince esas anlamını kazanıyor.

Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitapların okunmasını tavsiye edersiniz?

Bruce Schneier’ın Secrets & Lies’ı bir süredir masamın üzerinde J. Hatta etrafımdan kitabın ismi nedeniyle çok takılan oluyor J. Konunun güncel yazılar ve araştırmalar üzerinden takip edilmesinin daha faydalı olduğuna inanan birisiyim. Bizim alan her gün değişiyor. Kendini güncel tutmak büyük önem taşıyor. Örneğin kariyerime başladığımda firewall vardı, IPS diye bir teknoloji yoktu, ‘cloud computing’ denildiğinde uçakta bilgisayarların açılması düşünülürdü herhalde J…   Devamlı güncel kalabilmek için de, çok faydalı ve internet gibi bir yaygın iletişim ağı, bir bilgi denizi var önümüzde.

Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?

Hiçbir zaman hiçbir konuda kahramanım olamadı maalesef. J

Güvenlik dünyasında en fazla kullandığınız yazılım hangisi?

Şifrelerimi sakladığım password uygulamam J

Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

www.csoonline.com , Cryptogram, www.securityforum.org (ücretli üyelik gerekiyor)

Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz

Aynı koşullar olsaydı düşünmeden. Ancak farklı bir geçmişle kimse bir şey diyemez bu soruya J

Bir güvenlikçinin en önemli özelliği size göre nedir?

Meraklı olmak, heyecan duymak, kendini geliştirmeye istekli olmak.

Bilgilerinizi ve tecrübelerinizi internet ortamında paylaşıyor musunuz? Neden?

Hayır. Açıkçası çok zamanım olmuyor. Bir de mesleki deformasyon bizde çok oluyor. Burada sorulara cevap verirken bile acaba çok mu bilgi veriyorum diye düşünüyorum ister istemez J

The post Güvenlik Röportajları #37 Cenk TAŞDAN first appeared on Complexity is the enemy of Security.

Kısaca kendinizden bahsedebilir misiniz?

BSc Electronic Enginnering, Bradford University, England. Kucuklukten beri hep elektronik devrelerle oynardim, yapardim  , bozardım.

Güvenlik işine nasıl bulaştınız?

Kucuklukten beri, nedense bilmiyorum, guvenlige yoneligim vardi. Kendi odama elektronik devre baglayip, kimin gelip/gittigini controledebiliyordum.

Comodo’nun çıkış hikayesinden kısaca bahsedebilir misiniz?

Neden “industrial revolution” oldu? Bunun “trigger” i neydi? Neden insanoglu at ustunde binlerce yil kostuda, 100 yil gibi kisa bir zamanda, atsirtindan Jet ucaga gecti? Bunlara olanak veren, Matbaadir. Matbaa herkesin information paylasma gucunu olusturdu. Hem paylasma andkorulama gucu. Internet aynen matbaa gibi ama cok daha guclu bir alet insanoglu icin. Ve bu alet muhakkak korunmali. Insanoglu icin cokonemli bir icat ve gelecegimizi belirleyip, gelistiricek bir icat. Korunmasi sart. Bunu dusunerek Comodo’yu kurdum

Türkiye’de ve dünyada  bilgi güvenliği konusunu değerlendirebilir misiniz?

Maalesef su an Virus problemi her gun daha buyuyor. Bunun sebepi su anki Anti Virus sirketleri yeterince guvenli bir urun veremediklerindendolayidir. Su anki Anti Virus urunleri “temizleyici” dna si ile piyasaya girmistir. Ama maalesef simdi o temizleyici aleti, koruma olarak satiyorlar. Onun icin virus problemi hala cok buyuk. Bunun icin Comodo “koruma” agirlikli bir urun yaratti ve “koruma” yi ve “temizlemeyi” iki degisikalandan gelistirdi. Su anda eger bakarsaniz, biz yavas yavas herseyimizi internette kullaniyoruz…1990larda internet bankaciligi yapmiyorduk…simdi yapiyoruz….fotograflarimizi koyuyoruz…cok bagli kaliyoruz internette. Bu bagliligi korumak lazim. Degerli olan hersey korunmalidir!

Türkiye’de yerli uluslararası güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

Maalesef, Turkiye vapuru kacirdi gibi Yazilim alaninda! Devletin muhakkak saglikli bir ortam yaratmasi gerekir. Bizde tohum cok, ama maaleseftopragimiz yok. Ancak devlet boyle bir toprak imkani yaratabilir. Ve bu parayla cozulecek bir problem degildir. Bu bir “Strategy” isidir. Devletin buy one bir strategysi olmasi lazim ve olanagi yaratmasi lazim. Su anda butun bu kaynaklar bosa harcaniyo! Evet, ver bol bok kaynaklarimizama maalesef strategy eksikliginden dolayi, bu kaynaklar bosa gidiyor.

Comodo gibi markalaşabilmek için startup oluşumlara neler önerirsiniz?

Iyi sanslar! J saka bi yana, her zaman icin “Blue Ocean”( http://en.wikipedia.org/wiki/Blue_Ocean_Strategy ) yaratmak lazim. Her zaman icinkullanici/musterinizi dusunmeniz lazim..ver her zaman icin cok muthis Focus  ve “execution” lazim.

Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Guvenlik konusu cok seksi bir konu diildir. Iphone icin konusurlar, facebook icin konusurlar…ama guvenlik….tabiki guvenliksizligin cezasida cokbuyuktur! Her ev yaptigimizda, kapi koymayi ogrendik. Sosyal Bilinc yavas yavas guvenligin onemini anlayacak ve benimseyecek. Bagliligimizarttigi surece Internette, ve bu bagliligigin degeri arttigi surece, bu degeri koruma gudumuz artacak. Bazilarimiz bunu tecrubeden ogrenecek,ve bazilarimiz baskalarinin tecrubesinden. Kendi tecrubenle ogrenmemeye calis 

Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

Muhakkak!

Turkiye Internet ve Computer altyapisina bel bagliyormu? Butun kurumlarimiz, borsamiz, telephonlarimiz, simdi hastanelerimiz, internette vecomputerlere baglimi?

Cevap evettir!

O zaman Turkiye bu degerli bagliligi nasil koruyocak saldiridan? Cyber Warfare su an baslamistir! Stuxnet virusu buna cok guzel bir ornektir.

Bu işe yeni başlayanlara neler önerirsiniz?

Guvenlik control isidir. Computer un tam controlunu nasil alabilirsin eline? Bunlari Assembly Programming yaparak ve CPU ‘lari anlayarakbaslayabilirsin.

Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?

Su an internette bol bol “information” var. Hangisi iyi hangisi kotu cok zor bilmek. Gelecek yillarda biz bu information i nasil ‘validate’ edebiliriz diye cozumler arama icinde olucaz bence.

Güvenlik sertifikaları konusuna ne düşünüyorsunuz?

Bunlar kariyer icin iyidir. Hangi kariyere girmene bagli. Ama her alanda demek diildirki kendisi cok iyidir!

Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Su anki buyuk problem: “organized crime” internette girdi. Virusler artik para icin yapiliyor. Bunlari yapanlari bulup, ulkelerinde cezalandirmakzor bi olay. Daha once bir iki cocuk virusu zevk icin yaziyordu…simdi virusun arkasinda koskoca “organized crime” var.

Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitalpların okunmasını tavsiye edersiniz?

Cok zaman oldu okumayali. Su anda bizim R&D ekibi ile yaptigimiz gelismeler, umarim ileride yeni kitablara icerik olur.

Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?

Oyle bir kimse yok benim icin.

Güvenlik dünyasında en fazla kullandığınız yazılım hangi?

Assembly, C, C++

Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

http://forums.comodo.com  tek takip ettigim budur

Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz

2 ye bakin lutfen.

Bir güvenlikçinin en önemli özelliği size göre nedir?

Her kotu “possibility”/aci  gormek zorundadir, ve cozum bulmalidir buna.

Sorularımızı yanıtladığınız için teşekkür ederiz.

The post Güvenlik Röportajları #36 Melih ABDULHAYOĞLU first appeared on Complexity is the enemy of Security.

NGB:Kısaca kendinizden bahsedebilir misiniz?

Bilgi güvenliği alanında çalışıyorum. Penetration test, vulnerability research gibi konularla ilgileniyorum. Bilgi güvenliği üzerine 10 yılı aşkın süredir kendi firmamda hizmet veriyorum. Sayısız banka, holdingler, devlet kuruluşlarına hizmet verdim. Ayrıca kendi yarattığı e-learning platformu üzerinde hizmet veren bir firmada ortaklığım var. Bu kuruluşun da software development sürecini, yazılım teknolojilerini belirleyip, cluster sunucu altyapısını yönetiyorum.

Bir dönem Korhan Kaya ile beraber (2000 civarı) Türkiye’nin dünya piyasalarında boy gösterebilecek standartta ilk güvenlik yazılımı “Mindwall Intrusion Detection System”yazılımını yarattık. Manhattan Chase Bank, Citibank gibi kuruluşlarda test edildi. Risk sermayesi kuruluşu ile iletişimimizi sağlayan aracılardan kaynaklı sorunlar yüzünden bu çok sevdiğimiz ve emek verdiğimiz proje son aşamalarında iptal edildi.

Bugüne kadar public yayınladığım 50’den fazla güvenlik duyurusu bulunuyor. Bir ara dünya güvenlik listelerinde bunları yayınlıyordum. Sonrasında bulduğum güvenlik açıklarının haklarını iDefense isimli bir bilgi güvenliği kuruluşu satın alarak yayınlamayı tercih etti. Yaklaşık 1 yıllık bir süreçten sonra verdiğim penetration test hizmeti için artı olacağını düşündüğümden bunları kendime saklayıp, sadece hizmet verdiğim kuruluşlar için değerlendirmeyi uygun gördüm.

Vakit buldukça üniversitelerde hackerlık, bilgi güvenliği ve tüm bunların yasal yansımaları ile yaşamımı anlattığım konferanslar veriyorum. Hacker’lık ve güncel bilgi güvenliği ile alakalı konularda ulusal gazete, televizyonlar ile mülakatlar gerçekleştiriyorum.

Geçmişte gerçekleştirdiğim hack olayları ve bunların etik, etik olmayan yanları çeşitli üniversite, liselerde ders, ödev olarak işleniyor.

NGB:Güvenlik işine nasıl bulaştınız?

Türkiye’nin ceza alan ilk hackerıyım. Bu sebepten henüz Türkiye’de bilgi güvenliği gibi bir sektör oluşmamışken bu işlerin içine düştüm. Çeşitli servis sağlayıcılar, internet firmalarında çalıştıktan sonra sistemler ve bilgi güvenliği üzerine kendimi yetiştirdim. Başımı biraz belaya soktuktan sonra bir hacker olarak etik ve kurumsal anlamda hizmet verilebileceğini keşfettim.

Tamamen kendi merakım ve çabamla gelişen bu süreç ilerleyerek bugüne kadar geldi.

NGB:Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?

Türkiye’de daha çok ürün odaklı bir eğilim var. İnsanlar aldıkları bir firewall kutusunu networklerine koyup tamamen güvende olacaklarını düşünüyorlar.

Veya güvendikleri, bu işten az biraz anlayan birilerinin yönlendirmesiyle yine ürün odaklı ani geçişler yapabiliyorlar. Bu tarz konularda kimse kuruluşun network kimyasına bakmıyor. Ne tarz servisler çalışıyor, sunucular hangi platformda hizmet veriyor göz önünde bulunduran pek yok.

Bu ufağından, büyük boyutlu bilgi güvenliği firmalarına kadar aynı. Ellerinde hep aynı mavi dosyayla gelip karbon kopya sistemler kuran bir sürü firma mevcut.

Hizmet sektörünün işi ise daha da zor. Örneğin zayıflık testinin önemini anlamayan çok fazla kuruluş var. Maliyetlere yük gibi bakan. Neyse ki bu konularda şanslıyım. Ben müşteri aramıyorum, onlar beni buluyorlar. Dolayısıyla hoşlanmadığım kişi, firma ile çalışmama lüksüne sahip oluyorum. Dileyen herkes benden hizmet alamıyor.

NGB:Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

Yerli güvenlik yazılımı olarak bildiğim “özgün” bir ürün yok. Geçtiğimiz senelerde Cebit fuarında standları dolaşıp yerli güvenlik yazılımı üreticisi firmalarla biraz sohbet ettim. Hatta güvenlik açıklarını araştırmak için demo alabilirmiyim diye yokladım.

Farkettim ki oldukça ürkekler. Linux, BSD kerneli ile çalışan, iptables, pf vs. kullanan yazılımları kendi ürünleri gibi sahiplenmelerine rağmen bu ürünlere yeterince güvenemiyorlar. Çoğunda GPL lisans ihlalı sorunu mevcut.

Hala bizim yerli yazılım üreticilerinde “sadece arabirim” ürettiklerine dair bir samimiyet, dürüstlük yok. Bunu kabul ettikleri gün dürüst satıcı olacaklar. Bunu yapmayana kadar bu tarz açık kaynak kodlu yapıya sahip, üzerine arabirim oturtularak satılan yazılımlara “hileli mal” ve “haksız kazanç” gözüyle bakıyorum.

NGB:Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Bu tarz karar mekanizmalarını elinde bulunduran siyasi statükonun biz gençlerin önerilerini dikkate alacağını sanmıyorum. Hele ki nerd veya bilgi güvenliği çalışanı, meraklısı olan kişilerin okuduğu bir platformdan. O yüzden bu konuya dair fikir belirtmekte pek hevesli değilim. Doğmamış çocuğa yıllardır don biçiyoruz.

NGB:Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

Tübitak (TR-CERT) bilgi, birikim ve yeterlilik konusunda tartışılmaz konumda ve özellikle kriptoloji konusunda çok başarılı işler yürütüyor. Fakat operasyonel anlamda bilgi güvenliğine katkıda bulunabilecek gerçek hackerlar yetiştirdiği söylenemez. Devlet kuruluşları ve Tübitak bünyesindeki hacker denilen kişilerin, hocaların yaptığı şey hacker gibi davranmaya çalışmak. Bu mühendislerin yaptığı, gerçek hackerlar tarafından bulunmuş açıkları ve araçları kullanmak. Daha fazlası değil. Gerçek hacker sadece başkaları tarafından bulunmuş güvenlik açıklarını kullanmaz, kendisi de yeni güvenlik açıkları bularak sürekli kendini geliştirir. Örneğin Amerika’da siber güvenlik kuruluşları güvenlik açıkları yayınlarken bizim Tübitak’ın bulup dünya bilgi güvenliği piyasasına sunduğu tek bir güvenlik açığı yok.

Hacker bakış açısı öyle bir şey ki sıradan bir insanı alıp bunu içine koyamazsınız. Teknik bir takım yetenekler sonradan kazanılabilir, fakat hacker bakış açısını edinmek uzun yıllar geceli gündüzlü çalışmayı, tutkuyu gerektirir. Dolayısıyla mühendis anlayışı ile mesai saatleri içerisinde gerçekleştirilebilecek bir iş değil hackerlık. Sadece belki iyi bir akademisyen olabilirsiniz. TR-CERT’te akademisyenlerin kendi halinde hobi olarak yürüttükleri bir proje gibi kokuyor.

NGB:Bu işe yeni başlayanlara neler önerirsiniz?

Herkesten tavsiye almamalarını öneririm. Herhangi birinin herhangi bir konuda fikre sahip olduğu bir çağda yaşıyoruz. O yüzden en iyisi herşeyi kendilerinin araştırıp, öğrenmesi. Gördüğüm kadarıyla Netsec bülteni ve birkaç kişisel portal dışında derli toplu yerli bir kaynak yok. Hep olduğu gibi yabancı kaynaklara daha çok sadık kalmak gerekiyor.

Bol bol sorunlarla karşılaşmalarını diliyorum. Sorunları çözdükçe birşeyler öğrenilebiliyor.

NGB:Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?

Cloud computing iyice ilerleyecek. Artık online storage’lar, kişisel veri odaklı kullandığımız servisler için endişeleneceğiz.

Facebook, Twitter, Myspace benzeri sosyal ağ sitelerini hedef alan kurtçuk, virusler büyük artış gösterecek. Bunlardan korunmak ile ilgili yeni ürün skalası oluşacak.

