Güvenlik Röportajları #19 Burak BAYOĞLU

Güvenlik kahvesinin bu haftaki konuğu TÜBİTAK/UEKAE’den Grup ve Proje Yöneticisi Burak BAYOĞLU.

NGB:Kısaca kendinizden bahsedebilir misiniz?

Burak Bayoğlu:1980 yılında Marmaris’te doğdum. Üniversite öncesi öğrenimimi Mersin’de tamamladım. 1997 yılında İstanbul Teknik Üniversitesi Elektronik ve Haberleşme Mühendisliği Bölümü’nü kazanmamla beraber İstanbul maceram başladı. 1998 yılında ikinci ana dal olarak Kontrol ve Bilgisayar Mühendisliği Bölümü’ne de devam etmeye başladım.

2001 ve 2002 yıllarında bu lisans bölümlerinden mezun oldum. 2002-2004 yılları arasında Sabancı Üniversitesi Bilgisayar Mühendisliği Bölümü’nde Doç. Dr. Albert Levi danışmanlığında Yüksek Lisans çalışmamı tamamladım. 2004 yılından bu yana, Doç. Dr. İbrahim Soğukpınar danışmanlığında Gebze Yüksek Teknoloji Enstitüsü Bilgisayar Mühendisliği Bölümü’nde Doktora çalışmama devam etmekteyim.

2001 yılında TÜBİTAK Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü(UEKAE)’nde Araştırmacı olarak çalışmaya başladım. Halen aynı kurumda Proje Yönetici ve Başuzman Araştırmacı olarak görevime devam etmekteyim.

UEKAE bünyesinde, Güvenli Sistem Kurulumu, Güvenlik Testleri, Bilgi Güvenliği Eğitimleri, Bilgi Güvenliği Yönetim Sistemleri danışmanlık, kurulum ve denetim projelerinde aktif görevler aldım ve proje yönetim faaliyetlerinde bulundum. Yedi bilgi güvenliği uzmanından oluşan grubun yöneticisiyim. Microsoft Sistemleri Güvenliği, ISO/IEC 27001, ITIL, CoBIT, İş Sürekliliği Yönetim Sistemleri başlıca çalışma konularım. Tasarsız (ad hoc) ağ güvenliği, WTLS prokolünde açık anahtar kripto sistemlerinin kullanımı, Polimorfik Solucanların Tespiti konularında uluslararası dergi ve konferansalarda yayınlanmış makalelerimin yanında çeşitli ulusal yayın organlarında bilgi güvenliği üzerine makaleler yazmaya gayret ediyorum. Malesef artık ayakta olmayan ama her an canlandırmak için fırsat kolladığım BT Guvenlik isimli çalışma grubunda, Cenk Örnek, Emre Sucu, Feridun Aktaş ve adını yazmayı unuttuğum için binlerce kez özür dilediğim değerli arkadaşlarımla Türkiye İç Denetim Enstitüsü (TİDE) bünyesinde kar amacı gütmeyen eğitim serileri düzenledik. Neredeyse dernek olacaktık ki bu uğurda ikinci toplantıyı yapamadık 😉

 

NGB:Güvenlik işine nasıl bulaştınız?

Burak Bayoğlu:Benim için büyük bir şanstır ki kariyerime bilgi güvenliği konusunda başladım. Yeni mezun bir mühendis olarak bilinçli şekilde bilgi güvenliği konusunda çalışmaya başladım desem çok az insan inanır sanırım. Mezun olmadan altı ay önce biri sormuş olsaydı muhtemelen Netaş, Alcatel, Aselsan vb. bir firmada AR-GE yapacağımı ya da bir GSM operatörünün RF takımında çalışacağımı söylerdim. Gel gelelim mezuniyetimden bir gün önce değerli bir hocamın UEKAE diye bir yer var demesi üzerine yeni mezun olarak ilk ve tek iş görüşmesini yapmamın devamında güvenlik işine farkında olmadan bulaşmış oldum. 2001-2004 yılları arasında, OKTEM isimli harika projede, Türkiye’nin Ortak Kriterler (Common Criteria) yapısının kurulmasından tutun da, güvenlik prensiplerinin geliştirilmesi, güvenlik testleri, güvenlik eğitimleri, işletim sistemleri ve uygulama güvenliği, TR-CERT altyapısının kurulumuna kadar çok sayıda temel çalışmada görev aldım. Bunların yanında gelen bilgi sistemleri denetimi açılımı, CISA telaşı, CISSP merakı, 27001 (o zamanlar BS 7799-2) vs. vs. maceralar derken bir de bakmışız ki güvenlikle yatar kalkar olmuşuz…

