Dünyamızın çeşitli yerlerinde sürmekte olan savaşlar var ve bunlar bitmediği gibi günden güne yayılıyorlar sanki. Siber güvenlik ile can güvenliğimizin birlikte ele alınmaya başlandığını da gördük ya artık şu hayatta bizi şaşırtacak bir şey olamaz herhalde. Cyberwise Siber güvenlik stratejilerinden sorumlu Genel Müdür Yardımcısı Aydın Küçükkarakaş ile bu ve buna benzer pek çok konuyu ele aldığımız keyifli bir sohbet gerçekleştirdik. Son dönemde satışlarında gözle görülür bir artış olduğundan bahsederek konuya hızlı bir giriş yaptılar.
Aydın Küçükkarakaş : Bu artışı birkaç şeye bağlıyorum. Mesela bir tanesi, acaba paramız Türk Lirası değer kaybediyor, şu an değerliyken daha sene sonunu beklemeden hızla satın almalarımızı yapalım, paylaşmalarımızı yapalım diye bir hızla dönüş var. Bir yaklaşımımız bu. Bir diğer olasılık siber güvenliğin önemi artıyor. Rakiplerimizden bize geçişler gözlüyoruz. Başka yerden hizmet alıp da bizle görüşmek isteyen, bizle ilerlemek isteyen müşteri sayısında da artış görüyoruz. Bu iki sebep ön plana çıkıyor.
Sebeplerini net olarak anlamaya çalışıyorsunuz Sanırım.
Aydın Küçükkarakaş : Evet bilgiler Tam net değil. O yüzden çıkarımda bulunmaya çalışıyoruz.
O zaman şöyle soralım: Cyberwise neler yapıyor?
Aydın Küçükkarakaş : Biz Cyberwise olarak siber güvenliği A’dan Z’ye sunmaya çalışıyoruz. Bu bir virtual CISO (sanal bilgi güvenliği müdürü) hizmeti olabilir. Müşterilerimize danışmanlık verebiliriz. Onların ihtiyaçlarını, onlarla birlikte analiz edebiliriz. Onlar için yol haritaları çıkarabiliriz. Bu danışmanlıkla başlıyor. Onlar için denetimler yapabiliriz. Bazen regülasyonlara uyum denetimleri de yapabiliyoruz. Örneğin PCI regülasyonuna uyum için ya da Swift regülasyonuna uyum için ya da diğer regülasyonlara uyum için denetimler de yapabiliriz.
Bunlar bizim danışmanlık ekiplerimizin kapsamına giren işler. Bu ekiplerimiz aynı zamanda güvenlik testleri yapabiliyorlar. Sızma testleri yapabiliyorlar. Bu güvenlik testlerinin müşterilerimiz için çok faydası var. Danışmanlık ekiplerimizin bünyesinde tüm bunları sunabiliyoruz. Bunlar bir line of business’ımız (iş kollarımız).
Bunun gibi daha birkaç tane business line’ımız var. Benim yönettiğim business line ise “yönetilen güvenlik hizmetleri (MSS)”. Bu da şu demek, müşterilerimiz 7-24 onların sistemlerini, onlar adına güvenlik sistemlerini yönetmemizi istiyorlarsa, izlememizi istiyorlarsa, şüpheli aktivitelerini takip etmemizi, onlara yanıt vermemizi istiyorlarsa, bu alanlarda hizmet veriyoruz.
Bunun dışında yine benim gibi çalışan diğer line of business’ların sorumlulukları içinde uygulama güvenliği, veri güvenliği, uç nokta güvenliği, bulut güvenliği gibi uzmanlıklar var. Kimlik yönetimi güvenliği gibi uzmanlıklar var. Yani biz bir enterprise’ın (kurumun) ihtiyaç duyduğu güvenlik hizmetlerinin, ürünlerinin %90’ına belki çare olacak çözümler ve ürünler sunuyoruz.
Sizin de altını çizdiğiniz bir kavram var: “Bütünsel Siber Güvenlik”. Bunu açar mısınız?
Aydın Küçükkarakaş : Evet doğru. Çünkü şunun zorluğunu biliyoruz. Bir yaklaşım vardır. Best of breed ürün veya best of breed hizmeti alayım. Bu şu demek: Bir konuda, bir teknolojide en iyi ürünü alayım ama o diğer bileşenlerle yeterince entegre çalışamazsa, onun toplam faydası aslında entegre çalışan diğer ürünlerden daha düşük oluyor.
