Intellect Bilgisayar, İletişim ve Danışmanlık A.Ş., 1996 yılında kurulduğundan beri, yazılım pazarındaki faaliyet alanını kurumsal network güvenliği olarak belirlemiş. Şirketin sahibi Timuçin Pehlivanlı, 700’ü aşkın kuruluşta kendi sağladıkları güvenlik çözümlerinin kullanıldığını belirtiyor, konu güvenlik olduğu için bu kuruluşların ismini gizli tutmaya özen gösteriyor. Pehlivanlı, sorularımızı yanıtladı:
turk-internet.com : Neden işe güvenlikle başladınız? Internet bulutunda güvenlik nasıl sağlanıyor?
Timuçin Pehlivanlı: Türkiye’de artık ‘e’ ile başlayan herşey konuşuluyor: ev ekonomisinden tutun da, eğitime, ticarete, bankacılığa kadar. Bir network’ünüz varsa ve bunu internete açacaksanız önce giriş – çıkışı güvenlik altına alacaksınız. Firewall bu işin lokomotifi, ama ‘firewall’ tek başına güvenliğin ana unsuru değil. Onun dışında başka unsurları da var. Eğer, birden fazla ofisiniz veya dışardan kullanıcınız varsa ve bunların iletişimlerinin internet bulutunun içerisinde güvenli gitmesini istiyorsanız, o zaman bir güvenlik kavramı getiriyorsunuz önünüze.
turk-internet.com : Virüslere karşı da güvenlik önem taşıyor elbette değil mi?
Pehlivanlı: Medya aslında virüs üstünde çok duruyor, ama çok da fazla durmaması gerek!.. Tehlikeler sadece dışarıdaki networkten gelecek diye bakmamak lazım. Bugün, tehlikelerin yüzde 70’i, iç networkümüz’den geliyor. Personel bilgilerine herkesin erişmesini istemezsiniz, bunları korumak için de içerdeki “server”larınızı korumanız lazım. Onlara bağlanacak insanların da “secureline”larla, güvenli bağlanmasını sağlamanız lazım. Sadece bilgisayarınıza girip bakmaları değil sizin onlarla kurduğunuz hat üzerindeki bilgileri de okumak mümkündür teknolojik olarak. Dolayısıyla, “intrusion” kavramına uygun olarak aktiviteleri denetlemek gerekiyor. O bilgileri okurken de, yetki verirken de bunların sınırlarını getirmek ve oradaki bu bilgilere ulaşan kişilerin bilgisayarını korumak gerekiyor. Virüs güvenliğin bir parçası.
turk-internet.com : Müşterileriniz arasında bankalar da var şüphesiz. Bankaların sözünü ettiğiz bir “güvenlik politikası” oluşturduğu söylenebilir mi? Örneğin, internette kredi kartı kullanımı ne kadar güvenli?
Pehlivanlı: Kredi kartınızı bir restoranda kullanmaktan daha güvenli, çünkü sizin kredi kartınızı internete bağlanacağınız zaman kullanacağınızı bilmiyorlar. Ama, siz dükkandaki yetkiliye teslim ediyorsunuz içeriye gidiyor ve orada 3 tane mi slip çekti, 5 tane mi çekti onu bilmeniz mümkün değil. Yahut, ikinci slipte bin dolar mı yazdı iki bin dolar mı yazdı bunu bilmeniz mümkün değil. İnternette kredi kartı kullanımı daha önemli, çünkü bu noktada otantik yöntemleri devreye sokuyoruz. İşte o zaman, sadece bir “password” değil ikinci bir kademeyi devreye giriyor. Bilgilerinizi ikinci bir defa şifreliyorsunuz bunu da “random” olarak yapabiliyorsunuz. Servis sağlayıcınız ne kadar güvenli olursa olsun oradan geçen insanların aynı güvenlikte olup olmadıklarını bilemezsiniz. Başka güvenlik ürünleri de var, zaman zaman bu güvenlik deponuzu test ettirmeniz de gerekiyor.
turk-internet.com : Şirketin güvenlik politikası gideceğiniz son noktayı belirliyor o halde?