NGB:Turkiye’de bilgi guvenligi konusunu degerlendirebilir misiniz

Burak Bayoğlu:İstisnalar kaideyi bozmaz diyerek lafa başlayıp önce tek kelimeyle özetlemeye çalışacağım Türkiye’de bilgi güvenliğini…“İlgili yasal düzenleme varsa atlatılması gereken, yasal düzenleme yoksa da idare edilmesi gereken bir süreç”. Okumaya vakti olanlar için aşağıda biraz daha kalabalık cümlelerle değerlendirmeye çalıştım.

Türkiye’de bilgi güvenliği farklı sektörlerde çok farklı olgunluk seviyeleri gösteriyor. Gördüğüm kadarıyla, Silahlı Kuvvetler, Finans Sektörü ve İletişim Sektörü diğerlerine göre bu işi çok daha fazla ciddiye alıyor. Kamuda geçmiş yıllara göre yadsınamayacak kıpırdanma ve ilerlemenin yanında alınması gereken uzun bir yol var. Küçük ve orta ölçekli işletmelerde iyi denilebilecek firmalar güvenlik duvarları ve virüs koruma yazılımlarıyla gurur duyuyordur. Anlıyoruz ki sahip olunan bilginin ya da işletilen sistemlerin güvenliği ulusal çıkarları tehdit ediyorsa ya da gerçekten büyük hacimde mali sorumluluklar getirebilecekse gereken önem verilebiliyor. Aksi takdirde malesef ürün sağlayıcıların yönlendirmesinden öte bir güvenlik bilinci oluşamıyor. Sektörel bazda değerlendirmem kısaca böyle.

Belki bana kızabilirsiniz ama patronların güvenliği yük olarak görmesini çok da haksız bir davranış olarak görmüyorum. Patron kişinin adı üstünde, patron kendisi. Mali tabloya bakar ve katma değer görmek ister. Eğer güvenlik adına yapılması istenen yatırımlarının geri dönüşü gösterilemiyorsa bence kusur patronlarda değil biz bilgi güvenliği uzmanlarındadır. Sadece bir masraf listesine onay almak için yöneticilerin karşısına çıktığımızda, hele de güvenlikçilerin o karşı konulmaz “korkutma” taktiğiyle köşeye sıkıştırdığımızda, ilk fırsatta kesilecek masraf kalemi oluveriyor güvenlik yatırımları. Halbuki denklem çok basit. Yöneticilerin ilgisini çekebilecek iki temel kavram var. Bunlar, “kazanç” ve “kayıp”. Ahkam kesmeye başladığımızda herkese öğütlediğimiz “Risk Temelli Yaklaşım” aslında yöneticilerin konuya bakış açılarını değiştirmek için kullanmamız gereken yegane yöntem. Eğer güvenliğe gereken önem verilmiyorsa, yapılması gereken yatırımların kurumu hangi kayıplardan kurtarmayı amaçladığını, yani riski yeterince iyi anlatamıyoruz demektir. Diyelim ki anlatamadık ya da ısrarla anlamadıklarını düşünüyoruz, o zaman da yaşanan kayıpların daha önce önerilen güvenlik yatırımı önerileriyle nasıl hafifletilecek olduğunu ya da hiç yaşanmayabileceğini anlatmak ayrıca önemli. Diyelim ki ne nesnel çıkarımlarla güvenliğin gerekliliğini ortaya koyabildik ne de yaşanmış bir olayla aslında gerekli olduğunu gösterebildik… o zaman güvenliğe yük olarak bakmalarından daha normal ne olabilir ki? 😉 “Ne kadar bilirsen bil, anlatabildiklerin karşındakinin anlayabileceği kadardır” deyişi herşeyi anlatıyor. Konumuzda ne kadar yüksek bilgi seviyesine çıkarsak çıkalım, muhasebe tutan personelde bilgi güvenliği farkındalığı oluşturmak, üst düzey yöneticilere güvenliğin önemini anlatmak vb. işleri başarabilmek için “onların dilinden konuşmayı” öğrenmemiz gerekiyor.