Biz bunu bildiğimiz için aynı yaklaşımı kendi ürün ve hizmetlerimize de uyguluyoruz. Biz müşterilerimize diyoruz ki, 7 tane farklı siber güvenlik tedarikçisiyle çalışmak yerine ve onları birbiriyle iş birliğine itmeye çalışmak yerine bunların tümünü bizden tek bir yerden alabilirsiniz. Böylelikle tek bir yerden hesap sorabilirsiniz. Tek bir yerle, tek bir tedarikçi yönetmek ile ilgilenebilirsiniz çünkü özellikle regülasyona tabi sektörlerde tedarikçilere riskini yönetmekte o hizmeti alan kurumun sorumluluğudur.
Örneğin bir banka, bir enerji firması hizmet alıyorsa tedarikçisinin de kendi mevzuatına uyum sağladığını, güvencesini hizmete alan sunmak zorunda. Belgelemesi gerekiyor. Eğer uyumlu değilse uyumlandırmak zorunda. Tüm bunlarla uğraşmamak için biz a’ dan z’ ye her şeyi sağlayabileceğimizi düşündük. Elbette eksik olduğumuz birkaç niş alan var ama giderek kapsamımızı da genişliyor.
Son dönemin önemli bir konusu da ülkemizdeki bulutlaşma / bulut kullanım oranlarıdır. Bunda bir artış olacağını düşünüyor musunuz? Bunu neden soruyorum; elbette ki artışın önündeki engellerden birisi regülasyon. Regülasyon bu durumun önünü açacak şekilde değişirse ve bulut kullanım oranı artarsa sizin de işlerinizi çok artıracağını öngörmek tabii ki zor değil. Buradaki beklentiniz ne?
Aydın Küçükkarakaş : Evet ben regülasyonun aslında çok değişmeyeceğini ama özellikle kişisel verileri koruma kanunu ve GDPR uyumluluğu sağlanarak bazı yakın ilişkilerimiz olan ülkelerdeki bulut ortamlarını kullanabilir hale geleceğimizi öngörüyorum.
Biraz esnetilecek yani.
Aydın Küçükkarakaş : Evet esnetilecek. Örnek veriyorum. Nasıl ki elçilik alanları bizim ülkemizin toprağı gibi. Sanki böyle bölgede Ortadoğu ve Afrika bölgesinde bazı hyperscalerların veri merkezlerinin bir alanı fiziksel olarak Türkiye’nin toprağıymış gibi addedilecek. Oradaki bütün verilere işte devletimizin regülasyon gereği erişim ihtiyaçları karşılanacak ve buradaki processing power (işlem gücü) bulut kabiliyetleri Türkiye tarafından da kullanılabilecek gibi açıklamalar var.
Hem karşılıklı GDPR, KVKK neyse kişisel verileri koruma ihtiyaçları da karşılanacağı için böyle esnemeler bekleniyor. Onun dışında ben özellikle finans sektöründe ya da telko sektöründe, enerji sektöründe bulut kullanımının yönünün çok açılabileceği bir esneme beklemiyorum ama yine de çağın gerisinde kalmamak için bir takım kullanım alanlarının açılacağına, bunun da karşılıklı anlaşmalarla, devletlerarası anlaşmalarla destekleneceğini düşünüyorum.
Çünkü biz devlet olarak ya da çok büyük yatırımlar yaparak bir bulut hyperscaler üretmediğimiz bir üretici, o teknolojileri bizim üretme şansımız yok. Biz ancak birleşenlerini üretebiliyoruz şu anda. Çok büyük yatırımlar yapılırsa ancak bir Google, AWS, Microsoft gibi inisiyatifler üretebiliriz. O yüzden kullanım oranı artacak ama regülasyonda çok büyük değişiklik yapılarak, “bütün bulut sistemlerini kullanabilirsiniz, bütün dünyadan hizmet alabilirsiniz” seviyesinde olmayacaktır diye düşünüyorum.
Bugünkü sunumlara dönecek olursak, tekrar beni etkileyen sunumlardan birisi de quantum bilişim hakkındaydı. Quantum computing hayatımıza direkt olarak girdiğinde güvenlik tarafında başımız çok ağrıyacak. Yani bugünkü kullandığımız mevcut sistemlerin hepsi işlevsiz olacak gibi bir algım var. Bu konudaki yorum ve öngörülerinizi duymak isteriz.