Sivil insiyatif kullanan gerilla gruplar DDoS saldırılarını arttıracak. Artık her çeşit kurum protesto veya başka amaçlarla daha sık bu saldırılara maruz kalacak.

Virtualization güvenliği daha ciddi bir sorun olacak. Xen, Vmware gibi firmalar sanal sunucuların güvenliğiyle daha fazla uğraşmak zorunda kalacaklar.

Akıllı telefonlar çığrından çıkacak. Bugünkü wardriving benzeri mobil ödeme hizmetini kullanarak cebimizden 3-5 lira çalan mobil antenler moda olacak.

NGB:Güvenlik sertifikaları konusuna ne düşünüyorsunuz?

Ben güvenlik sertifikalarının geçerliliğine inanmıyorum. Belki sistem yöneticileri için ideal olabilir. Fakat hackerlık anlamında kurs, eğitim, sertifikasyon hizmetlerini “kavanozda hava satmak” olarak nitelendiriyorum. Herhangi bir sistematiğe oturtulamayacak bir işi sistematik biçimde öğretmeye çalışmak anlamsız.

NGB:Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

En ciddi, kritik olarak nitelendirebileceğim tek bir başlık yok. İşim çeşitliliği içerisinde barındıran bir iş. O yüzden sürekli benzer sorunlar ile uğraştığım söylenemez. Elbette bu da işimi zevkli kılıyor.

NGB:Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitalpların okunmasını tavsiye edersiniz?

Kevin Mitnick’in “Art of Deception” kitabını okumuştum en son. Başlarda iyi olsa da daha sonraları hikayeler kendini tekrar ediyor. Dolayısıyla bu da sürükleyiciliği öldürüyor.

Ben “bilgi güvenliği” ile alakalı kitap okumalarını önermiyorum. Makale, blog ve kişisel tecrübeler her zaman daha güncel ve etkin. İlk etapta cazip gelse de, bilgi güvenliği sürekli dinamik bir yapıya sahip olduğundan kitaplar güncelliğini çok çabuk yitiriyor.

NGB:Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?

Bugüne kadar öyle biri olmadı.

NGB:Güvenlik dünyasında en fazla kullandığınız yazılım hangi?

Netcat, hping, nmap, paros.

NGB:Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

Google it!

NGB:Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

Elbette seçerdim.

NGB:Bir güvenlikçinin en önemli özelliği size göre nedir?

Sürekli olasılıkları hesaplayabilmek, konuları atomlarına kadar detaylandırabilecekken yeri geldiğinde ayrıntılarda boğulmadan bütünü görebilmek, paranoyaklık derecesinde uyanık olmak, kimseye güvenmemek.

NGB:Bilgilerinizi ve tecrübelerinizi internet ortamında paylaşıyor musunuz? Neden?

Paylaşmıyorum. Kimse benimle paylaşmadığından dolayı böyle bir kültür ile yetişmedim. Hep bireysel hareket ettim. Bugüne kadar paylaştığım kişiler bunu istismar edip başlarını belaya soktuğundan dolayı da tercih etmiyorum.

NGB:Paylaştığınız şeylerin kötü amaçlı olarak kullanılması karşısında düşünceleriniz nelerdir?

Herkesin kendi insiyatifidir. Her gün bol sıfırlı bir sürü teklif, ima ile karşılaşıyorum. Eğer hırsız veya kötü niyetli biriyseniz bunu bilgisayar ile gerçekleştiriyor olmanız suçunuzu hafifletmez. Henüz bu anlayış oturmuş değil.

NGB:Sorularımızı yanıtladığınız için teşekkür ederiz.

The post Güvenlik Röportajları #35 Tamer ŞAHİN first appeared on Complexity is the enemy of Security.

Kısaca kendinizden bahsedebilir misiniz?

İstanbul doğumluyum, bilgisayar mühendisliği eğitimi ardından Kanada merkezli güvenlik firmasında çalıştım, 2008’de Türkiye’ye döndüm, 2009’dan beri Türkiye’de Bilgi Güvenliği AKADEMİSİ’ nde eğitim ve danışmanlık hizmetlerine bakıyorum ve uluslar arası güvenlik firmaları için Türkiye analiz raporları hazırlıyorum. [email protected] adresini kullanıyorum

Güvenlik işine nasıl bulaştınız?

Lise yıllarında elektronik cihazları bozma merakım vardı, bu merak üniversite öğrenimimde beni güvenlik sektörüne yöneltti, internette gezerken bulduğum bir zaafiyeti firmaya bildirmemle birlikte soluğu Kanada’da aldım.  4-5 yıl çalıştıktan sonra yakın arkadaşlarımın iknası sonucuTürkiye’e döndüm.

Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?

Türkiye’de sektörü yeni yeni öğreniyorum, Bilgi Güvenliği AKADEMİSİ’ne gelen taleplerden rahatlıkla söyleyebilirim ki henüz bilgi güvenliği kavramı Türkiye’de anlaşılmamış. Güvenlik denildiğinde ürün odaklı operasyonel işler geliyor akla. Son zamanlarda medyada cıkan haberlerle birlikte daha iyiye gideceğine inanıyorum ama bu süreci hızlandırmak yine Türkiye’nin elinde.

Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

Ticari açıdan baktığımda 2010~ yılında yerli üretim yapmanın ne uzun vadede ne de kısa vadede bir kârı yok. Stratejik açıdan baktığımda ise yerli güvenlik ürünlerinin üretiminin zorunlu olduğunu düşünüyorum. Buna sebep yerli malı haftalarında yerli ürün kullanmak değil, ürün geliştirirken çeşitli süreçleri yaşayan ve bu süreçlerden tecrübe edinen bir nesilin oluşması.

Türkiye’de güvenlik sektörünün güdük kalmasının en temel sebeplerinden biri de bu, sadece al-sat modeli ticari açıdan mantıklı olsa da güvenlik gibi stratejik önemi olan bir konuda değer ifade etmez. Türkiye’de tek işi güvenlik ürünü al-sat olan firmaların çoğunun elinden güvenlik ürününü alıp patates verseniz aynı işi aynı başarıyla yaparlar.

Yeri ürün için devlet teşviki, teşvikin ötesinde, zorunlu tutması gerekiyor. Üniversiteler bu işin ocağıdır, öğrencilere bu konuda motivasyonsağlayacak kişilerin derslere sokulması, proje yarışmalarında güvenlik konularının eklenmesi bu işleri hızlandıracak adımlardandır.

Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Türkçe doküman, belge, kitap yazımı, ileri seviye teknik ve teknikolmayan konularda konferansların düzenlenmesi. Aktif güvenlik derneklerinin kurulması ve siyasilerin bilgilendirilmesi öncelikli konulardandır.

Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

Tübitak’ ın idame etmeye çalıştığı görev kamu için yeterli olabilir ama dünya standartlarında bir CERT kuruluşuyla kıyaslanmayacak kadar dar kapsamlı kalıyor. Tübitak’ ın görev alanını tam olarak bilmemekle birlikte bu tip işlerin sadece devlete bırakılmaması gerektiğini düşünüyorum. 50’e yakın güvenlik firmasının biraraya gelip oluşturamadığı bir yapıyı tek başına Tübitak üstlenmeye çalışıyor.

Bu işe yeni başlayanlara neler önerirsiniz?
Internette zaman kaybetmeden bilgiyi gerçek kaynağından öğrenmeye yönelmelerini öneririm.  Bilgi Güvenliği AKADEMİSİ kaynaklar kısmındaki kitaplar bu iş için iyi başlangıç olabilir. http://www.bga.com.tr/?page_id=271&postTabs=3

Mailinglistleri takip etmeleri çok önemli, bloglar da yarım yamalak bilgi veren kaynaklar olarak takip edilmeli ama kesinlikle asıl bilgi kaynağının kitaplar ve bireysel uygulamalar olduğu unutulmamalı.

İşe yeni başlayan arkadaşlara işin güvenlik yönünden değil hacking(offensive) yönünden başlamalarını da öneririm. Tabi işin heyecanına kapılıp yoldan çıkmamaları şartıylaJ
Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?

Dünyayı bilmiyorum ama Türkiye farklı şeyleri konuşmayacak. Dünyanın konuştuğu şeyleri taklit edecek. Zoraki siber savaşlar çıkacak, çeşitli firmalar belirli konuları empoze ederek farklı teknoloji ve ürün satmaya çalışacak biz de güvenlik bu yöne doğru gidiyor diyeceğiz.

Güvenlik sertifikaları konusuna ne düşünüyorsunuz?

Sertifikayı alan hakkıyla alıp almadığını belli eder. Sertifikaya ihtiyaç duyan kendini sertifika ile göstermeye çalışanlar zaten heryerde belli eder kendini. Sektörün içinde 3-5 yıl geçiren herkes bilir ki sertifika demek zaman ayırmak demek, en zor sertifika için 2 ayını ayırıpta alamayacak kimse tanımıyorum ben. Zaman kimileri için sertifikaya harcanacak kadar değerlidir, kimileri için de araştırma yapacak kadar önemlidir. Tercih meselesi.

Çalıştığım şirketlerde iş gereği 4-5 sertifika aldım fakat bunların hiçbirini devam ettirmedim. Sertifikasyon kurumları iyi niyetle başladıkları buişte  bir müddet sonra ticari meta haline gelmiştir.

Yine de yeni nesile “kolay yoldan ucuz iş” bulmalarını sağlayacağını düşündüğüm için sertifika almalarını öneririm.

Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

İnsan ve bilgisizlik. Ürün bağımsız eğitimler ve bilgilendirme toplantılarıyla, zaman zaman da göz korkutarak bu soruna bir nebze çözüm bulunabilir.

Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitalpların okunmasını tavsiye edersiniz?

Malware Analyst’s Cookbook: Tools and Techniques for Fighting Malicious Code, herkese tavsiye ederim.

Kitap okumalarında http://www.bga.com.tr/?page_id=271&postTabs=3 adresini takip edebilirsiniz.

Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?

Yok.

Güvenlik dünyasında en fazla kullandığınız yazılım hangi?

Metasploit.

Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

blog.bga.com.tr ve http://www.bga.com.tr/?page_id=271&postTabs=0 adresindeki blogları öneririm.

Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

Evet, heyecanlı ve dinamik bir alan.
Bir güvenlikçinin en önemli özelliği size göre nedir?

Ön sezilerinin olması ve araştırmacı, disiplinli, ayrıntılara dikkat eden karekterinin olması.

Bilgilerinizi ve tecrübelerinizi internet ortamında paylaşıyor musunuz? Neden?

Vakit buldukca paylaşmayı deniyorum. Herhangi bir nedeni yok, canım istediğinde oturup birşeyler karalıyorum. Sağolsun Huzeyfe geri kalanını hallediyor.

Paylaştığınız şeylerin kötü amaçlı olarak kullanılması karşısında düşünceleriniz nelerdir?

Ateş ve su gibi. Her ikisi de iyi ve kötü amaçlı kullanılıyor, niyetim kötü olmadıktan sonra gerisine ilgilenmem.

Sorularımızı yanıtladığınız için teşekkür ederiz.

The post Güvenlik Röportajları #34 Çağdaş DOĞRU first appeared on Complexity is the enemy of Security.

Kısaca kendinizden bahsedebilir misiniz?

ODTÜ Fizik Bölümü mezunuyum. Uzun süredir Microsoft ürünleri, IT güvenlik ve yönetim konularında çalışmaktayım. Boş vakitlerimde yeni .NET teknolojileri üzerinde çalışmalar yapmaktan, Pink Floyd dinlemekten, kızım Öykü ile vakit geçirmekten hoşlanırım.

Güvenlik işine nasıl bulaştınız?

11 yıl Microsoft Türkiye’de çalışırken müşterilerden gelen sorular doğal olarak güvenlik alanına da uzmanlaşmama neden oldu diyebiliriz. Çoğu zaman müşterilerden “Bunu kim yaptı? Şu dosyayı kim sildi? Web sitemizi kim hackledi?” tarzında sorular gelirdi (hala geliyor), bu tür olayların nedenleri bazen yanlış yapılandırma, bazen üründe bulunan bir güvenlik açığı, bazen uygulama seviyesinde yapılan hatalar olarak karşımıza çıkar. Bunları bulmak ve düzeltmek için konu hakkında bilgi sahibi olmanız gerekir. Tabi Türkiye’de CNBC-e’de oynayan 24 dizisi (Jack Bauer ve arkadaşları) oldukça etkili oldu J

Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?

Bilgi güvenliğine sadece Türkiye’de değil birçok ülkede henüz yeterli seviyede önem verilmiyor. Internet öncesi zamanları hatırlayın; kolayca para sahibi olmak isteyen birçok kişi BlueBox, BlackBox, WarDialing gibi teknikleri kullanarak bazen bedava telefon konuşması yapmakta, bazen çok daha kritik bilgilere ve sistemlere yetkisiz olarak ulaşabiliyorlardı. Bugün – Internet’in hayatımızın bir parçası haline geldikten sonra – bu tür tekniklerin bir kısmı hala uygulanabilse de artık çok daha kompleks yöntemler kullanılmaktadır.

Şimdi düşünün; SQL Injection yöntemini kullanarak bir firmanın müşteri veritabanına ulaşabilir, kredi kartı bilgilerini ele geçirebilir, insanların TC Kimlik numaralarına ve birçok özel bilgilerine ulaşabilirsiniz. Gerçi son örnek için birşey yapmanıza gerek yok; KEY ödemeleri sonuçlarını açıklarken ilgili kurum bunu PDF olarak yayınlamıştı zamanında J

Öğrenci ve öğretmen bilgilerinin Internet’e sızması, Başbakanın kan tetkil sonuçlarının basında yayınlanması, bir gıda market zincirinde kredi kartı bilgilerinin çalınması, 2003’te 6.5 milyon VISA kredi kartı bilgisinin Internet’e düşmesi (yurtdışı), … Bütün bunlar ve çok daha fazlası yaşandı. Yani “gereken önem veriliyor mu?” sorusunun yanıtı ne yazık ki HAYIR!

Phising yöntemi ise çok daha fazla can yaktı (ve hala yakıyor). 2008 yılında 800’den fazla siber saldırı yapıldı. 2009’da 1500’den fazla siber saldırı gerçekleşti. Son zamanlarda BDDK’nın bastırmasıyla bankalar çok ciddi önlemler almaya başladı, bunlar güzel gelişmeler ancak daha yapılması gereken çok şey olduğu da ortada.

Hatta aynı zamanda avukatlığımızı da yapan Seyfettin UZUNÇAKMAK’ın ifade ettiğine göre, Türkiye’de phising ve SQL Injection yöntemleri kullanılarak yapılan saldırılar neticesinde açılmış çok sayıda savcılık dosyası mevcut. Av. Seyfettin UZUNÇAKMAK’a göre, ne yazık ki Türkiye’de özellikle Adli Bilişim alanındaki çalışmaların istenen seviyede olmaması, bu tip saldırıların faillerinin cezalandırılmasını engellemekte. Yani bu yönde uzman mahkemelerin olmaması bilişim suçlarıyla mücadele konusunda önemli bir engel teşkil emekte..

Peki güvenlik ile ilgili problemleri çözecek bir “gümüş kurşun” var mı? Malesef yok. “Bir zincir, en zayıf halkası kadar güçlüdür” sözü her halde en çok güvenlik konusuna uymaktadır. Peki güvenlik konusunda en zayıf halka nedir? İnsan faktörü. 1 Milyon TL karşılığında hangi sistem yöneticisi gerekli şifreleri vermez? Sağlık bakanlığı bünyesinde bulunan Organ Bağış veritabanının değeri nedir sizce? Bunları sadece soruyorum, yanıt beklemiyorum J

“Peki gerçekten hiç bir yol yok mu?” sorusuna yanıt olarak şunu söyleyebilirim; denetleme ve uygulama aynı birim/kişi tarafından yapıldığı sürece malesef yapılabilecek bir şey yok. Önlem ve denetleme mutlaka farklı birimler tarafından gerçekleştirilmeli. Biraz önce vermiş olduğum örneklerde sistem yöneticisi veya veritabanı yöneticisi önemli bir veriye ulaştığında denetleyiciye bir SMS atılsaydı ne olurdu? Kapıda dedektör varken biri hala hırsızlık yapar mı?

Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

Türkiye’de iki farklı yazılım üreticiliğine soyunmuş firma profili var; birincisi açık kaynak kodu ile geliştirilmiş ürünleri alıp Türkiye’de ürettik diye piyasaya çıkan firmalar. Bu firmalar, yüzlerce kişi tarafından geliştirilmiş ve hala geliştirilen ürünleri bir veya iki kişi ile idame etmeye çalışıp sonra da başarısız olmaya mahkumdur. Bununla ilgili bir atasözümüzü hatırlatmak istiyorum: “Başkasının ‘yazdığı şeyle’ gerdeğe girilmez” J

Kendi potansiyeli ile üretim yapan firmalar tabi ki bu problemle karşılaşmaz ancak onları bekleyen başka engeller vardır: “Kaç kişisiniz?”, “Bir yıl sonra hala piyasada olacak mısınız?” gibi soruları bir kenara bırakırsak, “Bu konuda pazarda açık var biz de girelim” diyen büyük firmalar. Tübitak orkestrasyon görevini yaparsa büyük bir adım atılabilir, tabi kendisi işin içine girmeden J

Üniversiteler ise başka bir kanayan yara; üniversitelerden yeni mezunlar malesef sektörde kullanılan teknolojiler hakkında hiç bir şey bilmiyorlar. Gerçi öğretim görevlileri konuyu bilmiyorsa bu doğal değil mi? Kendini geliştiren öğretim görevlileri / öğrenciler tabi ki bu ithamın dışında kalıyor.

Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Türkçe portaller tabi ki önemli ancak bu portaller de doğal olarak yaşamak için gerekli desteğin verilmesi şart. Kullanıcıların eğitimi çok önemli ancak nasıl yapılır açıkçası bir fikrim yok L Siyasilerin bilgilendirilmesi konuya yeterli önemin verilmesi açısından faydalı ancak bu kesinlikle “Bilişim Bakanlığı” demek değil.

Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

Çalışan bir www.bilgiguvenligi.gov.tr tabi ki işe yarar (14/11/2010 18:48 itibari ile çalışmıyor). Bu portalin de işe yarar bilgiye sahip olması için profesyonellerce ama tarafsızca yönetiliyor ve besleniyor olması gerekiyor. Hükümet bu konuya el atarsa ne olur? Başarısız olur; Bence bilişim ve siyaset kesinlikle aynı ortamda barınamaz. Bilişim bu karışım için çok fazla dinamik kalır.
Bu işe yeni başlayanlara neler önerirsiniz?

İngilizce en önemli konu. Bu konu malesef ilk olarak İngilizce olarak karşımıza çıkıyor. Türkçe’ye çevrilene kadar çoğu zaman artık eskimiş oluyor. Bu yüzden bu konuda ilerlemek isteyenlere önce İngilizce öğrenmelerini öneririm.

Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?

Fraud Detection muhtemelen en çok konuşulan konulardan birisi olacak. Muhtemelen auditing (denetleme) ve loglama hayatımızın bir parçası haline gelecek.

Güvenlik sertifikaları konusuna ne düşünüyorsunuz?

Konu hakkında formal bilgi açısından mutlaka önemli ancak çoğu zaman kariyer amaçlı olarak görüyorum. CISSP sertifikasyonu mutlaka işe yarar. Certified Ethical Hacker? Olsa da olur olmasa da.

Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Şu an en önemli açık uygulama seviyesinde karşımıza çıkıyor, SQL Injection. Tüm dünyada hala %60’tan fazla sitede SQL injection açığı olduğu tahmin edilmekte. Çözümü konu hakkında bilgi sahibi uygulama geliştiriciler. Veritabanı ile uğraşan tüm programcıların SQL injection konusunda bilgi sahibi olması şart. Tabi ki mevcut uygulamaların bu konuda test edilmesi de gerekiyor.

Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitalpların okunmasını tavsiye edersiniz?

Art of War – Sun Tzu. “Hacking Exposed” serisi oldukça ilginç bilgiler içeriyor, en azından saldırı vektörlerini daha net bir şekilde göz önüne seriyor.

Bilgi güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?

Tamer Şahin olmadığı kesin! Bu konuda tabi ki Kevin Mitnick önemli bir karakter. Ne yaptığını mutlaka okumak gerekir. Bu aynı zamanda Social Engineering (sosyal mühendislik?) konusunun ve tüm çalışanların eğitiminin önemini bir kez daha ortaya çıkartıyor.

Güvenlik dünyasında en fazla kullandığınız yazılım hangi?

Nessus, CoreImpact, WebInspect

Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

www.Sectools.org

www.spidynamics.com

www.vupen.com

www.securityfocus.com

http://icat.nist.gov

Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

Evet J
Bir güvenlikçinin en önemli özelliği size göre nedir?
En az bir hacker kadar konu hakkında bilgi sahibi olması çok önemli bir nokta. “Ben hacker olsaydım nasıl saldırırdım?” sorusunu her zaman aklında bulundurması şart. Tabi ki bunlara karşı önlem nasıl alınmalı konusunu da… Biraz paranoyaklık da gerekebilir J

Bilgilerinizi ve tecrübelerinizi internet ortamında paylaşıyor musunuz? Neden?

Tecrübelerden faydalanmak herkese vakit kazandırır, bu yüzden önemli bir konu olduğunda paylaşmaya çalışıyorum.

Sorularımızı yanıtladığınız için teşekkür ederiz.

The post Güvenlik Röportajları #33 Murat ERAYDIN first appeared on Complexity is the enemy of Security.

Kısaca kendinizden bahsedebilir misiniz?

1960 yılında doğdum, önce Boğaziçi Elektronik Teknisyenliği sonrasında Yıldız teknik Elektrik mühendisliğini bitirdim. 2 oğlum var, 1979 yılından beridir Bilişim teknolojileri sektöründeyim. Halen Kaspersky Türkiye Genel Müdürlüğü görevindeyim. Bilgisayar gazetesi dergisinde köşe yazılarım çıkıyor, 2. yarıda Bilgi Üniversitesi Bilişim Hukuku bölümünde master öğrencilerine ders vereceğim.

Güvenlik işine nasıl bulaştınız?

Güvenlik işine rüzgar sürekledi demek çok yanlış olmaz. Donanım satışları yapan bir kısmı kendi firmam olan birçok kuruluşta görev aldım. Düşük kar marjları beni arayışlara sürükledi. 1998 yılında Panda Antivirüs ile tanıştım. 2000 yılında ürünü o zamanki dağıtıcısına kazandırdıktan sonra bir anda güvenlik işine bulaşmı oldum. Arkasında  nod32’yi bir başka firmaya kazandırdım. Sonrasında birçok marka için danışmanlık ve satıcılığını yaparken nihayetinde 2005 yılında Kaspersky ile olan aşkımız başladı. O gündür tüm profesyonel hayatım Kaspersky çevresinde dolanmaya başladı.

Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?

Türk insanına özgü “bana bir şey olmaz” mantalitesinin internet güvenliğine de bulaşmaması zaten beklenemez. Yaklaşık 10 yıldır, hemen hemen Türkiye’nin her yerine bizzat giderek veya ekipleri göndererek, seminerlerde, basında kısaca her mecrada çaba sarf ederek bunu değiştirmeye çalıştım. Bugün özellikle Karadeniz bölgesi olmak üzere bu benim bireysel çabalarımla belli bir yere gelmiştir. Tabii ki bu çabaları gerçekleştirirken internette karşılaştıkları sorunlar, konuya önem veren bir miktar basın ve birçok sektörel arkadaşım da yardımcı oldu tabii ki. Fakat ne yazık ki geldiğimiz noktada, ulusal basın dahil, devlet, devletin kurumları bunu ciddiye alır durumda değiller. Tabii ki burada da önemli gelişmeler olmaya başladı. Güvenlik kurulu en büyük tehtidin Siber saldırılar olduğunu açıkladı ama aynı paralelde atılan adımlar halen çok zayıf.

Ben İnternet güvenliği bilincinin oluşması için üstten değil, bireylerin eğitilmesinden yanayım. Okullarda ve halka açık mecralarda yapılaması gereken bilgilendirme çalışmaları açısından çok gerideyiz.

Yurtdışında bu bilincin çok yüksek olduğunu sanmıyorum açıkçası. Fakat devlet ve paralelindeki basın, bu tehlikeye işaret ediyor ve kullanıcılar da gerekli tedbiri alıyor, durum kadar yalın ve basit.

Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

Bilgi güvenliği büyük ar-ge gruplarının oluşturulması gerekliliğini ortaya çıkarmaktadır. Güvenliğin sağlanması için hızlı olunmalıdır, istihbaratın da çok kısa sürede elde edilmesi. Bunlar ürünlerin arka planında unutulan ama asıl öneme haiz ve masrafı büyük kısmıdır. Bu çalışma, özetle büyük ve ciddi maddi yatırımlar ve yatırımlarda süreklilik gerektirir. Bu nedenlerle devlet desteği yani teşviki olmadan bu işte başarılı olunabileceğini sanmıyorum.

Devlet teşvikinin hemen arkasından bunu gerçekleştirecek kurum ve kişilerin mevcut olduğunu düşünüyorum. Üniversitelerde yaptığım tüm konuşmalar sonrasında tanıştığım muhteşem genç beyinler buna hazır. Bu konuda yatırım yapabilecek firmalar olduğunu da biliyorum. Geriye sadece bu adımı attıracak devlet kalıyor.

Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Devlet desteği kendisini burada da göstermeli öncelikle. Konu ilköğretimde ele alınarak, halka açık bilgilendirme çalışmaları ile süslenmeli. Devletin üst kurumlarında konu telekomünikasyondan ayrı bir güvenlik kurulu olarak yapılandırılması da hem çalışmaları hızlandıracak, hem de siyasilerin daha fazla dikkatini çekerek toplu bilinçlendirme sağlanacaktır.

Basının da önemli bir önemi var güvenlik konusunda. Halen basının da çok bilgisiz ve hatta bu konuda konuşması gereken basındaki kişilerin bile yanlış tespitlerle internet kullanıcılarını yanlış yönlendirdiğine şahit oluyoruz.
Bu işe yeni başlayanlara neler önerirsiniz?

Bilişim teknolojileri çok dinamik, güvenlik ise toplamdan daha da dinamik. Hergün ve hatta her dakika yeni bir gelişimle karşılaşmak olası. Bir kere bu gelişmeleri takip edecek donanıma sahip olmaları lazım. Tabii ki başta İngilizce. Bu zaten olmazsa olmazların başında geliyor.

Standart bilgisayar teknolojisi bilgisi üstüne ağ yapılarını da öğrendikten sonra güvenlik konusunda girebilir diyorum öncelikle. Sonrasında literatürü takip etmek, internette fazla vakit geçirmek bunu devamı. Konu ile ilgili bir firmada staj havasında bile olsa bir öğrenim sürecinden de geçmeli. Bu aşamalar tamamlandıktan sonra araştırmacı kişiliği ön plana çıkararak okumalı, konuşmalı ve çok çalışmalı.
Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?

Ben kredi kartı kullanımı, banka hesapları boşaltılması gibi tehditlerin kalmayacağını düşünüyorum. Saldırılar daha ziyade büyük kapsamlı, kurumlar ve ülkeler arası bilgi çalmaya yönelik olacağını düşünüyorum. Herşeyin internete bağlı olduğu gerçeğinden yola çıktığımızda da o aynı her şeyin internette her saldırıya açık olduğunu söylemek kolay. Nükleer santral, havaalanı, füze üssü, polis teşkilatı gizli bilgileri, askeri bilgiler gibi birçok konu konuşulacak önümüzdeki yıllarda.

Beklenen 3.Dünya savaşının silah yerine siber saldırılarla gerçekleşeceğinin ön işaretlerini Stuxnet ile aldık. Bir ülkenin başka ülke kaynaklarına zarar vermek amaçlı kod yazdırması ve bunu kullanmaya teşebbüsü sanırım bu Dünyadaki gelişmeleri önümüze koyuyor.

Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Stuxnet beni çok etkiledi. Muhtemelen İsrail güdümünde gerçekleşen ve İran nükleer santralini hedefleyen bu kötücül yazım belki hedefine ulaşamadı ama geçmişte yaşanan garip uçak kazaları, büyük elektrik kesintileri gibi birçok büyük olayın nedeninin de internet güvenliği ya da basit ifade ile virüs olmadığını bilemiyoruz. Bugünden itibaren karşımıza çıkabilecek her kaza, her büyük olay arkasında virüs saldırısı ihtimalini düşünmeden de geçemeyeceğiz.

Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitalpların okunmasını tavsiye edersiniz?

Ben bu konuda daha ziyade internet ortamından faydalanıyorum. Vaktimin izin verdiği ölçüde işim ile paralellik sağlaması amacıyla daha www.securelist.com www.threatpost.com sitelerindeki bilgilerden faydalanıyorum.

Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?

Eugene Kaspersky’nin 2-3 arkadaşıyla 1997 yılında kurduğu küçük işletme şimdi yıllık cirosu yarım milyar doların üstünde ve 2000 çalışanı olan bir Dünya devi. Kendisi şirketin CEO’su ama aynı zamanda hala bir güvenlik gurusu. Samimi ifadeyle ne paranın gücünden uzaklaştı ne güvenlik konusundan.

Güvenlik dünyasında en fazla kullandığınız yazılım hangi?

Görevim gereği hayatımın her alanını Kaspersky Güvenlik yazılımları işgal etmiş durumda. Diğer yandan Secpoint isimli yazılımla ilgiliyim bu aralar. Secpoint wep, wap ve wap2 şifrelerini çözüp, wireless bağlantıyı daha güvenli hale getiren bir ürün.

Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

http://threatpost.com/en_us

http://www.securelist.com/en/

Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

Kesinlikle
Bir güvenlikçinin en önemli özelliği size göre nedir?

Sosyal sorumluluğu yüksek olmalıdır. Konu yaptığı işle sınırlı değil, ailesi, ülkesi ve tüm insanlık boyutundadır.

Sorularımızı yanıtladığınız için teşekkür ederiz.

The post Güvenlik Röportajları #32 Murat GÖÇE first appeared on Complexity is the enemy of Security.

Kısaca kendinizden bahsedebilir misiniz?

Bilkent Üniversitesi Bilgisayar Mühendisliği Bölümünde lisans ve yüksek lisansımı tamamladım. Sabancı Üniversitesi Bilgisayar Mühendisliği Bölümünde doktoramı bitirdim. Bilgi sistemleri güvenliği alanında çalışıyorum. Halihazırda TÜBİTAK- BİLGEM Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü’nde Ulusal Bilgi Sistemleri Güvenliği Programı yöneticisi olarak görev yapmaktayım.

Güvenlik işine nasıl bulaştınız?

Bilgi sistemleri güvenliği ile ilgili iş hayatıma başlamadan önce ayrı bir merakım yoktu. Aslında başvurduğum ve kabul edildiğim iş pozisyonu sebebiyle bilgi sistem güvenliği ile tanıştım. Ama tabii ki olası diğer iş pozisyonlarına bilgi sistem güvenliği alanını tercih etmemin sebebi bu alanın gelecekte daha önemli bir alan olacağı ile ilgili beklentimdi. Sonuçta bu beklentinin gerçekleşmiş olduğunu söyleyebilirim.

Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?

Aslında hızla gelişmekte olan bir ülke olmamızın her alana olan etkisi bence bilgi güvenliği alanına da yansıyor. Bilişim sistemlerini en kısa zamanda hayata geçirmek ve faydalarından yararlanmak için önemli işler yapmaya çalışıyoruz. Ama bu hızlı sonuca gitme çabası sistemleri güvenliğini dikkate almadan oluşturmak ve devreye alma sonucunu doğuruyor. Güvenlik ilk planda dikkate alınması gereken bir gereksinim değilmiş gibi algılanıyor başımıza daha önceden çok önemli bir bilgi güvenliği olayı gelmediyse eğer. Aslında bilgi güvenliği bir bakıma sistem geliştirirken ya da yönetirken çok sık aralıklarla durup düşünülecek acaba bu sistemin güvenliği nasıl diye sorulacak bir mesele ama sanıyorum durup düşünmeye çok zaman ayıramıyoruz.

