Güvenlik kahvesinin bu haftaki konuğu Türkiye’de bilgi güvenliği üzerine çalışmalarıyla yakından tanıdığımız ve bu sektörde ilklerden olan Fatih ÖZAVCI. Satır aralarında kendisi ve bilgi güvenliği dünyasına bakış açısı hakkında önemli notlar bulacaksınız.
NGB: Kısaca kendinizden bahsedebilir misiniz?
Fatih ÖZAVCI: İ.Ü. İşletme Fakültesi mezunuyum. 12 yıldır bilişim sektöründeyim, son 9 yılımı Bilgi Güvenliği Danışmanı/Denetmeni/Eğitmeni görevlerinde tamamladım. 4 yıldır GamaSEC ile danışmanlık, eğitim ve sistem sızma denetimi alanlarında çalışmaya devam etmekteyim.
NGB: Güvenlik işine nasil bulaştınız?
Fatih ÖZAVCI: Üniversitenin ilk yılından itibaren muhasebe mesleğini seçerek çalışmaya başladım. Ancak ilk çalışma yılımda tanıştığım Unix türevi işletim sistemi, sonrasında evde kullanmaya başladığım Linux ile güvenlik sektörüne yönelik ilk adımları attım. 1997’de amatör, 2000 yılında güvenlik ürünleri desteği, sistem sızma denetimleri ve eğitimler ile profesyonel olarak başladığım çalışma alanı, 2003 yılından itibaren sadece bilgi güvenliği denetimi üzerine odaklandı.
Mesleğimin ilk yıllarında güvenlik eğitimi veren bir kurum/kişi bulunmuyordu, bu nedenle meslek hayatım boyunca (ISO 27001 baş tetkikçiliği haricinde) bir eğitim alma şansı bulamadım. Aksine eğitim/seminer vererek kendimi geliştirmeyi, iş hayatında da pratiğe dökmeyi tercih ettim. Bu noktada LKD’nin üzerimdeki emeği büyüktür.
NGB: Turkiye’de bilgi guvenligi konusunu degerlendirebilir misiniz
Fatih ÖZAVCI:Genellikle kurumlarda güvenliğe verilen önemden bahsedilir ve pazar
hacmi arttırıcı konulara değinilir. Ben biraz daha farklı bir noktayı hatırlatmak isterim. Türkiye’de güvenlik alanındaki üretim ve geliştirme süreci tartışılmalıdır.
Teknoloji ve hizmet üretimi olmaksızın, doğrudan bir ürünün desteği/satışı ile sektör büyütmeye çalışmak maalesef bir hayal. Sahip olmadığımız ve geliştirmediğimiz bir teknolojinin arkasında
bizler değil, üreticileri durmalı.
Türkiye’de bilgi güvenliği alanında yazılım, donanım ve hizmet geliştirmek çok ciddi engellere sahiptir. Bir ürün/hizmet geliştirme süreci zaman istemektedir, ancak ülke insanının sabırsızlığı nedeniyle ilk günden itibaren pişmemiş ürünlerin satışı ortaya çıkıyor. Bu nedenle
de geçmişimizde çok sayıda başarısız olmuş türk güvenlik projesi mevcut.
Üretim için öncelikle bilgi güvenliği şirketlerinin tamamının ar-ge ortamı olmalıdır. Personelin teknoloji geliştirmesine imkan sağlanmalıdır, böylece fark yaratılması mümkün olacaktır. Sonrasında ise sadece teknoloji geliştirmek amacıyla şirketler kurulabilmeli, sermayenin bu doğrultuda yönlendirilmesi gerekmektedir. En önemlisi bu konuda tecrübemizin az olduğu bilinmeli, sabırla gelişmemiz beklenmelidir. Aksi durumda ise Devletin sınırsız (olduğu tartışılır)
kaynaklarından faydalanan kurumların teknolojiyi geliştirilmesi ve yönlendirmesi beklenir/umulur.
