Güvenlik Röportajları #10 – Tahsin TÜRKÖZ
Güvenlik kahvesinin bu haftaki konuğu Bilgi Güvenliği Kapısı(www.bilgiguvenligi.gov.tr) portalı kurucularından Tahsin TÜRKÖZ
NGB: Kısaca kendinizden bahsedebilir misiniz?
Tahsin TÜRKÖZ: Evli ve iki çocuk babasıyım. Bilkent Üniversitesi Bilgisayar Mühendisliği Bölümü’nden 2000 yılında mezun oldum. Daha diplomamı almadan TUBİTAK-UEKAE’de çalışmaya başladım. Çalışma yerinin yakın olması sebebiyle Yüksek Lisans çalışmamı Gebze Yüksek Teknoloji Enstitüsü’nde tamamladım. Aynı enstitüde Bilgisayar Mühendisliği Bölümü’nde doktora çalışmama devam ediyorum. En büyük hobim bilgisayar ve ailem diyebilirim. Babamın lise yıllarında almış olduğu Commodore 64 beni bu dünyanın içerisine çekti. Arkadaşlarım yeni çıkan oyunların peşinden koşarken ben kısıtlı imkanlarıyla bu ortamda program geliştirmeye çalışıyordum. Bu alanda ilk hayal kırıklığımı da yazdığım programın yetersiz bellek hatası üretmesiyle yaşamıştım.
NGB: Güvenlik işine nasıl bulaştınız?
Tahsin TÜRKÖZ: Tamamıyla tesadüf diyebilirim. Mezuniyet sonrası aklımda iki hedef vardı. Ya yurtdışında meslek hayatıma devam etmek ya da ülkeye faydam dokunabileceğini düşündüğüm bir kuruluşta çalışmak. Birinci hedefle ilgili aldığım teklifler konusunda kafamda soru işaretleri oluştu. İkinci hedefte ise bir arkadaşımın vesilesi ile TUBİTAK ile tanışmış oldum. Yerleşkesini / yapılan işleri bile ilk defa mülakat sırasında öğrendiğim bu kurum beni çok etkiledi. Özellikle bilgi güvenliği konularında çalışılması ve benim bu alandaki büyük merakım nasıl geçtiğini anlamadığım 10 yılda pek çok güzel çalışmayla sonuçlandı.
NGB: Turkiye’de bilgi guvenligi konusunu degerlendirebilir misiniz
Tahsin TÜRKÖZ: Biraz daha geniş olarak konuyu ele alacak olursak genel kanının aksine Türkiye’de IT sektörünün çoğu ülkeden ileri olduğunu ya da ileri götürülmeye çalışıldığını, bu alanda önemli yatırımlar yapıldığını düşünenlerdenim. Tabii Bilgi Güvenliği alt başlığı da bu yatırımlardan kendine düşen payı alıyor. Fakat en önemli sıkıntımız bu kaynağın etkin kullanılamaması. Özellikle sektörde yetişmiş insan azlığı, üniversitelerimizin ve akademik kadroların hala konuyu çok dar kapsamda ele alıyor olmaları Bilgi Güvenliği alanında gözle görülür gelişmelerin olmasına engel oluyor. Ama bu durumun geçici olduğunu düşünüyorum. Yeni yetişen neslin Bilgi Güvenliği konusundaki azımsanmayacak merakı önümüzdeki yıllara daha güvenli gireceğimiz ümidini bende oluşturuyor.
NGB:Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?
Tahsin TÜRKÖZ: Yerli yazılım üretimi her ülke gibi Türkiye için de olmazsa olmazlardan. Fakat bu konuda sınıfta kalmış durumdayız. Ağırlıklı olarak güvenliği ithal ediyoruz. Hem de kritik anlarda bizim için çok tehlikeli olabilecek ülkelerden.
