Günümüzde ticari şirketler ve devlet kurumları faaliyetlerini sürdürebilmek için yoğun bir şekilde bilgi kullanımına yöneldi. Gün geçtikçe önemi artan bilginin, saklanması, transferi ya da güvenliği çok önemli bir ihtiyaç haline geldi. Bilgi, artık kurumlar için en değerli varlık. Dolayısıyla, devlet kurumları, savunma sanayii ve finansal kurumlar başta olmak üzere tüm kurum ve kuruluşlar bilgilerinin güvenliği konusunda önlem almak zorunda. Siber saldırılar, virüsler ve kötü amaçlı yazılımlar da endişeleri artırarak bilgi güvenliği konusunda kafalarda soru işaretleri oluşturuyor. Peki bilginin güvenliği konusunda firmalar ve devlet kurumlarının ne yönde stratejiler geliştirmesi gerekiyor? Bu sorunun cevabına yanıt bulmak adına işin duayenlerinden birinin kapısını çaldık. Kurulduğundan bu yana birçok kuruma bilgi güvenliği alanında danışmanlık yapan Rootcon Bilgi Teknolojileri’nin kurucularından Ufuk Yılmaz’la bir araya geldik.
Rootcon Bilgi Teknolojileri’nin uzmanlık alanı nedir?
Rootcon ülkemizde bilgi güvenliği ve siber güvenlik alanlarında teknik eğitim, danışmanlık ve test hizmetleri verebilen ender firmalardan biri. Biz, 2006 yılında Türkiye’deki ilk ISO 27001 çalışmalarından birini gerçekleştirdik ve o günden bu yana benzeri birçok başarıya imza attık. Türkiye’de YYS kapsamında alınan ilk ISO27001 belgesi için danışmanlık yaptık ve bu alanda çeşitli birliklerde eğitimler verdik. Kuruluşumuzdan bu yana birçok firma tarafından bilgi güvenliği ile ilgili çalışmaların çözüm ortağı olarak tercih edildik. ISO27001, ISO 27019, CMMI ISO22301, SPICE gibi standartlarda danışmanlık verirken aynı zamanda firmaların bilgi teknolojileri altyapılarını da hem operasyonel açıdan hem de güvenlik açısından tekrar kurguluyoruz. SOME, CEH ve benzeri alanlarda teknik eğitimler verirken sızma, zafiyet, sosyal mühendislik testleri ve kod analizi gibi alanlarda da hizmet sunuyoruz. Bunların hepsini yapabilen ve entegratör olmayan ender firmalardan biriyiz. Dolayısıyla herhangi bir ürün ya da yazılım satma endişesi taşımıyoruz. Bu sayede üstlendiğimiz projelerde müşteri memnuniyetini üst düzeyde tutmayı başardık. Bilgi güvenliği alanında ağırlıklı olarak iki sektör danışmanlık vermekte Türkiye’de. Biri entegratör firmalar ki müşterilerine ürün verme konusunda çok motive durumdalar diğeri de genel danışmanlık firmaları. Hem kalite, hem iş güvenliği, hem çevre, hem de gıda alanında uzmanken marka patent ve kurumsal kimlik çalışmaları yapmakta ve devlet destekleri ile de ilgilenmekteler. Bu tür yaklaşımlar özellikle bilgi güvenliği gibi spesifik alanlarda uzmanlaşmayı imkânsız kılmakta. Bizim en büyük stratejimiz bilgi güvenliğinde uzmanlaşarak büyümek oldu.
Kaç kişilik bir ekibiniz var?
22 kişilik bir ekiple birlikte çalışıyoruz. Danışmanlarımız, eğitmenlerimiz ve test uzmanlarımız bulunmakta. Firmalara siber güvenlik alanında uzaktan izleme ve verilen izinler çerçevesinde müdahale hizmeti vermekteyiz. Tabii bilgi güvenliği ve siber güvenlikte en önemli parametre kullanıcılar. Kapsamlı sızma testlerimizde veya firmalara yönelik hedefli saldırılarda süreç çorap söküğü gibi ilerler ve siz çorabın kaçmasına neden olabilecek ilk ilmiği ararsınız. Oradan elde ettiğiniz yetkilerle bir sonraki süreci başlatırsınız. Bu ilmik genellikle kullanıcılardır. Yanlış bir maili açar, olmayacak bir şeyi paylaşır ya da bir USB belleği kullanırlar. Sonrası nispeten kolaydır.
“Türkiye’deki ilk ISO 27001 çalışmalarından birini gerçekleştirdik.”
Bize bir örnek verebilir misiniz bu konuyla ilgili?