Şahsi kanaatim, biz üretmedikçe kurum yöneticilerinin güvenliğe verdikleri önemin anlamsız olduğu yönündedir. Çünkü onlara sunduğumuz şeyleri biz bile tam olarak bilemeyeceğiz ki onlar tatmin olup yatırım kararı alsın.
NGB: Bu ise yeni baslayanlara neler onerirsiniz?
Fatih ÖZAVCI: Öncelikle bir çalışma alanı seçmelerini öneririm. Bilgi güvenliğini bir çalışma alanı olarak görüyorlarsa çok ciddi zorluklar yaşayacaklardır.
Bilgi güvenliğinin özelde birçok alt dalı olduğu (yazılım, web uygulamaları, gsm, voip, iptv, ağ, sunucu vb.) ve mesleki olarak (danışman/denetmen/eğitmen/mühendis) birçok alternatifin bulunduğu bilinmelidir. Tamamı olmaya çalışmak sadece hedefi ulaşılmaz yapmak demektir.
Alan belirlemesini takiben kolay bir programlama dili (python, perl, ruby vb.) ile bilgisayara istediklerini yaptırabilmeyi öğrenmeliler. Sonrasında ise sanal makine ve ağ ortamları ile sıklıkla aşina olmayı, çalışma alanı hedefindeki sistemlerin örneklerini olabildiğince
incelemeliler. Belge okumak, doğru bilgi paylaşım kaynaklarını bulmak ise zaten bu yolun üstünde karşılarına çıkacaktır.
Türkiye’de iş bulamayacaklarını düşünmesinler, yeterli olgunluğa sahip ve iş ahlakı düzgün kişiler için çok sayıda işletme kapısı açık beklemektedir. Ancak geçmişte sadece test için dahi bilgilerini kötü niyetli kullanmışlarsa, ne kadar iyi olurlarsa olsunlar bu durum nedeniyle hiçbir zaman başarılı olamayacaklarını bilmeliler.
Son olarak Türkiye’de bulunan çok sayıda sivil organizasyonda rol almalarını öneririm. Bu durum onların sorumluluk, yetki, görev bilinci ve teknik yeterliliklerinin artmasında çok ciddi katkı sağlayacaktır.
Sadece bilgisayar karşısında oturan bir kişinin yazıştığı insanların sorunlarını ve sorumlulukların paylaşması mümkün olmayabilir. Böylece çok sayıda meslektaşı ile tanışmak ve fikir paylaşmak imkanına sahip olabilirler.
NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?
Fatih ÖZAVCI: Gömülü sistemler nedeniyle bugünün açıklarının farklı türlerini konuşacağız sanırım. VoIP’nin hayatımızda daha çok yer işgal edeceği, IPTV nedeniyle çok sayıda gelişmenin hayatımıza gireceği, birçok ev eşya veya eğlence sisteminin gömülü yazılımlara sahip olacağını biliyoruz.
Wimax ve 4g teknolojilerinden faydalanan çok sayıda cihazın da (kamera, eğlence sistemi, cep telefonu vb.) güvenlik sıkıntıları çekeceği ortada. Güvenliğin bu ürünlerdeki risklerini konuşmaya başlayacağız ve sadece cümlelerdeki nesneler değişecek diye düşünüyorum.
Güvenlik sektörünün çok büyük gelişmeler gösterdiğini düşünenlerin hatalı olduğu kanaatindeyim. Çünkü bizler VoIP risklerini gördüğümüzde yıl 2001 iken 2009’da halen VoIP hayatımızın tam bir parçası değil ve riskler maalesef aynı. Kablosuz ağın ilk günkü riskleri ne ise bugün halen aynı riskleri tartışıyoruz. Bu nedenle çok büyük teknolojiler hayatımıza girmedikçe aynı cümleleri kuruyor olacağız.
NGB: Zaman ayırarak sorularımıza cevap verdiğiniz için teşekkür ederiz.
