Havelsan Genel Müdürü [1] ve telekom sektörünün önemli uzmanlarından birisi olan Ahmet Hamdi Atalay ile Havelsan’ın kuracağı açıklanan “Siber Savunma Teknolojileri Merkezi” [2] konusunda kısa bir söyleşi yaptık. Aynı zamanda “Bilgi Güvenliği Derneği” Başkanı [3] olan Atalay, siber güvenlikte “milli ürünlerin önemi” konusuna dikkat çekiyor.
Turk-internet.com : Ahmet Hamdi Bey, hayırlı olsun; Havelsan Genel Müdürü’sünüz; biraz gecikmeli de olsa kutlayalım! Havelsan’ın “Siber Savunma Teknoloji Merkezi” kurduğunu duyduk. Bu merkez nedir? Bize biraz bilgi verir misiniz?
Ahmet Hamdi Atalay : Evet, hoş geldiniz diyeyim önce! Teşekkür ederim geldiğiniz için! Siber güvenlik, Havelsan’ın yeni iş alanlarından bir tanesi. Son birkaç yıldır özel ilgi gösterdiğimiz ve epey yatırım yaptığımız bir alan.
Bütün dünyada olduğu gibi Türkiye’de de siber güvenlik konusu çok önemli hale geldi; artık ulusal güvenliğin ayrılmaz unsurlarından biri. Biz de bir güvenlik firmasıyız. Dolayısıyla, hem bir yazılım firması, hem bir güvenlik firması olmamız dolayısıyla bizim aslî işimizin doğal bir uzantısı aslında… O yüzden bizim için yeni bir şey değil. Zaten yıllardır geliştirdiğimiz ürünlerin içinde hep bir güvenlik fonksiyonu, modülü vardı. Biz şimdi önümüzdeki dönemde bunu biraz daha görünür hale getirip çeşitli bu fonksiyonları bağımsız ürünler haline getirmeye çalışıyoruz bugünkü imkânlar ile ve bu ürünlerimizin de Türkiye’nin siber güvenlik savunmasında kullanılmasını hedefliyoruz.
Turk-internet.com : Bu, Kamu şirketleri için mi, herkes için mi?
Ahmet Hamdi Atalay : Tabii, herkes için geçerli. Çünkü bu bahsettiğimiz ürünler zaten piyasada muadilleri var olan, belki çeşitli yetkinlik kısıtları olan ya da kaynağını bilemediğimiz için ne kadar güvenilir oldukları tartışmalı olan ürünleri biz milli imkânlar ile olabilen piyasadaki en iyilerden aşağı kalmayacak fonksiyonlarda ve milli olduğu için de kesinlikle arka planında arka kapısı mı var, başka temaslar ile birilerine hizmet mi ediyor endişesine kapılmadan herkesin kullanabileceği askeri, sivil, özel, kamu, her yerde kullanılabilecek universal ürünlerden bahsediyoruz.
Turk-internet.com : Peki bunda donanım da olacak mı, sadece yazılımdan mı bahsediyoruz?
Ahmet Hamdi Atalay : Biz, Havelsan olarak yazılım yoğun teknolojik çözümler geliştiren bir firma olarak kendimizi konumlandırıyoruz. Buradaki “yazılım-yoğun”dan kastımız, ağırlıklı ve öncelikli konumuz, yazılım. Zorunlu kalmadıkça, başka kaynaklardan teminde sıkıntı yaşamadıkça, işin donanım tarafı ile çok ilgilenmiyor olacağız ama bu siber güvenlikte yazılım da var, donanım da var. Büyük ölçüde donanım ile ilgili kısımları, yapabildiğimiz kısmını kendimiz ama yapamadıklarımızı ya da zaten piyasada var olan donanım çözümlerini veya donanım konusunda çalışan firmaların yetkinliklerini kullanarak bu alandaki ihtiyacı da karşılıyor olmayı hedefliyoruz.
Turk-internet.com : Bir sorum da son zamanlarda hem yazılımlarda, hem donanımlarda “arka kapı” diye bir şey çıktı[1][2], biliyorsunuz. Bunların testi için ülkemizde bir çözüm merkezi göremiyoruz. HAVELSAN acaba böyle bir şey düşünüyor mu?
