Picus Kurucu Ortağı ve CEO’su Hamdi Alper Memiş ile Söyleşi

Picus Kurucu Ortağı ve CEO’su Hamdi Alper Memiş ile Söyleşi

Picus, kurumların siber güvenlik seviyelerini etkin olarak yönetmek için sürekli güvenlik doğrulama ve iyileştirme çözümleri sunuyor. Picus Platformu, gerçek tehditleri risk oluşturmadan simüle ederek, kurumların güvenlik sistemlerinin etkinliğini ölçüyor ve iyileştirme önerilerinde bulunuyor. Picus, karmaşık güvenlik araçlarının ve süreçlerinin daha iyi yönetilmesi için gereken bilgiyi sağlıyor.

Bu bilgiler ışığında, bilgi ve bilişim güvenliği alanında toplumun her kesiminde bilgi ve bilinç düzeyini artırmak, bu konuyla ilgili teknolojik gelişmeleri izlemek, milli teknolojilerin geliştirilmesine katkı sağlamak; bireysel, kurumsal ve ulusal düzeydeki riskler konusunda farkındalık oluşturmak amacıyla güvenilirlik, süreklilik ve gizlilik politikalarıyla yoluna devam eden  Picus Kurucu Ortağı ve CEO’su Hamdi Alper Memiş ile Türkiye’de bilişim sektörünün durumu, devletimizin kalkınmasında IT ve Telekomünikasyon sektörünün yeri ve bilhassa bilgi güvenliği alanında bilinmesi gerekenler ve çözüm önerileri hususunda ülkemizin dünü, bugünü,  ve geleceği adına yapılması gerekenleri konuştuk.

CyberMag: Öncelikle dünyada ve Türkiye’de bilişim sektörünün bugünü ve geleceği hakkında neler söylemek istersiniz?

Hamdi Alper Memiş: Verinin dijitalleşmesi ve hızlanarak küreselleşen dünyanın gelişme aracı olarak bilişim teknolojileri bir iskelet sistemi görerek sürecin gelişimine doğal olarak önemli katkısı bulunmaktadır. Bu durumun verinin kullanımı, büyüklüğü ve nasıl tüketildiği ile doğru orantılı olarak ekonomik büyüme ile birlikte bilişim sektörü de büyümektedir. Türkiye gelişmekte olan ülke durumunda olduğu için bilişim teknolojileri başta olmak üzere yerli ve milli teknolojilere daha fazla önem vermesi ve yaygınlaştırılması oldukça kritiktir, teknolojinin itici bir güç olarak tüm sektörlerde dikey olarak varlığı, bilgiyi barındırması ve transforme edebilme özellikleri bu alandaki güvenlik başta olmak üzere, birçok kaygıyı gündeme taşımaktadır. Sektör spesifik olarak kamusal yapılar, özel sektör, çeşitli kamusal hizmetler bilişim altyapılarını yoğun olarak kullanmakta ve git gide karmaşık hale gelen ve her geçen gün daha az yönetilebilir ve artan operasyonel maliyetlerle yüzleşmektedirler.

CyberMag: 2019 yılı teknoloji sektörü için heyecan verici bir yıl oldu. Yapay zekâya yapılan yatırım hızla arttı. Forbes'a göre, işletmelerin % 80'i bu yıla kadar yatırım yaparken, % 30'u da gelecek 3 sene içinde yapay zekâ yatırımlarını genişletmeyi planlıyor. Bu bilgiler ışığında 2020 yılı yapay zekânın ve yapay zekâlı robotların yılı olacak diyebilir miyiz?

Hamdi Alper Memiş: Evet bu konuda tüm sektörlerde bir ivmelenme var, bunun nedeni iş süreçlerindeki otomasyon ve orkestrasyon ihtiyacından kaynaklanmaktadır. Her saniye sürekli artan büyük veri ile çalışıyoruz, geçmiş yıllara göre bunun yükü inanılmaz boyutlara ulaştı. Yapay Zeka ve altkümeleri: Makine Öğrenme(ML) ve Derin Öğrenme (DL) ile birlikte bu yük bilişim teknolojilerinin tüm alt kırınımlarında kurgulanmaya çalışılıyor. Tekrarlanan iş süreçleri buradaki bilişim görevlerini bu teknolojilerle daha verimli şekilde uygulanmaya başlanacağını düşünüyoruz, ancak Stratejik kararlar, üretime ve üretmeye dayalı konular ve bunların taktik bileşenlerinin uzun vade de yapay zekâ teknolojileri ile insan destekli olarak kullanılması söz konusu olabilir. Diğer taraftan yapay zeka tıpkı bir çocuk gibi veri oradaki yapıyı büyütmeniz eğitmeniz söz konusu 3milyar yıllık evrimin mi yoksa YZ uygulamaların mi galip geleceğini yakın zamanda göreceğiz.