Bence bizim gibi hızlı gelişen bir ülkede, denetleme ve düzenleme yapan kurumların bilgi güvenliğinin sağlanması konusunda devreye girmesi çok etkin sonuçlar doğuracaktır. Denetleyici ve düzenleyici kurum, ilgilendiği alanın ya da sektörün sadece kısa vadesini değil orta ve uzun vadesini de düşünmek durumundadır. Bilgi güvenliğinin sağlanması sektörün sağlıklı gelişmesi için çok önemli bir parametredir. Bilgi güvenliğinin her kurum, kuruluş veya bireye ek bir maliyeti olacaktır ama bu maliyet olası bir çok tehdidi bertaraf edecektir. Bilgi güvenliği regülasyonları ile kurumların sistemleri geliştirirken ve yönetirken durup düşünmesi sağlanabilir. Bilgi güvenliği için gerekli ek maliyetler, aslında kurumlar tarafından bir regülasyona uyma unsuru olarak karşılanacaktır. Ama zaman geçtikçe kurum ve kuruluşlar bilgi güvenliğini özümsedikçe harcadıkları çabaların kaynağı sadece düzenlemeye uyma kaygısının ötesine geçecektir.

Ülkemizde BDDK ve BTK gibi düzenleme ve denetleme yapan bazı kurumlar bilgi güvenliğini de ele aldılar. Bence bu alanda başarılı da oldular. Ülkemizde, bankacılık ve telekomünikasyon alanlarında bilgi güvenliğinin daha etkin ve kurumsal olarak ele alındığını gözlemlemekteyiz. Bu durumun diğer sektörler için de geçerli olması gerekli.

Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

Yerli güvenlik yazılımı da dahil olmak üzere bir ülkenin her türlü yazılımı geliştirme kabiliyetinin olması gerekli. Bu da örnek projeleri hayata geçirmeye bağlı. Kritik bilgi sistemi altyapılarının mümkün olduğunca yerli güvenlik yazılımları ile korunması bir ülkenin güvenliği için çok önemlidir. Yerli üretilen güvenlik yazılımların tam olarak ne yaptığını uygun kontrol mekanizmaları ile anlama şansınız yabancı ürünlere göre çok fazladır. Ayrıca ulusal isteklere göre yazılımların değiştirilebilmesi yerli ürünlerin daha etkin kullanılmasını sağlar.

Bazı durumlarda, yerli güvenlik yazılımı kullanmak maliyet etkin de olabilir dolayısıyla bu durum ülke ekonomisine katkı sağlayabilir. Ama şu unutulmamalıdır ki maliyet etkinlik bu tür yazılımlar için ana amaç olmamalıdır. Çoğu durumda maliyet etkin de olmayacaktır. Çünkü pazara hakim yabancı menşeli güvenlik yazılımları zaten tüm dünyada satılabildikleri ve geniş pazar hiperlandı olduğu için çoğu zaman yerli geliştirilecek ürünlere göre daha ucuza satış yapabilme olanağına sahiptir. Özellikle yazılımların ilk geliştirme maliyetleri çok yüksek olacaktır. Bu durumda, ülkemizdeki kritik bilgi sistemlerini yöneten kurum ve kişiler, maliyet etkinliğe göre değil ülke güvenliğinin önemi doğrultusunda hareket etmeli ve yerli güvenlik yazılımlarını tercih etmelidir.

Devletin oluşturacağı bilimsel ve ar-ge politikaları aslında güvenlik yazılımı üretemde çok önemli bir yer tutacaktır. İlgili kurumların, ihtiyaç olan güvenlik yazılımlarını tespit ederek bu tür yazılımların geliştirilmesi için gerekli finansal ya da yönetsel desteği sağlaması gerekmektedir. Özellikle ilk geliştirme maliyetlerine katkıda bulunmak önemlidir.

Öte yandan, yerli güvenlik yazılım üreten firmalar ulusal ihtiyaçları en etkin bir şekilde karşılayacak yazılımları geliştirmeli fakat bu yazılımları diğer ülkelere de ihraç etmenin yolunu aramalıdır. Güvenlik yazılımı firmalarının bu sayede ekonomik olarak güçlenmesi ülkemizdeki bilgi güvenliği sektörünü daha da ileriye götürecektir.

Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Bilgi güvenliği ile ilgili bilinçlendirme ve bilgilendirme faaliyetlerini her seviyede gerçekleştirmek gerekli. Günümüzde bilgi kaynaklarına erişim çok kolay olduğuna göre aslında ilk yapılması gereken bilgi güvenliği konusuna dikkat çekmek daha sonra bilgilenme rahatlıkla gerçekleşecektir.

Bu alanda yapılabilecek en önemli faaliyetler kanımca eğitim alanındadır. Orta öğretim ve liselerdeki bilgisayar derslerinde bilgi güvenliği etkin bir şekilde anlatılmalıdır. Üniversitelerde değişik seviyede bilgi güvenliği dersleri verilmelidir. İlk olarak her üniversite öğrencisi normal bir bilgisayar kullanıcısının bilmesi gerektiği bilgi güvenliği tedbirleri hakkında bilgilendirilmelidir. İkinci olarak öğrencilerin bulundukları bölümün niteliğine göre bilgi güvenliği eğitimleri verilmelidir. Örneğin, yazılım mühendisliği öğrencileri güvenli yazılım geliştirme ile ilgili ders almalıdırlar. İşletme, endüstri vb gibi bölümlerde okuyan gelecekte kurumların yöneticileri olacak öğrenciler bilgi güvenliği yönetimi ile ilgili eğitilmelidirler.  Hukuk öğrencileri dijital adli analiz hakkında temel bilgilere sahip olmalıdırlar. Bilgi güvenliği alanında ar-ge personeli geliştirmek amacıyla master ve doktora programları oluşturulmalı ve bu programlar yaygınlaştırılmalıdır. Özellikle bu programlarda, daha derin ve spesifik konulara inen dersler verilmelidir.

Bilgi güvenliği konusunda bilgilendirme yapan web sitelerinin sayısı artırılmalı. Yazılı ve görsel basın bu konuda sıklıkla kullanılmalı.

Burada bilinçledirme ve bilgilendirme ölçüsü ile ilgili bir şeyler söylemek istiyorum. Bilgi güvenliğini anlatırken bilgi güvenliğinin sağlanamayacak bir şey olduğu (her ne kadar %100 güvenliğin olamayacağı doğruysa da) , ne yaparsak yapalım birilerinin bizim bilgilerimizin güvenliğine zarar verebileceği imajından ziyade bir risk analizi mantığı çerçevesinde olaya yaklaşmak gerekli. Kişileri daha kritik bilgilerini korumak için daha çok çaba sarfetmeleri gerektiği konusunda uyarmak temel eksen olmalı. İnsanlara, bilgi sistemlerini kullanmaktan soğutacak tarzda yaklaşmamak gereklidir.

Özellikle daha önceden söylediğim gibi denetleme ve düzenleme kurumlarının bilgi güvenliğini temel bir düzenleme ve denetleme alanı olarak görmesi ülkemize bilgi güvenliği konusunda çok önemli ilerleme  sağlatacaktır.

Türkiye’de siber güvenlik ile ilgili bir kurumun ihtiyacına inanıyor musunuz?

Türkiye’nin ulusal bilgi güvenliği politikasını oluşturan, ilgili kurum ve kuruluşlar arasında koordinasyonu sağlayacak kanunla yetkilendirilmiş bir kurula ya da aynı işlevi yapacak bir kuruma ihtiyacı vardır. Böyle bir kurul ya da kurumun eksikliği çok büyük bir şekilde hissedilmektedir. Bilgi güvenliği konusunda teknik bilgiye sahip ve teknik projeler gerçekleştirebilen kamu ve özel sektörde kurum ve kuruluşlar mevcuttur. Ama bahsettiğim yapı daha üst seviyede strateji belirleyen ve koordinasyon sağlayan bir yapıdır.

TR-BOME, TÜBİTAK- BİLGEM-UEKAE bünyesinde kurulmuştur. Temel amacı bilgi güvenliği alanında bilgilendirme yapmak ve bilgisayar olayları ile ilgili ulusal temas noktası oluşturmaktır. Bu kapsamda çalışmalarına devam etmektedir. Diğer ülkelerin ulusal bilgisayar  olaylarına müdahal edipleri (BOME) de aşağı yukarı aynı fonksiyonu icra etmektedir. Ulusal BOME’ler teorik olarak proaktif önlemler içeren servisler de verebilirler. Ülkenin kritik bilgi sistemlerini hedefleyen saldırıların gözlemlenmesi ve bu saldırıları önlemek için gerekenlerin yapılması ya da kritik sistemlerin güvenlik açıklıklarının tespit edilmesi gibi. Ama pratikte bu tür servisleri ulusal BOME’ler çoğunlukla vermemektedirler.

Bu tür proaktif servisleri vermek eğer gerçekleştirilebilirse ancak kanunla yetkilendirilmekle mümkün olabilir. Ülkemizde de bu tür bir kanuni yetkilendirme mevcut olmadığından TR-BOME proaktif servisler vermemektedir.

Bu işe yeni başlayanlara neler önerirsiniz?

Bilgi güvenliği uzmanlığı çok geniş bir alanı kapsıyor.  Bilgi güvenliği uzmanlığı, geniş bir network,işletim sistemi bilgisi yanında temel yazılım geliştirme birikimine sahip olması ve temel seviyede kriptoloji bilmesi gerektirmektedir. Ayrıca bilgi güvenliği yönetimi gibi hem teknik hem de yönetsel bakış açısı gerektiren unsurlar da bu uzmanlık kapsamında yer almaktadır.

İlk olarak bu alanda çalışacak kişi öğrenmeye aç bir kişi olmalıdır. Aslında bilişim üzerine çalışan her kişi için  geçerli olabilecek bu kural bilgi güvenliği uzmanları için çok daha geçerlidir. Ayrıca bilgi güvenliği uzmanı, tespit edilmiş kritik güvenlik açıklıklarını, bilgi güvenliği ile ilgili haberleri, e-posta listelerini, geliştirilen güvenlik yazılımlarını vb gün be gün takip etmelidir. Bu güncel bilgileri sıklıkla kullanmaya ihtiyacı olacaktır. Bu işe başlayanların sabırla çok çalışması gerekmektedir.

Bilgi güvenliği uzmanlığı bir taraftan da iyi bir konuşma ve yazma becerisi gerektirmektedir. Çünkü uzmanlar, çoğu zaman kendilerini üst yönetimi bilgi güvenliği konusunda yatırım yapmaya ikna etmeye çalışırken, bilgisayar kullanıcılarına temel bilgi güvenliği tedbirlerini anlatırken ya da sistem güvenliği ile ilgili teknik ve yönetsel dokümanlar yazarken bulacaklardır.

Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?

Yavaş yavaş her cihazın bir IP’sinin olacağı (bir buzdolabının bile) geleceğin İnternet uygulamalarını kullanmaya başlıyacağız. Evimizin elektrik tüketimini daha zekice yöneten sayaç yönetim sistemlerini yaygınlaştıracağız. Hastanede tutmak zorunda olduğumuz hastaları, gelişmiş sensörler ve gerekli ağ altyapısını kullanarak mümkün olan en kısa zamanda evlerine yollayıp uzaktan sağlıklarını kontrol etmeye çalışacağız. Bu tür uygulamalar yaygınlaştıkça, bilgi güvenliğini sağlayamamak şu an neden olduğu prestij, para kaybı gibi sonuçların yanında artık doğrudan fiziksel zarar görme sonuçları da doğurabilecek.

Bilgi sistemleri ile erişeceğimiz sosyal ağlar daha da artacak. Şu anda bizim için problem olan kişisel gizliliği sağlayamama problemi muhtemelen daha da kendisini gösterecek. Bilgi paylaşma ve kişisel gizliliği sağlama ikilemini çok daha fazla yaşayacağız.

Gürcistan’da ve Estonya’da gerçekleştiği üzere, aralarında büyük siyasi kriz çıkan ülkeler birbirlerine siber alemde savaş açmaya çalışacaklar. Ülkelerin bu tür siber savaşlara hazırlanma çalışmaları gerçekleşmeye başladı. 2015’de bu çalışmaların çok daha ileri bir düzeye geleceğini düşünüyorum.

Yazılım geliştirme ekiplerinin güvenli yazılım geliştirme döngüleri oluşturmaları özellikle ülkemizde gündeme gelmeye başladı. Bu alanda daha önemli ilerlemelerin olacağını düşünmekteyim.

Ülkemizde, ürünlerin güvenlik değerlendirmesi ile ilgili en etkin uluslararası standart olan Ortak Kriterler’in (Common Criteria) daha da yaygınlaşacağını öngörmekteyim. Özellikle ülkemizin bir ay içerisinde sertifika üreticisi (yani sertifikasyon makamının verdiği sertifikaların bu standardı tanıyan tüm ülkelerce kabul edilmesi) olması sebebiyle ürün güvenlik değerlendirmeleri çalışmalarının daha da artacağını düşünmekteyim.

Güvenlik sertifikaları konusuna ne düşünüyorsunuz?

Genelde verilen güvenlik sertifikaları pratik bilgiyi test etmek yerine bilgi güvenliği ile ilgili terminolojiye hakim olunup olunmadığını test etmekte. Bu sertifikalar kesinlikle faydalıdır. Ama bilgi güvenliği uzmanlarının bilgi ve birikimi gerçekleştirdiği somut projelerle oluşur. CISSP genel bilgi güvenliği terminolojisine hakim olmak için faydalıdır. CEH vb gibi sertifikalar da özellikle güvenlik test yapan kişiler için fayda sağlayabilir. CISA ve ISO 27001 Baştetkikçi sertifikaları özellikle bilgi güvenliği yönetimi ve denetimi alanında çalışan kişiler için yararlıdır.

Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Web uygulamalarında karşılaşılan güvenlik açıklıkları halihazırda önemli bir güvenlik problemi olarak karşımıza çıkmakta. Özellikle çoğu web uygulamaları kurumların kendisi tarafından yazılmakta ve yeteri derecede güvenlik testine tabi tutulmadan canlı sisteme aktarılmaktadır. Web uygulamaları, kritik sistemler için kullanılmaktadır dolayısıyla doğrudan saldırganların hedefindedir. Web protokolü güvenli bir protokol değildir. Web tarayıcılarında da bir çok güvenlik açıklığı çıkabilmektedir. Dolayısıyla web uygulamalarının güvenliğine ayrı bir önem vermek gerekmektedir. Bu uygulamalardaki temel eksiklik geliştiricilerin güvenliği düşünmeden geliştirme gerçekleştirmesidir. Güvenli yazılım geliştirme döngüsü oluşturma özellikle bu uygulamalar için çok gereklidir.

Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitalpların okunmasını tavsiye edersiniz?

Bilgi güvenliği ile ilgili en son okuduğum kitap, Brian Carrier tarafından yazılan “File System Forensic Analysis” isimli kitap. Bu kitap, özellikle bilgisayar olaylarına müdahale edecek teknik kişilerin  ve dijital adli analiz ile uğraşan kişiler için bence çok temel bir kitap.

Bilgi güvenliği alanında bir çok farklı konuda çok fazla kitap var. Ama şu aralar özellikle ilgilendiğim başka bir alan olan güvenli yazılım geliştirme döngüleri ile ilgili kitapları özellikle yazılım geliştiricilere tavsiye ederim.

Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

SANS, webappsec ve securityfocus’un pen-test listelerini takip etmekteyim. Bu listelerin takip edilmesini öneririm. Ayrıca www.bilgiguvenligi.gov.tr da takip edilmesinin gerekli olduğunu düşündüğüm önemli bir site.

Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

Seçerdim ya da seçmezdim diyemem. Bilgi güvenliği alanı güzel bir alan ama bir çok güzel alan daha var.

Bir güvenlikçinin en önemli özelliği size göre nedir?

Yetkinlik ve rasyonellik.

The post Güvenlik Röportajları #31 Hayrettin BAHŞİ first appeared on Complexity is the enemy of Security.

