TÜRKTRUST GENEL MÜDÜRÜ TOLGA TÜFEKÇİ İLE SÖYLEŞİ
Türkiye'nin ilk ulusal lider Elektronik Sertifika Hizmet Sağlayıcısı (ESHS) olan, ulusal ve uluslararası bilişim sektöründe Türk kuruluşu olarak önemli bir yer edinen, Türkiye'de e-devlet ve e-dönüşüm projelerinde pay sahibi olan, araştırma ve geliştirme faaliyetleri ile ulusal bilişim sektörüne katkı sağlayan, güvenilirliği, tarafsızlığı, teknik ve fiziksel altyapısı, güvenlik sistemleri, uzman kadrosu, tamamen kendi kaynaklarıyla geliştirdiği yazılımlarıyla elektronik imza, elektronik sertifika ve zaman damgası hizmetleri alanında hizmetler sunan TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Türk Silahlı Kuvvetleri (TSK) Elele Vakfı'nın bir kuruluşu olarak 14 Temmuz 2004 tarihinde kurulmuştur.
Bu bilgiler ışığında, bilgi güvenliği alanında toplumun her kesiminde bilgi ve bilinç düzeyini arttırmak, bu konu ile ilgili teknolojik gelişmeleri izlemek, milli teknolojilerin geliştirilmesine katkı sağlamak; bireysel, kurumsal ve ulusal düzeydeki riskler konusunda farkındalık oluşturmak amacı ile elektronik imza, elektronik sertifika, zaman damgası, güvenli kod, yazılım, donanım çözümleri alanında TÜRKTRUST’ın yapmış olduğu çalışmalar ve siber güvenlik hususunda ülkemizin bugüne kadarki konumunu ve gelecek adına yapılması gerekenleri TÜRKTRUST Genel Müdürü Tolga TÜFEKÇİ ile konuştuk…
CyberMag: Öncelikle dünyada ve Türkiye’de bilişim sektörünün bugünü ve geleceği hakkında neler söylemek istersiniz?
Tolga TÜFEKÇİ: Bu iki hususta birbirleriyle tamamen ilişkili fakat ayrıldıkları önemli noktalar da var. Öncelikle dünyadan başlayacak olursak, dünyada bilişim sektöründe özelikle bilişimin bir takım mekanik sistemlerle daha çok entegre olduğunu ve hayatın içine daha çok girdiğini görüyoruz. Şeylerin interneti buna bir örnek. Bir takım cihazların içine aklın girmesiyle birlikte evlerde arabalarda etrafımızdaki her türlü cihazda ciddi biçimde bilişim sistemlerinin kullanımı gündemde. Bazı konular daha kolay hale gelecek fakat mahremiyet yönünden çeşitli, bugün de var olan sorunlar artacak. Robot teknolojileri yine elektro-mekanik sistemlerle bilişimin bir araya geldiği sistemler; önümüzdeki yıllarda ciddi biçimde bilgi ve iletişim teknolojilerinde etkin bir şekilde rol alacak. Bununla birlikte önemli gelişmenin beklendiği başka alanlar da var tabi. Mesela bilişimle enerjinin bir araya geldiği sistemler var; enerjinin daha etkin kullanımı, daha verimli kullanımı gibi. Türkiye’ye dönüp baktığımızda Türkiye’de benzer gelişmeler olacak ancak bizim kendimize özgü hallerimiz var. Ülkenin seviyesinden kaynaklı, burada Türkiye’nin bilişimde biraz daha katma değerli işlere yatırım yapması lazım. Bunu bugüne kadar arzu edilen düzeyde yapamadık; gelişen alan her ne olursa olsun burada Türkiye’den özgün ürünlerin çıkması sadece Türkiye pazarı için değil, dünya pazarına da sunulabilecek ürünler çıkması önemli. Biraz önce saydığım alanlarda belki bu tür yatırımlara girişmek lazım. Siber güvenlik şüphesiz çok öne çıkan bir konu. Çünkü bu sistemler yaygınlaştıkça mahremiyet ve güvenlik konusu daha çok öne çıkıyor. Güvenlik konusu hem bireysel hem kurumsal hem de ülke düzeyinde önemli bir hale gelmiş oluyor. Bunlar konuşulmaya muhtaç konular. Bizim ülkemizde buralara yatırım yapılması önemli ama bu konuyu hep uluslararası pazar perspektifi içinde yapıyor olmak gerek. Yani Türkiye’de sınırlı sayıda küçük bir pazara hitap etmekten ziyade, küresel pazarda satış yapılabilmeli.
CyberMag: Yıllarca bilişim sektöründe ciddi çalışmalara imza atan bir kurumun genel müdürlük görevini yürüten birisi olarak; devletimizin kalkınmasında IT ve Telekomünikasyon sektörünün yeri ve önemi nedir?
