Güvenlik Röportajları #12 – Hakan ÜNSAL

Güvenlik Bülteni’nin bu haftaki misafiri ITWAY Türkiye kurucularından Hakan ÜNSAL

NGB: Kısaca kendinizden bahsedebilir misiniz?

Hakan ÜNSAL: Deniz Lisesi ve Deniz Harp Okulu mezunuyum. Harp Okulunda Elektrik/Elektronik branşında okumuştum. Mezun olunca bir süre bahriyemizin gemilerinde görev yaptım sonra ODTÜ’de Bilgisayar Mühendisliği bölümünde özel bir eğitimden geçtik ve tekrar Deniz Harp Okuluna geri dönüp bilgi işlem bölümünde hem sistem işletim sorumlusu olarak hem de ek görevle öğrencilere Bilgisayar Programlama dersleri veren öğretim görevlisi olarak çalıştım.

Mezun olduğum okulda ders verme heyecanını da yaşamış oldum yani. Güzel zamanlardı. Ama zor iş olduğunu itiraf etmeliyim. O zamanlar Harp Okulunda verdiğim dersle ilgili bir ders kitabı bile yazmıştım. Ben oradan ayrıldıktan bir süre sonra zamanın değişen şartlarına göre Harp Okulunun müfredatı da değişmişti ve o kitabı rafa kaldırdılar bildiğim kadarı ile. Sadece bir grup insanın bildiği, herkese açık olmayan bir yayınım da var yani…

Kişisel meraklarım arasında hafif silahlar ve maketler var. Havalı tabanca, 22 veya 32 kalibre spor tabancaları ile yarışmalara katılmışlığım ve Harp Okulları arası şampiyonluklarım vardır. Gerçi günümüzde malum sebepler yüzünden silah merakı olan herkese kötü gözle bakılır oldu ama havalı tabanca ve özellikle 22 kalibre tabanca ile atış yapmak kadar zevkli bir uğraş çok azdır. Bir kez, layıkıyla, bu sporu yapma fırsatı bulan herkes beni anlayacaktır. Bir de maket merakım var. Ahşap, plastik, gemi, uçak vs. farketmez. Evlenip çoluk çocuğa karıştıktan sonra artık buna pek vakit ayıramıyorum ama bu konuda büyük oğlumun kanına girdim. Küçük olanının da eli kalem tutunca ona da bulaştırırım artık…

NGB: Güvenlik işine nasıl bulaştınız?

Hakan ÜNSAL: Tamamen kendi tercihimin dışında oldu aslında. Deniz Kuvvetlerinden ayrıldıktan sonra 1 sene kadar Gantek’de çalışmıştım. Oradaki genel müdürümüz Timuçin Bey yeni kuracağı bu iş için tercih etti beni. 1996 yılında biz bu sektöre girdiğimizde örnek alabileceğimiz, yardım alabileceğimiz, başımız sıkıştığında danışabileceğimiz hemen hemen hiç kimse yoktu. Internet erişimi de zaten Türkiye çapında çok kısıtlı idi. Nuran Varol diye cin gibi bir arkadaşımız vardı, onun bana faydası çok olmuştur o ilk yıllarda. Ayrıca o yıllarda Türkiye pazarına girmek isteyen her üreticinin teknik elemanlarından da birçok şey öğrenme fırsatım oldu. Güvenlik sistemleri üreticisi firmalar ne kadar küçük olusa o kadar dinamik ve yardımsever oluyor. Büyüdükçe dışa kapanıyorlar. İlk acemiliği attıktan sonra ise başımızı bu işten kaldıramaz olduk.

NGB:Turkiye’de bilgi guvenligi konusunu degerlendirebilir misiniz?

Hakan ÜNSAL: Patronlar güvenliği yük bilir çünkü bizim ne yaptığımızdan anlamıyorlar. Anlamadığı, aklının yatmadığı şeye para yatıran patron hiç tanımadım ben. Bizim yaptığımız işi kar merkezi değil zarar merkezi olarak gördükleri veya böyle algıladıkları için de hep ikinci planda kalan bir konumdayız.

