Biliyorsunuz “siber güvenlik” günümüzün en önemli konularının başında geliyor. Dünyada da, Türkiye’de bu konuda bir takım çalışmalar var. Bunlardan birisi, bilişim sektörünün eski şirketlerinden birisi olan Biznet. Geçtiğimiz günlerde bir basın toplantısı ile son gelişmeleri aktarmışlardı [1] ama biz yine de Biznet’teki gelişmeleri bizzat başarılı Genel Müdürü Serdar Yokuş’un kendi sözleriyle yayınlamak istedik.
turk-internet.com: Serdar Bey, Biznet ile ilgili olarak bir toplantı yaptınız orada biraz konuştuk ama daha detaylı konuşmak istiyoruz. Önce isterseniz bize kısaca Biznet’i anlatın! Biznet nedir?
Serdar Yokuş : Biznet, 2000 yılından beri sadece siber güvenlik alanında çalışan bir çözüm entegratörü. Danışmanlık tarafında, sızma testleri tarafında, bilgi güvenliği, yönetim sistemleri tarafında, PSI, BSS tarafında uzmanlığımız, danışmanlığımız var. Bununla birlikte 25 farklı siber güvenlik ürünün entegrasyonu ile ilgili çalışmalar yapıyoruz ama en çok gurur duyduğumuz, AR-GE’miz. Burada şu an olgunluk seviyesine ulaşmış 3 farklı siber güvenlik ürünümüz var. Bunlardan da en fazla ön plana çıkan bizzy ürünümüz. Bu da zafiyet yönetimi ile ilgili olarak geliştirdiğimiz bir ürün. Bunun da hem öncelikle Türkiye’deki müşteriler ile başladık, şimdi yurt dışına açılmasıyla ilgili çaba sarf ediyoruz.
turk-internet.com: Bu zafiyet tespiti nedir? Biraz daha açar mısınız?
Serdar Yokuş : Zafiyet tespiti, kodu olan, içerisinde kod olan her üründe mutlaka güvenlik ile ilgili bir açık olabiliyor. Cihazlar, sistemler, platformlar, işletim sistemleri çoğunlukla güvenlik düşünülerek üretilmiyor. Secure by design dediğimiz platformlar üretilmiyor. Bunun yerine fonksiyonite daha çok ön plana çıkıyor. IOT cihazlarına bakın; şu an dünyada en yaygın olarak kullanılan platformlar bunlar. Bu ürünlerde güvenlik hemen hemen en son düşünülen parametrelerden biri ve o yüzdendir ki, dünyadaki birçok saldırıya en fazla olanak tanıyan IOT sistemleri. Kodu olan her şeyin mutlaka bir açığı, sömürülebilecek bir alanı, içerisine sızılabilecek bir yapısını taşır. Dolayısıyla bizim bahsettiğimiz bu açıklık, özellikle kötü niyetli insanların, hackerların sızma yapabilecekleri yapılardır diyebiliriz.
turk-internet.com: IOT dediniz de, IOT çok popüler. Problem, güvenlik açısından özellikle. Biz IOT deyince, modemdi, routerdı, onları da anlıyoruz; bugüne kadar onlar da hackleniyor ama aslında IOT daha geniş bir kavram. Hayatımızda da daha çok 5G ile yer alacak bir kavram. Bunu biraz açar mısınız?
Serdar Yokuş : İnternete bağlanabilen bütün cihazlara bir IOT cihazları diyoruz.
turk-internet.com: Ne mesela? Buzdolabı olabilir?
Serdar Yokuş : Buzdolabı da bağlanıyor ki. Kameralar çoğunlukla internete bağlanıyor…
turk-internet.com: Klimalar…
Serdar Yokuş : Klimalar, tuvaletler, akıllı evlerde kullanılan sensörler, her türlü sensör. Tüm internete bilgi aktarabilen cihazların hepsi IOT ve 2025’e doğru ilerlediğimizde bunun sayısı tüm internete bağlı bilgisayarları kat be kat geçiyor, 100 milyar’ın üzerine çıkıyor. Dolayısıyla böyle bir community’den bahsediyoruz IOT derken.
turk-internet.com: Siz ne yapıyorsunuz IOT güvenliği konusunda?
Serdar Yokuş : Biz IOT güvenliği konusunda öncelikle IT tarafında başlamıştık. IT güvenlik danışmanlığı ile başlamıştık. Son 4 senedir de OT dediğimiz alanda bu sefer çalışmaya başladık. Hatta bunun 4 senelik çabalardan sonra Gardner’ın OT alanına hizmet veren şirketler listesine girme başarısını da sergiledik; Türkiye’den ilk ve tek şirket olduk bu alanda. Bununla da çok gurur duyuyoruz. Şimdi de IOT tarafında. OT tarafındaki ürünler ise daha çok elektrik dağıtım şirketlerinde, su dağıtım platformlarında, haberleşme sistemlerinde kullanılan ürünlerden bahsediyoruz. IOT ise işte biraz önce bahsettiğimiz ürün gamını kapsıyor. Bu alanda da çalışmalarımızı başlattık. Son 2 senedir bu alanda çalışıyoruz. Bir ekip de kurduk bununla ilgili.
turk-internet.com: Serdar Bey, siber güvenlik deyince tabii hep herkesin konuştuğu çok önemli bir sorun da, eleman konusu. Siz basın toplantınızda dünyada bu konuda eksik olan eleman sayısını 3 buçuk milyon gibi verdiniz. Türkiye’de durum nedir; ve Türkiye’deki ekosistem ne durumda?