 

NGB:Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

 

Burak Bayoğlu:Öncelikle yazılımı bir kenara bırakırsak bir ülkede üretimin artması ve daha da önemlisi ürünlerin ihraç edilmesi hiç şüphe yok ki faydalıdır. Güvenlik yazılımları için de aynı kural geçerli benim için. Söz konusu olan ulusal güvenlik ise, öncelik ulusal çıkarların korunması ve bağımlılığın azaltılmasına kayabilir. TÜBİTAK UEKAE bu konuda gurur verici çalışmalar yapıyor. Milli Açık Anahtar Altyapısı (PKI), kripto yazılımları ve donanımları, DLP vb. çok sayıda önemli güvenlik yazılımları geliştiriliyor. Eğer ticari amaçlı bir güvenlik yazılımı geliştirilecekse bu çalışmaları da destekleyen kamu birimleri mevcut. İhtalatın azaltılması, yerli yazılımcılara istihdam sağlanması, yenilikçi bir tasarım yapılması vb. etkenler projelerin desteklenmesinde göz önünde bulunduruluyor. Yerli yazılımcılara sağlanacak istihdam imkanını aklımızda tutmak kaydıyla ticari amaçlı bir güvenlik yazılımının illa ki Türkiye’de geliştirilmesi gerektiği konusunda çok fanatik değilim. Her konuda olduğu gibi yazılım geliştirme konusunda da küreselleşmenin kurallarına uymak ya da kuralları değiştirmek durumundayız. Dünyanın yazılım geliştirme devlerinin kadrosu Birleşmiş Milletler’den farksız. Örneğin Microsoft’un Redmon’daki yerleşkesinde bulunma şansım oldu, Amerika’lı dan daha çok yabancı kökenli arkadaşlarla karşılaştım. Hindistan, Kuzey Avrupa vb. yerlerde bulunan yazılım üsleri de cabası. Dolayısıyla Türkiye sınırının dışına çıkmak için kurala uyup devlerin sahasına girmek lazım ya da Türkiye’yi küresel bir yazılım üssü haline getirmemiz lazım. Bunun için yetişmiş gücümüz yadsınamayacak kadar çok. Teknoloji Serbest Bölgeleri ve KOSGEB bu konuda atılmış önemli adımlar olarak karşımıza çıkıyor.

NGB:Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Burak Bayoğlu:Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için kritik başarı faktörlerini Türkçe içerik, Yasa desteği ve Eğitim olarak sıralayabilirim. Türkçe içerikli oldukça kaliteli portaller mevcut. www.bilgiguvenligi.gov.tr ile üzerimize düşen görevi en iyi şekilde yerine getirmek için çaba harcıyoruz. Bu portale camiadan gelen makalelerin sayısı da hiç az değil. Tabi ki çok sevindirici. Bu ortamlar çoğunlukla bilgi güvenliği uzmanlarına hitap ediyor. Son kullanıcılar için de elbet içerikler mevcut fakat onların bu yayınlara yönlendirmek için daha çok tanıtım faaliyetine ihtiyaç var. Daha doğrusu bir şekilde dikkatlerini çekmek gerekiyor. Talep artırılmadığı sürece içeriğin artması da pek fayda sağlamayacak. Günlük gazetelerde bilgi güvenliğiyle ilgili yazı dizilerinin farkındalık seviyesine katkı sağladığını düşünüyorum.