CyberMag: Yapmış olduğumuz araştırmalara göre, internet yoluyla işlenen suçlarda artışlar var. İnsanlarımız da açık bilgi ortamlarına çok istekli. Bu durumu neye bağlıyorsunuz? Gerekli çözüm önerileriniz nelerdir? Hamdi Alper Memiş: Öncelikle insanların ve şirketlerin siber suçların varlığından, hatta daha da ötesinde bunun bir ekonomiye dönüştüğünün bilincinde olmaları gerekiyor. Dünya Ekonomik Forumu verilerine göre, 2021 yılında 6 trilyon dolarlık siber suç büyüklüğüyle 5’inci en riskli tehdit potansiyelini içeriyor. Bu durumu, endüstrileşme ve dijitalleşmenin bir çıktısı olarak olağan karşılamalıyız. Ancak siber riskler ve siber suçlar etrafında artan risklere karşı güvenlik iyileştirme, saldırı içeriklerine göre yorumlanan güvenlik verimliliğini artırma ve daha etkin güvenlik tehdit modelleri üzerinde kafa yorulması gerekiyor. Picus olarak biz bunu yapıyoruz. CyberMag: Bir siber saldırıyı tespit etmenin 100 ila 200 gün sürdüğü tahmin ediliyor. Tespit zamanının en aza indirilmesi, saldırılardan doğacak zararı minimize etmek, oluşacak risklerin önüne geçmek ve müşterileri korumak adına alınması gereken tedbirler nelerdir? Hamdi Alper Memiş: Biz, 2013 yılında yola çıkarken, ‘kurumların çok büyük miktarda yatırım yaptıkları siber güvenlik teknolojilerini etkin kullanamadıklarını ve bu sebeple siber tehditlerden zarar gördüklerini’ tespit etmiştik. Bu probleme çözüm geliştirmek amacıyla böyle bir platform yaratma fikri ortaya çıktı ve Picus doğdu. ‘Kurumların güvenlik ürünlerinin etkinliğini test etme’ yaklaşımı 2013 yılında pazarda bulunmayan bir teknolojiydi. O yıllarda ürünü ‘Siber Güvenlik Doğrulama’ teknolojisi olarak tanımlıyorduk. Daha sonra 2017 yılında Gartner bu pazarı ‘İhlal ve Saldırı Simülasyonu - Breach and Attack Simulation (BAS)’ olarak tanımladı ve Picus bu alanda faaliyet gösteren 5 global firmadan biri olarak raporlarda yer almaya başladı. Etkin bir siber güvenlik yapısı, güvenlik koruma, tespit, olay müdahalesi ve siber istihbarat birimlerinin etkileşimli ve doğru bağlam (Context) ile çalışmasıyla mümkün olabilir. Buradaki etkin kelimesini her güvenlik olayına karşı koyması ya da karşılamaya çalışması anlamında kullanmıyoruz. Siber güvenlik risklerine karşı doğru ve çevik şekilde kaynakları en verimli kullanan, öngörülebilir risklerin saldırı davranış, teknik ve taktikleriyle harmanlandığı ve bir güvenlik zekası oluşturulduğu yapıdan söz ediyoruz.

İşte biz bu noktada tespit zamanını ve saldırılardan doğacak zararı en aza indirmek için kendi modelimizi ortaya koyduk. Picus yazılımı, hackerlar/saldırganlar tarafından kullanılan atak tekniklerini sürekli olarak takip ederek, yeni çıkan atak tekniklerine karşı kurumların güvenlik hazırlık seviyelerini saatler içerisinde ölçmelerine imkân sağlıyor. Kuruma özel, kurum altyapısında ve internette çalışan Picus bileşenleri arasında gerçekleşen atak simülasyonlarıyla, kurum sistemlerini yavaşlatmadan ve zarar vermeden kurumun güvenlik sistemlerinde açıklarını otomatik olarak belirleyebiliyoruz. Bunu doktorun yaptığı bir check-up gibi düşünülebilir. Ancak tedavi yöntemi belli olmazsa, tespitin sınırlı fayda sağladığını vurgulamak isterim. Dolayısıyla biz bu reçete/öneri verme konusunu çok kritik görüyoruz. Bunun için de Picus yazılımı, tespit ettiği güvenlik açıklarını kapatmak amacıyla kurumun güvenlik sistemlerinde gerçekleştirilmesi gereken yapılandırmaları öneren reçeteler sunuyor. Bunu yapabilmek için sıklıkla kullanılan 10’un üzerinde güvenlik teknolojisiyle iş ortaklığı anlaşmaları imzaladık. İyileştirme önerilerini oluşturan siber güvenlik uzmanlarından oluşan ayrı bir ekibimiz de bulunuyor. Bu sayede Picus piyasadaki küresel rakiplerinden ayrılarak, tespitin ötesinde iyileştirme önerileri sağlayan atak simülasyonu alanındaki tek firmadır.