Tolga TÜFEKÇİ: Bu durum tabii ki çok önemli. İki türlü katkı sağlayan bir sektör; IT sektörü yani bilişim sektörü. Öncelikle, bilişim sektörü katalizör rolü olan bir sektör. Yaptığınız işlerin bir kısmını bilişim marifetiyle yaptığınız da daha hızlı ve daha kolay yapabilir hale geliyorsunuz. Süreçteki katma değer artıyor, verimlilik artıyor, israfı azalıyor. Dolayısıyla ekonomiye ek bir kaynak yaratma imkânı doğuyor. İşte bankalarda internet şubesi kullanımı yaygınlaştı; bankaların daha az şube daha az sabit sermaye yatırımı ihtiyacı oldu. İnsanların kalkıp bankaya gidip saatlerce beklemeleri gerekmiyor. Zaman verimliliği açısından orada beklediği zamanı şimdi başka bir yerde kullanıyor. Bunu şuna kadar vardırabilirsiniz. Daha az kamu taşıtı kullanılır, daha az özel taşıt kullanılır ve sonuçta toplamda ülkede daha az yakıt tüketilir. Bunun bile ekonomiye ciddi bir katkısı vardır. Bir de bilişimin başka bir katkısı var: Sektörün doğrudan kendisinden kaynaklı milli üretime desteği katkısı var. Bunun başka bir üretim sektöründen farkı yok. Araba da üretseniz, bardak da üretseniz, ne yaparsanız yapın, sonuçta milli üretime katkı sağlarsınız. Bilişimi diğer sektörlerden ayıran şey, katma değerin çok yüksek olması; nitelikli hizmet ağırlıklı bir sektör olması. Nitelikli iş gücüyle bir şey üretiyorsunuz, öyle olunca da doğal olarak maliyet ortaya çıkan değerin çok altında kalıyor. Sonuçta, içinde kullanılan malzeme, üretim maliyetlerinin çok üzerinde bir değer olarak ortaya çıkıyor. Bu bakımdan gerçekten de ülkemiz açısından çok stratejik yaklaşılması gereken bir alan. Şunu da kabul etmemiz lazım ki bilişimin her alanında ülke olarak üretim yapmamız mümkün değil. Kendimize öncelikli alanlar seçmemiz, öncelikli alanlara ağırlık vermemiz lazım. Bugün dünyanın en gelişmiş ülkelerine bile bakıyorsunuz her alanda yoklar. Bazısını bir başka yerde ürettiriyor ya da alıyor. Bizim bu dünya içinde kendimize uygun birkaç alan seçmemiz ve kendimizi o alanlarda kabul ettirmemiz gerekiyor. Çünkü kaynaklarımız hem sermaye bakımından hem de insan bakımından sınırlı.
CyberMag: Bildiğiniz üzere Türkiye savunma bütçesi sıralamasında dünyada on dördüncü sırada bulunuyor. Türkiye’nin siber savunma alanında diğer ülkelere göre durumu hakkında ne söyleyebilirsiniz?
Tolga TÜFEKÇİ: Bu konuda yapılmış bilimsel bir çalışma var mı bilmiyorum doğrusu. Bilimsel çalışmadan kastım, belli bir dönem içinde gerçekten ne kadar saldırı oluyor, ne kadarı karşılanabiliyor, kim ne kadar zarar görüyor; bunlara ilişkin sayısal verilere ihtiyaç var. O yüzden bir kıyaslama yapamam fakat Türkiye’nin diğer başka göstergelerde oturduğu yerden çok da başka bir yerde olduğunu sanmıyorum. Dünyanın 17. 18. büyük ekonomisi; dolayısıyla buralarda da aşağı yukarı aynı yerdedir diye tahmin ediyorum. Bilişim sektörü ya da siber güvenlik bakımından ortalamanın çok üzerinde bir performansımız olduğunu pek sanmıyorum.
CyberMag: Ulusal güvenlik açısından siber güvenliğin önemi nedir?
Tolga TÜFEKÇİ: Tahmin edilenlerden ve sıradan insanların anlayabileceğinden çok çok daha ötede bir önemi var çünkü çok farklı bir saldırı şekli. Fiziki bir saldırı gibi olmaması günlük hayatı çok derinden etkilemeyeceği anlamına gelmiyor. Büyük maddi hasarlara yol açabilir. Bunun içinde enerji sistemleri, sağlık sistemleri, finans sistemleri ya da bir şehri besleyen(ulaşım, taşımacılık, su, kanalizasyon sistemleri vs.) gibi kritik altyapılarımız var. Bu bakımdan siber güvenlik hayati önem arz etmektedir. Bunlardaki aksaklık, yani söyle düşünün bir şehirde trafik ışıklarının 1 saat çalışmaması bile o şehri felç etmeye yeter. Ya da elektriklerin 20 saat kesilmesi o şehirde ciddi sıkıntılara yol açabilir. Ciddi asayiş sorunlarına yol açabilir. O bakımdan bunlar hakikaten çok önemli. Bir baraj kapağının açılması gerekenden 2 saat önce ya da sonra açılmasının sonuçları kestirilemeyecek kadar kritik olabilir, bu sistemlerin çok iyi korunması lazım. O bakımdan da özel ihtisas alanı. Aynı zamanda bilişim çok geniş bir alan. Tıp doktorluğuna benzetelim. Nasıl orda farklı uzmanlık alanları varsa, yani bir kardiyoloğun gidip ürolojide bir ameliyata girmesinin uygun olmaması gibi burada da ihtisas sahibi insanlara ihtiyaç var. Maalesef bu da çok kolay olan bir şey değil. Akademide, üniversitelerde devletin ilgili kurumlarına yatırım yapılması lazım ki ihtisaslaşma imkânı ortaya çıksın.
CyberMag: Bu bilgiler ışığında sizce siber güvenlikle ilgili strateji ve politikalar nasıl oluşturulmalı? Türkiye’de siber güvenlikten kim sorumlu? Bugüne kadar bu konuda neler yapıldı?