Tabii ki. Bank of America’nın siber saldırıya uğradığını bilmeyen yoktur. Bankanın çalışanlarını fiziksel olarak takip ettiler yıllarca. İçlerinden birinin motosikletle ilgilendiğini öğrendiler. Motosikletle ilgili bir forumda ilgili çalışanla iletişime geçip motor parçaları satmak için fotoğraflar ilettiler. Bu kişinin şirketteyken motor parçalarına ait fotoğraflara bakmasıyla virüs de sisteme girmiş oldu. İşin ilginç tarafı ise virüsün sistemde yıllarca beklemesiydi.5 – 6 yıl sonra içeride bekleyen virüs birkaç milyar doları Panama’ya aktardı. Bir örnek daha verebilirim. Çin, İran’ın nükleer santrallerinin planlarını yine benzer bir yöntemle çaldı. Hatta bununla da kalmadı nükleer tribünlerini yavaşlatarak enerji üretim kapasitelerini düşürdü. Bunun için izledikleri yöntem şuydu; İran’ın nükleer santrallerinin etrafında ucuz USB bellekler sattılar. Santral çalışanlardan biri USB belleği satın alıp santraldeki cihazlardan birine taktığında virüsü içeriye sokmuş oldular. Siber saldırılar elektrik santrallerini de hedef alıyor. Rusya ise,
Ukrayna’nın sisteme sızarak elektriğini son bir yıldır sürekli kesintiye uğratıyor. Türkiye’de de zaman zaman siber saldırı neticesinde elektrik kesintileri yaşandı. Bankalarımız ve havalimanlarımız da sık sık siber saldırıların hedefi olabiliyor. Ülke olarak bu saldırıların farkında olduğumuzdan siber güvenlik konusuna da öncelik veriyoruz artık. Son yıllarda bakanlıklar, siber saldırılarla ilgili konulara öncelik vermeye başladı.
Peki ulusal güvenlik alanında ne tür stratejiler geliştirilmeli sizce?
Bizim en büyük ihtiyacımız yerel ürünler. Bir taraftan da güvenlik alt yapımızı iyileştirmemiz gerekiyor. Havacılık ve enerji ülkemiz için en kritik sektörlerin başında geliyor. Bu nedenle son yıllarda önde gelen havacılık şirketlerinden ve havaalanlarından siber saldırılara karşı koyabilecek ekipler kurmaları ve 27001 sertifikalarını almaları isteniyor. Aynı şekilde enerji santrallerinden, dağıtım, pazarlama ve üretim şirketlerinden de siber olaylara müdahale ekibi kurmaları, 27001 ve 27019 sertifikalarını almaları isteniyor. ISO20000-1 ve ISO22301 regülasyonlarına uyumumuzu da tamamlamamız gerekiyor.
KVKK kanunu son aylarda şirketlerin gündemini bir hayli meşgul etti. Bu alanda ne tür hizmetleriniz var?
Kişisel Verilerin Korunması Kanunu da ilgilendiğimiz konulardan. Hukuki yorumlar da gerektiren Kişisel Verilerin Korunması Kanunu aslında tamamen bilgi güvenliği ile alakalı. Geçtiğimiz aylarda KVKK için tanınan hazırlık süreci sona erdi. Firmalardaki telaşın asıl sebebi buydu. Yani artık standartlara uymayan firmalara cezai yaptırımlar uygulanacak. İdari para cezalarında vaka başına bir milyon TL’ye kadar ceza kesilebilecek. Yaptığınız işin boyutuna göre hapis cezası bile ihtimaller arasında olacak. KVKK danışmanlığını hukuk müşavirliği ve bizim gibi güvenlik firmaları yapabiliyor. Kanun yorumlamak güvenlik firmalarının uzmanlık alanına girmiyor. Hukukçuların da bilgi güvenliği konusuna hakim olmaları mümkün değil. Bu nedenle hukuk müşavirliği ve teknik bilgi güvenliği danışmanlığının aynı anda verilmesi gerekiyor.
Bilgi güvenliği alanında yapay zeka uygulamaları gündeme gelecek mi?
Sahip olduğunuz yazılım öğrenebilme kabiliyetine sahipse yapay zekaya doğru ilerliyordur. Ülkemizde de teknolojik olarak bir yerden başlamamız gerekiyor. Google ve Amazon’un seviyesine ulaşılması yıllar alabilir. Bilgi güvenliği alanı da yapay zeka yazılımlarının tercih edildiği bir alan olacak. Bu alanda yetişmiş kalifiye personel de gerekecek ancak ülkemizde ne yazık ki imkanlar çok kısıtlı. Öğrencilerimiz uluslararası imkanlara kayıtsız kalamıyor.
“Havacılık ve enerji ülkemiz için en kritik sektörlerin başında geliyor.
Bu nedenle son yıllarda önde gelen havacılık şirketlerinden ve havaalanlarından siber saldırılara karşı koyabilecek ekipler kurmaları ve 27001 sertifikalarını almaları isteniyor.”
Siber saldırılara karşı personelini eğitmek isteyen şirketlere neler sunuyorsunuz peki?
Bilgi ve siber güvenlik alanında sıkılaştırma eğitimleri, network adli incelemesi, siber saldırı yapma, siber saldırıya karşı koyma, baş denetçilik eğitimleri, iç denetçilik ve uygulama eğitimleri gibi birçok eğitimi şirketlere verebiliyoruz. Siber olaylara müdahale ekibi varsa bu ekibin yetkinliğinin de olması gerekiyor.
Türkiye’de bilgi güvenliği uzmanı olmak isteyenler ne yapmalı sizce?
Amerika’daki üniversitelerde bilgi güvenliği eğitimi alan öğrenciler sektörle birlikte gelişiyor. Amerika’da
öğrenciler hem teori hem de pratiği öğreniyorlar ve sektöre hazırlanıyorlar. Bu Türkiye’de daha teorik ilerliyor. Üniversite eğitimlerinin dışında da bu alana ciddi mesai ayırmaları, ilgili yayın ve eğitimleri takip etmeleri ve buldukları her fırsatta pratik yapmaları gerekiyor. Çünkü; ülkeler siber dünyada
da birbirlerine cephe almış durumdalar ve savaşıyorlar. Ülkemiz bugün bu alandaki uzmanlara her zamankinden çok daha fazla ihtiyaç duyuyor.