Sadece kendi teknik seviyemizde olanlara en iyi çözümü anlatmakla kalmayıp, karar verici insanlara da basit ve anlaşılır dille, kesinlikle korku, şüphe ve belirsizlik yaratmadan, neyi neden yapmaları gerektiğini anlatmalıyız. Sadece bir kurumun ihtiyacını çözmeye yönelik teknik çözümlerin o kuruma sunulmasının yetmediğine inanıyorum. Biraz da bunların alınmasını, devreye sokulmasını onaylayacak insanlarla vakit geçirip kar/zarar odaklı bir tartışma ekseni etrafında büyük resmi onlara çizmek lazım. Körü körüne kotasını doldurmaya çalışan ve çoğu zaman da ne sattığını tam olarak bilmeyen satıcılarla pazarlık etmeye çalışan bir yöneticiden ziyade basit ve açıklayıcı konuşmasını bilen bir teknik elemanla muhatap olan her yöneticiyi mutlu etmek çok daha kolaydır.

Olmamız gereken noktanın gerisinde olmamızın sebebi bu sektörün çalışanları olarak yeterince farkındalık yaratamamış olmamızdan kaynaklanıyor bence. Sadece ürün ya da hizmet alanları değil karar verici insanları da eğiticek bir düzen kurulması lazım. Medyaya da bu konuda iş düşer. Tüketici elektroniğine ayırdıkları sütunların 50’de 1’ini bilgi güvenliğine ciddi olarak ayırsalar, sokaktaki insan diye tabir ettiğimiz kesimin de hergün okuduğu günlük gazetede bile korku şüphe ve belirsizliğe kaçamadan, ciddi içerikli haberlerimiz olsa, çok daha çabuk bir farkındalık yaratılır.

Sadece sektörümüzün belli bazı dergilerinde kalmamalıyız. Ama en güzel en dolu filmlerin bile gece 23:30’dan sonra yayına sokulduğu bir ülkede ağırbaşlı ve sorumlu bir bilişim güvenliği haberciliğini beklemek ütopya tabii.

NGB: Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

Hakan ÜNSAL: Artık commodity olmuş FW, AntiSpam, URL Filtering vs. gibi ürünler için çaba harcamamak lazım bence. Bunları üretip satarak rekabet edilmez, karlı olmayacaktır. Yurt içinde karlı olabilir belki ama dışa açılmak lazım. Başarılı ve benzerlerinden farklı ürünler geliştirmek istiyorsak sadece Türkiye’de değil en azından yakın coğrafyamızda  pazarlanabilir ve alanında öncü ürünler üretmek için çaba harcamamız lazım bence. Mutlaka niche alanlarda birşeyler üretmemiz lazım.  Örneğin one way data transfer yapanlar özel cihazlar. Havelsan’ın böyle bir ürünü vardı seneler önce ama hiç piyasada sesini duymuyoruz. Eğer rafa kaldırdıkları bir proje ise çok yazık olur. Ya da aklıma whitelisting benzeri istemci tarafı çözümler geliyor. Virüs, Spyware vs ile mücadele etmek gittikçe imkansızlaşıyor çünkü, daha yenilikçi  bir çözüm geliştirilebilir. Yoksa, örneğin, yeni versiyon geçmek için eski versiyondaki tüm konfigürasyonu unutmak gereken bir bacağı topal firewall’larımız vs. olur.