Güvenlik kahvesinin bu haftaki konuğu Labris Teknoloji’ den Araştırma ve Planlama Müdürü Oğuz YILMAZ. Kendisi ile hem kendisi hakkında hem de güvenlik dünyası hakkında konuştuk.

Kısaca kendinizden bahsedebilir misiniz?

79 Ordu doğumluyum. Ankara’da büyüdüm ve hala da Ankara’dayım. ODTÜ Elektrik Elektronik Mühendisliği’nden 2001’de mezun oldum. Bilgisayara ise bundan biraz daha önce 94-96 yılları arasında Tübitak’ın alt katında işlemekte olan Bitav bilgisayar kulübünde başladım. Bitav gerçekten bu işe bulaşmamızda, Linux işletim sistemini öğrenmemizde çok etkili oldu. Oradaki topluca öğrenme ortamını hiç unutmuyorum. Hatta üniversite sınav sonucumu da Bitav’da ÖSYM’nin finger servisi üzerinden öğrenmiştim o vakitte. Finger’ı duyan kaç kişi var acaba J.

İşte bu girişle bilgisayar, hayatımın en önemli uğraşı haline geldi. Bir süre Gantek’te Solaris üzerine çalıştıktan sonra da bugünkü Labris Teknoloji’nin temellerini 2002 yılında attık. Profesyonel iş hayatımın devamı Labris’tir.

Bireysel meraklarımdan bahsetmek gerekirse, “tarih” diyebilirim ilk adımda. Televizyondaki hemen hiçbir tarih programını kaçırmam. Kendime ayırdığım zamanları ise oğlumla ilgilenerek ve önemli kısmını da okuyarak geçiriyorum. Özellikle Türk savaş sanatı, tarih, kişisel gelişim, yazılım mühendisliği ve bilim kurgu okumayı tercih ediyorum. Edebi olarak ise öyküleri ve şiirleri tercih ederim.

Güvenlik işine nasıl bulaştınız?

Üniversite ile beraber ODTÜ yılları başlıyor. Ve tabii ki Linux ile haşır neşirliğimiz oldukça arttı o vakitte. Birçok eski Linuxcu gibi Slackware ile başladı süreç. O dönemde babamın içinde bulunduğu Köy-Tür Holding’in sistem yöneticisi, şimdi Belçika’da Cisco’da olan İlker Temir’di. Kendisi belki farkında değildir ama bende güvenlik ve sistem’in yazılım ve elektroniğin önüne geçmesine vesile, biraz da kendisidir. Ne kadar teşekkür etsem azdır, o öğrenciye vakit ayırırdı. İşte biraz da bunun da etkisi ile o dönem içinde olduğum IEEE ODTÜ öğrenci topluluğumuzun Bilişim komitesinden sorumlu oldum. İlk sistem yöneticiliği deneyimimin ise burada başladığını söyleyebilirim. Oradaki tecrübeler de adım adım bizi güvenlik işine çekti. Öğrenci topluluğumuzdaki çalışma arkadaşlarımdan ve sonra da iş hayatında beraber çalıştığım Seçkin Gürler ile beraber kendi işimizi kurma fikri vazgeçilmez hale gelince, öncül çalışmalarımızda ortaya çıkan 4 ana iş kolu fikrinin içinde güvenlik en başta yer alıyordu. Zaten sonrasında da bu iş kollarından güvenliğe odaklanmayı uygun bulduk. Bugün güvenlik alanındaki iş hayatımın 11’inci, Labris’ in ise 9’uncu yılını kutluyoruz.

Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?

Türkiye’de bilgi güvenliğinin bundan 10 yıl öncesine göre oldukça ileri noktada olduğunu rahatlıkla söyleyebilirim. Ancak güvenlik işinin bir karakteristiği var, o da şu ki, güven sorunu yaşamadan güvenliğin önemini algılamak çok zor insan tabiatı itibariyle. İnsan bağışıklık sistemi bile, tehdidin oluşmasıyla birlikte aktif çalışmaya başlıyor ve bir süre ayakta duruyor. İşte bence tehdidin azlığı, yurtdışında yaşananlara görece daha az güvenlik sorunun yaşanmasına ve güvenliğin yeterince önemsenmemesine yol açıyor.

Türkiye’de güvenlik sorunlarının ve sebep olabilecekleri sonuçların oldukça iyi anlatılması, güvenlik birimlerinin gerekli yönetim desteğini alabilmeleri için çok önemli. Patronlar ve yöneticilerden teknik olmalarını bekleyemeyiz. Onlar gelir-gider-risk-önlem algısı ve hızlı çıktı beklentisi içerisinde düşüneceklerdir. İşte onlara güvenliği bu algı içerisinde anlatmak gerekir. Tek bir güvenlik hatası yüzünden bir şirketin nasıl yok olabileceğini ya da üzerinde on yıl emek sarf edilmiş bir kamu projesinin bir güvenlik açığı nedeniyle imajının nasıl sıfırın altına inebileceğini iyi anlatmak gereklidir.

Diğer yandan güvenlik tedbirleri için gerekli yazılım ve donanımların ithal olmaları dolayısıyla yüksek maliyetlere edinilebilmesi de yönetim desteğini alabilmeyi zorlaştırabiliyor. Bu nedenle güvenlik yöneticilerinin yerli ürünler ya da açık sistemler konusunda bilinçli olmaları ve alternatifler oluşturup sunabilmeleri gereklidir.

Yaşanan güvenlik olayları ve tedbirlerin başarısının, özet raporlarla yöneticilere sunulması, eminim ki sonraki yatırımların önünü açacaktır. İş mantığı ile düşünebilen her yönetici ya da patronun iyi bir tehdit-risk-önlem algısı kuracağına eminim.

Bir önemli nokta da güvenlik profesyonellerinin yetersiz sayıda oluşudur. Bir zamanlar CPU overclocking ’e gösterilen merakın yüzde birinin güvenliğe gösterilmiş olsaydı her şey çok farklı olurdu diye düşünüyorum.

Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

Türkiye’de her türlü yazılım üretimindeki güvenlik için öncelikle bilinç gerekmektedir. Bir ERP yazılımı yapıyorsanız günlerce uğraştığınız bir fonksiyonun ya da bir web uygulamasının çalışıyor olması sadece önemli adledilmektedir. Hâlbuki güvenlik, hem geliştirme hem de zayıflık analizi aşamalarında çoğunlukla hesaba katılmamaktadır. Bu nedenle güvenlik yazılımı üreticilerinde de ilk olarak güvenli yazılım geliştirme ve güvenlik bilincinin önemli olması gerektiğine inanıyorum.

Yalnızca güvenlik alanında değil yazılım ve Arge alanında da önemli devlet destekleri var. Bu desteklerin firmalarca aktif şekilde kullanılması gereklidir ancak bel bağlanacak bir unsur olmamalıdır.

Yeni üreticilerin farklılaşması da bence çok önemli hale gelmiştir. Hali hazırda üretimi yapılan alanlarda olmaktansa yerli üretime başlanmamış ya da yabancı ürünlerden fark yaratılabilecek alanlarda bulunmanın daha değerli olduğunu düşünmekteyim. Bizim şu anda ürün ürettiğimiz alanların da hepsi Türkiye’de ilklerdendir. Bu durum, konumumuzun sağlamlığının da en temel sebeplerindedir.

Elbette kaliteyi de vurgulamadan geçmemek gereklidir. Bunu iki başlıkta anlatmam lazım aslında. Birincisi ürünün fonksiyonlarını yapması gerektiği şekilde yapıyor olması konusu. Bir güvenlik ürünü üretiyorsanız bunun belli test süreçlerinden geçmiş olması gereklidir. Tüm fonksiyonlarının bypass edilemez şekilde güvenli çalıştığından emin olmanız gereklidir. Bu noktada bağımsız test ve sertifikasyonları oldukça önemli buluyoruz. 2007-2009 yılları arasında özellik zenginleştirme yerine sertifikasyona yatırım yapmayı tercih ettik. Bu tercihimiz sonucunda bugün dünyadaki 12inci ISO 15408 Ortak Kriterler EAL4+ sertifikasyonu alan marka olmayı başardık. Birçok noktada olduğu gibi bunda da Türkiye’ de ilk olduk. EAL sertifikasyonları, ticari firmalar tarafından verilmekte olan kar amaçlı birçok sertifikasyondan farklı olarak, bildiğimiz Orange Book, Red Book gibi sertifikasyonların devamı olarak bir ISO standardı olarak karşımıza çıkmaktadır. Bu nedenle çok önemlidir. Bunun bize birçok çıktısı oldu. Ama en önemlisi güvenli yazılım geliştirme pratiklerimizin sağlamlaşması, ürünlerimizin bağımsız testinin yapılmış olması ve varolan ve müstakbel yeni müşterilerimize verdiğimiz güvendir. Çok büyük yatırımlar gerektiren bir süreç, ancak bu alanda, yani “merdiven altı mı kalacağız dünya markası mı olacağız” yönünde bir bakış ve yönetim kararlılığının sonucunda ulaşabilecek bir aşamadır EAL4+ sertifikasyonu.

İkincisi ise hangi sektör ya da alanda olduğunuzdan bağımsız olarak bir ürün üretirken çıktınızın ürün niteliklerine sahip olması gerekliliğidir. Bir yazılım ürününü oluşturan bileşenler, yazılım, dokümantasyon, paket, destek, güncelleme, marka imajı, sertifikasyon gibi bileşenlerdir. Gördüğünüz gibi yazılım tek başına asla yeterli değildir. Bu devamlılığı, müşterinize garanti ettiğinizi hissettirmeniz ve bir kez bile hayal kırıklığı yaratmamaya çalışmanız gereklidir.

İşte bu bakışların tamamı üretim ve profesyonel iş felsefesi içinde öğretilebilir. Türkiye Arge yapmaya alışmış bir ülke değil maalesef. Atalarımızın bilimde önde iken sonrasında nasıl geri duruma düştüğünü hepimiz biliyoruz. Sonuçta bir üretim/ticaret/iş yapma birikimi bu ülke insanlarında Cumhuriyet sonrasında oluşmaktadır. Arge bilinci ise yine Cumhuriyet ile oluşmaya başlamıştır ama kamudan halka inmesi son 20 yıldan önce değildir. Bu nedenle bu birikimin, bu bakışın insanlarımıza kazandırılması lazım. Üniversitelerde Ürün, Ürün Yönetimi, Arge, Girişimcilik konulu derslerin her teknik bölümde zorunlu olarak verilmesi gerektiğine inanıyorum. Bu derslerin içeriğinin ise hayat dersleri şekilde, yani deneyimleri aktarır bir şekilde tasarlanması kavrama için çok önemlidir.

Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Bilgi güvenliği alanında yetkinliği artırmak için siyasi erklerin yakın zamanda yapabilecekleri güvenlik alanını, kamuca desteklenecek kategoriler içerisine eklemekten pek ileri gidemez diye düşünüyorum. Bu nedenle bilgi güvenliği konusunun; üniversiteler, sivil toplum örgütleri ve şu anki güvenlik profesyonelleri yani bizler sayesinde gelişebileceğine inanıyorum. Tek yapılması gereken konunun gençler arasında merak alanı yapılabilmesi.

Kurumlar açısında bakacak olursak, ürün odaklı bir düşünce şeklinden, sistem-süreç odaklı bir düşünce şekline geçmek güvenlik için gerekiyor. Bu nedenle üründen çok onu nasıl kullandığınız önem kazanıyor. “Ev alma, komşu al” atasözüne benzer şekilde, “Ürün değil, destek ve danışmanlık al” demek istiyorum akıllarda kalması için. Yakın çalışabildiğiniz, sadece ürünle ilgili değil genel güvenlik konularında da danışabileceğiniz bir firmanın yakınınızda olması çok önemlidir.

Diğer yandan aslında güvenliği bir üretim sürecinde konuşuyor olmamın sebebi halen üretim sürecinin temel bir bileşeni olarak algılanmamasından kaynaklanıyor. Bilgisayar Mühendisliği dil ve proje derslerinde, fonksiyon kadar öğrencinin ürettiği yazılımın güvenliğine önem verildiğini söyleyebilir miyiz? İşte güvenlik zaten ayrı bir ders değil tüm disiplinler için sürecin bir temel parçası ve her zaman akılda bulunması gereken bir unsur olarak ele alındığından güvenliği ayrıca konuşmak zorunda kalmayız. Bunu sadece yazılım üretimi olarak düşünmüyorum. Örneğin bir endüstri mühendisi iseniz, bir inşaat mühendisi iseniz de kendi disiplininiz içinde güvenliği temel bir parça haline getirmelisiniz.

Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

Türkiye’de bilgi güvenliği alanındaki önemli zaaflardan birisi de eşgüdüm eksikliği. Özellikle kamudaki bilgi işlem projelerine güvenlik yönüyle tasarım ve uygulama/üretim sonrası kontrol noktalarında yönlendirecek bir mevzuatlar toplamı ve bağımsız denetim yapacak kamu içi bir kurum ihtiyacı olduğunu düşünüyorum. Burada da en önemli aday yine UEKAE görünmektedir. TK’nın ise bu konuda bir odağı henüz yok diye okuyoruz.

TR-CERT ve bilgiguvenligi.gov.tr ise bilişim çalışanlarının bilgilendirilmesi konusunda çok önemlidir. Ancak amaçları ve dolayısıyla sahip olduğu yetki derecesinde eşgüdümü sağlama amacında ve noktasında olduğunu pek düşünmüyorum.

TR-CERT’den ve Tübitak’dan benim beklediğim Türkiye’deki üreticilere ve son kullanıcıları bir araya getiren; aradaki iletişim nesnesi olarak ise TR-CERT’in ürettiği bilginin hem ürünlerde, hem de son kullanıcılarda en iyi şekilde kullanılmasının sağlanması için çalışmak olmalıdır. Biraz daha açarsak, Tübitak’ın çerçeve oluşturması, bu çerçeveyi öne çıkarması ve bu çerçeveye dahil olan kurumlar ile ve özellikle yerli ürünler ile hedeflenen güvenlik seviyesine adım adım gidilmesidir. Son İsrail uyuşmazlığında bile kamu kurumlarının güvenlik ürünü olarak bu uyuşmazlık içerisinde olunan ülkelerin ürettiği ürünlerini kullanıyor olmaktan ne kadar rahatsız oldukları hissettik. Bilgi elbette evrenseldir, ancak güvenlik alanı çok özel. Unutulmamalıdır ki, güvenlik güçleri bir ülkenin bağımsızlığının garantisidir. Bu da ne kadar milli ve bağımsız ise o kadar güvenli olacağımız düşünülebilir. Yerli ürün edebiyatı yapıyor olarak algılanmak istemem. Yerli ürün ve sistemlerin de belli bir güvenlik seviyesine işte bu çerçeve ile çekilmeye çalışılması bence ilgili kamu kurumlarına düşmektedir. Yani minimumların belirlenmiş olması gereklidir. Sertifikasyonlarda bu nokta oldukça önemli olmaktadır. Hiçbir kurum güvensiz bir ürünü yerli ya da yabancı fark etmez, kullanmaya zorlanmamalıdır.

Bu işe yeni başlayanlara neler önerirsiniz?

Hissetmişinizdir, merakın çok önemli olduğunu düşünüyorum. Bu nedenle ilk tavsiyem hiçbir sistemin işleyişini olduğu gibi kabul etmemek ve nasıl çalıştığını anlamaya çalışmaktır. Merak ile devamı gelecektir. Kitapları ve durağan internet kaynaklarını yalnızca birer yol gösterici olarak görüyorum. Zira bu işi okuyarak öğrenmek mümkün değil. İşin üzerinde olmak gerekli.

Elektronik posta listeleri ve bloglar gibi canlı içerikleri ise çok daha önemli buluyorum. Gündemdeki en güncel bilgilere erişme imkanı doğuruyor. Bu nedenle bolca canlı içerik takip edilmelidir.

Bunun ötesinde, elbette genel olarak ele almanın yanında bazı alanlara özelleşme olacaktır. İlgi alanına göre, kriptoloji, ağ güvenliği, güvenlik yönetimi, erişim kontrolü, geliştirme güvenliği, işletim güvenliği, bilişim adli tıbbı gibi konularda birçok kaynak ulaşılabilir olacaktır. Bunları bir RSS okuyucuda biriktirip zaman içerisinde kendilerine göre rafine edebilirler.