Aydın Küçükkarakaş : Quantum computing kullanılabilir hale geldiği zaman bütün hazırlıkların yapılmış olması ve Quantum Safe algoritmalara geçirilmiş olması öngörülen bir çalışma. Artık Quantum Computing’i destekleyen, ki bunların başında IBM gibi üreticiler geliyor, onlar şu günden Quantum Safe algoritmalar çıkardılar. Eski algoritmayla şifrelenmiş verilerin yenisine nasıl dönüşeceğine dair yol haritaları paylaştılar ve onların da öngörüsü global olarak 10 yıl sonra işte büyük hacker grupları ya da büyük enterprise’lar (kurumlar) Quantum Computing’i kendi core işleri dışında güvenlik amaçlı da kullanmaya başlayacaklar.
Çünkü, Quantum Computing’de, ilk kullanım amacı güvenlik olmayacak, core business’lar (çekirdek iş) olacak. İşlem yapacaklar. Ondan sonra diğer katma değerli işlerde kullanılacak. Bu 10 yıllık zaman diliminde bence kurumların çok vakti olacak, 256 bit encryption (şifreleme) ya da RSI algoritması ile encrypt ettiğim mekanizmaları Quantum Safe algoritmaları çevireyim diye. Hatırlarsanız 2000 yılında büyük bir dönüşüm ve uyum süreçleri yaşanmıştı bütün dünyada, ona benzer bir dönüşüm olacak. Ama bazen, hepimizin bildiği üzere, yumurta kapıya dayanınca iş yapılan durumlar vardır. Muhtemelen “işte Quantum geldi artık tehdit olmaya başladı, 3-5 örnek oldu” deyince, geriden gelip hızlı aksiyon almak zorunda kalan şirketler olacak ülkemizde de. Ama işte o an büyük bir tehdit ile karşılaşabilirler.
Özellikle böyle public ağlardan internet erişimi o kadar riskli olacak ki… Düşünün bir hackers’ınız ve otelde lobby’sinde oturuyorsunuz. Access pointin (erişim noktasının) bütün trafiğinin kopyasını aldınız. Bunları kırmak, bütün iletişimi monitör etmek, kim hangi siteye gitmiş, hangi user name ve password’ü kullanmış; bunları tespit etmek şimdiki güvenlik algoritmaları kullanılırsa çok kolay olacak. İnanılmaz, dehşet verici bir durum senaryosudur bu….
Peki bizi o durumda Multi Factor Authentication (çok faktörlü kimlik doğrulama) çözümleri kurtarır mı? Mesela cep telefonumuza gelecek doğrulama mesajı çözüm olur mu?
Aydın Küçükkarakaş : O bile yetmeyecek çünkü o authentication kimliğimizi doğruluyor. Gerçekten “Aydın Bey burada kimliğini doğrulamış ve işlemi o yapıyor” bilgisini alıyoruz. Ama trafik şifreli geçiyor. O trafiği capture eden birisi quantum computing hızında bu şifreyi çözerse belki birkaç gün içerisinde, belki birkaç saat içerisinde çözebilecek de kimlik doğruladığından bağımsız olarak veriyi okuyabilecek. Clear text okuyabilecek.
Yani o durumda multi-factor authentication, biyometrik authentication de bir işimize yaramayacak.
Bu sene bir ödül aldınız. Cyberwise, “İhracatı Hızlandıranlar” Ödül Programında, 2023 yılı ihracat performansı nedeniyle, Teknoloji sağlayan firmalar kategorisinde “Güvenlik ve Siber Savunma” alanında ödüle layık görüldü. Biraz bu ödülden bahsedelim, bir de ayrıca firmanız kültür sanat hayatımıza yaptığı desteklerle de gündeme geldi. IKSV Jazz Festivali’ne destek veren verdiniz. Bu iki konuyla ilgili yorumlarınızı rica ediyorum.
Aydın Küçükkarakaş : İlk olarak ihracatı hızlandıran firma ödülümüz ile başlayalım. Biz hem kendi ürünlerimizi geliştiren bir firmayız, kendi özgün yazılımlarımızı yazıyoruz, yazılım ihracı yapabiliyoruz hem de ürün ve hizmetlerimizi bölgedeki diğer ofislerimiz vasıtasıyla yurt dışındaki müşterilerimize sunabiliyoruz. Örnek vermek gerekirse Dubai’de bir şirketimiz var, bu bir sister company (kardeş kuruluş). Hollanda’da bir şirketimiz var, Cyberwise BV adında, o da bizim yüzde yüz sahip olduğumuz bir şirket. Bu şirketler vasıtasıyla Türkiye’deki kaynaklarımızla yurt dışına hizmet verebiliyoruz ve oradaki bayiliklerimiz vasıtasıyla oralara ürünler satabiliyoruz. Tüm bunları bir araya getirince biz aslında sadece Türkiye değil yurt dışına sattığımız ürün ve hizmetlerle de ürün ihracatı, hizmet ihracatına oldukça katkı sağlıyoruz.
