Gais Security Genel Müdürü Osman Doğan ile Söyleşi

Gais Security Genel Müdürü Osman Doğan ile Söyleşi

Bilgi güvenliği alanında toplumun her kesiminde bilgi ve bilinç düzeyini arttırmak, bu konu ile ilgili teknolojik gelişmeleri izlemek, milli teknolojilerin geliştirilmesine katkı sağlamak; bireysel, kurumsal ve ulusal düzeydeki riskler konusunda farkındalık oluşturmak amacı ile Gais Security Genel Müdürü Osman Doğan ile Türkiye’de bilişim sektörünün durumu, devletimizin kalkınmasında IT ve Telekomünikasyon sektörünün yeri ve bilhassa bilgi güvenliği, itibar yönetimi ve e-koruma alanında bilinmesi gerekenler ve çözüm önerileri hususunda ülkemizin dünü, bugünü ve geleceği adına yapılması gerekenleri konuştuk.

CyberMag: Öncelikle internet kullanım oranlarındaki artışı neye bağlıyorsunuz? Sosyal medya ortamları da göz önüne alınırsa, açık bilgi ortamlarında nasıl koruma sağlanmalıdır?

Osman Doğan: Algoritma içinde yüzdüğümüz ve her şeyde olduğu gibi insanın dahi kodunun olduğu bir ortamdayız. Fiziksel ortamın ötesinde sanal dünyada yaşadığımız ortamda tercihlerimizin, eğilimlerimizin ve ilgi alanlarımızın hedef ve sermaye olarak kullanılması çok olağan bir hal almıştır. ‘Big Data’ dediğimiz o büyük veri havuzu milyarlarca üyesi olan Facebook, Twitter gibi şirketlerin elinde bulunmaktadır ve tüm kişisel verilerin bu havuzlarda tutulması sağlanmıştır. Bu durumun önüne geçmek için bireysel çabaların ötesinde devlet politikası olarak yürütülecek milli yazılım ve platformlarla vatandaşların zaaflarının farklı ellere teslim edilmesinin önüne geçilmelidir. Bu durum sadece erişimin engellenmesi ile değil uluslararası yaygınlıkta ve kalitede de yazılımların üretilmesi ve desteklenmesi ile sağlanabilir.

CyberMag: Devletimizin kalkınmasında bilişim sektörüne yapılacak yatırımların yeri ve önemi nedir? Endüstri 4.0 trenini kaçırmamak adına özel sektörün ve devletimizin alması gereken sorumluluklar nelerdir?

Osman Doğan: Kamu kurumlarında özellikle siber güvenlik alanında yapılan yatırım ve ihale sonucu alınan ürünlerin mercek altına alınarak detaylı incelenmesinde fayda var. Eğer bir güvenlik yazılımı NewYork’dan çok Ankara’da satılıyorsa, ihalelerde %95 indirimler sunularak sistem odalarımızda verdiğimiz savaşın bir parçası oluyorsa oturup ciddi ciddi söylem değil aksiyon almanın zamanı gelmiştir. Ülkemizde Türk mühendis ve uzmanlarca geliştirilmiş global olabilecek ürünlerin değerlendirilmesi ve alım süreçlerine dahil edilmesi gerekmektedir. Devletin en üst makamında Sn. Cumhurbaşkanımızın konuyla ilgili direktif ve tavsiyeleri varken, satın alma süreçlerinde Gartner, marka bilinirliği veya en ucuz teklif veren gibi kriterlere takılarak patinaj yapmak, satın alma noktasındaki karar mercileri, ülkemizdeki yazılım ve teknoloji üretenlerin yerine dışardan gelen satın alma tekliflerini kabul etmeye itmektedir.

CyberMag: Son yıllarda internetin kullanımının artmasıyla birlikte ortaya çıkan IoT(nesnelerin interneti) kavramı ve internete bağlı cihaz sayısının artışı; bir başka hayati husus olarak bilgi güvenliği konusunun önemini, yerli ve milli çözümlerin ülkemiz adına geliştirilmesi gerektiğini gösteriyor. Bu bilgiler ışığında, Türkiye’deki siber güvenlik sektörünün durumu hakkında ne düşünüyorsunuz?