CyberMag: Yıllarca bu sektörde görev almış birisi olarak; devletimizin kalkınmasında IT ve Telekomünikasyon sektörünün yeri ve önemi nedir?

Hamdi Alper Memiş: Teknoloji bilişim alanındaki inovasyon ve çözümlerini IT ve Telekomünikasyon çıktıları ile betimliyor, biz bunu genellikle kavramsal olarak insan-proses-teknoloji üçgeni olarak adlandırdığımız bir yapı içerisinde kullanıyoruz. İletişim-Telekom sadece bir teknoloji konusu değil aynı zamanda nasıl ve hangi şartlara göre iletişeceğiniz süreç ve insan faktörü üzerinde çok önemli çıktıları bulunmaktadır. Teknolojiler sürekli tüketilen ve everilen bir yapı olarak yukarıda bahsettiğimiz nedenlerden dolayı büyüyecek gelişecek ve sonunda çıktı oluşturarak fayda/zarar ilişkisine neden olacaktır. Buradaki faydanın oluşması tamamen bir strateji ve süreç yapılandırmasının kalitesi ile ilgili bir konu olduğunu düşünüyoruz.

CyberMag: Türkiye’deki Ar-Ge ve inovasyon yaklaşımları ve politikaları göz önünde bulundurulduğunda, bu konuda yapılan düzenlemeler nelerdir? Ar-Ge destekleri ve teşviklerini yeterli buluyor musunuz? Sizce yapılması gereken nelerdir?

Hamdi Alper Memiş: Bence yeterli değil, Türkiye’nin ARGE büyüklüğü halen çok küçük miktarlarda, Fortune 100 listesindeki teknolojik kurumların ARGE yatırımları min 8-10 Milyar USD seviyelerinden ele alınıyor bu bir stratejik bir yaklaşım. ARGE teknolojik inovasyon öncesinde bilimsel çalışmalarla başlanması gereken sonrasında teknoloji çıktısı vermesi gereken unsur olması gerekiyor, ARGE’in amacına ulaşması için yetkin ve eğitimli insan kaynağı bu konuda parasal kaynak, amaç, vizyon ve en önemlisi çözmeniz gereken problem ya da çıktının tanımı gibi birçok kriter mevcut, bu kriterler uzun vade de düzgün yapılanırsa önemli çıktılar elde edilebileceğine inanıyoruz.

CyberMag: Son yıllarda internetin kullanımının artmasıyla birlikte ortaya çıkan IoT(Nesnelerin İnterneti) kavramı ve internete bağlı cihaz sayısının artışı; bir başka hayati husus olarak Bilgi Güvenliği konusunun önemini, yerel ve milli çözümlerin ülkemiz adına geliştirilmesi gerektiğini gösteriyor. Bu bilgiler ışığında, PICUS SECURİTY olarak, Türkiye’deki Siber Güvenlik Sektörü ’nün durumu hakkında ne düşünüyorsunuz?

Hamdi Alper Memiş: Türkiye’de siber güvenlik, çok büyük oranda ithal edilen ürünlerle sağlanıyor. ABD ve Israil’de gerçekleştirilen innovasyon, dünya ile aynı anda Türkiye’de de satın alınarak kullanılıyor. Ülkemizdeki yerli siber güvenlik üreticileri, ağırlıklı olarak küresel piyasada yaygın olan teknolojilerin bu coğrafyaya daha uygun versiyonlarını geliştirme yolunu seçiyor. Picus ise bu konuda ezber bozarak, mevcutta piyasada olmayan bir teknolojiyi geliştirerek, birçok ABD ve İsrail firmasından önce piyasaya girdi. Hala da bu üreticilerle başa baş rekabet ediyor ve Coca Cola, TIM gibi önemli global isimleri portföyümüze katıyoruz. Bu açıdan Picus’u yeni bir yol açan ve bu alandaki cam tavanı kıran bir firma olarak değerlendiriyoruz.