Tolga TÜFEKÇİ: Ülkemizde Ulaştırma, Denizcilik ve Haberleşme Bakanlığı sorumlu kılındı. Esasen çok da eski değil; 3-4 yıllık bir mazisi var sanıyorum. Dolayısıyla bu Bakanlığımızın koordinasyonunda çalışmalar yürütülüyor, ilgili devlet kurumlarının koordinasyonu yapılmış oluyor ve strateji belgesi kapsamında, bazı kurumların özellikle güvenlikle ilişkili kurumların kendi altlarında birimler kurduklarını, teşkilatlarında; kimisi daire başkanlığı, kimisi şube müdürlüğü gibi değişik değişik bir takım teşkilatlanmalar yaptıklarını görüyoruz. Fakat bunların arasında nasıl bir koordinasyon var; birbirlerinin yetenekleri hakkında bilgileri var mı; bunları tam bilmiyoruz. Ya da bir yerde olan bir şeyi başkası diğer yerle paylaşabiliyor mu? Bilgi bakımından veya tedbir açısından bunun belki adıyla sanıyla daha üst seviyeye çıkarılması lazım. İlgili Bakanlığımızın çok sayıda görevi var. O kadar görevin içinde buna ayrıca bir kaynak ve vakit ayırması gerçekten kolay değil. Belki daha adıyla konmuş, kendine göre teşkilatlanmış bir yapının altında ele alınabilir, yürütülebilir. Bu tabi ki büyük bir farkındalık. Biz bu olaya biraz şöyle bakıyoruz: Nitelikli iş gücü olacak, bunlar akıllı çocuklar, bir odaya dolduracağız, önlerinde bilgisayarlar, ekranda ışıklar, efendim ülkemizi koruyacaklar. Durum böyle değil. Teknolojiyi bilen neyin nerden nasıl geldiğini bilen, önleme becerisi olan insanlar olacak. Mesela toplumda genel bir farkındalığın yaratılması gibi bir konu da var. Bunun bir eğitim faaliyeti var. Bunu şimdi yapabilmeniz için bütçenizin, kaynağınızın buna göre kurulu düzeninizin olması lazım. Bu durum önemsiz gibi görünebilir ama çok önemli çünkü herkesin evinde bilgisayar var. Artık herkesin evinde internet var, hepsi saldırıya açık bir uç. Dolayısıyla bir kırılma, ele geçirilme sonuçta vücuda bir noktadan girmiş virüs gibi zarar verebilir. Belki çok önemsiz gibi görülür ama o gider beyine yerleşir. Dolayısıyla maksada uygun bir teşkilat, yapısı olması lazım. Hepsini o teşkilat yapmayacak tabii ama eğitim faaliyetlerini yürütür, toplumdaki farkındalığı arttırır, üniversitelerdeki ihtisaslaşmanın yollarını açar ve bir yandan da aktif bir faaliyet yürütebilir.
CyberMag: Siber güvenlik pazarının ve tehditlerin bugünkü durumu nedir?
Tolga TÜFEKÇİ: İki açı var. Birincisi, bireysel düzeyde olanlar. Öncelikle şunu kabul etmemiz lazım. Bugün her bilişim sistemine, her gün her saat yüzlerce binlerce saldırı denemesi gerçekleşiyor. Dünyada bir grup insan bunu kendine iş edinmiş durumda. Bazısı menfaat amaçlı, bazısı kendini ispat etme amaçlı bunu yapıyor. Bütün ulaşabildiği bilgisayarları tarayan, oradaki açıkları test etmeye çalışan, bu açıkları bulursa ben girip buna bakayım diyen bir grup insan var. Her ülkede, her yerde var. Bunlar bazen hakikaten zarar verebiliyorlar. Bir de olayın kurumsal tarafında olanlar var. Bunu bir araya gelerek yapanlar var. Bir araya gelenlerin belli menfaatlere hizmet etme; kimisi maddi menfaatlere, kimisi de bağlı oldukları devletin menfaatlerine hizmet etme amacıyla hareket ediyor. Bu ikinci grup şüphesiz daha tehlikeli. Çünkü hedeflenmiş belli bir amaca hizmet eden faaliyetler yürütme ortaya çıkabilir. Şimdi tam da bu noktada, işte pazarda bununla ilgili böyle bir çalışma var. Öbür tarafta bunların tedbirlerini almaya dönük ticari ürünler var. Milyarlarca dolarlık bir pazardan bahsediyoruz. Bu aynı kilit hırsız ilişkisi gibi, siz güvenliği artırıyorsunuz, kilitlerinizi daha nitelikli hale getiriyorsunuz. Ama hırsızlar da kendi becerilerini arttırıyor. Dolayısıyla dün taktığınız ve güçlü olan kilit, bugün zayıf kalıyor. Üçüncü günde kırılabilir hale geliyor, dolayısıyla böyle bir yarış var. Az önce ifade ettik. Devlet bunun ulusal düzeyde örgütlenmesi, teşkilatlanması stratejisini ortaya koymada şüphesiz görev sahibidir. Hiçbir tereddüt yok, bunu yaptı ve yapacak. Ama özel sektör tarafında bu konu uzmanlaşmış şirketler tarafından desteklenmez ise de tam bir mücadele imkânı yok. Bu dediğim gibi aktif bir görev. Ticari tarafı da var. Virüs programları var, güvenlik duvarları var, farklı uygulamalar var. Bireysel düzeydeki kullanıcı bilgisayarlarında da var kurumsal düzeyde de var. Buralarda da rekabetin içinde bunu yapabiliyor olmak, hatta konuşmanın başında söylediğim gibi bunu sadece Türkiye pazarı için değil mutlaka küresel pazar için küresel pazarı hedefleyerek yapıyor olmak lazım. Bizim güvenlik ürünlerimizin başka ülkelerde satılıyor ve kullanıyor olması bize aslında tersinden de bir güvenlik sağlayacaktır. Maddi kazancın üzerinde de bir güvenlik sağlayacaktır. Çünkü oralardaki geri beslemeler oralarda kullanılan bu ürünlerin daha nitelikli hale gelmesine katkı sağlar. Eğer Kuzey Amerika’da, Avrupa pazarında bunları satabilirseniz bilirsiniz ki siz kesinlikle daha iyi bir noktada ürün üretiyorsunuz.
CyberMag: Siber saldırıların mağduru ya da bu saldırılara istemeden alet olmamak için vatandaşlarımızın alabileceği önlemler nelerdir?