Osman Doğan: Ülke olarak dünyanın ilk 10 ekonomisine girme hedefimiz, siber ortamda atacağımız adımlara bağlıdır. Kara, deniz, hava ve uzay savaşlarının ardından yeni savaş alanı siber ortamdır. Soğuk savaş sonrası, siber savaşlar ile siber cepheler açılmış olup, artık Çanakkale cephesi ve oraya ait coğrafi koordinat yerine, web siteleri, video görüntüsü, casus yazılımlar veya dijital belgeler ile bilgi savaşları yaşanmaktadır. Asimetrik savaş tekniğinin, teknolojik versiyonu olarak tanımlanan siber savaşlar ile ülkelerin kaderi değiştirilmekte, hükümetlere müdahale edilebilmekte ve tüm bir ülkenin elektrik, doğalgaz gibi enerji kullanımına müdahale edilebilmektedir. Gelecek 50 yıl bilginin para birimi olduğunu ve sahip olacağımız şeylerin karşılığında, vereceğimiz tek şeyin bilgi olacağını aklımızdan çıkarmayalım. Bu yüzden bilginin kaynağı olan siber ortamı yönetmek ve bu alanda yer almak vazgeçilmez bir unsur olarak karşımıza çıkmaktadır.

Cephede göğüs göğse yapılan savaşlar yerini masa başı savaşlara bırakırken, geldiğimiz noktada klavye başından ülkeler yıkılıyor, kuruluyor ve halkın demokratik tercihlerine dijital ortamdan yapılan manipülasyonlar ile neşter vuruluyor. Bu gibi örneklerin hepsi yerli ve milli çözümlerin ne kadar elzem olduğunu göstermektedir.

CyberMag: Türkiye siber güvenlik alanında diğer ülkelere göre sizce ne durumda? Son dönemde siber güvenlik kurulunun oluşturulması veya USOM ve SOME birimlerinin hayata geçirilmesi gibi birçok adım atıldı. Siz bu adımları yeterli buluyor musunuz? Rusya veya ABD gibi bu alanda sözü geçen bir ülke konumunda olmak için neler yapmamız gerekiyor?

Osman Doğan: İnternet ortamında attığımız her adımın dijital izleri kullandığımız uygulama, sunucu ve sosyal medya platformlarına ait sistemler üzerinde tutulmaktadır. Bu durum sosyal medya ve diğer yazılımlar üzerinde hem kişisel mahremiyet hem de devlet sırrı niteliğindeki bilgilerin ifşasına sebep olmaktadır. Özellikle sosyal medya üzerinden vatandaşların zaafları, dini ve siyasi eğilimleri gibi birçok kişisel bilgileri de elde edilebilmektedir. Elde edilen bu bilgiler ile toplumların hassasiyeti doğrultusunda kişiler yönlendirilebilir, sokağa dökülebilir ve sosyal mühendislik teknikleri ile isyan hareketleri başlatılabilir. Bu durum fiziksel darbenin ötesinde “siber darbe” olarak adlandırılmakta ve bilinmelidir ki ülkeler bu konuda hazırlıklarını yapmaktadır. Eğer toplumsal hareketlerin anahtar kodlarını biliyorsanız, sadece yaşanan olayların nasıl evrimleşeceğini kestirmekle veya yönlendirmekle kalmaz, aynı zamanda yaparsınız! Ülkemizde yaşanan bazı olaylar bu konuda örnek teşkil etmektedir. İnsanları; zaaflarının, hassasiyetlerinin, ilgi alanlarının ve eğilimlerinin tespiti sonrasında harekete geçirmek mümkündür.

Facebook, Twitter gibi sosyal medya uygulamaları kullanıcılarına gizlilik vadederken, bu uygulamaların finansörü ve menşei ülkelere bilgiler akıtılmaktadır. Ülke olarak ulusal güvenliğimizi ve kişisel hakları ihlal eden Twitter kullanıcılarına ait bilgiler, ilgili firmalardan istendiğinde maalesef sağlıklı bilgiler alınamazken, uygulama sahibi ülkelerde en küçük olaylarda dahi bilgi paylaşımı yapılmaktadır. Aşağıda yer alan “Twitter 2015 Şeffaflık Raporu’nda” görüldüğü gibi ülkemizden yapılan başvurulara kayıtsız kalan Twitter yönetimi, ABD tarafından yapılan başvurulara büyük bir oranda cevap vermiştir.