TUBİTAK-UEKAE gibi birkaç önemli kurum devlet desteğini de arkalarına alarak güzel çalışmalar gerçekleştiriyor. Ama özel bir firmanın ayaklarının üzerinde durabilmesi gerçekten kolay değil. Önce yerli üreticiye, daha sonra yerli ürünlere olan güvensizlik üst seviyede. Bunda sadece devleti suçlamıyorum. Çünkü piyasada dürüst çalışan firma bulmak kolay değil. Özellikle kamu çalışanlarının bilgi yetersizliğinin istismarı, proje parasının alınmasından sonra ortaya konan kalitesiz ve kullanılamaz ürünler çoğu kurumun ağzını yakmış durumda. Kamu kurumlara gerçekleştirdiğim pek çok ziyarette bunların örneklerine şahit olmam benim adıma çok üzücüydü.
Tabii yaşanmış kötü örnekler bu alanda devlet desteğinin geri çekilmesine sebep olmamalı ki olmuyor. Kontrol mekanizmalarının iyileştirmesi, kamu kurumlarında daha bilgili personelin istihdamı bu sorunları minimize edecektir.
NGB: ürkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?
Tahsin TÜRKÖZ: Cem Yılmaz gibi “Eğitim Şart” sloganı ile konuya giriş yapalım. Öncelikle bu konu üniversite sıralarında ele alınmalı. İnsanlar bilgi güvenliği konusunda belirli bir bilgi birikimine sahip olarak okullardan mezun olmalı.
Diğer taraftan kurumsal bilgi güvenlinin artırımı için ilgili sosyal topluluklar ve özel firmalar / devlet kurumları bilinçlendirme konferanslarına hız kesmeksizin ve ürün tanıtımını ikinci plana alarak devam etmeli.
Bugüne kadar az kullanılan medya organları ile bu tip faaliyetleri desteklemeli toplumun dikkatini faydalı bilgi kaynaklarına yönlendirilmeli.
Toplumun farklı kesimlerine hitap eden bilgi güvenliği siteleri oluşturulmalı. Bu faaliyetler devlet politikası ve kaynakları ile desteklenmeli.
Yeni regülasyonlar ile BDDK’nın bankalara için zorunlu tuttuğu standartlara benzer uygulamalar farklı sektörlerde de uygulanmalı.
Yapılacak o kadar çok şey var ki. Sanıyorum bundan sonrasını en güzel … anlatır.
NGB: Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?
Tahsin TÜRKÖZ: Aklın yolu bir. Ülkemiz böyle bir kuruma şiddetle ihtiyacı var. Bu kuruma ihtiyacı adresleyen tüm sebepler bir yana muhtemel bir siber savaşta ülkemizin şu anki savunmasız durumu ile uğrayacağı kayıp bile bu kurumun ne kadar büyük bir ihtiyaç olduğunu gözler önüne seriyor.
Bunun farkındalığı bizim gibi devlet büyüklerimizde de mevcut. Konu “İyi ama nasıl?” noktasına geldiğinde takılıp kalıyor. Son günlerde tasarı aşamasına gelen fakat aldığımız duyumlara göre geri adım atılan bir e-Devlet ve Bilgi Toplumu Kanun Tasarısı” gündemde. Tasarının adreslediği kurumun sadece işine odaklanması, siyasi çekişmelerden uzak kalması ve konunun uzmanı personel ile oluşturulması Türkiye gibi bir ülke için şu aşamada çok zor. Sanırım hep beraber bekleyip gelişmeleri göreceğiz.
Ülkemizde TR-CERT ve Bilgi Güvenliği Kapısı bu paralelde öncü bazı faaliyetler yürütüyor. Fakat bu faaliyetlerin de dayanağı DPT tarafından hazırlanan 2005 yılı içerinde hazırlanan Eylem Planı maddelerinden birisi. Bunun dışında herhangi bir kanuni dayanağı bulunmamakta. Bu durum gerçekleştirilmesi hedeflenen faaliyetlerin önüne önemli bir engel. En basitinden Türkiye’de faaliyet gösteren bir Phishing sitesinin kapatılmasında TR-CERT, sokakta yürüyen bir vatandaştan daha fazla yetki ve etkiye sahip değil.
