Düzenlediğimiz her etkinlik öncesi, sonrası çeşitli arkadaş gruplarından ya da internet kullanıcılarından geri bildirimler alıyoruz. Bu geri bildirimlerin bir kısmı artık uluslarası bir standart haline gelmiş Black Hat ve Defcon konferansları etrafında dönüyor. Neden Türkiye’de Black Hat ya da Defcon düzenlenmiyor, neden düzenlediğiniz etkinlikler Black Hat ve Defcon gibi etkinlikler yanında sönük kalıyor vs..
Bu eleştirileri getirenlerin çoğu(belki de hepsi) Türkiye’de yaşıyor, Türkiye’nin suyunu içip, havasını soluyor ve dünyayı Türkiye gözlüğüyle anlamaya, algılamaya çalışıyor… Ama karşılaştırdıkları etkinliklerin gerçekleştirildikleri ülkeler, yaşam standartları ve insanlarının güvenliğe bakış açısından haberdar değiller.Temel sorunda buradan kaynaklanıyor.
Ben de yaklaşık on yıldır katıldığım yerli yabancı onlarca etkinliği düşünerek Neden Türkiye’de özlemi duyulan nitelikte bir güvenlik etkinliğinin düzenlenemediği konusundaki fikirlerimi yazmaya çalıştım.
Defcon ve Black Hat konferanslarının ciddi bir geçmişi vardır
Bir etkinliğin oturması için en az 4-5 yıllık bir süre gerekir, isminin duyulması, rağbetin artması (hem konuşmacı hem de dinleyici açısından) . Burada “Defcon ve Black Hat ilk zamanlarında da kaliteliydi” eleştirisi gelebilir, doğrudur. Bir etkinliğin kalitesini zamanı değil düzenleyicileri ve hitap ettikleri kesim belirler.
İlgi
Bundan birkaç sene önce Türkiye’de düzenlenen etkinliklere ilginin azlığıdan yakınırdık ama günümüzde özellikle medyanın da siber güvenlik üzerine haberleriyle birlikte konuya olan ilginin ciddi oranlarda arttığı gözleniyor. Başarılı bir düzenleyici Türkiye’de düzenleyeceği siber güvenlik, hacking vs konulu bir etkinliğe 2000 kişiyi taşıyabilir. Fakat mesele çok kişinin katılmasından ziyade ilgililerin katılımının sağlanmasıdır. 2000 konuya meraklı kişi yerine 500 ama konuya merakın ötesinde ilgi duyan katılımcı bu tip teknik etkinlikler için daha önemlidir.
Türkiye’de ilgiyi arttırmanın en basit yolu, etkinlikleri cafcaflı bir otel/mekanda gerçekleştirmek, öğle yemeği vermek ve hediye dağıtmaktır. Belki komik gelecek ama öğle yemeğini kendi cebinden ödeyeceğim diye etkinliğe katılmayan onlarca insan tanıdım. Evet profesyonel bir etkinlikte katılımcılara öğle yemeği de verilir, çay kahve de ısmarlanır ama profesyonel etkinliklerin de bir bedeli vardır ve o bedel sponsorlar tarafından karşılanamazsa etkinlik ücretli olmak zorunda kalır. Uzun yıllara dayanan etkinlik düzenleme/inceleme tecrübelerime dayanarak ücretsiz etkinliklerin içeriği ne kadar başarılı olsa da görünüm olarak başarısız gözüktüğüne şahit oldum. Biz Türk’lerin gönüllü yapılan işler, indirim ve bedavaya getirme konusunda sicili pek de iyi değildir:)
Sponsor Desteği
Türkiye’de bilgi güvenliği üzerine iş yapan firmaların %99’u ürün temelli çalışmaktadır. Ürün temelli çalışan firmaların bu tip ürün bağımsız etkinliklere sponsor olması Türkiye’de malesef mümkün olmamaktadır, olsa da firma sunum olarak teknoloji değil ürün anlatmayı tercih etmektedir.
Neden? Türkiye’de güvenlik hala ürün al sat mantığının ötesine geçememiştir, sektör içindeki ciddi oyunculardan birinin yöneticisi ağzından duyduğum “Ben kazandığım paraya bakarım, yarın patates satarak daha fazla kazanırsam güvenlik ürünü yerine onu satarım” yoruma ihtiyaç bırakmayacak kadar halimizi anlatmaktadır.
