e-toplum 16 ARALIK 2013 / 08:06

Bu devirde hızlı olan ‘emniyette’

İnterpromedya tarafından gerçekleştirilen ‘Ödeşmenin Dijital Halleri’nin son konuşmacısı IntelRAD CEO’su Can Yıldızlı oldu. Ödeme dünyasının karşı karşıya olduğu riskler, Türkiye’nin sayısal güvenlikte ulaştığı nokta, artılar ve eksileri, IntelRAD’ın çalışmaları ve hedefleri konusunda Yıldızlı sorularımızı yanıtladı.

n Türkiye’de kurumlara kendinizi nasıl anlatıyorsunuz?
Zor oluyor açıkçası. Türkiye’ye 1 yıl önce döndüm ABD’den. Burada olmayan bir güvenlik testi modelini, ‘fiziksel sızma testini’ getirmeye çalıştık. BDDK kararı uyarınca bankaların güvenlik testlerini yaptırması bir zorunluluk haline geldi ve biz de ‘sızma testi’ testlerini yapıyor, bankalara hizmet veriyoruz. Diğer kapsamlı testleri de yaptığımız için bunu yapmak daha kolay oluyor.

n Bu konuda yetki belgesi nereden alındı?
TSE bu konu hakkında yetki belgesi çıkartmak için çalışıyor. Belirli bir servisi veren şirketlere bu testi yapma yetki belgesi verilecek. Ankara’da bu konuda fikirlerimizi de paylaştık. Ortaya güzel bir çalışma çıkacak. Yurtdışında bu konuda oturmuş bir yapı var.

n Hangi sektörlere ulaşıyorsunuz?
Uğraştığımız insanlar ciddi miktarda dolandırıcılık yapanlar, büyük kayıplara yol açanlar. USTA (Ulusal Siber Tehdit Ağı) platformumuzda bu hizmeti ağırlıklı olarak bankalara veriyoruz. Şu an 5 banka, sistemi deneme sürümü olarak kullanıyor. İki de holding var. Biz onlara bildirimler yapıyor, bir yer haklandığında onların verileri varsa onları bilgilendiriyor, gerekli önlemleri almaları konusunda uyarıyoruz. Şirketin karşı karşıya olduğu riski görüp, onları bilgilendiriyoruz ki erkenden önlemini alabilsin. Kamuya hizmet veren yapılar ve kritik kurumlar için de milli bir güvenlik sistemi tasarladık. Savunma anlamında birbirleri arasında kolayca bilgi akışı sağlayabilecekleri bir yapı oluşturmaya çalışıyoruz. Bir riski diğer kurumlarla hemen paylaşabiliyorsunuz. Bunu ‘acil durum’ sistemi gibi düşünebiliriz.

n Bir şirkete kendinizi nasıl tanıtıyorsunuz?
Farkındalığı olanlar bizi biliyor. Ama yatırım yapma kararını almaları zaman alıyor. Oysa biz çok hızlıyız. Çünkü riskler çok hızlı gelişip yayılıyor. Her 1-2 saatte bir, telefonuma bizim siber suçla mücadele ekibinden haberler gelir. Küreselde neler olup bittiği sürekli derlenir. Sizin medyada gördükleriniz olayların sadece yüzde 1’i. Biz tüm bu bilgileri bildiriyoruz siber tehdit paylaşım platformu ile. Bir tehditle karşılaşırsanız, siteye girip ‘Bana böyle bir yazılım geldi, bundan şüpheleniyorum’ diyebilirsiniz. Biz uzman olarak bakıyor, riskle ilgili direkt olarak herkese bildirim yapıyor, bir kişinin riski konusunda herkesi bilgilendiriyoruz. Siber tehdidi şirketler arasında paylaşmak önemli. Kritik kurumlara USTA yapısında üyelik açıyoruz. Böylece onlar veya sektörleri hakkında bir şey olduğu zaman, onlara otomatik bildirim yapıyoruz. Onlar bir saldırıdan önce neler olduğunu biliyorlar. Sistemi yurtdışından önce tasarladık ve amacımız Türkiye’de tüm kritik kurumları buraya çekmek.

n Yurtdışına açılmak gündeminizde mi?
Aslında bu yapıyı önce Brüksel’de, bir siber güvenlik konferansında tanıtınca ilgi odağı olduk. Bu yaptığımız çalışmanın küresel bazda örneği yoktu. Yurtdışında kendimizi daha rahat anlatabiliyoruz. Bir sürü etkinliğe gidiyoruz, bazı şirketlerle işbirliği içindeyiz. Ama ağırlığımızı yurtdışına 2014’te kaydıracağız. Siber güvenlikte seçeceğiniz bölgeyi iyi bilmeniz gerek. Bir bölgeye girdiğiniz zaman, bir başka bölge sizinle çalışmayacağını söyleyebiliyor. Ortadoğu’da, Dubai taraflarında potansiyel büyük ve siber güvenlik ihtiyaç. Her ülke aslında kendi Ar-Ge’sini yapmalı, özellikle siber güvenlikte kendi çözümlerini geliştirmeli. Aksi halde tüm bilginizi başkalarına emanet ediyorsunuz.