Bilgi güvenliği konusunda yasal mevzuatın tamamlanması konusunda hiçbir çalışma yapılmıyor desek haksızlık etmiş oluruz. Bunun yanında alınan yol ile alınması gereken yol arasında hala dağlar kadar fark var. Özellikle bu konuda gelişmiş ülkelerin yanında halen çok temel mevzuat düzenlemelerinde eksikliklerimiz bulunuyor.

NGB:Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

 

Burak Bayoğlu:Türkiye’de siber güvenlik ile ilgili bir kurumun ihtiyacına elbette inanıyorum. Aslına bakarsanız konu siber güvenlik gibi geniş olunca ihtiyacı tek kurum ile karşılamak da çok mümkün değil. Türkiye’de siber güvenlikle ilgili kurumlar yok değil. Emniyet güçleri bünyesinde bilişim suçları şubeleri görev yapıyor, TÜBİTAK UEKAE bünyesinde TR-CERT kamu kurumları için CERT koordinasyon merkezi görevini yerine getirmeye çalışıyor, bir yandan da kamu kurumlarının kendi CERT takımlarının kurulabilmesi için çalışmalar yapılıyor. ULAK-CSIRT, Türkiye’nin akademik ağı olan ULAKBİM kapsamında CERT faaliyetlerini yürütüyor. Siber güvenlikle ilgili birimleri olan diğer kurumlar da mevcut. Bence Türkiye’de eksik olan, bütün bu dağınık faaliyetlerin regülasyonunu yapacak ve ortak stratejiyle hareket etmelerini sağlayacak bir üst kurum. Bu amaçla uzun zaman önce başlayan bir kanun çalışması da var ama sonuçlanmıyor. Belki de sıra gelmiyor… Lafın kısası bir gün Türkiye’nin de “Ulusal Bilgi Güvenliği Teşkilatı” olacak. O günü görür müyüz, görürsek bizlere ne görevler düşecek… bekleyip göreceğiz. (Umarım görürüz 😉 )

NGB:Bu ise yeni baslayanlara neler onerirsiniz?
Burak Bayoğlu:Bilgi güvenliği konusunda profesyonelleşmek isteyenlere önerim, dar alanlara kapanıp kalmamalarıdır. Belirli konularda uzmanlaşmak ve sivrilmek önemli fakat genel güvenlik prensiplerini öğrenemek için kendine vakit ayırmadan spesifik alanlarda bıdıklık yapmak yıllar geçtikçe kişiyi kendi ördüğü duvarlar arasında yanlız bırakır. Her ne alanda uzmanlaşmayı hedefliyorsak hedefleyelim, yaptığımız işte en önemli unsurun insan olduğunu unutmamak gerekiyor. İletişim ve proje yönetimi becerisi, teknik uzmanlık konusuyla beraber geliştirilmeli. Çalıştığımız konuyla ilgili belli başlı e-posta listeleri ve periyodik yayınların takibi oldukça önemli. Hızlıca bir google araması yapıldığında çok sayıda kaynağa ulaşılabilir. Takip etmeyi hedeflediğiniz kaynakların sayısının artması, bir süre sonra hiçbirini takip etmemeyi de beraberinde getirecektir. Konudan konuya farklılık gösterebilir ama ben securityfocus.com e-posta listelerinden ve SANS okuma odalarından çok faydalanmıştım. CISA konsepti ve 7799 standardlarıyla tanışmam da kısıldığım teknik alanlardan çok daha geniş güvenlik bakış açısına geçmemi sağlamıştır. Yeni başlayanlar için hemen hemen aynı kategorilerde farklı bakış açıları olan 27001 standardı, CISSP hazırlık kitapları, CISA hazırlık kitapları iyi bir ilk okuma noktasıdır.

NGB:Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?