Tolga TÜFEKÇİ: Teknik birkaç konu var. Bunlardan en basit olanlarını ifade etmeye çalışayım. Bir tanesi bilgisayarların mutlaka güncel yazılımlarla çalıştırılıyor olmasıdır. Bu kaçınılmaz. Bunu dediğimde işletim sistemini baştan sayıyorum. İşletim sistemi sürümlerini, yeni sürümlerini güncellemeleri mutlaka almak lazım. Uygulama yazılımlarının ya da internet tarayıcılarının da son sürümlerini, güncel sürümlerini mutlaka alıp uyguluyor olmak gerekli. Çünkü bu güncellemelerin önemli bir bölümü, bulunan güvenlik açıklıklarını kapatmak için yapılır; kilit hırsız ilişkisi yani. İkincisi ise, virüs programlarının ve güvenlik duvarlarının aktif halde tutulması çok önemlidir. Çoğu insan, farkında olmadan bunlar pasif haldeyken bilgisayarını kullanıyor. Dolayısıyla güvenlik duvarlarının da aktif olması, anti-virüs programlarının aktif çalıştığına emin olunması son derece önemli. Üçüncüsü internet tarayıcıları üzerinde, internet sitelerini gezerken dikkat edilmesi gereken hususlar var. İnsanlar interneti en çok hangi amaçlar için kullanıyorlar, bakılırsa her halde bilimsel amaçlarla kullanan çok düşüktür. Yani ben şurada yeni bir şey öğreneyim diye kullanan yüzde bir ikidir herhalde, bilemiyorum. Onun dışında haber alma amaçlı kullanıyor, ama en çok eğlence amaçlı kullanılıyor. Eğlenceyi en genel, en geniş anlamıyla ifade ediyorum. Şimdi özellikle eğlencenin de verdiği iştahla çok farklı yerlere girme çıkma bazı sorulara evet deme, bak şimdi şuna evet derseniz biz şimdi size şu imkânı sağlayacağız gibi bir takım bildirimlere evet deme oluyor. Bu noktalarda ne olduğundan eğer emin değilseniz nereye bağlandığını bilmiyorsanız, bu bildirimlere evet denmemesini tavsiye ederim. Son derece önemli çünkü, o evetler bilgisayarınıza bir takım zararlı yazılımların yerleşmesi sonucuna yol açabilir. Dolayısıyla bilmediğiniz, hiç bilmediğiniz yerlere bağlanmayınız. Referanslarla hareket etmeye çalışınız. Ya da tereddüt ediyorsanız, bunu mutlaka teyit etmeye çalışınız. Eğer bankacılık işlemi yapıyorsanız, bağlandığınız yerin gerçekten banka olduğunu tespit eden https bağlantısı oldu mu, SSL sertifikası var mı, güvenilir mi diye kontrol etmek gerekir. Hakikaten orası benim bağlandığım banka mı dikkat etmek lazım. E-devlet kapısına veya bankalara, bilmediğimiz, sizin olmayan veya ortak kullanılan bilgisayarlardan bağlanmamak en iyisidir. Evde kullanılan modem için hizmet aldığınız servis sağlayıcısından sabit IP istemek, bu IP’yi internet bankacılığı ayarlarında kullanmak, yine internet bankacılığında tutar, kullanım saatlerine sınırlamalar getirmek bence basit fakat yararlı önlemler olur. Yine basit bir önlem, kullanmadığınız zamanlarda evdeki modemi kapatmak, hatta fişten çekmek de iyi bit tedbirdir. Son iki husus olarak, kullanıcı şifreleri ve elektronik posta kullanımına ilişkin söylenebilecekler var. Kullanıcı şifrelerinin, kolay tahmin edilebilir ve erişebilir olmaması son derece önemli. En azından 6 karakterli, sayılar, harfler ve işaretlemelerden şifre oluşturmak, makul bir sıklıkta (belki yılda 2 defa) değiştirmek, aynı şifreyi farklı sistemlerde kullanmamak, kolay erişilebilir biçimde bir yere kaydetmemek önemli. Hatırlanması zor olan, sık değişen ve çok sayıda şifreyi nasıl yöneteceğimiz sorusu hemen haklı olarak akla geliyor. Bir yöntem şifrenin kendisini değil de, şifreyi basit bir kuralla üretebileceğiniz bir seriyi kaydetmek olabilir. Örneğin, g73Hd6 şifresi, h62Je5 olarak kaydedilebilir (harfler bir geri, sayılar bir ileri kuralı!). Son olarak, kaynağından emin olamadığınız elektronik postaları açmanın uygun olmadığı unutulmamalı. Belki kaynağı size tanıdık geliyor, örneğin bir telefon şirketinden geliyor gibi görünüyor olabilir. Hatta belki bir kamu kurumunun adıyla geliyor olabilir ama daha önce gelmemiş bir mesaj ise, yani sizin bir borcunuz var, borcunuzun teyidi için tıklayınız ya da efendim biz baktık size yeni bir paket yükleyeceğiz ama şuraya tıklamanız lazım gibiyse emin olmadan, başka bir kaynaktan doğrulamadan tıklamamak gerekir. Bunları yapmamak lazım, bunlar çok tehlikeli. Araştırmalara göre özellikle bireysel düzeyde pek çok bilgisayar bu nedenle bu tür benzer nedenlerle virüse maruz kalıyor başka türlü özel bir takım saldırılara maruz kalıyor.
CyberMag: TÜRKTRUST olarak, siber ve bilgi güvenliği konusunda bir takım bilişim hizmetleri sunuyorsunuz. Yapmış olduğunuz çalışmalardan(SSL sertifikası, e-imza, zaman damgası vb.), geliştirdiğiniz güvenlik çözümlerinden ve ürünlerinizden bahsedebilir misiniz? Kurum ve kuruluşlara vermiş olduğunuz hizmetler nelerdir?