İnsan kaynağı açısından bir problemimiz olduğuna inanmıyorum. Ama bu insan kaynağını yönlendirmede problemimizin olduğu kesin. Sadece Türkiye için de değil, dünyanın geneli için böyle bu. Bir zamanlar Oracle’ın CSO’unun blogunda okumuştum. Meali yaklaşık şöyle idi:  “Bizim en önemli tedarik zinciri unsurumuz bünyemizde çalıştırdiğımız ve sattığımız ürünleri yazan, seçkin üniversitelerin güya iyi eğitilmiş olması gereken, en iyi dereceli mezunları. Ama gördük ki bunlar güvenli kod yazmaktan aciz. Dünya zaman, para, kaynak harcayıp bunları eğitmeye çalışıyoruz şimdi. Halbuki bunu yapması gereken üniversiteler. Bunu düzeltebilmek umuduya önemli birkaç üniversitenin bölüm başkanlarına ve dekanlarına resmi yazı yazdım. Sadece biri cevap verdi o da benden para istedi! Tüküreyim böyle düzenin içine…” havasında bir yakınma idi. 90’lı yıllarda ODTÜ’de okurken bizim ODTÜ’deki hocalarımızın bazılarının en büyük derdi de bu idi. Üniversite mezunlarının iş hayatına olabildiğince hazır bir şekilde yetiştirilmesi çabası içinde kendileri de değişmeye çalışıyordu. Ama şimdi yeni mezun arkadaşlara iş görüşmesi yapıp da ne derece donanımlı olduklarını gördüğümde veya bu tip genç arkadaşları bizim sektörün beklentileri dahilinde yetiştirmek için harcanan çabaları görünce anlıyorum ki daha aşılması gereken çok aşama var.

Ayrıca kaliteli ürün geliştirmek için sermaye sorununu çözmemiz lazım sanırım. Melek sermaye denen kavramın yurtdışında çok güzel çalıştığını gördüm. Projeler için alınan krediler ancak proje başarılı olursa geri ödeniyor. Bizde ise özel sektörün böyle bir melek sermaye kavramına sıcak baktığını hiç görmedim. Çok büyük oranda kısa vadede kar getirecek iş alanları aranıyor. Dolayısıyla gene parmaklar devlete dönecek, o yapsın denecek. O zaman da istismarları önlemek için aşırı derece sağından solundan sıkıştırılmış, esnek olmayan mekanizmalar doğuyor. Bu kısır döngüden kurtulmak lazım.

NGB: Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Hakan ÜNSAL: Türkiye’de her sektörün bir duayeni var gördüğüm kadarı ile. Otomotiv, tekstil, demir-çelik, dolmuşçular-taksiciler aklınıza ne gelirse, hepsi için siyasetçilerle görüşüp derdini anlatacak bir grup etkili insan görürsünüz duyarsınız. Ama bilişim/bilgi güvenliği alanında böyle bir unsur, mekanizma, vs. ben hiç görmedim.

Sadece bilişim deseniz çoktur da bişilim güvenliği denince yok gördüğüm kadarı ile. Uzun vadede bu ülkenin geleceğini şekillendiren tüm siyasilerle bu alanda Türkiye’de neler yapılması gerektiğini tartışabilmek ve yol göstermek lazım sanırım. İçimizden böyle gönüllü insanlar çıkartamadığımız sürece ne bu alanda gerekli olan regülasyonları hakkı ile üretebileceğiz ne de teknolojiyi üretmekte başarılı olabileceğiz.

Çoğu zaman kamuoyu yoklamalarında en güvenilmez kurumların başında hep siyasileri görüyoruz ama aslında uzun vadede bu ülkenin geleceğini şekillendirenler de onlar. Onları donatmalıyız ki hayal ettiğimiz gelişmelerin önünü açacak yollar açılsın. Biraz önce de konuştuk; üniversite mezunlarımızın hazırlık seviyesi de, birşeyler geliştirmenin yolları da, aklınıza ne gelirse, aslında bu ülkenin siyasetçilerinin çizeceği vizyonun içinde olmalı. İki örnek vereyim: Bir, özellikle hem nicelik hem de nitelik açısından yeterince bilişim güvenliği kadrosu olmayan kamu kurumları (büyük/küçük, az önemli/çok önemli farketmez) ve iki,  KOBİ’ler için, gerçek anlamda bir MSSP mimarisini (öyle davulu bende tokmağı sende türünde modeller değil) destekleyecek her türlü siyasi idareye bugünden oyumu vereceğimi buradan taahhüt ederim. Ama gelin görün ki bugün hangi kamu kurumu ya da KOBİ gerçek anlamda bir MSSP hizmeti alabiliyor? Bu hizmeti verecek ekip, MSSP yok mu var elbet ama bir de mevzuat denen birşey var, her kamu kurumu her aldığı şeyi demirbaşa sokmak zorunda vs.