Diğer yanda ülkemizde güvenlik ile ilgili konferans ve toplantılar takip edip bunlara katılmak ortamda bulunmak hem bilgi sağlayacak hem de diğer ilgillerle iletişim ile beraber katma değerli bir katkı sağlayacaktır.

Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?

Bu sizin en dikkatli cevaplanması gereken sorularınızdan J.

Fark ediyorsunuzdur, her süreç her işlem bir bilgisayar kullanıcısı, bir vatandaş ve bir insan olarak düşündüğümüzde internet üzerine kayıyor. Bu nedenle kişisel bilgilerin güvenliğinin, hak ve hürriyetlerin daha çok konuşulduğu, buna rağmen kontrolcü yaklaşımın daha arttığı bir dünyada bulunacağımızı düşünüyorum. 9/11 sonrası doktrini bu şekilde yazdılar. Bu nedenle Siber Savaş da en popüler konulardan olacaktır bizimle ilgili olarak.

Güvenlik tedbirlerinin de daha çok, içeriğin incelenmesi ve buna göre karar verilmesiyle oluşacağı şeklinde bir gidiş de göze çarpıyor. Dolayısıyla her türlü güvenlik aracı da çerçevedense içeriğin denetlenmesine ya da içeriğe göre analize doğru kayacaktır.

Ayrıca bulut bilişim ve bunun güvenliği de eminim ki konuşuluyor olacak. Günümüzde ofis uygulamamızdan posta kutumuza kadar her şeyi, hatta iş süreçlerimizi internet uygulamaları ile götürüyoruz. Bunlar da internet bulutlarında çalışıyor. Bugün çoklu noktada güvenlik olayı ile çoklu kullanıcı etkilenirken, tek bir noktadaki güvenlik olayı ile pek çok kullanıcın etkileneceği bir güvenlik dönemine giriliyor.

Tabii ki mobil cihazlar üzerinde daha komplike işletim sistemlerinin yer alması ile beraber, bu cihazlar da bir güvenlik mecrası olarak ele alınıyor olacak.

Güvenlik sertifikaları konusuna ne düşünüyorsunuz?

Güvenlik sertifikasyonları mutlaka üzerinde uğraşılması gereken başlıklardan. Kariyer için elbette bir faydası olacaktır. Ancak bundan daha çok, özelleşilmemiş güvenlik alanları hakkında bilgi sahibi olmak için de önemli buluyorum. Bu noktada genel çerçeve içerenlerden CISSP ve CISA tavsiye edilebilir. Alana özelleşmiş olanlardan ise RHCSS veya kullandığınız işletim sisteminin güvenlik sertifikasyonu, CEH gibi karşı tarafta bulunmanızı sağlayacak sertifikasyonlar önemli diye düşünüyorum.

Ancak unutulmamalıdır ki, biz bilgi çalışanları olarak yetkinliğimizle karşılaştırılırız. Bu nedenle sertifikalarla yetinmek de tek başına yeterli değildir. Açık projelerde bulunmak da hem bilginin tatbiki, hem artırılması, hem de kariyer amaçlı olarak işe alan nezdinde farklılık oluşturmak adına önemlidir.

Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Yüzlerce müşterimizin problemi ile devamlı iç içeyiz. Bunların büyük kısmının da bilgi, bilinç, metodoloji, prosedür eksikliklerinden kaynaklandığını görüyoruz. Yerli kaynakların artması ürünleri efektif kullanabilmek için çok önemli. Ayrıca eğitim ve bilinç artırıcı çalışmaları, öncelikle bilişim profesyoneli kendisi organize etmelidir. Risk ve tehdit analizi yapılmalı, ISO 27001 şemasında güvenliği artırıcı süreçlere önem verilmelidir.

Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitalpların okunmasını tavsiye edersiniz?

En son CISSP sertifikasyon kitabını takip ettim. Bundan başka, Secrets and Lies: Digital Security in a Networked World Secrets and Lies, Bruce Schneier; 19 Deadly Sins of Software Security ve Güvenli yazılım geliştirme ile ilgili kitapları tavsiye edebilirim.

Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?

Böyle bir kişilik yok. Gerçek kahramanlar da sorunların hiç oluşmadığı dolayısı ile kolayca fark edemeyeceğimiz yerlerdekilerdir bence. Ayrıca, bilgisini paylaşmayı eksik etmeden meslek hayatını devam ettirenlere de büyük saygı duyuyorum.

Güvenlik dünyasında en fazla kullandığınız yazılım hangi?

Ağ güvenliğine daha yakın çalıştığımız için Tcpdump en önemli aracımız diyebilirim analiz sırasında. Bütünleşik tehdit yönetimi ve loglama içinse elbette Labris kullanıyoruz.

Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

İlk başta sayacaklarım; Complexity is the Enemy of the Security (Huzeyfe’nin blogu), Netsec posta listesi, kullandığınız işletim sisteminin güvenlik duyuru listesi, DarkReading, Information Policy ve Schneier on Security olacaktır.

Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

Çok yorucu bir alan olduğunu söyleyeyim öncelikle. Ama bilgisayar ile ilgili bir iş yapıyor olsam yine bilgi güvenliği alanı beni içine çekerdi diye düşünüyorum.
Bir güvenlikçinin en önemli özelliği size göre nedir?

Merak, şüphe ve disiplindir.

Bilgilerinizi ve tecrübelerinizi internet ortamında paylaşıyor musunuz? Neden?

2000-2004 arasında Linux camiasında oldukça aktif bulundum. Sonrasında ise odağımızın yoğunlaşma gerektirmesi nedeniyle çok fırsat bulamadık. Şu anda stackoverflow, expertsexchange ve kendi blogum üzerinden paylaşmaya çalışıyorum. Daha çok birlikte çalıştığımız personelimizle ve kanalımızla yoğun bir şekilde bilgi aktarımı içinde bulunuyorum. Ayrıca bilgilerimiz doğrudan ürünlerimiz içerisine katarak da ürün kullanıcılarımız ile dolaylı şekilde paylaşıyoruz. Bu da daha garanti bir paylaşma yöntemi sanırım.

Paylaştığınız şeylerin kötü amaçlı olarak kullanılması karşısında düşünceleriniz nelerdir?

Olabilir. Yapacak da bir şey yok. Kötülük(tehdit), güvenliğin temel bir parçası. Unutmayalım ki, güvenlik sorunu Kabil’in Habil’i öldürmesi ile başlıyor.

The post Güvenlik Röportajları #30 Oğuz YILMAZ first appeared on Complexity is the enemy of Security.

1) Kısaca kendinizden bahsedebilir misiniz?

Öncelikle merhabalar ve bu röportaj fırsatını bana tanıdığınız için çok teşekkür ederim.

Küçük yaşlarda babamın yönetici olarak görev aldığı büyük bir bankanın taşradaki muhtelif şubelerinde daktiloları bozmak, Facit marka hesap makinelerini kilitlemek, arkasına yazı geçirmeyen 5/6 nüshalık dekontların arasına karbon kağıdı koymak, hesap kartonlarını dizmek, verilen torbalar dolusu bozuk paraları saymak ve akşam 5’ten sonra ortalığı birbirine katmak gibi görevlerle iş hayatına kurumsal bir firmada girmiş bulundum.

Kendimi bildim bileli şakayla karışık çalışıyorum. Tanıdıkların yanında kırtasiyecilerde ve eczanelerde çıraklık, diş hekiminin yanında asistanlık, ehliyetim olmadığı yaşlarda boş alanlarda bir tur atabilmek için oto yıkamacılık, üniversite yıllarında turistik bölgelerde bankalarda stajlar ve hafta sonları turistleri İstanbul’a getirerek hanutçuluk vb. işler yapma fırsatım oldu. Adeta kriptolanmış doktor yazıları ve ilaç isimleri okuma başta olmak üzere, fiyat etiketleme, döviz, plastik kartlar ve yabancı para çeklerle ilgili emniyet tedbirleri, kurumların ilk otomasyona geçme sancıları, ticari sır, vb. bilgi güvenliği ile ilgili bir çok konuda ufak yaşlarda gözlem yapma ve tecrübe edinme şansım oldu.

Resmi olarak ise, 21 yıldır çalışıyorum. Tarsus Amerikan Koleji, ODTÜ Kamu Yönetimi, T.C. Ziraat Bankası Bankacılık Okulu, Bloomsburg University of Pennsylvania – MBA Programı gibi yerlerden mezunum. Türkiye’de belli konularda denk geldi, hep ilklerden biri olma fırsatım oldu. Proje Yönetimi (PMP), Bilgi Sistemleri Denetimi (CISA), Bilgi Güvenliği Yönetimi (CISM), Bilgi Teknolojileri Yönetişimi (CGEIT) ve ISO 27001 Bilgi Güvenliği Yönetim Sistemi Baş Tetkikçisi sertifikalarının ilk sahipleri ve uygulayıcıları arasında olma şansım oldu.

Üniversite biter bitmez o yıl rahmetli Turgut Özal ve Sn. Coşkun Ulusoy’un Genel Müdürlüğü sırasında açılan Bankacılık Okulu’nun ilk dönem mezunu olarak bir yıl T.C. Ziraat Bankası Menkul Değerler’de çalıştıktan sonra, Yapı Kredi Bankası’nda Teftiş Kurulu Başkanlığı’nda Müfettiş Yardımcılığı’na geçiş yaptım.  Bankanın (YKB) muhtelif şube ve birimlerinin denetiminde iki yıl kadar rol aldıktan sonra Amerika’ya giderek master programını tamamlamak için ücretsiz izin aldım.  İlk iki yılım içerisinde iyi bir eğitim süreci geçirdim. Hatta elimde 1992 tarihli bir eğitim sertifikası var ki, bugün incelendiğinde inanması çok zor. Sertifikanın üzerinde, adımın hemen altında 5 gün süren bir “Bilgi İşlem Emniyeti ve Teftişi” eğitimi almış ve başarıyla tamamlamıştır yazıyor. İlk 2 yılım içerisinde şubelerde üstadlardan fırsat buldukça sisteme bir kaç kez girdim. Enteresandır ama, tesadüfen çok büyük bir güvenlik açığı bulup bunu kurula özel bir yazı ile raporlayıp, sonucunu da takip edince, iki maaş ikramiye ile ödüllendirildiğimi hatırlıyorum.

Amerika’da okurken eğitmenlik, asistanlık, zeka veya bedensel özürlü öğrencilerin yanında veya yerlerine derslere girerek not tutma veya ders notlarını görmeyen öğrenciler için kayıt cihazlarına aktarma, barlarda bodyguard’lık ve ev arkadaşlarımla birlikte eski mobilya alım satımı ve çim biçme dahil, aynı anda 4-5 farklı part-time işte çalıştım. Bu sayede belki de aynı anda birkaç işi yapma yeteneğim gelişti ve hatta MBA yaparken, başkasının yerine “oşinografi” dersi bile almış bulundum.

Döndükten hemen sonra da, YKB’de eski görevime devam etmeyi beklerken, birkaç ay içerisinde bir baktım ki teknoloji ile ilgili işlere girişmişim. Teftiş Kurulu ilk defa bir elemanını Bilgi Teknololeri ile ilgili konularda görevlendirmişti. 90’lı yılların ortalarında YKB’nin ilerlemesinde büyük payı olan bir değişim programında ve uluslararası danışmanların destek verdiği muhtelif projelerde çalışırken buldum kendimi.

Derken projelerin tümünün merkezi olarak yönetildiği ve koordine edildiği Program Yönetimi birimlerinde, arkasından Yapı Kredi’yi o günlerde çok üste seviyelere taşıyan Alternatif Dağıtım Kanalları’nın kurulmasında ve sonrasında tüm bankanın sistem ve uygulamalarının 2000 yılına dönüşüm (Y2K) Programı’nda belli yönetsel görevler aldım.

Önceleri denetim alanında çalışmalar gerçekleştirirken, zamanla bilgi teknolojileri ile ilgili işlerde yine denetim nosyonunun kazandırdığı tecrübeyi geliştirme, genişletme ve kullanma şansına sahip oldum. Öğrenme süreci açısından iki başlı ve o yıllar için çok farklı, başkalarının ise, “ne işin var oralarda?” veya “niye klasik müfettişlik kariyer yolunu izlemiyorsun?” dediği bir yol izlemiş oldum.

Kısa sürede yönetici olarak ilerleme yolu müfettişler için  “şube kariyer yolu” şeklinde önceden tanımlıyken, ben daha önceden tanımlı olmayan, örneği bulunmayan ve farklı iki ayrı disiplini bir arada yürütmeye çalıştığım için buralardan nereye ve nasıl gidileceğini bilmediğim bir yola girmiştim. Kimi zaman çok zorluk çektiğimi hatırlıyorum. Benimle birlikte ve sonrasında işe giren arkadaşlarıma baktığımda, müdür olmakta çok geciktiğimi düşündüğüm oluyordu ve üzülüyordum. Her şeyin bir sırası, her görevin ve çalışmanın bir kazancı ve kattığı değer varmış. Şimdi geriye baktığımda, uzun vadede gerçekten kazandıran ve bana danışman olma yolu açabilecek kadar kalıcı ve sağlam olan bir yol izlemişim.

Y2K çalışmalarının hemen sonrasında, Yapı Kredi’nin Teftiş Kurulu Başkanlığı ile YKB Teknoloji Yönetimi’ni bir araya getirerek “Bilgi Teknolojileri Denetimi Fonksiyonu’nun Kuruluşu ve CobiT Uygulama Proje Yöneticisi” görevini yürüterek iki farklı alandaki tecrübelerimi tek başlık altında toplama şansım oldu. Ülkemizdeki ilk CobiT Uygulaması’nı 550 kişilik bir BT Organizasyonu üzerinde gerçekleştirme fırsatını yakalamış oldum.

Bu proje, iş hayatımda çok önemli bir dönüm noktası oldu. Düşünebiliyor musunuz, şu an 5.0 versiyonunun çıkması beklenen CobiT’le ilk tanıştığımda daha 2.0 versiyonundaydı, dünyada bile yeni yeni biliniyordu. Bizim projeden önce CobiT 3.0 çıkmak üzereydi. Danışmanlık almak için araştırıyoruz. CobiT’i yazan farklı ülkelerden 6 kişilik bir ekip var. Bu ekipten iki kişiyi birbirlerinden habersiz bir şekilde aynı gün ülkemize davet edip, biriyle sabah, diğeriyle öğleden sonra görüşüyoruz. Proje kurgusunu, planlarımızı ve beklediğimiz çıktıları, hazırlık çalışmalarımızı paylaşıyoruz ve her iki kişi de çok heyecanlanarak bu proje tüm dünyaya örnek olacak çapta büyük bir proje olacak ve içerisinde mutlaka ben de rol almak istiyorum diyorlar. Ama ikisi de farklı firmalardan. Proje hem çap, hem CobiT 3.0’ın ilk kez uygulanması, hem de böyle bir işin tam 10 yıl önce Türkiye gibi hızlı gelişen bir ülkede ilk kez yürütülecek olması nedeniyle birkaç ilki bir arada gerçekleştirmeye aday olduğundan dikkat çekiciliği ve önemi büyük bir çalışma olarak nitelendirilmekteydi. Bu sayede danışman firmaların projeyi yerine getirmek için sıkı bir rekabet havası içerisine girmiş olmaları da gayet doğaldı.  Velhasıl, projeyi büyük bir heyecanla ve çok çalışkan bir ekiple gerçekleştirdik, büyük bir başarıyla tamamlandı. Yapı Kredi Teftiş Kurulu BT Denetimi yapabilir, Yapı Kredi Teknoloji Yönetimi ise, süreçlerinin uluslar arası standartlara ve olası BT Denetimleri’ndeki yaklaşımlara göre eksiklerinin ve risklerinin neler olduğunun farkına varmış bir hale geldi. Tabii iyileştirilebilir alanların neler olacağı ve öncelikler de ortaya koyulmuş oldu. Teftiş Kurulu’nun 3 yıllık BT Denetim Programı da bir proje ürünü olarak hazırlandı, BT süreçlerinin gelişimini belli öncelikler doğrultusunda tetikler bir yapıya kavuşulmuş oldu.