Pehlivanlı: Biz şirket olarak geniş bir portföy halinde seçenekleri sunuyoruz. Şu anda on tane güvenlik firmasıyla çalışıyoruz. Bu firmaların ürünlerini müşterinin gitmek istediği yere kadar sağlayabiliyoruz. Ondan sonra ayrı bir ünite devreye giriyor. 24 saat çalışan bir kurumsa, bunun çeşitli kademeleri var. Artı, biz şirket o yapının nasıl olması gerektiğini anlatan bir danışmanlık hizmetini de beraberce verebiliyoruz. Bir de eğer istenirse zaman zaman bu yapıyı dışardan ‘beyaz hacker’larla kendimiz test ediyoruz. Güvenli şirketlerle test ederek, o kurumun düzgün çalıştığını herhangi bir problemi olmadığını ve yapısının işlediğini açığı varsa da ne yapması gerektiği yönünde tasviyeler, raporlar hazırlıyoruz. Bunu belirli periyodlarda ya da bir sefere mahsus olmak üzere yapabiliyoruz. Bunu kendimiz yapmıyoruz, uzmanlaşmış güvenilir firmalarla birlikte yapıyoruz.
turk-internet.com : Güvenlik yatırımları için firmalar ne kadar para yatırmalı?
Pehlivanlı: Bugün, mücehverlerin, paranın yerini bilgi aldı, çünkü onları ya bankada tutuyorsunuz, ya borsada tutuyorsunuz ve onlarla uğraşıyorsunuz. Bilginin güvenliği aynı değerde önem kazanıyor. Bugün şirketler performans artışı sağlamak için, Microsoft ürünlerine 600-800 dolar para harcıyorlar kişi başına. Ben de soruyorum: ‘bu performans artışını bilgileri daha iyi dışarı gönderebilmek için mi yapıyorsunuz? Güvenliğiniz yok’ diyorum. Güvenlik için harcayacakları para kişi başına 150-200 doları geçmez. Eğer kurum, bu harcamadan kaçınıyorsa, yanlış yapıyor demektir.
turk-internet.com : “Beyaz hacker” şirketlerinin fonksiyonunu biraz daha ayrıntılı olarak açıklayabilir misiniz?
Pehlivanlı: Tabii, şimdi ‘beyaz hacker’ şirketlerin fonksiyonu şu: bunlar Türkiye’de var ‘hacker’ olma noktasına gelmiş, tecrübeli insanlar. Neticede belli programları kullanıyorsunuz.Yaptıkları, sizin açık portlarınız varsa ona bakarlar, belirli ıcq adreslerinizden içeri girerler. İçeriye virüs göndererek belirli zamanlarda oradan girmeye çalışırlar. Bunlara içerden yardım eden de vardır, belli bir portal açarak. Şimdi neticede bu tehlikeleri gören, bu tehditleri kullanarak zaten ikinci bir ‘re-action’ dediğimiz kavramdır o. Belirli hacker tehlikeleriyle sizin sisteminizi zaman zaman kendi içinde test ediyor, belirli aralıklarla orada eğer bir hareket varsa onu raporluyor.
turk-internet.com : Dışardan bir atak geliyorsa durdurabiliyor mu peki?
Pehlivanlı: Dışarıya dönük bir yapıysa, dışardan gelen ataklar varsa, lüzumsuz bir şekilde bağlantılar kuruluyorsa bu sefer ‘karşı atak’ yaparak onu durdurma yolu tercih edilir. Servis sağlayıcınızla anlaşarak bir yapılanmaya giderseniz, servis sağlayıcınızı o yönden gelen trafiği durdurma noktasına da gelebiliyorsunuz. Biz buna ‘siber efektif system’ diyoruz. Bu tür ürünlerin paketinden oluşan bir yapı. Bunun teknikleri var, beyaz hacker’ın yaptığı teknikleri kullanarak o sisteme hangi açıklardan girebileceğini görmeye çalışmak. Diğer hacker’ların yaptığını yapmak veya bir açık varsa size raporlamak. Bu ilk adım, sonra bunu belirli aralıklarla yaparak hala düzelmemiş yönü varsa tespit etmek. Yaşayan bir olay olduğu için çünkü neticede bunlar program: garip garip yapıları var. O yapıların içinde insanlar belirli servisler zaman zaman kapatıyor. Siz şu anda network’ünüzü her tarafını kapattınız, internetle gelen bu arka tarafı ne olacak? Arka tarafa bağlantınız varsa, bir faks makinanız varsa, o hatlardan atak yapabilmek için açık noktalar bunlar. Bu işteki kurumların amacı, değişik noktalardan test ederek size, güncel durumunuzu belirlemek ve ne yapacağınızı tavsiye etmektir.
turk-internet.com : Şimdi şirketler güvenlikleri için öncelikle neler yapmalı?