Tolga TÜFEKÇİ: TÜRKTRUST olarak genel anlamda bilgi güvenliği diye tabir edilen alanda ihtisas sahibi olan bir şirketiz. Bilgi güvenliği dediğimizde de şunu ifade etmemiz lazım: Bilgi güvenliğinin 4 temel unsuru var. Bunlardan bir tanesi kimlik tespitine ilişkindir yani internet ortamında, sanal ortamda birbirinden uzak iki kişinin, işlem yapan iki tarafın birbirlerinin kimliklerini tespit etmeleri konusudur. İkincisi işlemin inkâr edilememesidir. Yani örneğin bir hesaba 1000 lira mı gönderildi 100 lira mı gönderildi; işlemin içeriğine ilişkin inkârın yapılamamasıdır. Ya da başka tür bir bütünlük bozulması da olabilir. Ben yapmadım bir başka tehdittir. Bir de sonuncusu var; verinin gizliliği. Örneğin işlemin iki tarafı inkâr etmiyor, kimliklerini de teyit edebiliyorlar ve gönderilen verinin içeriği konusunda herhangi bir ihtilaf yok. Ancak bu sefer başka bir kişi bu iletiyi dinliyor, mahremiyete halel geliyor. Yolda üçüncü bir kişi araya girip o veriyi, o bilgiyi okuyor, değiştirmiyor ama içeriğine sahip oluyor. Dolayısıyla verinin gizliliği konusu var. Şimdi bu dört temel tehdidin ortadan kaldırılmasında çalışır bilgi güvenliği teknolojileri. Elektronik imza bu tehditlerden 3 tanesine cevap verir. Hem kimliğin tespit edilmesine imkân tanır, hem inkâr edilemezliğini sağlar hem de verinin bütünlüğü konusunda bütünlüğünün bozulup bozulmadığına kesin imkân tanır. Biz TÜRKTRUST elektronik imza hizmeti veriyoruz. Hem de kendi geliştirdiğimiz sistemler üzerinde, milli ürünlerle hizmet sağlıyoruz. Bizim bir Ar-Ge merkezimiz var. Burada çalışan ilgili uzman personelle elektronik imza konusundaki her türlü ürün ve hizmeti geliştiriyoruz. Bu da önemli bunun da altını çizerek söylüyorum. Çünkü sonuçta burada bahsettiğimiz bilginin tespiti ya da veride bütünlük bozuldu mu bozulmadı mı meseleleri, en nihayetinde kriptolojide kullanılan tekniklerle sağlanıyor. Şifre bilimindeki bazı tekniklerle sağlanabiliyor. Dolayısıyla ne yaptığınızı, nasıl yapmanız gerektiğini iyi biliyor olmanız lazım. Bilmediğiniz bir ürünü alıp kullandığınızda da çalışır belki ama içinde bilmediğiniz hoşunuza gitmeyecek bir şeyler vardır belki. Yani 1000 gün iyi çalışır ama bir an gelir bir şey olur çalışmaz. İşte bu bakımdan bizim elektronik imzada kullandığımız, ürün ve hizmetlerde kullandığımız alt yapının bizim tarafımızdan geliştirilmiş olması önemli. Biz burada elektronik imza tarafında aynı zamanda 5070 Sayılı Elektronik İmza Kanunu kapsamında, yetkilendirilmiş bir şirketiz. Bu bakımdan vatandaşlarımıza ya da Türkiye’de oturma izni almış, çalışma izni almış yabancı uyruklulara elektronik imza veriyoruz. Yine benzer şekilde zaman damgası hizmetimiz var. Zaman damgası, bir elektronik verinin üretildiği, saklandığı, kaydedildiği zamanın kesin tespitini sağlar. Bu da çok önemlidir. Hukuki yönden, güvenlik yönünden, hatta fikri mülkiyet hakları bakımından da önemli uygulamaları var. Bir eserin kimin tarafından daha önce ve ne zaman yaratıldığı önemlidir. Yaratıcılık söz konusu olduğu için öncelik orada esastır. Bu konularda önemli ürün ve hizmetlerimiz var. Saydığım o dört tehditten bilgi güvenliği adına sadece bir tanesi (veri gizliliği) açıkta kalmaktadır. Biz TÜRKTRUST olarak bu konuda da çalışıyoruz. Bu konuda da ürünlerimiz var. Bunlardan bir tanesi SSL sertifikası ürünümüzdür. SSL sertifikası elektronik imzaya benzer bir teknoloji ancak kullanım alanı farklı. SSL sertifikası, bir web sitesinin sahibinin kim olduğunu tespit için kullanılan bir şeydir. Böylece bağlanan kişi, sitenin gerçek olup olmadığını kontrol edebilir. Yukarıda bundan https olarak söz etmiştim. İnternet tarayıcısının bağlantı adresini gösterdiği yerde http yerine https yazar ve rengi yeşile döner. Buna tıklanırsa web sitesinin kimliği kontrol edilebilir. Biz TÜRKTRUST olarak, güvenilir bir taraf olarak, kimliğini doğruladığımız web sitelerine SSL sertifikası veriyoruz; bu teknoloji de tamamen yerli geliştirdiğimiz bir teknolojidir. SSL teknolojisinde, elektronik imzaya ek olarak, veri gizliliği de var. Bir web sitesinde SSL sertifikası aktifse, kullanılıyorsa o siteyle ya da siteye o anda bağlanan kullanıcı arasındaki tüm iletim şifreli hale dönüşüyor. Dolayısıyla o veri gizli hale geliyor. Bunlarda birlikte hem bireysel hem kurumsal düzeyde elektronik verilerin gizliliğinin sağlanması maksadıyla yeni ürünler de geliştiriyoruz. Önümüzdeki dönemde, inşallah bu ürünleri pazara sunacağız. Böylece bireysel ve kurumsal düzeyde verilerinin gizliliğini sağlamak isteyen kişiler, tabii ki yasalar ve hukuk çerçevesi içinde, bu hizmeti alabilecekler.