Serdar Yokuş : Aslında yetişkin eleman açığı sadece Türkiye’de sorun değil, dünyada bir sorun. Bunu en iyi kapatabilecek şey, eğitim. Birçok ülkede bunun ile ilgili radikal kararlar veriliyor. Adını tam hatırlayamayacağım ama İzlanda olabilir, geçen aylarda haberi çıktı, ilkokulda artık siber güvenlik eğitimleri verilmeye başlandı. İsrail gibi ülkelerde yıllardır ortaokulda, lisede bu eğitim veriliyor. Dünyadaki çoğunluk ülkelerde ise siber güvenlik artık üniversitede lisans eğitimi şeklinde veriliyor. Maalesef Türkiye’de lisansüstü ve doktora noktasında sadece siber güvenlik var.
turk-internet.com: Yani, siz bu üniversitelerde lisans düzeyinde eğitim olmalı mı diyorsunuz?
Serdar Yokuş : Hayır. İlkokulda, ortaokulda, lisede zorunlu olarak bu eğitimin olması gerektiğine inanıyorum çünkü bugün yaptığımız her şey artık dijital dönüşüm dediğimiz şey, üretimin artık dönüşüm yaşadığı bir platform. Biz artık tekstil üretmiyoruz, makine üremiyoruz, bilgi üretmeye başladık. Dolayısıyla, varlığımızın yani aset’imizin bilgi olduğu bir dünyada yaşıyor isek, bunun güvenliği en önemli asset haline geldi.
turk-internet.com: Peki ekosistem nedir? Türkiye’de firmalar düzeyinde? Yani, üniversiteleri anlattınız; o da ekosistemin bir parçası. Firmalar düzeyinde işbirliği var mı siber güvenlik konusunda çalışan ya da devlet ile?
Serdar Yokuş : Düşük seviyede de olsa bile başladı diyebiliriz. Bu konuda Savunma Sanayi Başkanlığı’nın liderliğinde bir siber kümelenme yapısı oluşturuldu. Biz de bunun üyesiyiz. Bu yapı içerisine her geçen gün daha farklı kollarda çalışan siber güvenlik firmaları da dahil olmaya başladı. Yapı genişlemeye başladı. Bu aynı zamanda bir şeyi de trigger etti: siber güvenlik ile ilgili yerli üretimin de bir anlamda kıvılcımlanmasına sebebiyet verdi. Şimdi bunlar ile ilgili hem bizim kendi yerli üretimimiz, hem de diğer ekosistemde yer alan firmaların yerli üretimlerini biz test etmeye başladık. Bununla ilgili bir farkındalık oluştu. Bununla ilgili bir örgütlenme, bununa ilgili bir yapılanma oluştu. Gidecek daha çok yol var ama bir başlangıç yapıldı diyebilirim.
turk-internet.com: Siz eğitim verebiliyor musunuz?
Serdar Yokuş : Biz eğitimler veriyoruz ama verdiğimiz eğitimler, nasıl söyleyeyim, kendi alanında siber güvenlik ile ilgili zaten tecrübesi olan arkadaşlara biraz daha gelişkin siber güvenlik eğitimleri. Örnek vermek gerekirse, endüstriyel kontrol sistemleri ile ilgili eğitimler veriyoruz. Örnek vermek gerekirse, siber güvenliğin işte STLC tarafında çalışan, software tarafında çalışan arkadaşlara verdiğimiz eğitimler var. Bu, genel lise ortaokul, üniversite düzeyindeki eğitimler değil, bunlar daha gelişkin olan eğitimler aslında uzmanlara verdiğimiz eğitimler.
turk-internet.com: Peki, AR-GE ile çok övünüyoruz dediniz. AR-GE yaparken neye dikkat ederek, ya da neyi hedefleyerek çalışma, ürün geliştiriyorsunuz?