Bu çalışma sonrasında da Yapı Kredi Teknoloji Yönetimi’nin CobiT’e uyumu yönündeki faaliyetlerini yönetmek ve kurumsallaşma açısından gelişimine liderlik edebilmek amacıyla Teknoloji Risk Yönetimi biriminin kuruluşunu gerçekleştirdim. 4-5 yıl kadar bu alanda görev aldım, ekibimle beraber dış denetimlerin haricinde kurumun içerisinde tüm IT süreçlerini ve tüm projeleri, yurtdışı iştirakler de dahil olmak üzere denetledim, süreçlerin olgunlaşması yönünde çok farklı alanlarda değişik çalışmalar yaptım. Koçbank-Yapı Kredi birleşmesi kararı alınana kadar da Yapı Kredi’nin tüm teknoloji süreçleri ve teknoloji bağlantılı iş süreçlerinin risklerinin yönetimi sorumluğunu yürüttüm.

Bu sıralarda patlak veren İmar Bankası olayı ve buna karşın BDDK’nın Bilgi Sistemleri’nin Denetimi hakkında getirdiği düzenlemeler, yeni bir mesleğin ülkemizde yerleşeceğinin sinyallerini vermeye başladı. Ben bu işleri özellikle CobiT açısından epey zamandır yürüttüğümden, gerek Bankalar Birliği bünyesinde bütün bankalardaki meslektaşlarımla, gerekse birçok seminer ve sempozyumda konu ile ilgili bildiklerimi paylaşma ve hatta BT Denetimi alanında çalışmak isteyenler için CISA sertifikasyonuna hazırlık amaçlı eğitimler düzenleme ve ISACA İstanbul Chapter’ındaki arkadaşlarımla birlikte sunma fırsatı bulmuş oldum.

Yapı Kredi’deki son yılımda birleşmenin fiili olarak gerçekleşmesi öncesinde, Koç Holding bünyesindeki tüm firma ve kurumların Bilgi Teknolojileri Yöneticileri’nin her ay toplanarak Koç Grubu’nun BT Stratejisi’ni belirledikleri ve holding yönetimi seviyesinde merkezi sinerjinin yaratıldığı BT Kurulu’nda Yapı Kredi’yi temsil etme şansına sahip oldum.

Birleşmenin olduğu tarihlerde ise, Ankara’ya taşınmış, artık T.C. Maliye Bakanlığı Strateji Geliştirme Başkanlığı’na BT Stratejik Yönetimi ve Yönetim Bilgi Sistemleri konularında hizmet veren bir danışman olmuştum. Sonrasında PTT’nin “Posta, Lojistik, Bankacılık” misyonu doğrultusunda “PTT Pazar Araştırması ve Stratejik Planlama” projesinin ilk aşamasını Alman ve İngiliz Posta Teşkilatları’nın 30-35 yıl tecrübeye sahip eski üst düzey yöneticilerinin de dahil olduğu profesyonel bir ekibi yöneterek, projenin can alıcı kısmını tamamladım. Ülkemizde Aktif İstihdamın geliştirilmesi hedefli bir AB Projesi kapsamında “İŞKUR Web Portalı, İş Süreçleri ve IT Altyapısı’nın Denetimi” çalışmasından sonra da Türk Eximbank’ta “CobiT Uygulama Projesi’ni” başlattım ve yürütmeye devam ediyorum.  Çok yakında bir savunma sektörü firmasında “Bilgi Güvenliği Kurumsal Yönetimi ve 27001 Uyumu” Projesi’ne başlamış olacağım.

Son 6 yıldır ODTÜ’de, ilk 4 yılı Enformatik Enstitüsü, son iki yıldır da Teknoloji Politikaları Programı olmak üzere “BT Kurumsal Yönetimi ve Denetimi” konusunda içeriğini kendim oluşturduğum ve ülkemizdeki ilklerden yine birini daha gerçekleştirme fırsatını bulduğum “IT Governance” adlı yüksek lisans düzeyindeki dersimi sunmaya devam ediyorum.  Bu dersi geçmişte İstanbul Ticaret Üniversitesi, Sabancı Üniversitesi ve Bilkent Üniversitesi’nde de sunma fırsatım oldu. Bu sayede mesleki tecrübelerimi genç arkadaşlarıma aktarmaktan çok büyük keyif alıyorum. Ayrıca gençlerle birlikte zaman geçirme, onlarla bir ağabey gibi paylaşımda bulunma ve bir anlamda da genç kalabilme fırsatını da sonuna kadar kullanmaya çalışıyor, yemekler düzenleyerek, fasıl veya piknik gibi türlü aktiviteler yaparak bu beraberliği iş ve okul hayatının dışına doğru da esnetmeye devam ediyorum.

Bilgi Sistemleri Denetimi konusunda dünyadaki en yaygın kuruluş olan ISACA’nın İstanbul Chapter’ının kurucu üyeleri arasındayım. Bu yıl da buradaki ISACA üyeleri ve özellikle kamu kurumlarının da temsil edildiği tecrübeli arkadaşlarımla birlikte uyumlu bir kurucu ekip oluşturduk, Ankara Chapter’ının kuruluşu için başvurumuzu yaptık. Umuyorum ki İstanbul’da yıllar süren çabalar sonucunda kurabildiğimiz Chapter’ın, Ankara’da daha kısa bir zaman içerisinde kuruluşunu ve çalışmalarını hep birlikte görebileceğiz.

2) Güvenlik işine nasıl bulaştınız?

Güvenlik konusuna önce bir denetçi gözüyle eğitimini alarak, sonra bazı konularda açıklar bularak ve akabinde de Bilgi Sistemleri Denetimi ile ilgili kurumsallaşma faaliyetlerini yürüterek girmiş bulundum. Özellikle Teknoloji Risk Yönetimi ile ilgili görevimde, sürekli olarak ISO 27001’i bir değerlendirme kriterleri listesi olarak kullanmış, kurumun, süreçlerinin ve projelerinin güvenlik konusundaki durumunu ve güvenlikle ilgili risklerini denetimler yaparak tespit edip, bu risklere karşın önlemlerin alınması yönünde koordine edici çalışmalarda bulunmuştum. Zaten baktığınızda güvenlik riskleri, teknoloji risklerinin en görünür ve anlaşılabilir olanları arasında ön plana çıkar, kurumun itibarını yüksek düzeyde etkileyebilecek unsurlardır.

Özellikle Alternatif Dağıtım Kanalları’nın ülkemizde geliştiği ilk zamanlarda Yapı Kredi’nin o zamanki internet bankacılığı sistemi olan Teleweb’in Amerikan Mali Müşavirleri Enstitüsü AICPA’nin (American Institute of Chartered Public Accountants) uzmanları tarafından denetlenerek WebTrust Sertifikasyonu’nu edinme projesini yönetmem ile güvenlik nosyonuna daha detaylı hakim olma fırsatım oldu. Proje dünyada bir ilki gerçekleştirerek, bir kurumun 5 farklı güvenlik alanında yapılan detaylı değerlendirmelerin hepsinden birden geçmesi ile sonuçlandı. O tarihe kadar hiçbir kurumda 5’te 5 sonuç alınamamıştı.

Bunun dışında Yapı Kredi’nin IT hizmetleri sunduğu YKB Nederland’ın CobiT ve ISO27001 açısından denetimlerini her yıl gerçekleştirerek, raporları Hollanda Merkez Bankası’na (DNB) sunduk. Raporların kabul görmesi ve YKB Nederland’ın IT hizmetlerinin gelişimine katkıda bulunmak hem keyifli bir çalışma, hem de uluslar arası standartlarda iş yapıyor olduğumuzun bir diğer göstergesi olmuştu.

YKB’nin tüm sistem ve bilgi teknolojileri alanında yapılan her türlü dış denetimlere hazır tutulması, özellikle kredi kartları başvuru, değerlendirme, basım ve dağıtım süreçleri, ATM ve POS işlemlerinin VISA, MasterCard, Europay, BBB, sigorta firmaları, bağımsız denetim firmaları vb. tarafından denetlenmesi sırasında koordinasyon çalışmalarını yürütmek ve bu çalışmalar yapılmadan önce riskleri tespit edip denetimlerden başarılı geçmek çok keyifli ve tatmin edici iş sonuçları idi.

Bir diğer ilginç çalışma da şu an bir çok yerde karşımıza çıkan cep telefonu ve/veya kredi kartı ile alışveriş yapılan soğuk kutu içecek makinelerinin güvenlik denetimi idi. Cihazların o günlerde bir cep telefonu numarası verilerek konumlandırılması, yerin altında metro istasyonu vb. yerlerde telefonların çekmemesi, kart okuyucu birimlerin işleyişi ve kart bilgilerini şifrelemesi gibi enteresan konularda açıklar bulup çözüm önerileri ile kurumun tüm teknoloji bağlantılı ürün ve hizmetlerine daha piyasaya sürülmeden katma değer sağlama ve güvenli bir şekilde lansmanını yapma şansımız oldu.
3)Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?

Bu konuda söylenecek ve yapılacak çok şey var ama, öncelikle toplumumuzda edindiğim bazı gözlemleri paylaşmak isterim. Ülkemiz bir Akdeniz ülkesi, insanlarımız samimi ve dostça hareket ediyor. Türk insanı olarak, birkaç saatlik otobüs yolculuğu sırasında bile yanımıza oturanla kimiz, neyiz, ne iş yaparız, adresimiz, telefonumuz, neredeyse her şeyi hem de herkesin duyabileceği şekilde paylaşmayı doğal kabul eden bir yapımız var. Zannedersiniz ki zorla akraba çıkmaya çalışıyoruz. İşin bilinçlenme boyutunu düşünürsek, halkımız ve toplumsal yapımızla tamamen zıt bir konu bilgi güvenliği. Bu ülke Sosyal Mühendislik cenneti adeta diyebiliriz. Eskiden Taksim’de simitçiler ambalaj için bilgisayar çıktısı formları kullanırlardı. Allahtan raporlar sanal ortamda daha rahat tutulmaya başlandı da kimin hangi kurumla ne tür bir ilişkisi var gibi bilgiler, raporlar ve analiz sonuçları simitçiler seviyesinden daha farklı bir ortam ve katmana kaydı.

Gelelim kurumsal boyuta, bu alanda da tabii ki eğitimli ve kurumun varlıklarının değerini ve korunmasının gerektiğinin bilincine varmış yöneticilere çok ihtiyaç var. Ülkemizde bilgi güvenliğinin gelişmesi ve oturması için iki temel yol var. Birincisi “bir musibet” yaşamak, ikincisi de “Devlet baba”. Hal böyleyken, özel sektörde kurumsallaşmaya doğru giden yolculukta, firmalar için kar odaklılık birincil hedef olunca, patronlar bir musibet yaşamadan bu işlere pek el atmıyorlar, ya da gecikiyorlar. Halbuki sürdürülebilirlik diye bir kavram var, gelecekte de kar odaklı hareket edebilmek için kurumun varlıklarını, insanlardan başlayarak koruma bilinci oluşmalı. Bu varlıklar arasında bilgi varlıklarının neler olduğunun tespiti, bilginin ve bilgiyi işleyen ve taşıyan altyapının kesintiye uğraması, açığa çıkması, kaybı veya zarara uğraması durumunda ne tür zorluklarla karşılaşılabileceği önceden kestirilmesi ve önlemler alınması gereken hususlar.

Geçen gün yakın bir tanıdığımın görev aldığı çok büyük ve başarılı bir gıda zinciri firmasının bayram boyunca bayi ağı ile arasındaki sipariş ve stok takip işlemlerini gerçekleştirdiği tüm bağlantının hiç haber verilmeden kesintiye uğratılmış olduğu haberi ile irkildim. Herkes tatilde, kimseye ulaşılamıyor, bayiler özellikle bayram dolayısıyla katlanan tüketime karşın sipariş geçemiyor, üretim nereye ne göndereceğini bilemiyor, lojistik kilitleniyor. Maalesef çok ciddi boyutta kayıplara gebe bir çok kurum var. Yabancı sermayeli kurumlar ise, bilgi güvenliği açısından yerel firmalara göre birkaç adım ilerde olabiliyorlar. Tabi oldukları ülkelerin veya sermaye piyasalarının getirdiği yasal düzenlemeler (SOX, vb.) daha gelişmiş ve uygulanır düzeyde.

Devlet boyutuna gelince, tabii ki bazı olumlu gelişmeler var. Ama geçmişe bakınca yine musibet kökenli. Bankaların bilgi sistemlerinin denetimi İmar Bankası olayı ile gündeme geldi. İştirak niteliğinde kuruluşlar da bu kapsamda BDDK tarafından ele alınıyor. Telekomünikasyon sektöründe de enteresan ve olumlu yönde gelişmeler var. Ancak bilgi işlemin entegre olduğu tüm sektörlerde de düzenlemelere gereksinim olduğunu düşünüyorum. Örneğin, e-devlet çalışmalarının ve kamunun tümünün elden geçmesi ve belli kurallar bütünü içerisinde standardize edilmesi, denetlenmesi işin çok önemli ve büyük bir boyutu.

Bilişim sektörü başta olmak üzere, sigorta sektörü, iletişim – telekomünikasyon sektörü, sağlık sektörü, eğitim sektörü, savunma sektörü, gıda sektörü, ilaç sektörü, otomotiv sektörü, hava taşımacılığı, lojistik, vb. başta olmak üzere kısacası tüm sektörlerin esas kabul edeceği ve uymaları zorunlu bir çok farklı düzenlemeye gereksinimler var. Ancak her şeyin başında, temel olarak süreç yönetimi çalışmaları geliyor. Süreç yaklaşımını anlamak, iş süreçleri ve bu süreçleri destekleyen bilgi varlıklarını girdi, işlenen ve çıktı olarak analiz etmek ilk başlangıç noktası olmalı. Ne yazık ki bu işler aşağıdan yukarıya değil, yukarıdan aşağıya doğru giden bir yaklaşım ile yerine getirilebilen çalışmalar. Bu alanda uzmanlaşmaya giden genç arkadaşlarımız, konum olarak daha üst seviyelere gelmeyi beklemek durumundalar. O nedenle, kamu ve/veya özel sektörde ileriye yönelik yapısal düzenlemeler proaktif olmadıkça, gelişmeler maalesef musibet kökenli kalmak durumunda.

4)Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

Bu konuda genelgeçer şeyler söylemek istemiyorum. Güvenlik yazılımları konusu işin teknik boyutları ve benim spesifik uzmanlık alanım değil. Bu nedenle, evet, tabii ki ülkemizdeki uygun kaynakların tümünün bu alanda yapılacak çalışmalara yönlendirilmesi ve devlet, özel sektör ve akademik alanlarda teşvik edilmesini her şeyden önce bir Türk olarak isterim. Ama, bir evin kapısını penceresini koruma altına alacak bir yaklaşım ve yönetim bilinci olmadıktan sonra, güvenlik yazılımları konusu bana banyodaki duşakabin detayı gibi geliyor. Yani ihtiyacın neler olduğu konusunda büyük resmin ortaya çıkması ve kavranması lazım ki detaylara girilebilsin.

5)Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Her şeyin başında insan faktörü ve eğitim demek galiba ülkemizdeki bilgi güvenliği konusunu olgun seviyelere taşımak için “kök sebep” nitelikli en kısa cevap olurdu. Ülke genelinde çok olumlu ancak organize olmayan çalışmalar var. Devlet ve özel sektörün, üniversitelerin öncelikle işbirliği içerisinde ve bilinçli olarak hareket etmeleri, elde var olan yetişmiş işgücüne değer vermeleri, yetişmekte olanlara da edinilen birikimlerden yararlanma şansı tanımalarında yarar görüyorum.