CyberMag: İnternet kullanım oranlarındaki artışı neye bağlıyorsunuz? İnsanlar açık bilgi ortamlarına neden bu kadar istekli?

Hamdi Alper Memiş: Teknolojinin kolay elde edilebilir, daha az maliyetleri olması, globalleşen dünya, yazılım teknolojilerinde gelişmeler, sosyal ağların evrimleşmesi, geçmiş yıllara göre dijital eğlenceye daha fazla muhtaç olan sosyo-psikolojik etmenlerden dolayı insanlar daha çok dijital ortamlarda bulunmak istiyor. Eskiden bilgiye erişmenin bir maliyeti ve ehemmiyeti vardı. Ancak günümüzde bilgi kolayca tüketilen, erişimi kolay bir olgu haline geldi, bu durum iyi olduğu kadar dezenformasyon denilen, yanlış ve tutarsız bilgininde kolayca ulaşılabilir olması anlamına gelmektedir. Klasik olarak her gelişim ve çıktı kendi risklerini ve olumsuz faktörlerini de beraberinde getirmektedir.

CyberMag: Ülkemizde internet yoluyla işlenen suçlarda artış var. Bunu nasıl açıklayabiliriz? Yapılan saldırıların yol açtığı maddi zarar ne boyuttadır?

Hamdi Alper Memiş: Oldukça fazla ortalama 85Trillion USD büyüklükteki dünya ekonomik büyüklüğündeki siber suçların maliyeti ortalama 6TriliyonUSD seviyesindedir. Bu durum endüstrileşmenin, fırsatların, kaynakların manipüle edilip başka tehdit aktörlerine tahsis edilmesi ihtiyacı ile birlikte gelişmektedir. Artık devletler ’de bu oyunun içerisinde ve siber riskler artık 5. boyut olarak tanımlanarak kendi eksenini oluşturmuş durumdadır. Doğal olarak her olgu gibi düalite nedenselliğinden dolayı iyi ve kötü bir arada olacaktır, diğer taraftan paranın ’da dijital hale gelmesi buradaki zararlı amaçlar için kötü oyuncular için bir katalizör görevi görmektedir. 2019 yılında sadece siber-fidyecilikten sağlanan gelir 11.9Milyar USD seviyesindedir, bu durumda siber saldırı araçların inanılmaz bir ivme ile gelişmesine neden olmaktadır.

CyberMag: Siber güvenlik pazarının ve tehditlerin bugünkü durumu nedir? Bir siber savaşta neler tehdit altında?

Hamdi Alper Memiş: Teknik cevap vermek gerekirse bir süreç yapısı olan ve teknolojiyi araç olarak kullanan tüm durumlar risk altında diyebiliriz. Kısaca bilgi ile alakalı her şey risk altında, biz güvenlik profesyonelleri bu konuyu iki durumda ele alıyoruz. Birincisi bilginin transforme olma durumu sırasındaki güvenlik riskleri (Data-in Motion) ve bilginin transferi sırasındaki riskler (Data-in Transit) dolayısı ile dijitalleşen tüm yapılar için dikey ve yatay riskler söz konusu. Siber savaşın farkı oyuncuların farklı olması, ‘nation-state actors’ dediğimiz devletin oyuna dahil olması buradaki atak bağlamını çok daha karmaşık, atak senaryoları açısından çeşitli yaptığı için daha riskli durumdadır, konu devlet olunca bir siber savaşta eldeki kaynaklar ve organizasyonlarda doğal olarak çok farklı olmaktadır. Bir siber savaşta öncelikli olarak kamusal servisler başka olmak üzere özel sektör altındaki tüm dikey sektörler risk altında olabilir, bu durum atak yapan oyuncunun nereleri-hangi kaynakları  paralize etmek istediği ile alakalı bir durum, bazen öngörülebilir bazen de öngörülemez olabiliyor. Bunu ön görüp iyi bir hazırlık sürecini ülke bazında yapılandırmak ve bunun stratejisinin çok kritik olduğunu düşünmekteyiz.

CyberMag: Bilinen siber saldırı yöntemleri ve güvenlik çözümleri hakkında bilgi verebilir misiniz?