CyberMag: Bütün bu çalışmaların yanı sıra, güvenli kod testleri, yazılım çözümleri( Arnica, Casten, Spira, Platon vb.), donanım çözümleri(LISLE Digidown Serisi) sağlamaktasınız. Bu hizmetlerden ve elde ettiğiniz sonuçlardan bahsedebilir misiniz?
Tolga TÜFEKÇİ: Bizim çalıştığımız alan başta da söylediğim gibi ihtisas alanı olarak bilgi güvenliği, elektronik imza, veri şifreleme vs. Az önce tıpta verdiğim örnek gibi, başka bir alandaki uzmanın gelip bizim işimizi kısa sürede öğrenmesi, uygulaması ve idame ettirmesi, gelişmelere sürekli uyum sağlaması kolay bir şey değil. Dolayısıyla, örneğin bir doküman yönetim sistemine elektronik imza yeteneğini de kazandırmak isteyenlere hazır çözümlerimiz var. Arkasında da bizim markamız ve güvenimiz var. Bu ve benzeri konularda, kendi uzmanlık alanımızda Ar-Ge çalışmalarımız var ve tamamlanan ürünlerimizi ticarileştirmek amacıyla pazara sunuyoruz.
CyberMag: Bu çalışmalar sonucunda beklenen çıktılar ve faydalar elde edilebiliyor mu?
Tolga TÜFEKÇİ: TÜRKTRUST olarak burada şunu şükranla ifade etmem lazım. Bizim müşterilerimiz, halkımız teveccüh gösteriyor bize. Biz bu pazarın en büyük şirketiyiz ve özellikle elektronik imza tarafında vatandaşımızın tercih ettiği bir şirketiz. Sunduğumuz hizmetin kalitesi, kurumsalımızın verdiği güvenceyle ve müşterilerimizle olan ilişkilerimizden ötürü tercih noktasıyız. Kendimizi sürekli geliştirmek, hep daha iyisini yapmak gayreti içindeyiz. Elektronik imza pazarının daha da büyümesi gerekiyor. Burada da kamu bugüne kadar gerçekten önemli katkı sağladı, pek çok uygulama açtı. Bunun devam etmesi lazım, bunun devamını diliyoruz. Yine aynı zamanda sektör açısından elektronik imza sektörü özelinde söylüyorum, sektör açısından bazı sorunlu düzenlemeler var. Kamu personelinin elektronik imza ihtiyacının sadece TÜBİTAK tarafından karşılanıyor olmasını doğru bulmuyoruz. TÜBİTAK orada tekel. Biz TÜBİTAK bunu sağlamasın diyemeyiz; bu doğru olmaz. Sağlar ya da sağlamaz o idarenin kararıdır. Fakat tekel olmaması gerektiğini düşünüyoruz. Günümüzde liberal sistemlerde tekel olan piyasa pek görülür bir şey değil biliyorsunuz, ülkemize de yakışmıyor. Hâlbuki burası da rekabete açılsa, kamusal yarar doğacağı kesin. Hiçbir tereddüt yok. Daha uygun fiyatlarla daha nitelikli bir hizmet alır ve sonuçta buradaki kanunun çatısı altında yetkilendirilmiş tüm şirketlerde, düzenleme denetim altında olan şirketlerden daha iyi hizmet alır.
CyberMag: Bu bilgiler ışığında TÜRKTRUST, “uluslararası bilişim sektöründe Türk kuruluşu olarak önemli bir yer edinen, Türkiye'de e-devlet ve e-dönüşüm projelerinde ciddi pay sahibi olan bir kuruluştur” diyebiliriz. Peki, yerli ve milli çözümlerin üretilmesi adına, teknokentlerimize, yerli ve milli firmalarımıza düşen görevler sizce nelerdir?
Tolga TÜFEKÇİ: Bize düşen görev çalışmak, mühendislik faaliyetini olabildiği kadar iyi yapabilmek, Ar-Ge faaliyetini olabildiği kadar iyi yapabilmektir. Türkiye bilişim sektöründen, tüketim tarafında Telekom operatörlerini çıkaracak olursanız, geriye kalan dünya ölçeğinde çok küçük bir sektör olur. Hele yazılım veya gömülü yazılım gibi katma değerin yükseldiği yerlere baktığınızda rakamlar daha da küçülüyor. Bunun genişletilmesi ve arttırılması lazım, bunun ilk yolu kamu alımlarıdır. Tüm dünyada bu durum böyledir. Kamunun özel sektörle iş birliği yapması gerekir. Bu çok çok önemli bir konudur. Herkes kamudan bir şeyler bekliyor; bunun kamu üzerindeki yükünü de anlıyorum. Ama ben burada biraz daha farklı bir şey ifade etmeye çalışıyorum: Kamu, kendi özgün ihtiyaçlarını işbirliğiyle özel sektöre sipariş ederek, küresel pazarda da alıcı bulacak, nitelikli, kaliteli yüksek katma değerli ürünler yapılmasını teşvik etmeli. Bunun savunma sektöründe gerçekten güzel örnekleri var. Savunma sektörü dışında da, elbette her sektöre değil ama, birkaç sektörde bu biçimde yaklaşmanın çok iyi sonuçlar vereceğini düşünüyorum. Bu sanıyorum, somut bir öneri. Bu noktada, son dönemlerde atılan adımlardan övgüyle söz etmemiz gerekiyor. Teşvik sistemlerinde gerçekten ciddi düzenlemeler, çok kıymetli düzenlemeler yapıldı. Ar-Ge merkezleri, teknoloji geliştirme bölgeleri var. Bunların da tabii ki koordine edilmesi gerekli. Sonuçta Ar-Ge’yi yaptınız ise iş bitmiyor; üretmek, satmak apayrı ve en az Ar-Ge kadar önemli aşamalar. Bir şeyi bilmeniz onu üretebileceğiniz anlamına gelmez. Üretmiş olmanız satabileceğiniz anlamına da gelmez. Bunlar farklı farklı şeylerdir. Üretmek için insan kaynağınız ve sermayeniz olmalı; satış için çok iyi organizasyonunuz olmalı. Her zaman zaten kurtlar sofrasındasınız. Dünya devlerinin olduğu bir alandan bahsediyoruz. Buralarda niteliği düşük olan bir ürünü kamu alsın diyemezsiniz. O kabul edilir bir şey değil ya da efendim oradakini 10 liraya buradakini 20 liraya alsın da olmaz. Ancak şu mümkün niteliği iyi olan bir ürünü tercih edecek bir takım satın alma politikaları geliştirilebilir. Bunlara dolaylı dolaysız bazı teşvikler sağlanabilir. Bu bir kaynak transferi şeklinde kesinlikle olmaz ve olmamalı. Ancak böylece o sektörde o ürün gelişir. Yoksa gerçekten kolay değil. Bir de ben şunu görüyorum; özellikle bilişim sektöründe, güvenlik sektöründe kamunun öncelik vermediği bazı şeyleri özel sektör kendi içinde alıp götüremiyor. Özel sektörden özel sektöre satış yapabildiğiniz alanlar burada çok dardır. Öyle olduğu için de kamunun desteği hakikaten çok önemli.
