Güvenlik Röportajları #30 Oğuz YILMAZ

Güvenlik kahvesinin bu haftaki konuğu Labris Teknoloji’ den Araştırma ve Planlama Müdürü Oğuz YILMAZ. Kendisi ile hem kendisi hakkında hem de güvenlik dünyası hakkında konuştuk.

Kısaca kendinizden bahsedebilir misiniz?

79 Ordu doğumluyum. Ankara’da büyüdüm ve hala da Ankara’dayım. ODTÜ Elektrik Elektronik Mühendisliği’nden 2001’de mezun oldum. Bilgisayara ise bundan biraz daha önce 94-96 yılları arasında Tübitak’ın alt katında işlemekte olan Bitav bilgisayar kulübünde başladım. Bitav gerçekten bu işe bulaşmamızda, Linux işletim sistemini öğrenmemizde çok etkili oldu. Oradaki topluca öğrenme ortamını hiç unutmuyorum. Hatta üniversite sınav sonucumu da Bitav’da ÖSYM’nin finger servisi üzerinden öğrenmiştim o vakitte. Finger’ı duyan kaç kişi var acaba J.

İşte bu girişle bilgisayar, hayatımın en önemli uğraşı haline geldi. Bir süre Gantek’te Solaris üzerine çalıştıktan sonra da bugünkü Labris Teknoloji’nin temellerini 2002 yılında attık. Profesyonel iş hayatımın devamı Labris’tir.

Bireysel meraklarımdan bahsetmek gerekirse, “tarih” diyebilirim ilk adımda. Televizyondaki hemen hiçbir tarih programını kaçırmam. Kendime ayırdığım zamanları ise oğlumla ilgilenerek ve önemli kısmını da okuyarak geçiriyorum. Özellikle Türk savaş sanatı, tarih, kişisel gelişim, yazılım mühendisliği ve bilim kurgu okumayı tercih ediyorum. Edebi olarak ise öyküleri ve şiirleri tercih ederim.

Güvenlik işine nasıl bulaştınız?

Üniversite ile beraber ODTÜ yılları başlıyor. Ve tabii ki Linux ile haşır neşirliğimiz oldukça arttı o vakitte. Birçok eski Linuxcu gibi Slackware ile başladı süreç. O dönemde babamın içinde bulunduğu Köy-Tür Holding’in sistem yöneticisi, şimdi Belçika’da Cisco’da olan İlker Temir’di. Kendisi belki farkında değildir ama bende güvenlik ve sistem’in yazılım ve elektroniğin önüne geçmesine vesile, biraz da kendisidir. Ne kadar teşekkür etsem azdır, o öğrenciye vakit ayırırdı. İşte biraz da bunun da etkisi ile o dönem içinde olduğum IEEE ODTÜ öğrenci topluluğumuzun Bilişim komitesinden sorumlu oldum. İlk sistem yöneticiliği deneyimimin ise burada başladığını söyleyebilirim. Oradaki tecrübeler de adım adım bizi güvenlik işine çekti. Öğrenci topluluğumuzdaki çalışma arkadaşlarımdan ve sonra da iş hayatında beraber çalıştığım Seçkin Gürler ile beraber kendi işimizi kurma fikri vazgeçilmez hale gelince, öncül çalışmalarımızda ortaya çıkan 4 ana iş kolu fikrinin içinde güvenlik en başta yer alıyordu. Zaten sonrasında da bu iş kollarından güvenliğe odaklanmayı uygun bulduk. Bugün güvenlik alanındaki iş hayatımın 11’inci, Labris’ in ise 9’uncu yılını kutluyoruz.

Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?