Hamdi Alper Memiş: Teknik olarak çok sayıda saldırı taktiği ve yöntemi mevcut. Amerika’daki MITRE enstitüsü bu konuda 12 taktik ve 200 üzerinde atak tekniğini barındıran ATT&CK Framework adı altında sürekli güncellenen ve saldırı davranışlarını ele alan bizim de Picus olarak ürünümüzde kullandığımız bir haritalama yöntemi mevcut. Bu sayede siber saldırıların evrelerini ve buradaki davranış, teknik ve taktikleri analiz ederek daha iyi güvenlik strateji ve kontrollerinin oluşturulmasına katkıda bulunuyoruz.

CyberMag: Siber saldırıların mağduru ya da bu saldırılara istemeden alet olmamak için vatandaşlarımızın alabileceği önlemler nelerdir?

Hamdi Alper Memiş: Bu problemin tekil C vitamini yok aslında, özellikle sosyal mühendislik vb yöntemler konusunda daha bilinçli olmak, normal gerçek hayattaki güvenlik kaygılarını siber-dijital hayatta da uygulamak, buradaki kaygıları düşünmek, hissetmek önemli ölçüde iyileştirmeye bu alandaki risklerin minimize edilmesinde katkıda bulunuyor. Bunun yanında teknolojik olarak kullanılan yazılımları güncel tutmak güvenlik kontrollerini sağlayan yazılımları bulundurmak önemsemek buradaki riskleri minimize etmek yardımcı olabilir.

CyberMag: Siber güvenlikte teknik tedbirleri destekleyecek diğer unsurlar nelerdir?

Hamdi Alper Memiş: Bu durumu farklı başlıklar altında ele alıyoruz. Önleyici tedbirler, düzeltici-onarıcı tedbirler, tespit edici tedbirler ve düzenleyici tedbirler. Farklı teknolojik ve süreç bileşenleri içerisindeki risk ve tehdit profillerini analiz eden yöntemler mevcut. Genellikle kurumların güvenlik süreç yapıları uyumluluk (Compliance) kriterleri ile takip edilirken özellikle teknolojik bileşenler, kontrol verimliliğini artırmak için tanımlanan tehdit profilleri, ve saldırı bakış açısı ile kontrollerinin durumu sürekli olarak analiz edilmelidir. Bu statik bir durum değildir, çünkü tehdit bağlamı içeriden iş ihtiyaçları ile  ve dışarıdaki etmenlerden dolayı sürekli değişir ve bu değişim çok hızlıdır. Buna adapte olmalı anlamalı ve kontrollerinizi güçlendirmeniz germektedir.

CyberMag: Bu bilgiler ışığında, siber güvenlikle ilgili strateji ve politikalar nasıl oluşturulmalı? Türkiye’de siber güvenlikten kim sorumlu? Bugüne kadar bu konuda neler yapıldı?

Hamdi Alper Memiş: Türkiye’de bazı devlet kurumlarının bu konuda girişimleri oldu. Bunun dün ya’ daki en başarılı örnekleri Avrupa güvenlik ajansı ENISA ve Amerika’daki NIST kurumudur, tamamen özerk güvenlik politikaları ve pratikleri konusunda tavsiye veren, bilimsel araştırma yapan bir kurumun Türkiye’de olması oldukça yararlı olacaktır. Güvenlik herkesin her kurumun sorumluluğu, buradaki standartların ve uyumluluk kriterlerinin günümüz güvenlik ihtiyaçları ve risklerini adresleyecek şekilde betimlenmesi, güvenlik kontrollerinin nasıl sağlanacağı süreç yapısının tanımının net yapılması kritik önemdedir. Bugün halen çeşitli kurumlardaki güvenlik kontrolleri kısmi olarak uluslararası regülasyonlar ve ilgili kurumun güvenlik yöneticilerinin tercihleri ve bilgi seviyesi ile yönetişimi sağlanmaktadır. Bu alanda daha üst bir bakış olmasının değerli olacağını düşünüyoruz. Kamusal önemdeki kritik kurumlar ve devletin hassas ağları bu genel yapının dışında farklı bir yapılanma kurgulanması gerekebilir.

CyberMag: Yerli ve milli çözümlerin üretilmesi adına, teknokentlerimize, yerli ve milli firmalarımıza düşen görevler nelerdir?