CyberMag: TÜRKTRUST olarak, siber ve bilgi güvenliği konusunda çalışma yürüten sivil toplum kuruluşlarına, derneklere ve yayın organlarına destek veriyorsunuz. Bu durum göz önünde bulundurulduğunda, sektör üzerinde bir sinerji oluşturmak ve farkındalık yaratmak adına sivil inisiyatif organlarına düşen görevler nelerdir?
Tolga TÜFEKÇİ: Evet, bu da çok önemli bir konu. STK’ların en önemli görevleri arasında farkındalığın artırılması olduğunu düşünüyorum. Doğrusu ben bunu da ikiye ayırarak söylüyorum. Bir tanesi toplumun geneli nezdinde farkındalığın artırılması, az önce bahsettiğimiz bireysel kullanılan bilgisayarlığın güvenliğinin artırılmasıyla ilgili; televizyon programları, kongreler, etkinlikler, kitapçıklar vs. Bunların hepsi çok büyük katkıları olabilecek şeyler. Bir de kamudaki bilincin ve farkındalığın arttırılması var. Sivil toplum örgütleri bu bakımdan bir köprü vazifesi görüyor. Sonuçta bu örgütlerin içinde sektörün içinde olan, dünyayı yakından izleyen, işini iyi yapan insanlar, şirketler ve kuruluşlar var. Kamunun belki izlemekte zorlandığı bazı konulardan haberdar olmakta zorlandığı bazı durumlardan daha önceden haberdar olabiliyorlar. Bunları hızlı bir şekilde kamuya aktarabiliyorlar. Bu bakımdan, farkındalığı artırmak açısından STK’ların çok büyük görevleri var. Bunu da layıkıyla yapan gerçekten önemli sivil toplum örgütlerimiz var.
CyberMag: Son olarak, TÜRKTRUST’ın günümüzdeki konumundan yola çıkarak, siber savunma alanında ileriye yönelik hedefleri nelerdir? Yeni proje, entegrasyon hizmetleriniz ve çalışmalarınız hakkında bilgi verebilir misiniz?
Tolga TÜFEKÇİ: Bizim önemli gördüğümüz, bilgi güvenliğinin dört saç ayağı arasında eksik kalan verilerin gizliliği bakımından sunulacak yeni ürün ve hizmetlerdir. Bu gerçekten de çok önemli bir şeydir. Buna zaman dalgasını da ekleyerek söylüyorum, bugün artık her kişinin, her vatandaşın, her şirketin ister özel sektörde olsun ister yarı kamu olsun her kamu kuruluşunun elektronik verisi var. Kişi olduğunda da devlet olduğunda da şirket olduğunda da bunların önemli bir bölümünde mahremiyet var. Fotoğraflarınız var, mektuplarınız var, yazışmalarınız var, sözleşmeleriniz var, haberleşmeleriniz var, pek çok şey var. Bunlar arşivleniyor, saklanıyor. Bunlara erişimin kontrol edilmesi, kontrollü erişimin sağlanması yani bu hem fiziki erişim hem elektronik erişimi kastediyorum, hem de erişildiğinde kimin hangi yetkiyle eriştiğinin kayıt altına alınması önemli. Bu noktalarda, kolay kullanılabilir, güvenli sistemlere ihtiyaç var. Bu noktada kolay kullanılabilen ama aynı zamanda güvenlik sağlayabilen ürün ve hizmetlere mutlaka ihtiyaç var. Bunların yerelden sağlanması da önemlidir. Hem ülke güvenliği açısından önemlidir hem de Türk hukukuna tabii kılınması bakımında önemlidir. Uzakta saklama teknolojileri (bulut teknolojileri) var biliyorsunuz. Tüm kontak bilgileriniz, kimlerle haberleştiğiniz, bunların elektronik posta adresleri, yazışmalar, her şey başka bir yerde sizin aslında hiç bilmediğiniz bir yerde saklanır hale geliyor. Saklanabilir, saklansın ama en azından mahremiyetinin korunduğundan emin olarak saklanmalı. Bu da ancak yerel çözümlerle mümkündür. Biz TÜRKTRUST olarak önümüzdeki dönemde bu konularda hizmet vermek üzere çalışıyoruz.