Türkiye’de bilgi güvenliğinin bundan 10 yıl öncesine göre oldukça ileri noktada olduğunu rahatlıkla söyleyebilirim. Ancak güvenlik işinin bir karakteristiği var, o da şu ki, güven sorunu yaşamadan güvenliğin önemini algılamak çok zor insan tabiatı itibariyle. İnsan bağışıklık sistemi bile, tehdidin oluşmasıyla birlikte aktif çalışmaya başlıyor ve bir süre ayakta duruyor. İşte bence tehdidin azlığı, yurtdışında yaşananlara görece daha az güvenlik sorunun yaşanmasına ve güvenliğin yeterince önemsenmemesine yol açıyor.

Türkiye’de güvenlik sorunlarının ve sebep olabilecekleri sonuçların oldukça iyi anlatılması, güvenlik birimlerinin gerekli yönetim desteğini alabilmeleri için çok önemli. Patronlar ve yöneticilerden teknik olmalarını bekleyemeyiz. Onlar gelir-gider-risk-önlem algısı ve hızlı çıktı beklentisi içerisinde düşüneceklerdir. İşte onlara güvenliği bu algı içerisinde anlatmak gerekir. Tek bir güvenlik hatası yüzünden bir şirketin nasıl yok olabileceğini ya da üzerinde on yıl emek sarf edilmiş bir kamu projesinin bir güvenlik açığı nedeniyle imajının nasıl sıfırın altına inebileceğini iyi anlatmak gereklidir.

Diğer yandan güvenlik tedbirleri için gerekli yazılım ve donanımların ithal olmaları dolayısıyla yüksek maliyetlere edinilebilmesi de yönetim desteğini alabilmeyi zorlaştırabiliyor. Bu nedenle güvenlik yöneticilerinin yerli ürünler ya da açık sistemler konusunda bilinçli olmaları ve alternatifler oluşturup sunabilmeleri gereklidir.

Yaşanan güvenlik olayları ve tedbirlerin başarısının, özet raporlarla yöneticilere sunulması, eminim ki sonraki yatırımların önünü açacaktır. İş mantığı ile düşünebilen her yönetici ya da patronun iyi bir tehdit-risk-önlem algısı kuracağına eminim.

Bir önemli nokta da güvenlik profesyonellerinin yetersiz sayıda oluşudur. Bir zamanlar CPU overclocking ’e gösterilen merakın yüzde birinin güvenliğe gösterilmiş olsaydı her şey çok farklı olurdu diye düşünüyorum.

Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

Türkiye’de her türlü yazılım üretimindeki güvenlik için öncelikle bilinç gerekmektedir. Bir ERP yazılımı yapıyorsanız günlerce uğraştığınız bir fonksiyonun ya da bir web uygulamasının çalışıyor olması sadece önemli adledilmektedir. Hâlbuki güvenlik, hem geliştirme hem de zayıflık analizi aşamalarında çoğunlukla hesaba katılmamaktadır. Bu nedenle güvenlik yazılımı üreticilerinde de ilk olarak güvenli yazılım geliştirme ve güvenlik bilincinin önemli olması gerektiğine inanıyorum.

Yalnızca güvenlik alanında değil yazılım ve Arge alanında da önemli devlet destekleri var. Bu desteklerin firmalarca aktif şekilde kullanılması gereklidir ancak bel bağlanacak bir unsur olmamalıdır.

Yeni üreticilerin farklılaşması da bence çok önemli hale gelmiştir. Hali hazırda üretimi yapılan alanlarda olmaktansa yerli üretime başlanmamış ya da yabancı ürünlerden fark yaratılabilecek alanlarda bulunmanın daha değerli olduğunu düşünmekteyim. Bizim şu anda ürün ürettiğimiz alanların da hepsi Türkiye’de ilklerdendir. Bu durum, konumumuzun sağlamlığının da en temel sebeplerindedir.