Serdar Yokuş : Birçok şey var, etken. Birincisi, siber güvenlik sektörü hâlâ olgunlaşmamış olan bir sektör. Açığın, ihtiyacın çok olduğu bir sektör. Biz öncellikle müşterilerimizde ya da pazarda ihtiyaç gösterebilecek alanlara odaklanıyoruz. İkincisi, bu ürünü yaptığımızda sadece Türkiye’de belli bir sektöre, belli bir alana değil, dünyada uluslar arası olarak bunu satıp pazarlayıp desteğini verebilir miyiz buna bakıyoruz. Üçüncüsü ise, rekabet oluştuğu noktada bunun sürdürülebilirliğini nasıl sağlarız buna odaklanıyoruz. Dolayısıyla bu birçok parametre olmakla birlikte bu üç ana parametre ile yola çıkıyoruz.
turk-internet.com: Hollanda’da bir şirket kurdunuz? Orada hedefiniz nedir?
Serdar Yokuş : Hollanda’daki şirketimizi kurmak aslında bir zorunluluk sebebiyle oldu. Avrupa’nın en büyük siber kümelerinden biri Hollanda’da: HST; birçok ülken merkezi diyebiliriz. Biznet olarak oraya üye olmak istedik fakat maalesef Türkiye’den bir firmaya bunun izni verilmedi. Biz orada bir şirket kurduk çünkü bizim çalıştığımız alan ile ilgili maalesef bir kitap yok, bir okul yok. Hele bizim geldiğimiz noktada kendimizi geliştirebileceğimiz, deneyimleyebileceğimiz alanlar yaratmamız gerekiyor ki, Avrupa’nın en büyük kümelenmesi HST bunun için çok ama çok güzel bir ortam sağladı bizler açısından. Fakat oraya üye olduk, oradan deneyimleri aldık; şimdi şunu görüyoruz: ortada çok büyük bir pazar var siber güvenlik olarak karşılaştırıldığında Türkiye’ye göre 7 kat büyüklükte bir pazar var. Şimdi orada proje yapıyoruz.
Orada danışmanlık hizmetlerimizi sağlıyoruz. O da bize birçok şey kazandırıyor hem metodoloji açsından, hem oradaki farklı farklı müşterilerin isterlerini karşılama açısından da bize çok şey kattığını söyleyebilirim. Buradan; Türkiye’den yetişmiş olan arkadaşlarımız da oraya gidip aynı zamanda bizim adımıza orada çalışmalar yapıp proje tamamlanınca buraya da dönüyorlar. Kaynağımızı kaybetmiyoruz bu sayede çünkü yetişmiş elemanı elde tutmak bu sektörde en önemli parametre.
turk-internet.com: Demin Savunma Sanayi Müsteşarlığı’nın bir kümelenme başlattığını söylediniz. Siber güvenlik alanında sizce devletin daha yapması gereken bir şeyler var mı? Belki üniversitelere bu konuda bir zorlama getirmeli mi sizce ya da başka şeyler?
Serdar Yokuş : Şunu görüyoruz dünyada trend olarak: siber güvenlik artık ulusallaşmaya başladı. Bütün dünyada bu hızlı bir şekilde ivmeleniyor ve buradaki yapıları da incelediğimizde devletin koordinasyon rolünün en önemi rol olduğunu görüyoruz. Bunun yanına akademi, özel sektör, bankaların siber güvenlik ile ilgili yatırım fonlarının olduğu platformlar ve AR-GE yapılanması, bir de bunun içerisine ulusal siber olaylara müdahale yapısının da entegre edilmesi noktasında başarıya ulaştığını görüyoruz. Dolayısıyla Savunma Sanayi Başkanlığı’nın başlattığı bu yapının ben bu noktaya evrileceğine inanıyorum ve görüştüğümüz ekosistemdeki firmalar da, dostlarımız da hep bu niyet ile o yapı içerisinde yer aldı. Umarım başarıya ulaşırız.
turk-internet.com: Serdar Bey, benim son sorum dünyada ve aslında daha çok Türkiye’de şirketler neye dikkatli olmalı? Son zamanlarda ne tür siber saldırılar var?
Serdar Yokuş : Evet. Benim gözlemlediğim şu var: şirketler daha çok hem bu saldırılardan nasıl korunurum veya bu saldırılar olduğunda nasıl tespit edebilirime hep odaklanıyor. Fakat bu saldırılar her zaman olacak, olmaya da devam edecek ama er ama geç bir şekilde karşılaşılacak bu durumlar ile. Odaklanılması gereken yapı, bu saldırılar olduğu zaman ben nasıl bir response vereceğim, ben nasıl bununla mücadele edeceğim, ben bu olaylara nasıl bir yönetim sergileyeceğim, bunun bir adım ötensinde de bu olayları önden öngörmeyi nasıl sağlayabilirim ve en son olarak da bu saldırılar hep olacak ise, hep yaşanacak ise dayanıklılığımı yani siber güvenlik dayanıklılığımı nasıl arttırabilirim; bunun üzerine odaklanılmasının en önemli parametreler olduğuna inanıyorum.
turk-internet.com: Peki, benim sorularım bu kadar. Sizin eklemek istediğiniz bir şey var mıdır?
Serdar Yokuş : Çok teşekkür ediyorum, sağ olun!