Daha bunun gibi uzun vadeli bir yol haritasına ihtiyacı olan onlarca iş sayılabilir bilişim güvenliği alanında. Ama işte maalesef Hüzeyfe ve arkadaşlarının cansiperane gayretleri ile kurulmuş bir sitede/mailinglistte yazışarak olmuyor bu işler. Eli kolu yeten herkes elinin kolunun yettiği her siyasi ortamda biraz önce bahsettiğim duayenlerimiz aracılığıyla bu konuları gündemde tutmalı.

Hüzeyfe hocam, istersen sitendeki bir sonraki poll “siyasilerimize neyi anlatalım?” olsun. Sonra da nasıl anlatacağımızı tartışırız belki. Benim de adım ütopik Hakan’a çıkar belki ama olsun varsın, idealizm ilermenin  motorudur.

NGB: Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

Hakan ÜNSAL: Var ama böyle bir kurum olacaksa ilk işi özellikle kamunun güvenlik ürün/hizmetlerini satın alma mekanizmalarını baştan aşağı yenilemek olmalı :)130 maddelik IPS şartnamesi mi olur? Her kurum kapanın elinde mi kalmalı? vs. gibi özellikle kamu tarafını ilgilendiren onlarca soru sorulabilir.

Yani güvenlik ihlallerini, oluştuktan sonra tahlil edecek şekilde bir yapılanmadan ziyade, o kurumun daha baştan elini tutacak yol gösterecek bir mekanizmaya gerek var. Madem bu işi layıkıyla yapacak olan serbest danışmanların fikirlerini, tecrübelerini, emeklerini bu kurumlara “satmalarına” mevzuat  müsaade etmiyor bari TR-CERT, ya da bu kapsam TR-CERT’in amacını aşan bir kapsamsa, başka bir organizasyon, bu ihtiyaç sahipleri ile ihtiyacı karşılayabilecek tecrübeyi buluşturacak katalizör görevini üstlenmeli. Böyle bir organizasyonun yolunu da kim açar, gene dön dolaş halkımızın güvenmediği ama aslında güvenmesi gerektiği siyasilerimiz açar.

NGB: Bu ise yeni baslayanlara neler onerirsiniz?

Hakan ÜNSAL: Bol sabır ve odaklanma öneririm. Bilişim güvenliği çok geniş bir alan. Herşeyi bileceğim diye bir şey yok bence. Temel işletim sistemi ve uygulama disiplinlerini kavradıktan sonra mutlaka belli bir uzmanlık alanına odaklanmak lazım. FW’sa FW, IPS’de IPS, adli bilişimse adli bilişim, pentest ise pentest vs. Bir alana odaklanıp kendini geliştirmek önemli bence. Yakın bir gelecekte piyasada bir sürü her türlü güvenlik işini yapabilir gibi görünen ama bir alanda ciddi bir sorunla karşılaştığında paralize olan bir sürü insan olacak. Uzmanlaşmaya ihtiyacımız var.

Bir de maddi imkanı olan herkesin SANS’ın eğitimlerine gitmesini/katılmasını tavsiye ederim. Büyük şirketlerin eğitim bütçelerinde mutlaka bir SANS kalemi her sene olmalı bence.

Tabii keşke Türkçe eğitim materyalleri ile desteklenmiş, bahsettiğim kalitede içerikle verilebilen, iyi Türk eğitmenlerden kurulmuş bilişim güvenliği ekiplerimiz de çok olsa. Birşeyleri bilmekle anlatabilmek arasında fark olduğu için tercihan pedagojik bir formasyondan geçmiş, saha tecrübesi geniş, ne dediği anlaşılan iyi eğitmenlerimiz çok olsa, belki biraz önce değindiğim üst düzey karar vericileri (ve belki de siyasileri) etkileyebilecek insan gücümüz de zamanla oluşacak. Eğitim vermekten kastım sadece teknik eğitim değil çünkü.