Elbette kaliteyi de vurgulamadan geçmemek gereklidir. Bunu iki başlıkta anlatmam lazım aslında. Birincisi ürünün fonksiyonlarını yapması gerektiği şekilde yapıyor olması konusu. Bir güvenlik ürünü üretiyorsanız bunun belli test süreçlerinden geçmiş olması gereklidir. Tüm fonksiyonlarının bypass edilemez şekilde güvenli çalıştığından emin olmanız gereklidir. Bu noktada bağımsız test ve sertifikasyonları oldukça önemli buluyoruz. 2007-2009 yılları arasında özellik zenginleştirme yerine sertifikasyona yatırım yapmayı tercih ettik. Bu tercihimiz sonucunda bugün dünyadaki 12inci ISO 15408 Ortak Kriterler EAL4+ sertifikasyonu alan marka olmayı başardık. Birçok noktada olduğu gibi bunda da Türkiye’ de ilk olduk. EAL sertifikasyonları, ticari firmalar tarafından verilmekte olan kar amaçlı birçok sertifikasyondan farklı olarak, bildiğimiz Orange Book, Red Book gibi sertifikasyonların devamı olarak bir ISO standardı olarak karşımıza çıkmaktadır. Bu nedenle çok önemlidir. Bunun bize birçok çıktısı oldu. Ama en önemlisi güvenli yazılım geliştirme pratiklerimizin sağlamlaşması, ürünlerimizin bağımsız testinin yapılmış olması ve varolan ve müstakbel yeni müşterilerimize verdiğimiz güvendir. Çok büyük yatırımlar gerektiren bir süreç, ancak bu alanda, yani “merdiven altı mı kalacağız dünya markası mı olacağız” yönünde bir bakış ve yönetim kararlılığının sonucunda ulaşabilecek bir aşamadır EAL4+ sertifikasyonu.

İkincisi ise hangi sektör ya da alanda olduğunuzdan bağımsız olarak bir ürün üretirken çıktınızın ürün niteliklerine sahip olması gerekliliğidir. Bir yazılım ürününü oluşturan bileşenler, yazılım, dokümantasyon, paket, destek, güncelleme, marka imajı, sertifikasyon gibi bileşenlerdir. Gördüğünüz gibi yazılım tek başına asla yeterli değildir. Bu devamlılığı, müşterinize garanti ettiğinizi hissettirmeniz ve bir kez bile hayal kırıklığı yaratmamaya çalışmanız gereklidir.

İşte bu bakışların tamamı üretim ve profesyonel iş felsefesi içinde öğretilebilir. Türkiye Arge yapmaya alışmış bir ülke değil maalesef. Atalarımızın bilimde önde iken sonrasında nasıl geri duruma düştüğünü hepimiz biliyoruz. Sonuçta bir üretim/ticaret/iş yapma birikimi bu ülke insanlarında Cumhuriyet sonrasında oluşmaktadır. Arge bilinci ise yine Cumhuriyet ile oluşmaya başlamıştır ama kamudan halka inmesi son 20 yıldan önce değildir. Bu nedenle bu birikimin, bu bakışın insanlarımıza kazandırılması lazım. Üniversitelerde Ürün, Ürün Yönetimi, Arge, Girişimcilik konulu derslerin her teknik bölümde zorunlu olarak verilmesi gerektiğine inanıyorum. Bu derslerin içeriğinin ise hayat dersleri şekilde, yani deneyimleri aktarır bir şekilde tasarlanması kavrama için çok önemlidir.

Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Bilgi güvenliği alanında yetkinliği artırmak için siyasi erklerin yakın zamanda yapabilecekleri güvenlik alanını, kamuca desteklenecek kategoriler içerisine eklemekten pek ileri gidemez diye düşünüyorum. Bu nedenle bilgi güvenliği konusunun; üniversiteler, sivil toplum örgütleri ve şu anki güvenlik profesyonelleri yani bizler sayesinde gelişebileceğine inanıyorum. Tek yapılması gereken konunun gençler arasında merak alanı yapılabilmesi.