Hamdi Alper Memiş: Bu tamamen problemlere fikir üretmekle ilgili bir konu, bir problemi ya daha iyi çözebilir ya da çözülmemiş bir problemi çözebilirsiniz her iki durumla ilgili gerçekçi bir fikriniz ve inovasyonunuz varsa çözümler noktasında çıktı verebilirsiniz. Konu iyi teknoloji üretmek kadar problemleri iyi analiz edip, etkin bir stratejiye sahip olamanız çok önemli. Devlet ’de bu konuda daha üst bir akıla sahip olup bu konuda yön göstermeli ve gerekli kaynakları sadece finansal olarak değil süreç olarak ta sahiplenmelidir.

CyberMag: Türkiye’nin siber savunma alanında, diğer ülkelere göre durumu hakkında ne söyleyebilirsiniz?

Hamdi Alper Memiş: Eski yıllara göre çok daha iyiyiz, daha iyi bir insan kaynağına sahibiz hepsinden öte bu konudaki motivasyon oldukça iyi. Ancak yeterli değil, bir ülke stratejisi olarak uzun vadeli planlar, politik konjonktürden uzak yapılanan bir formu olması gerekiyor. Savunma herkesin ihtiyacı, Türkiye’nin siber güvenlik teknolojileri konusundaki treni kaçırmaması gerekiyor, bunun için fabrikalara ihtiyacınız yok, iyi bir fikir ve doğru insan kaynağı ile çıktıları çok kısa zaman içerisinde alabilirsiniz.

CyberMag: Deneyimli bir şirketin yöneticisi olarak, diğer ülkelere kıyasla siber güvenlik sektörüne yönelik devlet desteğini yeterli görüyor musunuz? Öneri ve görüşleriniz nelerdir?

Hamdi Alper Memiş: Siber güvenlik risklerinin etkileri daha hissedilir durumunda olduğu için belirli bir süre sonunda bu durum öğrenildi diyebiliriz. Devlet için riskler çok daha büyük geçmiş 10 yıla göre her alanda daha yoğun ve büyük bir kullanım var. Devlet özel sektör ile iş ortaklığı seviyesinde sürece yaklaşmalı destek olduğu kadar çözümün bir parçası olmalıdır. Bu konuda devlet-özel sektör ayırt etmeden herkes üretmeli herkes düşünmelidir. Devlet daha iyi kaynak sağlamalı ancak bu kaynakları daha nasıl verimli ve etkili kullanılacağı ile ilgili fikre ve stratejiye sahip olmalıdır, ancak bu sayede başarı garanti altına alınabilir.

CyberMag: Son dönemde yapılan araştırmalar sonucunda Türkiye’nin 15 bin siber güvenlik uzmanı açığı olduğu konuşuluyor. Siz bu durumu nasıl değerlendiriyorsunuz? Uzman açığının kapatılması için yapılması gerekenler sizce nelerdir? Üniversitelerin siber güvenlik noktasında üzerlerine düşen görevleri yaptığını düşünüyor musunuz? Lisans veya yüksek lisans programlarını içerik veya nicelik olarak yeterli midir?

Hamdi Alper Memiş: Bu konuda yetişmiş insan kaynağımızın yeterli olmadığı görüşüne katılıyorum. Siber Güvenlik, yaklaşık 15 üzeri disiplinler arası yapılanan ve dikey uzmanlıklar gerektiren kompleks bir alan. Bu konuda iyileştirme yapılabilmesi için öncelikli olarak bilime destek olunmalı, sonrasında teknoloji ve inovasyonu ön plana çıkarabilecek teşviklerle eğitim altyapısı kurulmalı, analiz edilmeli ve değişen şartlara göre adaptasyonu sağlanmalıdır. Siber güvenliğin hem kurgulanması hem de riskler karşısında çevik ve güçlü kılınması için güvenlik kavramlarının net ve açık şekilde anlaşılması ve teknolojileri konusunda uzmanlaşmamasının çok önemli olduğu kanısındayız.

CyberMag: Saatler içinde kurulabilen ve yapılandırılabilen kullanıma hazır bir yazılım çözümü vaat eden yazılımınız (PİCUS) hakkında okuyucularımıza detaylı bilgi verebilir misiniz? Ek olarak yazılım dağıtıldıktan sonra, kullanıcıların sonuçlarını yalnızca birkaç dakika içinde nasıl alabiliyorsunuz ve bu sonuçlarda %100 doğru neticeyi sunabiliyor musunuz?