Ahmet Hamdi Atalay : Şimdi oraya şöyle bakmak lazım; aslında hani bu alanda en azından – pek çok alanda böyledir ama- bir takım farklı disiplinler var. Bunlardan bir tanesi, işin standardizasyonu ve standartların oluşturulması. Bir diğeri, bu standartlara uygun ürün ve teknolojilerin geliştirilmesi. Bir üçüncüsü de, bu ürün ve teknolojilerin bu standartlara uygunluğunun test, kontrol ve sertifikasyonu.
Şimdi, Türkiye’de maalesef bu disiplinler henüz yeni yeni oluşuyor. Türk Standartları Enstitüsü bu konuda çeşitli standartlar geliştirmeye ya da var olan uluslar arası standartları millileştirmeye çalışıyor; bu önemli bir şey. Fakat eksik kalan, bu standartlara uygunluğu test edecek, denetleyecek ve sertifikalandıracak yapıların olmaması. Türkiye’de Türk Akreditasyon Kurumu var biliyorsunuz. Sertifikasyon body’lerini, sertifikasyon kuruluşlarını akredite edecek kurum orası ama bildiğim kadarıyla bu konuda henüz bir sertifikasyon, Türk Akreditasyon tarafından akredite edilmiş bir sertifikasyon kurumu yok; bu önemli bir eksiklik diye düşünüyorum.
Biz neresindeyiz? Biz üçüncü boyutundayız; teknoloji geliştiren boyutundayız ama aynı zamanda bu sizin baştan söylediğiniz, açmakta olduğumuz siber savunma teknoloji merkezimiz aynı zamanda bir sertifikasyon merkezi değil ama test merkezi olarak da kullanacağız biz bu burayı.
Bu testlerin sonucunda bizim kendimizin ya da müşterilerimizin piyasadan ya da herhangi bir yerden aldığı ürünleri – yazılım ya da donanım- biz bu merkezimizde, buradaki labaratuarlarımızda testini de yapıyor olacağız. İşte güvenlik açıkları var mı, arka kapıları var mı v.s diye ama biz bunu sadece bu konudaki zafiyetleri tespit için yapacağız. Bunun aynı zamanda sertifikasyonu bizim ilgi alanımızda ya da yetkimizde olan bir konu değil.
Turk-internet.com : Bir de siber güvenlik olayının tabii eleman boyutu var. Siber güvenlikte çalışacak eleman bulmakta zorluk çekiyor musunuz? Ya da onları siz kendiniz mi eğiteceksiniz?
Ahmet Hamdi Atalay : Şimdi, bizim bu merkezi size biraz anlatayım isterseniz. Bizim bu merkezimiz aslında birkaç tane fonksiyonu bir arada barındıran bir merkez. Bir AR-GE merkezi aynı zamanda. Burada ürün geliştiriyor olacağız, geliştiriyoruz da zaten. Burası bir test ve doğrulama merkezi. Demin söylediğim anlamda kendi ürünlerimizin ya da başka ürünlerin testini ve doğrulamasını yapacağımız bir merkez. Burası bir eğitim merkezi aynı zamanda. Burada çeşitli test, simülasyon ve eğitimler ile gerek kendi ihtiyacımız, kendi personelimizin eğitimini, gerekse ihtiyaç duyulacak üçüncü tarafların personel, teknik uzman yetiştirilmesi amacıyla personellerin eğitimini sağlıyoruz.
Yine bu merkezin bir başka fonksiyonu da, burası aynı zamanda bir siber güvenlik hizmet birimi. Üçüncü taraflara, ihtiyacı olan kamu ya da özel kimin talebi olur ise, kurumlara, biz onların ayrıca bu konuda bir yatırım yapmasına gerek kalmaksızın ve buna ilişkin uzman istihdam etmesine gerek duymaksızın biz kendilerini bize emanet etmeleri halinde biz onların bütün güvenliklerini sağlıyor olacağız bu merkez vasıtası ile.