Bu bahsettiğim ihracat kısmıydı. Özgün ürünlerimiz gerçekten Türk mühendislerin yazdığı siber güvenliğe hizmet eden yazılımların yurt dışındaki müşterilere satılması, kullanılması çok önemli örnekler bizim için.
İkincisine gelecek olursak, sanata verdiğimiz destek konusu: Siber güvenlik firmaları ya da IT’de çalışanlar daha çok bilgisayarlara gömülmüş, sosyal ilişkileri başka insanlarla karşılaştırıldığı zaman biraz daha az olan insanlarız. Biz Cyberwise olarak bunun biraz farklı yönde gelişmesi için çaba gösteriyoruz. Sanata destek vermek, sürdürülebilir programlar, projelere destek vermek gibi yaklaşımlarımız var. Hatta şirketimizin içinde bir kendi ödül sistemimiz var. Kendi çalışanlarımızla birlikte tasarladığımız, her sene revize ettiğimiz. Orada sürdürülebilir projelerde gönüllü görev alıp oraya katkı sağlamak bile şirketin kurumsal olarak ödüllendirdiği bir yaklaşım. Biz bunları benimsiyoruz.
İKSV Jazz Festivaline sponsor olunca misafirlerimizi de davet ettik. Bizim oralara sponsor olmamız ve desteklememiz onların çok ilgilerini çekti. Bizim de amaçladığımız bir şeydi ve orada başarılı olduğumuzu düşünüyoruz.
Bu vesile ile gündeme dair bir konuyu da soralım. Geçtiğimiz günlerde Lübnan’ da yaşanan patlamalara değinelim. Eskiden siber güvenlik ayrı güvenlik ayrı kavramlardı. Sanki ikisi iç içe geçti bu son olayla. Bununla beraber sizce ülkeler ne yapmalı?
Aydın Küçükkarakaş : Safety ve Security diye aslında Türkçe’de ikisini de aynıymış gibi kullanıyoruz. Birisi can sağlığı ve can güvenliğimiz için safety’dir. Security ise siber güvenlikte kullandığımız cyber security. Oradaki olaylarda risk yönetiminin doğru yapılmadığını görüyorum. O cihazları kullanan, pager cihazlarını, telsizleri kullanan kişiler, insanlar, şirketler, her kimse, aslında bunların riskli olup olmadığını analiz etmeleri gerekirdi. Hatta şahsi düşüncem, bir gün önce benzer şekilde ithal edilen bir cihazda problem varmış. Bu insanların safety’sine zarar verdiyse hemen orada bir risk değerlendirmesi yapıp benzer bir cihazımız daha var acaba bunda da bir problem olabilir mi diye önlem almak, en azından şüphe duymak gerekiyor. Burada ben interaktif risk yönetiminin eksik yapıldığını düşünüyorum.
Bu olay şunu gösteriyor: artık siber güvenlik o kadar önemli ki siber saldırılar insanın sağlığına da tehdit olabilir. Sağlık sektöründen örnek vermek gerekirse İngiltere’de çok saldırılar oldu. Ameliyathanelerde insanlar ameliyat masasında beklemek zorunda kaldı. Hayatını kaybeden hastalar bile oldu bu siber saldırılarda. Keza otomobiller artık dijital, otonom sürülebilen araçlar var. Bunların tümü insanın can güvenliği için de tehlike barındırıyor. Buralarda çok önlem almak gerekiyor ki özellikle otomobil endüstrisi, Birleşmiş Milletler bile hatta güvenlik yazılımlarının güvenlik testi yapılmadan otomobillerin satışını müsaade etmeyen regülasyonları devreye aldılar. Şimdi pek çok düzenleme o alanda yeni yeni zaten geliyor. Bunlar gün geçtikçe çok önemli hale geliyor.
Doğal olarak burada yerli üretimin öneminin ön plana çıktığını görüyoruz. Sizin yorumlarınızı alalım bu konuyla ilgili.
Aydın Küçükkarakaş : Yani dışa bağımlılık zaten başlı başına bir problem ama o teknolojiyi, yerli teknolojiyi üretmek için Türkiye’deki destek, teşvik ekosisteminin bence yeterince işlemediğini düşünüyorum.