Pehlivanlı: Şirketlerin kendi kurumunun genel olarak felsefesini oluşturması lazım buna güvenlik politikası diyoruz. Amaç, interneti kısıtlamak değil kullanımı denetlemek ve güvenli hale getirmektir. Bunu yaparken de bir güvenlik politikası oluşturmak gerekiyor. İkincisi ben dış dünyayla bağlantımı ne şekilde güvenli hale getirebilirim, alıcılarımla satıcılarımla güvenliği nasıl sağlarım? Zaten yapı o zaman ortaya çıkıyor. Şimdi alıcılar ile satıcılar arasındaki bağlantımızda onların kendi iş networklerini de düzenleyerek, yetkilerini sınırlandırarak, hangi bilgilere ne kadar ulaşabileceklerini tespit etmek lazım. Bu güvenlik politikasını oluşturmak belli bir zaman alıyor, network’ü yapılandırmak ayrı bir olay.
turk-internet.com : Analiz programlarıyla ne tür bilgilere ulaşılabiliyor?
Pehlivanlı: Ağ kişisi hergün şu saatten, şu saate kadar şuraya kadar bağlanıyor, şu kadar bilgi alıyor.Bu istatistiksel bilgileri görmek mümkün. Kim ne kadar kullanıyor lüzumlu mu, lüzumsuz mu kullanıyor görmek mümkün. İkincisi de, eğer istenmeyen bir hareket olduysa onu görmek mümkün. Üçüncüsü de onların gönderdiği maillerini content olarak okumak mümkün. Ama, bu şirketin politikasıdır. Ben herkesi serbest bırakayım network’ümü koruyayım veya ben network’ümü bu kadar detaylı korumak yerine, onların gelen bilgilerini denetleyeyim demek şirketin politikasıdır.
turk-internet.com : Türkiye’de bankaların güvenliği tam diyebilir miyiz? Küçük firmalarda durum nasıl?
Pehlivanlı: Bankaların güvenliğine tam diyemeyiz. Türkiye’de internete bağlanan büyük kurumlar devlet kurumları, bankalar başta gelmek üzere hepsi bu işi aynen biliyorlar. Bugün güvenlik ürünleri pazarının yüzde 45’i bizimdir. Türkiye’de VPN pazarının yüzde 75’i bizde, ‘firewall’ pazarının yüzde 90’ı bizde. Bunu ben söylemiyorum, Türkiye’de Interpro’nun yaptığı araştırmalar dünyada da IDG’nin yaptığı araştırmalara bakarak söylüyorum. Ama, tam güvenlik zaman içinde gelecek. Küçük firmalara gelince küçük firmalar güvenliğe daha çok önem veriyorlar. Çünkü, işlerini internete nakletmek zorundalar. Zaten, Amerika’nın söylediği gibi belli bir nokta sonra bu noktaya gelinecek.
turk-internet.com : Her şirket Türkiye’de güvenliğin önemini biliyor mu?
Pehlivanlı: Biliyor, ama güvenliği belli bir kısmı sadece anti – virüs veya diamond olarak görmeye çalışıyor. Bunun için her sene iki tane seminer yapıyoruz ve insanları eğitmeye çalışıyoruz. Şirket olarak eğitime çok önem veririz. Bizim eğitimini almadığımız kendi kullanımını yapıp da testlerini tam yapmadığımız hiç bir ürünü pazara sunmayız. Onun için eğitim çok önemli kurumlara biz bunu sürekli işliyoruz. Bu ürünleri alan kurumların hepsi de eğitim talep ediyorlar. Güvenlikle uğraşıyorsanız en önemli hususlardan biri güvenliğe siz riayet ediyorsunuz. Onun için bir referans listesi yayınlayamıyoruz. Biz müşterilerimizle ilgili bilgiyi müşterilerimiz kendileri açıklamazlarsa bizim ne derece kullandığını açıklayamayız. Türkiye’de çalışan bankaların yüzde 65’i şu anda bizim müşterilerimiz geri kalanları da hala internete bağlanmadıkları için bizi kullanmıyorlar diye görüyorum. Yani, bu tür şeylerde belirli şeyleri kavramış durumdalar. Bankalar için bu çok önemli sadece kendi müşterilerini değil istikballerini de güvenlik altına alıyor. Çünkü, kendi müşterilerinin birinin hesabına işlem yapıldıysa istenmeden veya bir bilgi dışarıya sızdıysa bankanın repütasyonunu, istikbalini yok eder demektir. Onun için çok önemli bir konu onlar için. Sadece bankalar değil, diğer finans kurumları olsun, sigortacılar olsun, borsacılar olsun onlar bu konuda son derece eğitilmiş vaziyetteler. Yani, internet kullanan herkesin bu güvenliğe girmesi lazım.
turk-internet.com : Kişiler için güvenlik politikası geliştiriyor musunuz?