Hamdi Alper Memiş: Picus kurum güvenlik ürünlerinin ne kadar etkin çalıştığını otomatik ve sürekli olarak analiz eden, kurumların etkilenebileceği tehditleri belirleyip, kurumun bu tehditlere ne ölçüde hazır olduğunu, hazırlık seviyesini artırmak için yapmaları gerekenleri otomatik olarak raporlayan bir yazılımdır. Bu sayede kurumlar hacker saldırılarında başlarına bir şey geldiğinde, olaylardan ders çıkarmak yerine proaktif olarak gerekli önlemleri belirleyip hayata geçirebiliyorlar. Bunu test çözerek sınava çalışma gibi de düşünebiliriz. Bir konuyu çalıştıktan sonra, o konuyu ne kadar kavradığımızı ölçmek için konuyu tekrar tekrar çalışmak veya sınavda düşük not aldıktan sonra seneye bu konuya dönmek yerine, sınav öncesi testler çözerek konuyu ne kadar anladığımızı test edebilir, eksik yanlarımızı kapatıp, tekrar test edebiliriz. Picus da bu hız ve etkinliği, kurum siber güvenlik yöneticilerine getiriyor.

CyberMag: Özellikle sormak istediğimiz bir husus olan ve basında da geniş yer bulan, PwC tarafından en yenilikçi 10 siber güvenlik firması arasında gösterilirken, Endeavor tarafından yüzlerce firma içinden küresel etki yapabilecek girişimcilerden biri olarak nitelendirilen ve Earlybird’den 5 milyon dolar yatırım alan firmanızın gerçekleştirmiş olduğu en önemli proje sizce nelerdir / bu başarıyı neye borçlusunuz? Atak ve saldırı simülasyon teknolojilerinin öncüsü konumunu uluslararası düzeyde sağlamlaştırmaya odaklanarak başta ABD olmak üzere hâlihazırda bulunduğunuz İngiltere, Almanya, İtalya ve Orta Doğu pazarlarına ağırlık vermeyi planladığınız doğru mu? Neler söylemek istersiniz?

Hamdi Alper Memiş: ABD ve İsrailli şirketlerin domine ettiği siber güvenlik pazarında, Türkiye’den başlayan küresel bir başarı hikayesi olarak tüm dünyanın dikkatini üzerimizde topladığımızı söyleyebilirim. Bu ülkenin mühendisleriyle, siber güvenlik alanında zor bir problemi çözüyoruz. Gartner tarafından Cool Vendor seçilmemiz ve Avrupa’daki referans müşterilerimiz, teknoloji ve vizyon olarak çok iyi bir konumda olduğumuzu gösteriyor. Son olarak Avrupa’nın en önde gelen yatırım fonlarından Earlybird ile gerçekleştirdiğimiz stratejik yatırımla Avrupa ve ABD pazarlarında çok daha iyi yerlere gelmeyi öngörüyoruz. Picus’un küresel piyasada bağımsız ve güvenilir bir marka olmasını amaçlıyoruz. Bu kapsamda, Picus Labs tarafından yapılmakta olan araştırma çalışmalarının katlanarak, dünyada siber güvenlik alanında bilinen ve sözü geçen Siber Güvenlik Araştırma Merkezi olmasını hedefliyoruz.

Diğer yandan mühendislik ve hizmet ekiplerimizi de büyütüyoruz. Bu kapsamda oluşturacağımız Mühendislik Üssü ile buradaki arkadaşların gelişimi ve etkin çalışabilmeleri için imkanları artırmak istiyoruz. Oluşturacağımız Siber Güvenlik Merkezi ve Mühendislik Üssü, siber güvenlik alanında yeni çözümler geliştirmek için önemli bir gücümüz olacak. Hedefimiz, Atak Simülasyonu alanında yaptığımız gibi, yeni yenilikçi fikirler geliştirerek, Picus’un küresel bir oyuncu haline gelmesidir.

CyberMag: PICUS SECURİTY’in sektördeki yeri ve önemi sizce nelerdir? Gelişim ve ilerleme stratejisini nasıl tanımlayabilirsiniz?

Hamdi Alper Memiş: Picus Breach and Attack Simulation alanında konsept ve süreci global olarak tanımlayan oyunculardan bir tanesi. Gücünü bu topraklardan alan yerli bir kurum olarak globalleşmeye ve teknolojimizi daha iyi hale getirmeye odaklanmış durumdayız. Yakın zamanda Gartner Analiz firması tarafından siber güvenik alanındaki ‘cool vendor’ olarak tanınması ve son olarak aldığımı 5 Milyon USD’lik yatırım ile büyümeye ve bu alanda fikir üretmeye herzamankinden daha güçlü olarak odaklanmış durumdayız.