Şimdi bütün bunları yapabilmek için ihtiyacımız olan eleman teminine gelince, kabaca şöyle bir şey var: Dünya üzerinde şu anda 1 buçuk milyon siber güvenlik uzmanı ihtiyacı olduğunu söylüyor bu konudaki çeşitli raporlarda uzmanlar. Türkiye de, dünyadan genellikle yüzde 1’lik bir ayak izine sahip. Böyle baktığımızda, Türkiye’de yaklaşık 15 bin siber güvenlik uzmanına ihtiyaç olduğu ortaya çıkıyor. Şimdi bu 15 bin siber güvenlik uzmanını Türkiye’nin yetiştirmesi belki 15 yıl alır. Bugün bunun çok uzağındayız. Birkaç yüz’lerden belki ancak bahsedebiliriz. Ama bu rakama ulaşmamız da çok uzun zaman alacak gibi gözüküyor.
O yüzden bu merkezimiz aynı zamanda bu anlamda da çok önemli; burada uzman yetiştiriyor olacağız. Peki burada, uzmanları yetiştirenleri nasıl yetiştiriyoruz? Biz burada şu anda o uzmanları yetiştiren uzmanları yetiştiriyoruz. Bir kere, Türkiye’de bu alanda çalışmış uzman kişileri istihdam ettik, etmeye de devam ediyoruz. Çok sayıda uzmanımız var şu anda. Çeşitli kurumlardan daha önce bu alanda çalışmış, tecrübeli insanları bünyemize katıyoruz.
Bunun ötesinde dünyanın herhangi bir yerinde – ki, dün birisi misafirimizdi- yurt dışında, dünyanın herhangi bir yerinde bu alanda çalışmış, belli bir uzmanlık seviyesine gelmiş akademisyen ya da profesyonelleri ya doğrudan projelerimize dahil ederek, ya uzaktan ya da yakından bize danışmanlık şeklinde destek vererek, onların desteklerini de almaya çalışıyoruz ve aynı zamanda kendi uzmanlarımızı, pek çok uzmanımızı yurt dışındaki ilgili merkezlere eğitimlere gönderdik, yetiştirdik; şimdi bazı eğitimleri de halen devam ediyor zaten. Uzman yetiştirecek uzmanlarımızı yetiştiriyoruz. Böylece kendi ihtiyacımızı zaten bu model ile karşıladığımız gibi, aynı zamanda başkalarına da bu uzmanlığı transfer etmeyi hedefliyoruz.
Turk-internet.com : Peki, son sorum: Hep konuştuğumuz bir konu var; millî ürünler. Bu “arka kapı” haberleri de bunu düşündürüyor bize. Bu konuda ne düşünüyorsunuz? Milli ürün Türkiye’de geliştirilmeli mi? Siz bu konuda ne yapacaksınız? Deminden beri anlattınız ama bir daha vurgulamak açısından.
Ahmet Hamdi Atalay : Evet. Mesela, “milli ürün geliştirilmeli mi?” sorusu bile yanlış. Bu konuda bir başka alternatifi yok. Sadece Türkiye değil, bütün ülkeler için geçerli bu. Eğer siz kullandığınız – pek çok şey duyuyoruz şimdi- işte, Facebook için deniyor ki, işte oradaki bilgileri şuralara aktarıyor, buralara aktarıyor. Diğerleri için farklı değil, hepsi aynı. Sosyal medyadaki bütün uygulamalar için aynı şeyler söz konusu.
Bulundukları ülkeler ya da o uygulamaların arkasındaki ülkeler, kurumlar kimler ise, onlara bilgi sağlamak zorunda bu ürünler. Yani, kurulurken böyle bir taahhüt ile yola çıkıyorlar. Çok yıllar önce ben hatırlarım, işte INTEL’in bir mikro işlemci çipinde özel bir şey konmuştu, belki sizler de hatırlarsınız. İşte, çip hangi makinada kullanılmış, hangi işlemleri yapmış, bunlar bir merkezden takip edilebilsin diye. Sonra sansasyon çıkınca “ bu aman kapatıldı; kapatıldı, artık böyle bir fonksiyonu yok” deniyor ama kim biliyor kapatılıp kapatılmadığını?
Turk-internet.com : Şimdi işte bir sürü cihazda “arka kapı” çıkıyor zaten.