Kurumlar açısında bakacak olursak, ürün odaklı bir düşünce şeklinden, sistem-süreç odaklı bir düşünce şekline geçmek güvenlik için gerekiyor. Bu nedenle üründen çok onu nasıl kullandığınız önem kazanıyor. “Ev alma, komşu al” atasözüne benzer şekilde, “Ürün değil, destek ve danışmanlık al” demek istiyorum akıllarda kalması için. Yakın çalışabildiğiniz, sadece ürünle ilgili değil genel güvenlik konularında da danışabileceğiniz bir firmanın yakınınızda olması çok önemlidir.

Diğer yandan aslında güvenliği bir üretim sürecinde konuşuyor olmamın sebebi halen üretim sürecinin temel bir bileşeni olarak algılanmamasından kaynaklanıyor. Bilgisayar Mühendisliği dil ve proje derslerinde, fonksiyon kadar öğrencinin ürettiği yazılımın güvenliğine önem verildiğini söyleyebilir miyiz? İşte güvenlik zaten ayrı bir ders değil tüm disiplinler için sürecin bir temel parçası ve her zaman akılda bulunması gereken bir unsur olarak ele alındığından güvenliği ayrıca konuşmak zorunda kalmayız. Bunu sadece yazılım üretimi olarak düşünmüyorum. Örneğin bir endüstri mühendisi iseniz, bir inşaat mühendisi iseniz de kendi disiplininiz içinde güvenliği temel bir parça haline getirmelisiniz.

Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

Türkiye’de bilgi güvenliği alanındaki önemli zaaflardan birisi de eşgüdüm eksikliği. Özellikle kamudaki bilgi işlem projelerine güvenlik yönüyle tasarım ve uygulama/üretim sonrası kontrol noktalarında yönlendirecek bir mevzuatlar toplamı ve bağımsız denetim yapacak kamu içi bir kurum ihtiyacı olduğunu düşünüyorum. Burada da en önemli aday yine UEKAE görünmektedir. TK’nın ise bu konuda bir odağı henüz yok diye okuyoruz.

TR-CERT ve bilgiguvenligi.gov.tr ise bilişim çalışanlarının bilgilendirilmesi konusunda çok önemlidir. Ancak amaçları ve dolayısıyla sahip olduğu yetki derecesinde eşgüdümü sağlama amacında ve noktasında olduğunu pek düşünmüyorum.

TR-CERT’den ve Tübitak’dan benim beklediğim Türkiye’deki üreticilere ve son kullanıcıları bir araya getiren; aradaki iletişim nesnesi olarak ise TR-CERT’in ürettiği bilginin hem ürünlerde, hem de son kullanıcılarda en iyi şekilde kullanılmasının sağlanması için çalışmak olmalıdır. Biraz daha açarsak, Tübitak’ın çerçeve oluşturması, bu çerçeveyi öne çıkarması ve bu çerçeveye dahil olan kurumlar ile ve özellikle yerli ürünler ile hedeflenen güvenlik seviyesine adım adım gidilmesidir. Son İsrail uyuşmazlığında bile kamu kurumlarının güvenlik ürünü olarak bu uyuşmazlık içerisinde olunan ülkelerin ürettiği ürünlerini kullanıyor olmaktan ne kadar rahatsız oldukları hissettik. Bilgi elbette evrenseldir, ancak güvenlik alanı çok özel. Unutulmamalıdır ki, güvenlik güçleri bir ülkenin bağımsızlığının garantisidir. Bu da ne kadar milli ve bağımsız ise o kadar güvenli olacağımız düşünülebilir. Yerli ürün edebiyatı yapıyor olarak algılanmak istemem. Yerli ürün ve sistemlerin de belli bir güvenlik seviyesine işte bu çerçeve ile çekilmeye çalışılması bence ilgili kamu kurumlarına düşmektedir. Yani minimumların belirlenmiş olması gereklidir. Sertifikasyonlarda bu nokta oldukça önemli olmaktadır. Hiçbir kurum güvensiz bir ürünü yerli ya da yabancı fark etmez, kullanmaya zorlanmamalıdır.