NGB:Bu ise yeni baslayanlara neler onerirsiniz?
Tahsin TÜRKÖZ: Öncelikle sabır. Yukarıda satır aralarında bahsettiğim gibi Bilgi Güvenliği eğitim sistemimizin temel konularından değil. Bu alanda gerekli bilgi birikimini oluşturmak için en az 1-2 yıllık çalışmaya ihtiyaç duyuluyor.
İkincisi TCP/IP, Linux sistemler gibi çoğumuzun ihtiyaç duyduğu temel konularda altyapı kesinlikle sağlam oluşturulmalı. Bu bilgilerin ne derece önemli olduğu yıllar geçtikçe daha iyi anlıyorsunuz.
Üçüncüsü yatayda ve dikeyde gelişime önem verilmeli. Yatayda genel bilgi güvenliği konularında bilgi birimlerini geliştirirken özelde bazı alanlara derinlemesine girilmeli.
Ve son olarak bilgi güvenliği alanının nankör olduğu unutulmamalı, son gelişmeler elden geldiğince takip edilmeli.
NGB: Güvenlik sertifikaları konusuna ne düşünüyorsunuz?
Tahsin TÜRKÖZ: 1-2 si hariç çoğu sertifika hedefli sınavın kişilere çok bir şey katmadığını düşünenlerdenim. Bu alanda enteresan bir sektör oluşmuş. Sertifika sahibi sertifikanın sağlamış olduğu artılardan memnun, sertifika sağlayıcıları ise kazandıkları paradan. Sınavların çoğuna sorular ezberlenip giriliyor. Hatta İngilizcesi çok zayıf olup da İngilizce sınavlardan bu şekilde çalışarak geçen tanıdıklarım bile var.
NGB: Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi
kitap/kitapların okunmasını tavsiye edersiniz?
Tahsin TÜRKÖZ: Sanıyorum geliştirdiğim bir uygulamada ihtiyaç duyduğum Google Hacking kitabıydı son okuduğum. Literatürde pek çok faydalı kitap var. Bilgi Güvenliği de kapsamı çok geniş bir konu. Bu sebeple şu kitabı mutlaka herkes okumalı şekilde bir düşüncem yok.
NGB: Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir?
Tahsin TÜRKÖZ: Kahramanım olarak niteleyemem ama Pete Finnigan’ı çalışmalarından dolayı çok takdir etmişimdir.
Binlerce çalışanı olan ve Unbreakable olduğunu iddia eden Oracle’a kafa tutması ve 100′den fazla açıklığı bulması biz güvenlik uzmanları için önemli bir örnek.
NGB: Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?
Tahsin TÜRKÖZ: Bugüne kadar karşılaştığım en önemli güvenlik probleminin DDOS saldırısı kategorisinde olanlar olduğunu söyleyebilirim. Bu tür saldırılarda çoğu zaman eliniz kolunuz bağlı kalabiliyor. Saldırı yönteminin karmaşık olmaması, dünya genelinde etkin botnetlerin bulunması bu saldırıların kolaylıkla gerçekleştirilebilmesine imkan tanıyor.
NGB: Güvenlik dünyasında en fazla kullandığınız yazılım hangisidir?
Tahsin TÜRKÖZ: Nessus, nmap ve metasploit başı çekiyor.
NGB: Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?
Tahsin TÜRKÖZ: Sırayla şu siteleri tavsiye ediyorum.
- Bilgi Güvenliği Kapısı http://www.bilgiguvenliği.gov.tr
- SANS – InfoSec Reading Room (http://www.sans.org/reading_room/ )
- Security Focus makaleleri (http://www.securityfocus.com/columnists )
NGB: Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?
Tahsin TÜRKÖZ: Kesinlikle evet
NGB: Zaman ayırarak röportajımıza katıldığınız için teşekkür ederiz.
Bayram tatilini de fırsat bilerek bir haftalığına memleketim İzmir’e kaçtım.