Bizim bilişim güvenliği dünyamızın çok kendine has bir ekosistemi var, bunu bütün unsurları ile kavrayıp toplumdaki her kesime anlatabilecek insanlara ihtiyacımız var. Şu anda benim oğlum bu dediklerimi anlayacak yaşta bir genç olse kesin bu eğitmenlik yönüne yönlendirmeye çalışırdım.

NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?

Hakan ÜNSAL: Açıkçası bilemem ama (bu alan çok değişken bi alan) ama tahmimince gene biraz önce bahsettiğim farkındalıktan, gene ürün üretemekten yada üretememekten vs. yani teknikten ziyade idari ve insani problemleri konuşacağımazı inanıyorum.

Bir de vendor’lar neyi moda ederse onu konuşacağız. 5 sene evvel IDS/IPS’di sonra UTM oldu, sonra birden SSL VPN çıktı şimdi bu aralar DAM ve DLP var. Bu hastalıktan kurtulmamız lazım. Bize empoze edilen şeyleri değil, gerçekten neye ihtiyacımız varsa onu konuşabilmemiz lazım. Bunu da bağımsız, geniş bir gözlükle olaylara bakabilen Trusted Advisor’larla elde edebiliriz. Yoksa sadece ürün danışmanı çok etrafta. Ama güvenilir danışman olabilmek lazım. Keşke bu sektörün tüm çalışanlarında geçinmek, şirketini kara geçirmek gibi günlük, maddi endişeler olmasa da her önlerine gelen projede “senin gerçek ihtiyacın budur, benim ürünüm değil ama şu ürün yapar” diyebilse.

NGB: Güvenlik sertifikaları konusuna ne düşünüyorsunuz?

Hakan ÜNSAL:

NGB: Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Hakan ÜNSAL: İnsanoğlunun kendisi. Ne kadar örnek anlatsam her biri NDA’e girecek o yüzden burada anlatmayayım. Çözümü biliçtir, farkındalıktır. Ama bu da zaman alacaktır. Sabretmek lazım.

NGB: Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitapların okunmasını tavsiye edersiniz?

Hakan ÜNSAL: Bilişim güvenliği ile kitap okumuyorum. Ağırlıklı sebebi vaktim olmuyor. Ama kişisel olarak çok fazla vendor’la çalışma fırsatım oldu, onların hepsi değil tabii ama bazı whitepaper’ları, dahili kaynakları vs. çok iyidir. Keçi boynuzu gibidir, gerçek tat almak için çok okumak lazım ama bazıları çok iyidir.

NGB: Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?

Hakan ÜNSAL: Öyle bir kahramanım yok açıkçası. Ama kendime illa bir kahraman arayacak olsaydım başta Serkan Ünlü olmak üzere Deniz, ABD, Ömer, Oğuz, MHC, Okan gibi daha adlarını burada sayamadığım hepsi birbirinden kıymetli inTellect’deki çalışma arkadaşlarımdan herhangi birini seçerdim kendime. Stress altında problem çözme kaabiliyeti, alternatif üretebilme kaabiliyeti, dirayet, çok çalışmak, her fırsatta her olaydan ders çıkartıp kendini geliştirebilmek, heves ve özellikle bu alanda çok gerekli olan iş ahlakı gibi özellikleri çok geniş olan insanlardı.

Bence o ekibin hepsi birer kahramandı hala da öyledirler gözümde. Dışarıda birşey aramaya gerek yok bence.

NGB: Güvenlik dünyasında en fazla kullandığınız yazılım hangi?

Hakan ÜNSAL: WireShark ve Netwitness Informer. Sanırım bu sayfaların okuyucularının birçoğundan geriyimdir bu konuda.

NGB: Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

Hakan ÜNSAL: DarkReading, SANS Newsbites.

NGB: Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

Hakan ÜNSAL: Evet ama bekar kalmayı da seçerdim sanırım. Bizim bu işe harcadığımız her zaman (çok sevdiğimiz için gereğinden çok fazla) aslında ailemizden çaldığımız zaman. Dengeyi iyi kurmak lazım.

NGB: Zaman ayırarak röportajımıza katıldığınız için  teşekkür ederiz.

This entry was posted in Röportajlar and tagged . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

fifteen − thirteen =