n Nasıl bir ekibiniz var?
Sızma testleri yapan, bir kuruma bu testleri simüle edip sonra onların güvenliğini sağladığımız bir ‘sızma test ekibi’ var. Türkiye’ye geldiğim zaman ilk yaptığım şey siber güvenlik yarışması düzenlemekti. Bu İK temini açısından önemli bir adımdı. Bir de ‘siber suçla mücadele ekibi’, hacker nabzını yoklayan grubumuz var. Kim ne yapıyor, yeni teknikler neler, gelişmelerden sürekli haberdar kalmamızı sağlıyorlar. Burada da 5 kişilik bir ekip var. 2’si Türk, 1’i Rus, 1’i İsrailli, 1’i Uzakdoğulu. Çünkü her bölgenin kendine göre teknikleri var. İçerde güvenliği sağlamak mesele. O yüzden biz eleman seçiyor, kendi elemanlarımızı teste tabi tutuyoruz. Sürekli araştırma ve kontrol var. Bize stajyer çok geliyor.

n Nereden?
Hep doğudan, Anadolu’dan geliyorlar. Oradaki öğrenciler daha rahat zaman bulup kendilerini bu konuda geliştirebiliyorlar. Siber güvenlik alanında çalışmak üzere Anadolu’da büyük bir kaynak yatıyor. Gelen stajyerlerden çok memnun kaldık ve onlarla iletişimimiz kopmuyor. Bir inisiyatif olarak Siber Güvenlik Akademisi’ni de başlattık.

n Bu nasıl bir yapı?
Bağımsız bir grup ve biz bu konuda sadece öncüyüz. Türkçe kaynak, siber güvenlik alanında kapsamlı eğitim yok. İngilizce kaynakları Türkçeleştirmek için yola çıktık. 90 kişi katıldı 3 haftada. İlk toplantımızı gerçekleştirdik. İkinci toplantı Ankara’da olacak. Tüm kaynakları çevirip, çevrimiçi ve ücretsiz olarak herkese siberguvenlikakademisi.org sitesinde sunacağız. Bunların konferanslarını düzenleyeceğiz, üniversitelerde eğitim ağırlıklı çalışmalar olacak. Bir içerik taslağı oluşturduk ve bunu bize yardımcı olacak uzmanlarla paylaştık, yorumlarını aldık. Herkes kendi alanı olan konuyu seçecek, görsel kullanımla bir çalışma yapacak ve bu içeriği biraraya getirip internet sitesinden yayına geçeceğiz. Öğrenciler, uzmanlara mesaj atabilecek. 2014’ün ilk çeyreğinde en azından içeriğin bir bölümünü hayata geçireceğiz. Sonuçta herkes bir şeyler yapmaya çalışıyor. Çünkü eksikler çok fazla.

n Yatırımcıların size ilgisi nasıl?
Bir yatırımcı ile başladık, ama sonra bağımızı kestik. Bizimle aynı vizyonu paylaşan hızlı insanlara ihtiyacımız var. Siber güvenlik alanında çok melek yatırımcılık bilmiyorum. Yurtdışında da sizi bir devletin savunma yüklenicisi bünyesine alır. Melek yatırımcılar güvenlik girişimlerine pek ilgili değildir. Bir girişim olarak paraya çevirebileceğimiz çok şey çıkartabiliriz, ama biz güvenliği seçtik.

İyi olmak da dert

Konu riskler olduğunda, çok dinamik bir yapı var. Rusya, Ukrayna, Çin, ABD ve İngiltere’nin başı çektiği bir tabloda, aslında dengelerin sürekli değiştiğine işaret eden Yıldızlı, Türkiye’de bile her ilden saat başı bir vaka çıkabildiğini belirtti. “Firmaların kendi içinde Siber Olaylara Müdahale Ekipleri (SOME) yapıları kurması kolay değil ve bilgi seviyesi olarak insanların kendini geliştirmesi gerek” diyen Yıldızlı’ya göre, farkındalık artıyor ve genç nüfusun etkisiyle bu konuda diğer ülkelerin önüne geçmek sürpriz olmaz. “Ama iyi olmanın dezavantajı, bizi hedef yapması” eklemesini de yapan Yıldızlı, “Rus forumlarında gördüğümüz en çarpıcı örnek Türk bankalarının hedef olması, saldırı biçimlerinin bunlara göre tasarlanması” örneğini verdi. Bunların Türkiye’ye odaklı yazılan yazılımlar olduğunu, şirketlerin gelişmesine rağmen, haklayıcıların daha hızlı geliştiğini vurgulayan Yıldızlı, RedHack ve NSA odaklı şu yorumu ekledi:
“RedHack’ten kasıt eğer sözcü ise yakalanabilir. Ama RedHack’i ideoloji olarak ele alırsanız yakalanamaz. Bir başka kişi çıkıp onların ismini devralacaktır. Kişiden bağımsız bir yapı var burada. NSA ise güvenlik algısında bir değişim yaratmıyor. Hatta kendi aralarında dalga geçiyorlar filmlerde dizilerde. ABD tarihinde bir sürü ‘insider’ vakası yaşandı. Bu sefer sadece yetkili bir kişi bilgiyi dışarı çıkarttı. Başka bir etkisi yok.”
ETİKETLER : Sayı:950