CyberMag: Siber güvenlik alanında sunmuş olduğunuz teknik danışmanlık hizmetleri ve çözümleri göz önünde bulundurursak, bu alanda geliştirdiğiniz ürünleri okurlarımıza anlatır mısınız? Müşterilerinizden umduğunuz geri dönüşleri alabiliyor musunuz?

Hamdi Alper Memiş: Oldukça iyi dönüşler alıyoruz, bunun nedeni ise oldukça ölçülebilir ve metrik bileşenleri çözümümüzün çıktısının kolaylıkla analiz edilebilir olması. Picus teknolojisi güvenlik kontrollerine odaklanarak olası tehditlerin tamamen saldırı bakış açısı ile sürekli, tekrarlanabilir ve risksiz şekilde kurum kritik ağlarında simule ederek güvenlik değerlendirme bilgisi ve iyileştirme önerileri sağlayarak gerçek riskler altında güvenlik kontrollerinin sağlamlaştırılması, savunma ve güvenlik tespit katmalarına çıktı sağlamaya çalışmaktadır. Picus klasik güvenlik kontrollerindeki olası varsayımlar yerine, doğrulanabilir tehdit verisi ile aksiyon alınabilir güvenlik çıktısı oluşturmaya çalışmaktadır.

CyberMag: PICUS SECURITY gelecekte ne gibi organizasyonlar planlıyor? Genel olarak düzenlenen organizasyonların siber güvenlik sektörü açısından önemi hakkında ne düşünüyorsunuz?

Hamdi Alper Memiş: Genel olarak teknoloji ortaklarımızın ulusal ve uluslararası etkinlikleri ile global ölçekteki güvenlik etkinliklerine düzenli olarak katılacak çözümümüzü ve teknolojimizi anlatmaya bu alandaki problemleri farklı persona’lar ile betimlemeye önem veriyoruz. Bu tip organizasyonlar kullanıcı ve kurumlar için farkındalık bizler içinde çözümlerimizi en iyi şekilde sunma imkânı vermektedir.

CyberMag: Yürüttüğünüz çalışmalar neticesinde ülkemizin gelecek yılları adına belirlemiş olduğunuz hedef nedir?

Hamdi Alper Memiş: Siber güvenlik alanında küresel pazarda bilinen ve güvenilen bir marka olmayı hedefliyoruz. Ülkemizdeki çok değerli mühendisler var. Ülkemizden küresel markalar çıkartıp, küresel sorunları adresleyebilirsek, yetenekli mühendisleri ülkemizde tutarak, beyin göçünün önüne geçebileceğimizi düşünüyoruz. Ayrıca ülkemizden küresel bir başarı hikayesi çıkartmamız, girişimcilere ilham ve cesaret vermesi açısından çok önemli olduğunu düşünüyoruz. Son olarak, STK’ları ve öğrenci topluluklarını destekleyerek, bilişim ve siber güvenlik alanında sektörün gelişmesi ve büyümesine katkı sağlamak istiyoruz.

CyberMag: Değerli zamanınız için teşekkür ederiz. Son olarak; bildiğiniz üzere CyberMag Dergisi, siber dünyadaki riskler ve siber güvenlik konusuna odaklanmış Türkiye’nin ilk basılı ve elektronik dergisi olarak farkındalığı artırmayı ve insanları bilgilendirmeyi amaç edinmektedir. Bu amaçla yola çıkan ve yayın hayatına üç seneyi aşkın bir süredir devam eden CyberMag Dergisi hakkında düşünceleriniz nelerdir?

Hamdi Alper Memiş: Siber Güvenlik ülkemizde çok eski geçmişi olmayan ve oldukça da dinamik bir sektör. Her geçen gün yeni bir teknolojiyle ya da Picus gibi sektörde fark yaratan şirketlerle karşılaşmak mümkün… Bu dinamizme ayak uydurabilmek sektör açısından son derece önemli. Sektörümüzdeki en yeni gelişmelerin uzman isimlerin titiz değerlendirmesiyle takip edilebildiği, aynı zamanda bizim gibi Türkiye’de doğarak uluslararası alanda önemli başarıya ulaşan firmaların sesini duyuran bir platform olan CyberMag’i hayata geçiren ve geliştiren ekibi tebrik ediyorum. Başarılarının devamını diliyorum.