CyberMag: CyberMag, siber dünyadaki riskler ve siber güvenlik konusuna odaklanmış Türkiye’nin ilk basılı ve elektronik dergisi olarak farkındalığı artırmayı ve insanları bilgilendirmeyi amaç edinmektedir. Bu amaçla yola çıkan ve yayın hayatına daha yeni başlayan CyberMag Dergisi hakkında düşünceleriniz nelerdir?
Tolga TÜFEKÇİ: Gerçekten büyük bir memnuniyetle ve mutlulukla karşıladık. “Cybermag” dergisinin yayın hayatına girişini önemsiyoruz. Az önce ifade ettiğim gibi, bu tür yayınlar elektronik ortamda da basılı ortamda da farkındalığın artırılmasındaki en önemli araçlardır. Çünkü bilgiyi derli toplu hale getiriyor. Dolayısıyla bir insan bunu eline aldığında, öbür türlü belki hiç erişemeyeceği bilgiye erişebiliyor. O bakımdan “Cybermag” gerçekten çok önemli bir boşluğu, eksikliği dolduruyor. Sizin katkılarınızla, inisiyatifinizle doldurulmuş oluyor. Ben ümit ediyorum ki bu gelişerek devam edecek, büyüyerek devam edecek ve çok açık, çok geniş bir alan sizler sayesinde doldurulmuş olacaktır. Dünyada bunun örnekleri var. Türkiye’de genç arkadaşlarımızın, kıymetli arkadaşlarımızın bu işi yapmış olması ise ayrıca bir gurur kaynağıdır. Bu bakımdan size sonsuz başarılar diliyorum.
CyberMag: Eklemek istediğiniz başka bir konu ya da konular var mı?
Tolga TÜFEKÇİ: Özetle şunu ifade etmek isterim: Öyle bir noktaya geldik ki, bilişim çok kısa bir sürede hayatımızın içine bir daha hiç çıkmayacak biçimde girdi. Bunu bir hamasetle söylemiyorum. Bundan 15 sene önce cep telefonlarının böyle yaygınlaşacağını kimse hayal dahi edemezdi. Bırakın cep telefonlarını, akıllı telefonların bu kadar yaygınlaşacağını, var olacağını hayal edemezdi. Kimse, bugün akıllı telefonların yaygınlaşmasından rahatsız değil. 7’den 70’e herkesin elinde var; bu da şu demek oluyor; herkesin lokasyonu belirli. Hemen hemen herkesin yazışmalarının nereden nereye gittiği belirli. Nereden alışveriş yaptığı, ne aldığı belirli. Hangi kitapları okuduğu, nelere ilgi duyduğu belirli. Dolayısıyla aslında gerçekten de etle tırnak kadar bunlar bir araya gelmiş vaziyette. Önümüzdeki dönemde bunların artık birbirlerinden ayrılma imkanı yok aksine daha da entegre bir hale gelecek. Belki cep telefonları öyle bir hale gelecek ki bir tane bilezik, küpe takacaksınız. Dolayısıyla belki de uykudaki halinizi bildirecek bir yere. Bu durumlarda şunu beraberinde getiriyor. Israrla tekrar ifade ediyorum; hem ulusal güvenlik açısından, hem kişisel mahremiyet açısından, bu teknolojilerin kullanılmasında pek çok önemli husus var. Bunların mutlaka takip edilmesi, çalışılması, ürün ve hizmetle bu büyük pazarın içinde yer alınması gerekiyor. Bunlardan kaçmak, kaçınmak da mümkün değil. Çocuklarımız bilgisayarı, cep telefonunu kullanacak. Bunlarla büyüyorlar, bunları kullanacaklar ama hangi siteye bağlanıyorlar, kendilerine zarar verecek bir takım yerlere bağlanıyorlar mı? Buralarda ne tür faaliyetler var? Bunlardan onlara bir zarar gelir mi? Ya da izleniyorlar mı? Pek çok, pek çok konu var. Dolayısıyla bunları kullanmaktan kaçınamayacağımıza göre kullanmanın da faydaları çok fazla olduğuna göre, işte tam da bu noktada, biz nerelerde bu büyük ürün ailesine, hizmet ailesine katılabiliriz, buna bakmamız lazım. Türkiye olarak bunları tespit etmemiz gerekmekte. Belirli alanları seçerek bu alanlarda uzmanlaşan, ürün üreten, hizmet üreten, bunları hem ulusal güvenlik açısından, hem vatandaşlarımızın güvenliği açısından yapmalıyız. Hem de ulusal ekonomiye katkı sağlayan bir hale getirmeliyiz. Bu son derece önemlidir. Sonuçta ciddi bilgi birikimi ve uzmanlık gerektiren bir iştir. Bir kısmını yaptık, yapıyoruz, her zaman olduğu gibi Türkiye olarak daha çok çalışıp daha çok üzerinde durmamız gereken bir konudur. Geçen sene bir liste yayımlandı. Dünyanın en büyük 20 şirketini 2015 sonu itibariyle sıralaya bir liste. Tabii büyük ölçüde batı şirketleri Avrupa ve Kuzey Amerika şirketleri ile Çin şirketleri var. Ama baktığımızda, geçmişte hep enerji şirketleri, otomobil üreticileri, bu listelerde başta olurdu. 2015 listesinde baktığınızda 20 şirketin 18 tanesinin bilişim sektöründe hizmet veren şirketler olduğunu görüyoruz. Google, Apple, Microsoft, Oracle ve benzeri. Hatta donanım şirketleri, bilgisayar üreten şirketler listenin altına doğru itildiler. Bir kısmı ise çıktı listeden. Bu durumun ekonomi açısından ne kadar önemli olduğunu görüyoruz. Bizim buraya çok sarılmamız lazım; bunu bir kez daha vurgulamış olalım.