19 Kasım 2010 Lizbon’da, NATO’nun 10 yıllık strateji konsepti imzalandı ve biz de ülke olarak bu sözleşmeye imza attık. Böylelikle herhangi bir NATO üyesi ülkeye yapılan saldırılar savaş sebebi sayılacak ve üye ülkeler cevap verebilecektir. NATO üyelerinin bu metni imzalamasından 10 gün sonra 28 Kasım 2010 tarihinde Julian Assange ve ekibinin sızdırdığı Wikileaks belgeleri, dünya kamuoyunda bomba etkisi oluşturdu. Sızdırılan belgeler arasında, ABD Dışişleri Bakanlığı ve büyükelçilikler arası gizli yazışmaların olduğu 251.287 gizli belge El País, Der Spiegel, The Guardian ve The New York Times gibi gazetelerde yayımlandı.

Devletler, hükümetler, istihbarat örgütleri, mafya ve terör örgütleri bilginin kaynağına erişerek elde edeceği veriler ışığında geleceklerine yön vermektedir. NATO ülkelerinin büyük bir kısmı siber ordular ve siber silah konusunda yatırımlarını bu yüzden yaparken, bu savaşın gerisinde kalmak çok büyük bir kayıp olarak karşımıza çıkacaktır.

CyberMag: İnsanların hayatına dokunan kararların bilgisayarlar tarafından alındığı bir döneme giriyoruz. Aynı zamanda kritik zararların da verilebileceği bir dönem. Toplumdaki birçok kritik karar otomasyonla verilmeye başlandı. Mesela şu anda ABD’de hâkimlere yapay zekâ algoritmalı yazılımlar veriliyor.

Yapay zekâ algoritmalarının kullanıldığı eğitimden insan kaynaklarına kadar insana dokunan birçok örneği var. Tesla, bir sürücüsüz (otonom) otomobil hata yaptığında insanlar ölebilecek. Devletin dijital dönüşümünde önemli bir çığır açmasının yanında büyük bir tehdit unsurudur diyebilir miyiz?

Osman Doğan: Günümüz bilgisayar teknolojisi özünde alet teknolojisi dediğimiz konsept içerisindedir. Bu durum yazan ve yazılan ilişkisi içerisindedir. Yapay zekâ ve beraberindeki teknolojinin mimarı tamamen kullanım amacı ve teknik yeterliliği ile alakalıdır. Ateşin icadı yemeğin pişirilmesi gibi, ormanın yakılmasında da kullanılabilir. Bu durum teknolojinin zararı değil kullanan kişinin niyeti ve yapacakları ile sınırlıdır. Elbette hatalar, eksiklikler olacak ama bugün yapılacak çalışmalar için bedel ödemez ve geri planda kalırsak ilerleyen günlerde bu alanda yapılacak çalışmalar ve alınacak kararlarda söz sahibi olamayız. Her ülkenin kendi yapay zekâ ve robotik temsilcilerinin atanacağı, belki de onların bazı kararları ülke adına alacağı günler yakındır. 1150 yılında İsmail El-Cezeri’nin robotik ve sibernetik çalışmaları gözümüzün önündeyken, 850 yıl önce atılmış tohumları yeşertmek, desteklemek ve bu konuya ölüm/kalım meselesi olarak bakmak gerekmektedir.

CyberMag: Cezeri Siber Güvenlik Akademisi olarak bilişim sistemlerinde kişisel verilerin işlenmesi ve siber suçlar, veritabanı güvenliği, zararlı yazılım analizi gibi birçok alt başlıkta eğitimleriniz son sürat devam ediyor. Bu eğitimlerinizden umduğunuz geri dönüşleri alabiliyor musunuz? Kuruluş amacınızı gerçekleştirdiğinize inanıyor musunuz?

Osman Doğan: Cezeri Siber Güvenlik Akademisi 3 arkadaşım ile birlikte başlattığımız gönüllü bir oluşumdur. Herhangi bir ticari amacı ve gayesi bulunmamaktadır. Amacımız tamamen siber güvenlik alanında eğitim almak isteyen ve bu alanda eğitim vermek isteyen gönüllü kişileri bir araya getirmektir. Öğrenci arkadaşlar bir konuda eğitim istediğinde iletirler ve o konuda eğitim verecek ve yer sponsoru olacak bir gönüllü bulduğumuzda insanlar bir araya gelir ve eğitim verilir.