Belki devlet, devlet yanına özel sektörü, firmaları da alıp büyük firmaları da alıp daha büyük yatırımlar yapması gerekiyor. Daha büyük kuluçka merkezleri, daha büyük arge merkezleri, işte silikon vadisinin benzerleri, daha iyi teşvikler. Tamam, çeşitli teşvikler az ya da çok var ama bunların çıktılarını, outputları değer üretiyor biraz ölçmek lazım. Bir de biz biraz geriden geliyoruz bazı durumlarda. Ürün geliştirme açısından siber güvenlik de öyle üretiliyor. Belki bunun dezavantajını, avantajı çevirmek lazım. Hızla bir girişim yapıp, hızla bir atak yapıp burada öne çıkmak lazım. Artık bir devlet olarak kendi işletim sistemimiz, kendi network güvenlik yazılımımız, kendi EDR yazılımımız olmadan global bir çatışma anında karşılaşacağımız riskleri ölçmek bile zor. Örneğin bir ülke ile anlaşmazlık yaşadığımız bir durumda bütün işletim sistemlerinin onların tarafından üretildiğini düşünelim. Bir anda bütün işletim sistemlerini Türkiye’de çalışmaz hale getirmek isteseler yapabilirler mi? Evet. Yapabilirler. Bu durumda bizim business’ımız, sadece devletimiz değil özel işletmeler nasıl etkilenir? Hangi sektörler çalışmaz hale gelir ve bunların business continuity’sini (iş sürekliliği) nasıl sağlarız diye büyük planlar elbette yapılıyordur. Çok önemli ele alınması gereken, yatırım yapılması gereken bir yer burası. Biz mesela şirket olarak siber güvenlik alanında birkaç noktaya çözüm üretecek yazılımlar geliştiriyoruz. Kaynak kodu bizde. Source kodunu analiz ettiriyoruz. Güvenlik testlerini yapıyoruz ve accountable (sorumlu) hissediyoruz kendimizi. Bir müşterimize verdiğimiz zaman bundan doğacak bir sorun da bakın back door yok. Testleri yapılmış. İstediğiniz yere de test ettirebilirsiniz diyoruz. Güvence, assurance veriyoruz. Hatta BDK Regülasyonları diyor ki “dışarıdan aldığınız yazılımları kendi yazmadıklarınızın, kaynak kodunun back door içermediğine dair test edilmesini bekliyoruz”. Türk yazılımları kullanmanın böyle avantajları olacaktır. Bu güvenceyi kolaylıkla verebilirsiniz.
Rusya’ nın Ukrayna savaşı başlamadan önce, Internet altyapısını dışa bağımlı olmadan da sürdürebileceği birtakım değişikliklere gittiğini görmüştük. Konuyu her seviyede ele almak gerekiyor sanırım.
Aydın Küçükkarakaş : Hatta, ülke olarak biz karar verip, internetimizi kapatıyoruz, yurtdışına giriş çıkış internetimizi kapatıyoruz diye ülkelerin karar alabilmesi gayet haklı gerekçelerle makul olabilir. Mesela ben şöyle örnekler hatırlıyorum: Bir banka var, bir bileşeni Türkiye’de, bir bileşeni Avrupa’nın bir şehrinde. Avrupa’daki ülke diyor ki “ya benim ülkemde çalışan banka primary sistem olarak Türkiye’deki bir yapıyı kullanıyor. Yarın öbür gün bir anlaşmazlıktan dolayı Türkiye ve Avrupa Birliği arasında internet erişimi kapatılması gerekirse bu banka yani Avrupa’daki banka işlevsiz yani çalışamaz hale gelir. Disaster Recovery’ini açması gerekir. Onun da bir prosedürü var. Bu durumda ben buna müsaade etmiyorum” diyerek European Central Bank da diyebilir ki. “Ya primary’ini benim ülkeme getir Avrupa Birliği içerisine getir. Ya da Disaster Recovery Center’ını Avrupa Birliği içerisinde olacağını garanti altına al test et. İşte şu kadar saatte açılabildiğinden emin ol.” İşte bu yüzden jeopolitik risklere karşı hazır olmak, hep B senaryoları için hazırlıklı olmak çok önemlidir.
Aydın Bey’e çok teşekkür ediyorum. Benim sorularım bu kadar. Çok keyifli ve bilgilendirici bir sohbet oldu açıkçası benim için.