Mesela Bilişim ve Teknoloji Bakanlığı kurulması ve/veya Bilgi Güvenliği’nin Milli Güvenlik ve Ülke Savunması’nın önemli bir alt başlığı olarak alınması ve topyekün bir yaklaşım geliştirmek bir başlangıç noktası olabilir. Sonuçta devlet kurumları, özel sektör kurumları, üniversiteler, yabancı sermayeli olsalar da ülkemizde faaliyet gösteren kurumlar ve sivil toplum kuruluşları  bu ülkenin varlıklarıdır ve ülkenin genel yaklaşımına uygun hareket edeceklerdir.  Yalnız, yanlış anlaşılmasın, yasakçı ve kısıtlayıcı kurallar bütünü ve yukarıdan aşağıya dikte edilen bir yaklaşım demek istemiyorum, ülkenin ve bu alanda faaliyet gösteren kurum ve şahısların önünü açacak, fırsatlardan yararlanacak ve yetişmiş insan gücünü kullanabilecek ilerici, düzenleyici ve sonrasında da denetleyici bir yaklaşımdan bahsediyorum.

Kurumlar bazında konuya bakarsak da, kurumlarda üst yönetim kademeleri içerisinde bilgi güvenliği konusunda yetkin çalışanların yer alması ve bunun zorunlu hale getirilmesi gerekiyormuş gibi geliyor bana. Neden CXO’ların arasında CSO (Chief Security Officer) veya CISO’lar (Chief Information Security

Officer) yok veya sayıları çok az diye düşünmek lazım.

6)Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

Bu konuda TR-CERT tarafından yapılan ve özellikle konu ile ilgili profesyonellerin arasında ses getiren çalışmaları izliyorum fakat çok daha yaygın ve ulusal politikaların belirlenebileceği bir yaklaşıma gereksinim olduğunu, toplumun, kurumların ve yöneticilerin BOME’nin (Bilgisayar Olayları Müdahale Ekibi) varlığı ve işlevleri hakkında daha iyi ve yakın bilgilendirilmesinde yarar olduğunu düşünüyorum.
7)Bu işe yeni başlayanlara neler önerirsiniz?

İleri seviyede İngilizce bilgisi, uluslar arası standartları inceleme ve literatüre hakim olma gibi konular mutlaka önemli. Ama çekirdekten yetişme güvenlikçi olmak için, önce çalışılan kurumun iş süreçlerine çok iyi hakim olmak, iş süreçlerinde kullanılan bilgi ve bilgi varlıklarını çok iyi anlamak ve bu varlıklara ilişkin ne tür risklerle karşılaşılabilir sorusunun cevaplarını değişen teknoloji ve iş koşulları içerisinde sürekli olarak verebilmek daha önemli gibi geliyor bana. Önce ihtiyacı belirlemek, sonra çözüm aramak veya geliştirmek daha mantıklı geliyor bana.

Geçmişte teknik kökenli bazı analiz ve denetimler sonucunda elde edilen ve heyecanla çok kritik diye nitelendirilen bazı bulguların, işe olan etkisi dikkate alındığında kolaylıkla göz ardı edilebilir olduğunu da sıklıkla gözlemlemekle beraber; uygun kıvamda teknik, uygun kıvamda da iş odaklı hareket edilmesi sayesinde bilgi güvenliği ile ilgili çok daha yerinde yatırımlar yapılabileceğini düşünüyorum.
8)Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?

Bu konuda hemen size son göz gezdirdiğim kitap ve oradaki 14 temel trendin şekillendirdiği senaryolardan bahsetmek isterim. Kitabın adı “Wireless Foresight: Scenarios of the Mobile World in 2015”. Trendler 2015 yılında Bilgi Güvenliği konusunda konuşulacak hususlarla ilgili çok güzel ipuçları veriyor. Kullanıcıların kendi uygulamalarını geliştirmeleri, kullanıcıların daha da mobil olmaları, hizmet ve uygulama pazarının büyümesi, kullanıcıların mahremiyeti ve bilgi bütünlüğü gereksinimlerinde artış, radyasyon nedeniyle ortaya çıkan veya algılanan sağlık sorunlarına hassasiyetin artması, çevrecilik bilinci ve çevreye verilen önemde artış, mobil teknolojinin gelişme ve yayılma hızı, 3G’nin getirdikleri, İçerik korumanın gittikçe zorlaşması gibi trendler güvenlik dünyasını şekillendirecek yeni veya farklılaşan unsurlar gibi görünüyor.

9)Güvenlik sertifikaları konusuna ne düşünüyorsunuz?

Güvenlik sertifikalarının kanımca çok faydalı olduğunu ve asgari düzeyde yetkinliğin belgelenmesi açısından kariyer gelişiminde önemli olduğunu düşünüyorum. Ancak bu sertifikaların iş bilgisi ve kurumsal tecrübe ile bütünleşmesi, yani sertifikanın hakkını verebilmenin çok daha büyük avantajlar yaratacağı görüşündeyim. Kendi alanımla ilgili olarak sahip olduğum sertifikaların tümünü tavsiye ederim. Ayrıca CISSP de özellikle Bilgi Güvenliği alalında en muteber sertifikalardan biridir.

10)Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Bu konuda özellikle büyük maddi kayıplara ve/veya yolsuzluklara sebebiyet verebilecek kritik nitelikli bazı problemlerle, genellikle de daha problem ortaya çıkmadan veya risk gerçekleşmeden işim  gereği karşılaşmış olduğumu söyleyebilirim. Bu soruyla ilgili olarak ancak herkesin bildiği ve basına yansıyan problemlerden bahsedilebilir diye düşünüyorum, dilerseniz özel bilgiler bende kalsın.

11)Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitapların okunmasını tavsiye edersiniz?

Yukarıda bahsettim.

12)Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?

Açıkçası bir zamanlar kahramanım Kevin Mitnick idi. Ta ki kendisini şahsen tanıyana kadar. Ülkemize geldiğinde bir konferansta karşılaşmamız ve tekerlekli bavullarıyla birlikte “ne kadar bilinçli olduğunu” göstere göstere tuvalete girdiği ana kadar her şey iyiydi. Söylemesi ayıp, ben yatılı okulda okudum. Bir çok muziplik yaptık küçükken ve bir çok muziplik de bizlere yapıldı. Kevin Bey tuvalete girince, bir eli bavullarında, bir eli de pantolonundayken kendisine ufak bir muziplik yapınca….. J neyse diyelim geçelim…

13)Güvenlik dünyasında en fazla kullandığınız yazılım hangi?

Ben genel geçer kullanılan kişisel bilgisayar koruma, izleme ve tarama amaçlı yazılım ve ürünler dışında, özel bir yazılım kullanmıyorum.

14)Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

İşim gereği daha çok standartlar, düzenlemeler ve sorunlara ilişkin çözümler sunan, kurumsal bilgi güvenliği alanında yoğunlaşan siteler ve bir de özellikle güvenlik uzmanlığı ve danışmanlığı hakkında iş tanımı yapılan ilanları inceliyorum. ISACA web sitesi başta olmak üzere, audit.net, NIST, OGC, BrightTalk’un WebCast’leri, ITSM vb. siteleri takip ediyor, buralardan gelen bülten ve mesajları izliyorum.

15)Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

Seçerdim. Neden olmasın…
16)Bir güvenlikçinin en önemli özelliği size göre nedir?

Görünenle görünmeyen arasındaki farkı anlayabilecek sorular sorabilmesi, aklına gelen konularda neyi nereden bulabileceğini bilmesidir diyebilirim.

17)Bilgilerinizi ve tecrübelerinizi internet ortamında paylaşıyor musunuz? Neden?

Yeri geldikçe belli kurallara uyacak şekilde seve seve paylaşıyorum ama bunu sizler gibi düzenli hale getirmeyi de hedefliyorum.

18)Paylaştığınız şeylerin kötü amaçlı olarak kullanılması karşısında düşünceleriniz nelerdir?

Çok kızarım ama, dediğiniz gibi hangi amaca hizmet ettiğini de düşünerek uygun bir eylemde bulunurum.

Yakın geçmişte çok saygın ve asla konduramayacağınız bir kurumun, üzerinde her türlü uyarı ve yasal ibarelerin yer alıyor olmasına rağmen benim isteğim ve iznim dışında aylarca emek verdiğim çalışmaların büyük bir kısmını sorgusuz sualsiz ve başkası tarafından hazırlanmış gibi göstererek, ama kimi yerlerde kompozisyonu ve kullandığım renkleri bile değiştirmeye üşenerek internette yayınlamış olmasına çok üzüldüm. Biliyorum kanun var nizam var memlekette…

Ancak baktım ki bu bilgilerden direkt veya dolaylı olarak gerçekten faydalanan gençler var. Konu belli, içerik belli, amaç belli, varsın dedim böyle kalsın şimdilik. Ötesini ve bu kararın sonuçlarını zaman gösterecek diye düşünüyorum.

Bu röportaj için tekrar teşekkür ederim, benim için çok keyifli oldu. Umarım bülteninizi okuyan arkadaşlarıma ve meslektaşlarıma az da olsa bir şeyler katmıştır. Saygılarımla.

The post Güvenlik Röportajları #29 Cüneyt ÜVEY first appeared on Complexity is the enemy of Security.

1)Kısaca firmanızdan/ekibinizden bahsedebilir misiniz?

Zemana Ltd, merkezi İstanbul-Türkiye’de olan, online tehditlere karşı, kullanıcıları korumak için çözümler üreten, global internet güvenlik firmasıdır.

Zemana ürettiği proaktif güvenlik çözümleri ile başta e-ticaret ve e-bankacılık bilgileri olmak üzere, elektronik kimlik ve işlem hırsızlığına karşı en etkin korumayı sağlar.

Ekibimizde Türk ve yabancı, alanında profesyonelleşmiş kişiler görev almaktadır.

2)Güvenlik işine nasıl bulaştınız?

Henüz Türkiye, yerli üretim güvenlik ürünleri ile dünya pazarına girmemişti. Romanya’dan “Bitdefender” , Slovakya’dan “ESET”, Rusya’dan “Kaspersky” varken neden Türkiye’den “Zemana” olmasın dedik ve bu konuda adımlarımızı atmaya başladık.

Öncelikle üniversite yıllarında kendi çabalarımızla bireysel olarak başlattığımız güvenlik projelerimizi 3 yıl boyunca ARGE olarak geliştirdik ve yine üniversite yıllarından tanıdığımız, Antivirüs firmalarında çalışmaya başlamış arkadaşlarımızı kendi firmamıza transfer ettik. Böylece uluslararası arenadaki serüvenimiz başlamış oldu.

3)Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?

Türk milleti olarak; her işte olduğu gibi güvenlikte de, bize birşey olmaz noktasından hareket ediyoruz. Güvenlik programlarına ödenecek para fuzuli kabul ediliyor. Kullanıcılar, taki başlarına kötü bir şey gelene kadar, hiçbir önlem almıyor.

Kurumlar ise kendi sunucularının güvenliğine çok fazla önem verirken, kullanıcılarının güvenliğine önem vermiyorlar. Örneğin Türkiye’deki bir bankanın sunucusu hack etmek Amerika’daki bir bankanın sunucusunu hack etmekten çok daha zor olabilir ama zincirin diğer halkası olan kullanıcılarını hack etmek de bir okadar kolay oluyor çünkü tüm güvenlik yatırımı kurum içi yapılıyor.

Bu duruma son vermek için, güvenliğin önemi çok iyi anlatılmalı ve güvenlik bilinci yaratılmalıdır. Bu doğrultuda, devlet ve sivil toplum kuruluşları bir araya gelerek, güvenlik bilincini yaymak için ortak akıl oluşturmalıdır.

4)Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

Global dünyada yaşadığımız bilinciyle, üretilecek Türk menşeli güvenlik ürünlerinin, tüm dünyada satabilecek kalitede olması gerektiğine inanıyoruz. Bu bağlamda, üniversitelerimizin ilgili bölümlerinde, kalıplaşmış standart eğitimin yanında daha ileri seviyede ve yaşadığımız teknolojilere paralel, kaliteli eğitim verilmeli. Buralardan mezun olacak gençler için teşvik edici uygulamalar devreye sokulmalı. Verilecek teşvikler; büyük firmalardan ziyade, bu işe ilgi duyan gençlere hitap etmeli ve teşvik prosedürlerinin de herkesçe yerine getirilebilecek basitlikte olması gerekmektedir. Aksi takdirde, teşvikler bir işe yaramaz ve bu işe ilgi duyan cevherler ortaya çıkartılamaz. Kısacası devlet teşviklerini uygularken pozitif ayrımcılık yapmalıdır.

Şonuç olarak, kaliteli ve dünya standartlarında olmayan yerli üretimin ülkemize hiçbir faydası olmayacaktır.

5)Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

İlk önce, toplumda güvenlik bilinci oluşturacak yayınların çoğaltılması ve toplum önderlerinin bu konuda daha fazla rol alması sağlanmalıdır. Örneğin; sigaranın zararları, kanserden korunma yolları devlet desteği ile nasıl anlatılıyorsa; bu denli gelişen ve büyüyen internet çağında da sanal güvenlik ile ilgili yayınların yapılması gerekir.

6)Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

Bu tür kuruluşların varlığı bile önemlidir. Şu an için yeterli olmasa bile, devlet desteği ile kurulan veya sivil toplum kuruluşlarının ortaya çıkardıkları kuruluşlar önemlidir.

7)Bu işe yeni başlayanlara neler önerirsiniz?

Herşeyden önce ileri seviyede İngilizce öğrenmelerini ve Internette Türkçe kaynağa bağlı kalmadan devamlı araştırmalarını.

8)Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?

İnternet üzerinden kimlik bilgilerinin kullanılması yaygınlaşacak ve buna paralel olarak bu bilgilere yönelik saldırılar da her geçen gün artacaktır.

Bu doğrultuda, Ipv4 ve Ipv6 protokolleri tamamen kaldıracak ve yerine aynı telefon numaralarında olduğu gibi IP adreslerini de, kişilerin gerçek kimliği ile eşleştiren bir zorunlu IP protokolü oluşturulacak, aksi taktirde cyber saldırılarının mutasyonuna bakıldığında bunların önüne geçmek yazılım yada donanım ile sağlamak mümkün olamayacak.

9)Güvenlik sertifikaları konusuna ne düşünüyorsunuz?

Günümüzde alınan güvenlik sertifikaları, bilhassa da ülkemizde bu sertifikaları veren kuruluşların bunu ranta dönüştürdüğünü görüyoruz. Belli bir süre sertifika programlarına katılan herkese bu sertifikalar kolaylıkla verilmektedir. Bundan dolayı alınan sertifikalar, etiketten öteye geçememektedir.

Gerçekten bu işe ilgi duyanların, sertifikalardan ziyade, bu işe odaklanmaları, çok çalışmaları ve trendleri yakından takip edip bilgilerini güncel tutarak kendilerini geliştirmeleri gerekmektedir. Orneğin biz personel alımlarımızda kesinlikle diploma yada sertifika sormuyoruz sadece istediğimiz konuları bilip bilmemesi ile ilgileniyoruz, yabancı firmalarda da bu böyle ancak ne yazık ki Türkiye’de iş bulmak için bu etiket , mülakat için bir vize.

10)Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Kendi kontrolümüzde olmayan ve kullanmak zorunda olduğumuz servisler. ISP gibi.

11)Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitalpların okunmasını tavsiye edersiniz?

Securing Business Information, Intel press.

12)Bilgi güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı

Biz yaptığımız işi en iyi şekilde ve dünya standartlarında yapmaya çalışıyoruz. Bu işi iyi yapanları takdir edip yakından takip ediyoruz.

Örneğin; Eugene Kaspersky ve Mark Shuttleworth

13)Güvenlik dünyasında en fazla kullandığınız yazılım hangisi?

PE editorler ve Network sniffing araçları.

14)Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

http://blog.metasploit.com/

http://blog.lifeoverip.net/

http://blogs.securiteam.com/

http://www.rootkit.com/

http://news.cnet.com/security/

http://www.zdnet.com/blog/security

http://www.offensive-security.com/

http://www.osronline.com/

15)Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

İnsan yapacağı işi şeçmekten ziyade, istediği, severek yapabileceği işi yapmalıdır. Bizde güvenlik işini severek, isteyerek yaptığımiz için, her zaman bu işi yapardık diye düşünüyoruz.

The post Güvenlik Röportajları #28 “Zemana” first appeared on Complexity is the enemy of Security.