Kuruluş amacı ülkemizde siber güvenlik alanında farkındalık oluşturmak ve bir meşale yakmaktı, bunun da gerçekleştiğine inanıyorum. Uzun yıllar bu tarz gönüllü oluşumlar için gayret gösterdik. İhtiyaç olduğunda bu tarz oluşumlar kurulur ve asli görevini yerine getirir. Ülkemizde bu tarz onlarca gönüllü oluşum yer almakta ve büyük emek ve özveri ile eğitimler vermektedirler. Hepsine teşekkür ediyoruz. Siber güvenlik alanındaki eğitim ihtiyacının giderilmesinde çok önemli bir ihtiyacı karşılamaktadırlar. Bu yüzden özel sektörün ve kamu kurumlarının gerekli eğitim ortamını sağlaması ve gönüllü oluşumlara destek olması çok önemlidir.

CyberMag: Gais Siber Güvenlik Teknolojileri A.Ş. olarak, siber güvenlik alanında ihtiyaç duyulan yeni uygulamaları geliştiriyor veya var olan uygulamalar ile yeni çözümler üretiyorsunuz. Bu uygulamalardan ve vermiş olduğunuz danışmanlık hizmetlerinden (sertifikasyon hizmetleri, yazılım danışmanlığı, siber istihbarat servisi, zararlı yazılım analizi vb.) bahseder misiniz?

Osman Doğan: Bulut tabanlı zararlı yazılım analizi, veri tabanı güvenlik olaylarının izlenmesi ve siber istihbarat ürünlerini geliştirdik. Tamamı Türk mühendisler tarafından geliştirilen ürünlerde global olma yolunda adımlar atıyoruz. Özellikle alternatif global ürünleri bilen, uzun yıllar kullanmış ve oradaki bilgi birikimlerini kendi ürünlerimize katan bir ekibimiz var. Bizler ve bizim gibi yetkinliği çok üst düzeyde olan güvenlik firmaları ile zaman zaman güçlerimizi birleştiriyor ve hedefimize emin adımlarla ilerliyoruz.

Özellikle siber istihbarat ve zararlı yazılım alanındaki çalışmalar ülkemizin kendi istihbaratının oluşması adına faydalı olacaktır. “Peyk cyber intelligence service, pentest cloud ve fenriscan malware analyze service” ürünleri ile bu alandaki büyük bir açığı kapatacağımıza inanıyorum.

CyberMag: Penetrasyon testleri konusunda Türkiye’deki çok sınırlı yetkin kişilerden birisiniz. Bu konuda da birçok firma çözüm sunduğunu söylüyor fakat böyle kritik bir test sürecini sağlıklı sonuca götürebilmek adına neler yapılması lazım bizleri biraz aydınlatır mısınız?

Osman Doğan: Maalesef yapılan en büyük hatalardan birisi sızma testi ve zafiyet analizinin birbiriyle karıştırılması olmaktadır. Bu yüzden bizim gibi, bünyesinde global başarı sağlamış, ödül almış personel istihdam eden firmalar iş almakta biraz zorlanmaktadır. Hazır uygulamalar ile zafiyet analizi yapılarak pdf formatında hazır rapor verilmesi sızma testi değildir. Bu ayrıma ilgili firma yetkilisi maalesef gerçek bir sızma testi yaptırdığında farkına varmaktadır.

Ülkemizde sızma testi yaptırmak istediğinizde karşınıza, bizim tespit edebildiğimiz 450 civarı firma çıkmaktadır. Fakat bahsettiğimiz manada hizmeti alabileceğiniz firma sayısı iki elin parmaklarını geçmez. Umarız rekabetin ve kalitenin artması ile bu sayı ilerleyen günlerde daha da artacaktır. Burada firmaların önündeki en büyük engel, kalitenin ölçülebilir olması zor olduğu için en ucuz teklif veren firmaya bu işin verilmesidir. Bu durumun önüne geçilmesi için sızma testi yaptıracak kurum ve firmalara tavsiyem ön analiz “PoC” süreci olabilir. Kısacası teklif alınacak firmalara örnek bir uygulama verilir ve verilen süre içerisinde bulunacak güvenlik açıklarının kritiklik seviyesi analiz edilirse ve sunacağı raporun kalitesi kontrol edilirse alım yapılacak firma seçilebilir. Firma olarak sızma testi alanında uzun zamandır verdiğimiz sürekli pentest ve red team hizmetleri ile de müşterilerimize kaliteli bir hizmet vermekteyiz. Burada kurduğumuz servis; bir defaya mahsus bir sızma testi değildir. Bir yıl boyunca sürekli olarak sistemlerin güvenlik analizlerinin yapılması ve anlık bulguların iletilmesi üzerine kurulu bir servistir. Ağındaki siber güvenlik araştırmacıları ve uzmanları ile kendisine üye olan firmalara ait bilişim sistemlerine sızma testleri uygulayarak, tespit edilen güvenlik açıkları platform üzerinden raporlanmaktadır. Sızma testi uzmanlarımız özellikle CTF ve bug bounty (ödül avcılığı) konseptini bilen ve derece elde etmiş kişilerden kurulu bir ekiptir. Farklı lisanslama modeli olan bu hizmette dilerse müşterimiz tespit edilen güvenlik açığı başına da ödeme yapabilir. Yani güvenlik açığı tespit edilmez ise ödeme yapmaz.