Ahmet Hamdi Atalay : Şimdi, biz bugüne kadar daha çok veya şu anda HAVELSAN olarak daha çok yazılım ve uygulama seviyesinden konuşuyoruz. Bir kere yazılım ve uygulama seviyesinde mutlaka milli çözümler lâzım ama orada da yetmez bu. Aşağı doğru indikçe, donanım seviyesine indikçe aynı şey orada da geçerli. Daha çok yakın zamanda çok ünlü bir network cihaz üreticisinin arka kapısının olduğu ortaya çıktı. Şimdi dolayısıyla siz network seviyesinde güvenilir ürünleriniz yok ise, onun üzerinde koşan uygulamaların güvenilirliği bir noktaya kadar işe yarar olyor.
Dolayısıyla buna bir zincir diye bakmak lazım. Aslında fiziksel layer’den, fiziksel katmandan uygulama katmanına kadarki bütün katmanlarda milli çözümleriniz olmaz ise siz “yüzde 100 güvendeyim” diyemezsiniz. Zaten o yüzden de dünyanın hiçbir ülkesi kendi çözümleri olanlar dahil, – tamamını çünkü sağlayamadığı için- yüzde 100 kendini güvende hissetmiyor. Ama en azından uygulama katmanında – ki, biz şu anda özellikle orayı hedefliyoruz- ciddi çözümleri biz ihtiyaç olan, temel ürünleri milli olarak, Türk mühendisleri tarafından geliştirmeye çalışıyoruz bir program dahilinde.
Şu anda en az 7,8 ya da 9 tane ürünümüz geliştirme safhasında mühendislerimiz, kendi mühendislerimiz tarafından ve dünyadaki muadillerinden daha üstününü yapmaya çalışıyoruz. Hem daha üstününü yapıyoruz ama aynı zamanda en önemli kısmı biz artık bu kodların içinde bizim kontrolümüz dışında faaliyet gösterecek zararlı kodlar olmadığından emin olarak ürün geliştiriyoruz. Bizim de buradaki yaratmaya çalıştığımız fark burada. Aksi halde, bilgisayarınızda kurduğunuz bir güvenlik programı bile sizin için aslında bir zafiyet kaynağı haline gelebiliyor.
Turk-internet.com : Peki, benim suallerim bu kadar. Eklemek istediğini bir şey var mıdır?
Ahmet Hamdi Atalay : Eklemek istediğim çok şey var ama şurada özetleyebilirim belki: Siber güvenlik, tekrar söyleyeyim, ulusal güvenliğin artık temel unsurlarından biri haline gelmiş vaziyette. Nasıl ulusal güvenlik açısından çeşitli pek çok projelerimiz, planlarımız hatta organizasyonlarımız var, bunlar artık bundan sonra mutlaka siber güvenliği de temel unsurlardan biri almak durumdalar ki, bu konuda topyekûn mücadele yapılabilsin.
Biraz önce size ifade ettiğim sözü ifade ederek, tekrarlamak istiyorum: Siber güvenlik konusunda hattı müdafaa yetmez, sathı müdafaa lâzım. Bu satıh, bütün Türkiye’dir. Hatta bütün Türkiye bile yetmiyor, uluslar arası işbirlikleri de burada olmazsa olmazdır çünkü siz Türkiye olarak da kendinizi koruyamazsınız çünkü bütün dünyaya bir sürü bağlantılarınız var. Dünya ile de işbirliği yapılıyor olması lâzım. Ama en azından Türkiye’nin içinde asker- sivil, kamu- özel ayırımı olmaksızın bütün kurum ve kuruluşların iş birliği halinde ve bilgi paylaşımı burada çok önemli, bilgiyi de paylaşarak, bu UME’ler, SOME’ler bunun için çok önemli ve gerekli ama henüz yeterince işlevsel değiller diye düşünüyorum, bilgiyi de paylaşarak, topyekûn mücadele etmemiz gereken bir alandayız. Burada en zayıf halka insan, kullanıcı; kullanıcı için de yapılabilecek en önemli şey, bu konuda farkındalık yaratmak. Bu farkındalık geliştikçe, ben tehdit ve tehlikelerin de daha kolay berteraf edilebileceğini düşünüyorum.
Turk-internet.com : Çok teşekkür ederiz!
Bu söyleşiyi aşağıda izleyebilirsiniz
[1] Havelsan’ın Yeni Genel Müdürü Ahmet Hamdi Atalay Oldu
[2] Ahmet Hamdi Atalay : Bilgi Güvenliği Anlamında Yapılması Gereken Çok Şey Var
Kaynak : 