Pehlivanlı: Dünyada kişisel güvenlik kavramı çok gelişmemiş bir kavramdır. Ancak bir kere kurum olarak bizim ürünlerimizi kullanıyorsanız ve ‘check point’ kullanıyorsanız, yani kendi kullanıcılarınız dışardan verecekse onların özel güvenlik paketleri zaten ücretsiz dağıtılıyor. Dünyanın gittiği bir nokta var artık servis sağlayıcıları sadece servis sağlayıcıları olarak bağlantıyı sağlamayacaklar, aynı zamanda sizin güvenliğinizi sağlayan ve yöneten grup olacaklar. Mesela Check Point’in yeni bir uygulaması var. Kablo modemin içine yerleştirilıyor. Size kablo modem geldiği zaman intel chipin içinde check point olacak. Makinenizi koruyor veya networkünüzü koruyor artı dışardan denetleyerek güvenliğinizi sağlama imkanı var. Hatta İntel’le anlaşmalarn kişisel bilgisayarlar düzeyine de indirdiler. Önümüzdeki 1-2 yıl içinde Check Point, Intel chip’in içinde yerleştirilmiş olarak gelecek. Kişisel baza doğru gidiyor, ama bunların politikalarının oluşturulması, yönetilmesi servis sağlayıcılarıyla uygulanıyor.Yani, sağlayıcıların önemi çoğalmaya başlayacak Şimdi bağlantıdan para kazanıyorlar, ama ilderide bu servislerden de para kazanacaklar. Onun için bu çok önemli bir konu haline gelmeye başladı. Trend artık, sadece network’ünüzü korumak, sadece size bağlı direkt kurumları korumak değil her yeri korumak anlamına gelmeye başlıyor. Bu bir konsept, bunun politikasını oluşturmadan yapısını oluşturmak mümkün çok da zor olay değil. Bunun örnekleri dünyada var. Bizim portförümüzde de var, biz de bunu satıcılarımız kanalıyla bütün Türkiye’ye yaymaya çalışıyoruz ve biz genelde de partnerlar üzerine çalışıyoruz. Onlara destek veriyor, onların vasıtasıyla danışmanlık yapıyoruz. Bizim satışlarımızın yüzde 90’ı partner’lar üzerindendir. Onların hepsi Türkiye’nin sayılı kuruluşlarıdır.
turk-internet.com : Kişisel güvenlik ve ürün portföyünüzden söz eder misiniz?
Pehlivanlı: Her türlü ürün potföyü üzerinden bunun satışını yapmak, bizim ana felsefemiz. Ama, biz şimdi başka yapılanmaya doğru gidiyoruz. Başka bir şirket altında bizim partner’larımızın gelmediği seviyedeki ihtiyaçlara cevap verebilmek için danışmanlıktan tutun; bilişim entegrasyonuna kadar, giden bir yapılanmayı da getirmeye çalışıyoruz. Çünkü, ihtiyaç var projeler büyümeye başladı. İhtiyaçlar artmaya ve çeşitlenmeye başladı. Şu anda Türkiye’de buna cevap verebilecek yapılanma yok, ama bizim gizli birikimimiz distrübütör firma olarak bunu yapma olanağımız yok. O zaman partnerlerimizle rekabete girmiş oluruz. Onun için bunu başka çatı altında oluşturmaya çalışacağız.
turk-internet.com : Token’lardan satıyor musunuz? Herhangi bir application için ‘token’la neler yapılıyor?