CyberMag: Yapılan araştırmalar sonucunda, dünyada 1,5 milyon siber güvenlik uzmanı açığı olduğu söyleniyor. Türkiye’nin dünya pazarından %1 pay aldığı göz önünde bulundurulursa, ülkemizde 15.000 siber güvenlik uzmanına ihtiyaç olduğu söylenebilir. Tam bu noktada, bir önceki sorunuzun cevabında da belirttiğiniz üzere GAİS siber güvenlik teknolojileri olarak sektörde ve ülkemizde çok kritik rol oynuyorsunuz.

Yeni nesil insan kaynaklarının eğitilmesi ve yetiştirilmesinde, Türkiye’deki sizin gibi firmaların önemi hakkında kısaca bilgi verir misiniz? Vermiş olduğunuz en önemli bir iki eğitim başlığına değinir misiniz?

Osman Doğan: Son 4 yılda 850 kişi ile iş görüşmesi yaptım. Tüm bu görüşmelerin sonucu olarak size şunu söyleyebilirim ki özellikle siber güvenlik alanında bahsedeceğim temel özelliklere sahip kişilerin başarılı olduğunu gördüm. Bunlar; merak, çok çalışmak ve yaptığın işin bir hikâyesinin olması. Burada bir işi nasıl yaptığından ziyade niçin yaptığın çok daha önemlidir. Para kazanmak için yazılan bir yazılım ile ulusal güvenliğe katkı sağlamak amacı ile yazılan yazılım arasında çok büyük fark var. Tabi bu durumun özellikle kamuda teknik karşılığı olmalı ve bunun karşılığı doğru yorumlanarak teknokratlar tarafından desteklenmelidir.

Yine ifade etmem gerekir ki belirli alanlarda yetişmiş personel bulunurken özellikle zararlı yazılım, SOC, SIEM, adli bilişim, yapay zekâ, siber istihbarat gibi alanlarda personel bulmak maalesef çok zordur. Gais Security olarak özellikle bu alanlarda eğitim veriyor ve personel istihdam ediyoruz. Bu alanlarda personel bulmak maalesef klasik iş ilanları ve süreçlerle bulabileceğiniz türde yetkinlikler değildir. Özellikle zararlı yazılım analizi konusunda firma olarak çıktığımız iş ilanı metni bu durumu açıklar niteliktedir: “En az ilkokul mezunu, Türkçe konuşabilen, konuşulanı anlayabilen Malware analizi uzmanı”. Buna rağmen gelen başvurular istenilen düzeyde değildir.

Bu açığın kapatılması adına zararlı yazılım analizi, adli bilişim ve suiistimal vakalarının tespiti, veri sızıntılarının tespiti ve engellenmesi konularında eğitimler vermekteyiz.

CyberMag: Değerli zamanınız için teşekkür ederiz. Son olarak; bildiğiniz üzere CyberMag Dergisi, siber dünyadaki riskler ve siber güvenlik konusuna odaklanmış Türkiye’nin ilk basılı ve elektronik dergisi olarak farkındalığı artırmayı ve insanları bilgilendirmeyi amaç edinmektedir. Bu amaçla yola çıkan ve yayın hayatına üç seneyi aşkın bir süredir devam eden CyberMag Dergisi hakkında düşünceleriniz nelerdir?

İçerik üretmek ve üretilen içeriklerle devamlılık sağlamak çok zor ve zahmetli bir süreçtir. Bu anlamda tüm çalışmalarınızı yakından takip ediyor ve çalışmalarınızda kolaylıklar diliyorum. Özellikle nazik davetiniz ve okurlarla buluşmamızı sağladığınız için ise ayrıca teşekkür ederim.