Bu işe yeni başlayanlara neler önerirsiniz?

Hissetmişinizdir, merakın çok önemli olduğunu düşünüyorum. Bu nedenle ilk tavsiyem hiçbir sistemin işleyişini olduğu gibi kabul etmemek ve nasıl çalıştığını anlamaya çalışmaktır. Merak ile devamı gelecektir. Kitapları ve durağan internet kaynaklarını yalnızca birer yol gösterici olarak görüyorum. Zira bu işi okuyarak öğrenmek mümkün değil. İşin üzerinde olmak gerekli.

Elektronik posta listeleri ve bloglar gibi canlı içerikleri ise çok daha önemli buluyorum. Gündemdeki en güncel bilgilere erişme imkanı doğuruyor. Bu nedenle bolca canlı içerik takip edilmelidir.

Bunun ötesinde, elbette genel olarak ele almanın yanında bazı alanlara özelleşme olacaktır. İlgi alanına göre, kriptoloji, ağ güvenliği, güvenlik yönetimi, erişim kontrolü, geliştirme güvenliği, işletim güvenliği, bilişim adli tıbbı gibi konularda birçok kaynak ulaşılabilir olacaktır. Bunları bir RSS okuyucuda biriktirip zaman içerisinde kendilerine göre rafine edebilirler.

Diğer yanda ülkemizde güvenlik ile ilgili konferans ve toplantılar takip edip bunlara katılmak ortamda bulunmak hem bilgi sağlayacak hem de diğer ilgillerle iletişim ile beraber katma değerli bir katkı sağlayacaktır.

Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?

Bu sizin en dikkatli cevaplanması gereken sorularınızdan J.

Fark ediyorsunuzdur, her süreç her işlem bir bilgisayar kullanıcısı, bir vatandaş ve bir insan olarak düşündüğümüzde internet üzerine kayıyor. Bu nedenle kişisel bilgilerin güvenliğinin, hak ve hürriyetlerin daha çok konuşulduğu, buna rağmen kontrolcü yaklaşımın daha arttığı bir dünyada bulunacağımızı düşünüyorum. 9/11 sonrası doktrini bu şekilde yazdılar. Bu nedenle Siber Savaş da en popüler konulardan olacaktır bizimle ilgili olarak.

Güvenlik tedbirlerinin de daha çok, içeriğin incelenmesi ve buna göre karar verilmesiyle oluşacağı şeklinde bir gidiş de göze çarpıyor. Dolayısıyla her türlü güvenlik aracı da çerçevedense içeriğin denetlenmesine ya da içeriğe göre analize doğru kayacaktır.

Ayrıca bulut bilişim ve bunun güvenliği de eminim ki konuşuluyor olacak. Günümüzde ofis uygulamamızdan posta kutumuza kadar her şeyi, hatta iş süreçlerimizi internet uygulamaları ile götürüyoruz. Bunlar da internet bulutlarında çalışıyor. Bugün çoklu noktada güvenlik olayı ile çoklu kullanıcı etkilenirken, tek bir noktadaki güvenlik olayı ile pek çok kullanıcın etkileneceği bir güvenlik dönemine giriliyor.

Tabii ki mobil cihazlar üzerinde daha komplike işletim sistemlerinin yer alması ile beraber, bu cihazlar da bir güvenlik mecrası olarak ele alınıyor olacak.

Güvenlik sertifikaları konusuna ne düşünüyorsunuz?

Güvenlik sertifikasyonları mutlaka üzerinde uğraşılması gereken başlıklardan. Kariyer için elbette bir faydası olacaktır. Ancak bundan daha çok, özelleşilmemiş güvenlik alanları hakkında bilgi sahibi olmak için de önemli buluyorum. Bu noktada genel çerçeve içerenlerden CISSP ve CISA tavsiye edilebilir. Alana özelleşmiş olanlardan ise RHCSS veya kullandığınız işletim sisteminin güvenlik sertifikasyonu, CEH gibi karşı tarafta bulunmanızı sağlayacak sertifikasyonlar önemli diye düşünüyorum.