Pehlivanlı: Tokenlardan da satıyoruz. Onlardan da çeşitlerimiz var. Tokenlardan bir calculator gibi tokenlar var. Şimdi onun dışında şifreyi girip karşı tarafa gönderiyorsunuz. Karşı taraf size bir kopya veriyor, tekrar genel kodu girdiğiniz zaman ‘online’ cevabınızı yollamış oluyor. Güvenli bir şekilde konuşabilmek için zarfa bağlanıyorsunuz, o zarfın sizi tanıması lazım, sizin onu tanımanız lazım. İkincisi ‘smartcard’ teknolojisiyle yapılmış bir ürün. İçine şifrenizi koyabilirsiniz, ‘digital signature’ınızı koyabilirsiniz ve kodlarınızı gönderdiğiniz zaman sizin imzalamanıza gerek yok. Islak imza yerine geçecek Amerika bunu kabul etti. Diğer ülkeler de kabul edecek, ama bu gelecek teknoloji. Uygulamanın yaygınlaşması zaman alacak. Bunun içerisine öyle bir şey yapabilirsiniz ki, makinanızdan bunu geçtiğiniz zaman asla kimse kullanamaz. Makinanızın kilidi haline gelebilir. Siz olmadığınız zaman makinanızın kimsenin ‘access’etmesi mümkün değil. Şimdi bu bir başka teknoloji token teknolojisi. Bir de maus’un üzerinde bastığımız zaman karşı tarafın sizin parmak izinizden tanıyacağı bir teçhizatı getiriyoruz. Kısacası, sonu yok dediğim gibi. Hangi sofistikasyonda olacağı tamamen müşterinin paranoyasıyla ilgili.
turk-internet.com : Digital signature ile ilgili neler söyleyeceksiniz?
Pehlivanlı: İki tane kavram var. Biri dışarıya açılan ‘public key’ bir de ‘private key’ dediğimiz yani, özel düğmenizi kullanarak sizin ‘otantik signature’la bir kuruma talimat veriyorsunuz. Elektronik olarak diyorsunuz ki, ‘Benim, şu hesabımdaki bin doları falanca hesaba gönder.’ Bu çok büyük bir yükümlülük banka açısından. Orada ki o talimatınızı işleme sokabilmek için bankanın, sizin imzanız olduğunu görmesi lazım. Digitalin bir takım kuralları var dünyada biliyorsunuz.Bunun güvenilir firmalar tarafından verilmesi lazım, sorumluluğu onlar üstlenmiş oluyor. Bu bir devlet kurumu olabilir, bir banka olabilir, bir bankanın yan kuruluşu olabilir ama güvenli bir kurum olması lazım ki bunu dağıtımında herhangi bir tereddüt olmasın.
turk-internet.com : Bu yapı Türkiye’de de başladı mı? Elektronik imza ne zaman yaygınlaşacak?
Pehlivanlı: Başladı ve daha da gelişecek, bu kaçınılmaz bir şey. Çünkü artık, herşey elektronik ortama taşındı. Bu ortamın kavramlarının gelmesi lazım, ama sadece bunlar yeterli değil tabii. Bunun arkasında bunu destekleyici kurallar ve kanunların devlet tarafından süratle getirilmesi lazım. Bu çok önemli birşey Türkiye’de hala bir takım eksiklikler var, inşallah bunlar kısa zamanda çözülür. Biliyorsunuz ki, hala teleks resmi evrak kabul edilir faks kabul edilmez! Yani burada da aynı durum var. Bunu eğer kural haline getirebiliyorsanız, cezalarını koyabiliyorsunuz. Herkesin belli bir süre sonra bir imzası olacak.
turk-internet.com : Türkiye’de internet kulanan kişiler güvenliğin önemini biliyor mu?
Pehlivanlı: Hayır, biz geride değiliz. Türkiye’de hiç bir şeyde geride kaldığımıza inanmıyorum. Türkiye son derece açık bir ülke, yenilikleri ve teknolojileri çok çabuk kavrayan bir ülke. Sadece bir tek tereddütü var, ‘bir başkası yapsın, o muvaffak olursa adım atayım, başarısız olduğu yerleri geçeyim’ gibi bir tereddüt var. Zaman zaman gecikmelere neden oluyor. Bunu, Türkiye telekomünikasyon teknolojisinin gelişiminde de gördük, en son teknolojiden başlayarak geliyor. Aradan atılan adımları atmıyor. En son adımdan başladığı için de çok kısa zamanda yakalıyor.
turk-internet.com : Devlet kurumları da potansiyel müşterilerinizden değil mi?
Pehlivanlı: Doğru. Devlet kurumları bizim önemli müşteri kitlelerimizden. Çünkü, devlet kendi bilgilerini korumak mecburiyetinde.