 

Burak Bayoğlu:2015, çok da uzak bir zaman değil. Bu sebeple konuların çok farklılaşacağını sanmıyorum. Güvenlik problemlerimiz uzun yıllardır aynı aslında. Kimlik doğrulama, şifreleme, yetkilendirme vs. vs. II. Dünya Savaşı sırasında kullanılan elektro-mekanik bir rotör makinesi olan Engima’nın 32 sayfa(attım) kod kitabı varmış hocam diye konuşuyorlardı o zamanın bilgi güvenliği uzmanları sanırım. Sezar’ın şifreleme algoritması hala anlatılır derslerde, ben olsam 5 karakter kaydırırdım falan deriz. 40 bit SSL çerez gibi kırılıyor diye konuştuk bir ara. 2015 yılında bu rakamlar ve teknolojiler biraz daha farklılaşmış olacak. Yeni teknolojilerde güvenlik genelde arkadan geliyor. Bu teknolojiler yaygınlaşana kadar da efsane şeklinde güvenlik açıklıkları konuşulmaya başlanıyor. Özellikle kablosuz teknlojilerin ve her noktadan İnterenet bağlantısının gün geçtikçe hayatımıza daha çok girdiğini düşünürsek sanırım yaygın ağların (pervasive/ ubiquitous networks) komikliklerinden bahsediyor oluruz. Bizim komşu fırınına şifre koymamış, yaktım kestanelerini… diye eğleniriz birbirimizle herhalde 😉

 

NGB:Güvenlik sertifikaları konusuna ne düşünüyorsunuz?

Burak Bayoğlu:Serifikalar, kişinin bilgi seviyesi için belirli seviyede fikir veriyor elbette. Tek başına işe yarayacaklarını düşünmüyorum. Özellikle, herhangi bir deneyim gereksinimi olmayan, ortalıkta soru bankaları dolaşan sertifikaların çok da geçerli olduğunu söyleyemem. Çoğu sertifika, kapsadığı alanlar ve adayı getirmek istediği nokta açısından faydalı. Bu sertifikaların sınavlarına ciddi şekilde çalışan adayların bilgi haznelerine kesinlikle önemli bilgiler eklediğinden eminim. Bir yandan da sadece ilgili sınavı geçmek için soru bankalarına çalışan adayların kendinlerine çok şey kattığını düşünmüyorum. Problem şu ki sonuçta hangi yöntemi izlemiş olursa olsun CV’ye yazılan sertifikanın adı aynı. Eğer bir iş görüşmesi yapıyor olsaydım, adayın ne kadar çok sertifikası varsa o kadar çok soruyla karşılaşırdı. Eğer aday bir konuda yetkinlik iddiasında bulunan sertifikaya sahipse profesyonel anlamda ne kadar dürüst olduğunu anlamak için bilgi seviyesini ciddi şekilde tartardım. Sonuç olarak adının altına yazmak için geçiştirdiği bir çalışma süreci olduğunu hissedersem faydasından çok zararı olurdu. Dürüstlük, teknik yetkinlikten çok daha önemli bir meziyet.

CISA, CISM, CISSP, PMP ve de SANS’ın ilgili sertifikaları bence hala saygın sertifikalar. Elbette adayların dürüstlüğü çok önemli. Mesela, gerekli görülen deneyim süresini doldurmadan CISA sertifikasını alan bir arkadaşımız bence uzun vadede kariyerini baltalamış oluyor. Aynı zamanda ilgili adayı onaylayan (endorser) da aynı şekilde inanılırlığını tehlikeye atıyor. Camiamızda bu konuya daha çok önem vermek gerekiyor. PMP sertifikasını da güvenlikle ilgili sertifikalar arasında saydım çünkü etkili proje yönetimi, her alanda başarıya ulaşmak için olmazsa olmazlar arasında. Senin PMP sertifikan var mı derseniz, malesef henüz yok 😉 Sınav başvurumu yaklaşık 8 ay önce yaptım ve kabul edildi. Bir ara zaman bulup sınava girebilmeyi umut ediyorum 😉 

 

NGB:Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Burak Bayoğlu:Karşılaştığım ciddi güvenlik problemlerinin hepsinin kaynağında insan hataları vardı. Ne gariptir ki baş rol oyuncuları da çoğunlukla  BT uzmanlarının ta kendileriydi 😉 Anlatması dile kolay olan ama pratikte uygularken kırk dereden su getirdiğimiz “En az haklar (Least Privilege)” ve “Görevlerin Ayrılığı (Segregation of Duties)” prensiplerinin etkin şekilde uygulanması için pratik yöntemler bulmalıyız. Personel sayısının yetersizliği ve sahip olunan gücün kaybedilmeme isteği (ben yanlış yapmam mantığı) yaşadığı sürece bu problemlerle yaşamaya devam edecek gibi duruyor çoğu kurum.