Ancak unutulmamalıdır ki, biz bilgi çalışanları olarak yetkinliğimizle karşılaştırılırız. Bu nedenle sertifikalarla yetinmek de tek başına yeterli değildir. Açık projelerde bulunmak da hem bilginin tatbiki, hem artırılması, hem de kariyer amaçlı olarak işe alan nezdinde farklılık oluşturmak adına önemlidir.

Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Yüzlerce müşterimizin problemi ile devamlı iç içeyiz. Bunların büyük kısmının da bilgi, bilinç, metodoloji, prosedür eksikliklerinden kaynaklandığını görüyoruz. Yerli kaynakların artması ürünleri efektif kullanabilmek için çok önemli. Ayrıca eğitim ve bilinç artırıcı çalışmaları, öncelikle bilişim profesyoneli kendisi organize etmelidir. Risk ve tehdit analizi yapılmalı, ISO 27001 şemasında güvenliği artırıcı süreçlere önem verilmelidir.

Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitalpların okunmasını tavsiye edersiniz?

En son CISSP sertifikasyon kitabını takip ettim. Bundan başka, Secrets and Lies: Digital Security in a Networked World Secrets and Lies, Bruce Schneier; 19 Deadly Sins of Software Security ve Güvenli yazılım geliştirme ile ilgili kitapları tavsiye edebilirim.

Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?

Böyle bir kişilik yok. Gerçek kahramanlar da sorunların hiç oluşmadığı dolayısı ile kolayca fark edemeyeceğimiz yerlerdekilerdir bence. Ayrıca, bilgisini paylaşmayı eksik etmeden meslek hayatını devam ettirenlere de büyük saygı duyuyorum.

Güvenlik dünyasında en fazla kullandığınız yazılım hangi?

Ağ güvenliğine daha yakın çalıştığımız için Tcpdump en önemli aracımız diyebilirim analiz sırasında. Bütünleşik tehdit yönetimi ve loglama içinse elbette Labris kullanıyoruz.

Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

İlk başta sayacaklarım; Complexity is the Enemy of the Security (Huzeyfe’nin blogu), Netsec posta listesi, kullandığınız işletim sisteminin güvenlik duyuru listesi, DarkReading, Information Policy ve Schneier on Security olacaktır.

Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

Çok yorucu bir alan olduğunu söyleyeyim öncelikle. Ama bilgisayar ile ilgili bir iş yapıyor olsam yine bilgi güvenliği alanı beni içine çekerdi diye düşünüyorum.
Bir güvenlikçinin en önemli özelliği size göre nedir?

Merak, şüphe ve disiplindir.

Bilgilerinizi ve tecrübelerinizi internet ortamında paylaşıyor musunuz? Neden?

2000-2004 arasında Linux camiasında oldukça aktif bulundum. Sonrasında ise odağımızın yoğunlaşma gerektirmesi nedeniyle çok fırsat bulamadık. Şu anda stackoverflow, expertsexchange ve kendi blogum üzerinden paylaşmaya çalışıyorum. Daha çok birlikte çalıştığımız personelimizle ve kanalımızla yoğun bir şekilde bilgi aktarımı içinde bulunuyorum. Ayrıca bilgilerimiz doğrudan ürünlerimiz içerisine katarak da ürün kullanıcılarımız ile dolaylı şekilde paylaşıyoruz. Bu da daha garanti bir paylaşma yöntemi sanırım.

Paylaştığınız şeylerin kötü amaçlı olarak kullanılması karşısında düşünceleriniz nelerdir?

Olabilir. Yapacak da bir şey yok. Kötülük(tehdit), güvenliğin temel bir parçası. Unutmayalım ki, güvenlik sorunu Kabil’in Habil’i öldürmesi ile başlıyor.

This entry was posted in Röportajlar and tagged . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

five × 4 =