NGB:Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitalpların okunmasını tavsiye edersiniz?

 

Burak Bayoğlu:Eğri oturayım, doğru cevap vereyim 😉 Eğer olur da kitap okumaya vakit bulabilirsem daha beşeri konularda okumaya çalışıyorum. Digital Fortress kitabını okurken zaman zaman kitaptan kopup bilgi güvenliği konusunda bu kadar da atılmaz diye eğlendiğim zamanlar olmuştu. Bilgi güvenliği profesyonelleri için Schneier’in Secrets&Lies’ı vb. kitaplar daha önce çok tekrar edilmiştir. Farklı disiplinlerde okuma yapmanın daha faydalı olduğuna inanıyorum. ISACA’nın COBIT Focus dergisini ve PMI’ın PMNetwork dergisini düzenli olarak takip etmeye çalışıyorum. Okuyorum demek belki yavan kalacak, son zamanlarda “çalıştığım” bir kitap olarak McKenna ve Maister’in “First Among Equals” kitabını herkese tavsiye ederim.

NGB:Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı

Burak Bayoğlu:Bilgi güvenliği dünyasında budur diyeceğim ve örnek aldığım bir kahramanım yok. Eğer en yakın olanları söylemem gerekirse, şu an grubumda benimle beraber çalışan arkadaşlarımı kahramanlarım olarak ilan ederdim. Hepimiz birbirimizin iyi özelliklerini örnek alıyoruzdur elbet ama ben bunun için değil, en zorlu projelerde, bazen sadece kahramanlarda bulunabilecek bir cesaretle yanımda oldukları için adlarını sayardım. Abdurrahman Pektaş, Ali Dinçkan, Battal Özdemir, Deniz Demirel, Fatih Koç, Oktay Şahin ve Osman Pamuk… işte benim kahramanlarım !

 

NGB:Güvenlik dünyasında en fazla kullandığınız yazılım hangi?

 

Burak Bayoğlu:Eski adıyla Ethereal, yeni adıyla Wireshark en çok başvurduğum yazılım sanırım. Ne zaman lazım olsa en bakir bilgiyi en kullanışlı şekilde hizmetime sunduğundan özel bir yeri vardır bende 😉

 

NGB:Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

Burak Bayoğlu:Aslında kaynak çok ama takip etmekten bahsedince liste biraz daha kısalıyor benim için. (Türkçe içeriğe kıyak geçtim 😉 )

www.bilgiguvenligi.gov.tr

www.lifeoverip.net

www.beyazsapka.org

www.fazlamesai.net

www.securityfocus.com

www.schneier.com

http://isc.sans.org/

NGB:Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

 

Burak Bayoğlu:Ne kadar geriye dönebileceğime bağlı olarak değişir aslında. Eğer Bilgisayar Mühendisi olarak tekrar bir tercihte bulunma şansım olsaydı cevabım “Evet”. Uzmanlaşılabilecek onca konu arasında bilgi güvenliğini hala ilgi çekici bulurdum. Eğer daha geriye dönme şansım olsaydı ve doktoraya kadar işi uzatacağımı bilseydim “kim okuyacak 10 sene” diye sormayı bırakıp beyin cerrahı olmak isteyebilirdim. Evimin bahçesinde nefsimi köreltme imkanı bulabildiğim için klasik domates yetiştiriciliği planlarını da hobi seviyesinde bırakmaya devam ederdim herhalde 😉

 

NGB: Zaman ayırarak röportajımıza katıldığınız için  teşekkür ederiz.

This entry was posted in Güvenlik Bülteni and tagged . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

5 × 3 =