Biz demiyoruz ki ürün anlatılmasın, elbette sponsor olan sponsorluğunun karşılığını almalıdır ama bunu tahtaya çıkıp bizim ürün şöyşe iyi, böyle iyi diyerek değil, alternatif anlatım teknik ve yöntelerini kullanarak gerçekleştirmesi gerekir. Etkinlikler sonrası düzenlediğimiz değerlendirme anketlerinde ürün anlatan firmaların sunumlarının neredeyse hiç beğeni almadığına şahit olduk. Oysa ürün yerine ürünün arka planında yatan teknolojiyi anlatan firmalar zaten göz doldurdukları için o teknolojinin hangi üründe, hangi firmada olduğunu katılımcılar merak etmektedir.
Ürün temelli sponsorların yanında bilgi güvenliği üzerine hizmet veren, ar-ge yapan (dolayısıyla ürün geliştiren) firmaların sponsor olması çok daha önemlidir. Zira hizmet veren firma hizmetinin kalitesini firmalardan toplantı talep ederek teker teker anlatmaya kalksa hem zaman hem de maliyet açısından yetiştiremez. Oysa yüzlerce insanın karşısına çıkıp sağlam bir sunum yapan firma aynı anda onlarca firma kazanmış olur.
Türkiye’deki firmalar henüz bu yönteme inanmamaktadır ,zira hala eski kafa ticaret yöntemleri kullanarak, dost, arkadaş eş aracılığıyla iş ayarlama yöntemleri büyük oranda işlemektedir. Ama zaman değişiyor ve ticaret şekilleri de değişiyor, insanlar artık kaliteye de en az eş, dost kadar önem vermeye başladı.
Konuşmacı Sıkıntısı
Etkinliklerin en önemli üç bileşeninden biri konuşmacı kalitesidir, kaliteli bir konuşmacı kaliteli bir sunumla katkıda bulunduğu her etkinliğin hem değerini yükseltir hem de kendi adına iyi reklam yapmış olur. Türkiye’de düzenlemeye çalıştığımız çoğu etkinlik için “Aktif Katılım Çağrısı” yapıyoruz ve gelen konular bir ekip tarafından incelenerek karar veriliyor. Gelen talepler genellikle sık bilinen konular, orta seviye sunumlar oluyor.
İleri seviye konuları anlatacak arkadaşlar ya konuşmaktan çekiniyor (kimliğini gizleme derdi, konferansı beğenmeme, geçduyma vs)ya Türkiye’de yeterli sayıda ileri seviye teknik konuları konuşacak arkadaşlar yok ya da biz onlara ulaşamıyoruz, onları bu etkinliğe katılmaları konusunda ikna edemiyoruz. Son madde doğrudan düzenleyici olarak bizleri ilgilendirdiği için bu konuya daha fazla ilgi gösterme planlarımız var.
Konu Sıkıntısı
Türkiye’de düzenlenecek olan etkinliklerle ilgili diğer önemli bir nokta da seçilecek konular. Sektörün çoğu güvenlik denilince akla Firewall, IPS, İçerik filtreleme ve tamamı ürünlerden oluşan bir konsepti düşündüğü için . burada sadece hata katılımcılarda değil, etkinliği düzenleyenler de katılımcıları yönlendirecek şekilde konu seçimine karar vermeli (Bir önceki konuyla-konuşmacı sıkıntısı-doğrudan alakalıdır.)
Sonuç
Türkiye henüz güvenlikle ilgili emekleme aşamasında bir ülkedir. Her ne kadar Amerika’da, İsrail’de geliştirilen bir ürün ertesi gün ülkemizde “satılabiliyor” olsa da güvenlikle ilgili araştırma, üretim yapan firmalarının sayısının en az satıcı firmaların yarısı kadar olmadıkca, siber güvenlik üniversitelerde ders olarak okutulup, üniversite okuyamayan ama security, hacking konusunda kendini geliştirmiş gençlere bir yol açılmadıkca emekleme aşaması tamamlanmayacaktır.
Bu aşamada biz güvenlik uzmanlarına düşen sektörün önünü açacak, ihtiyaçları daha net belirlemeye yardımcı olacak gruplar kurarak teknik seviyesi yüksek etkinlikler düzenlemek ve bu etkinliklere firma ayrımı gözetmeksizin konunun uzmanlarını davet ederek konuşturmaktır.
Konuyla ilgili geri bildirimlerinizi yorum olarak yazabilir ya da doğrudan [email protected]lifeoverip.net adresine iletebilirsiniz.
Sanirim temel problem, ulkede bu tip hard-core bir konferans kitlesi bulunmamasi.
Ar-ge ‘sini yapip, yenilik olarak dusundugunuz ileri seviye bir konu anlatiyor olsaniz, bunu muhtemelen salondaki 10 kisi anliyor olabilecek. (Ek olarak bu seviyede teknik adam sayisi da oldukca limitli).
101 kodlu konulari ise konferansta anlatmanin zaten bir esprisi ve motivasyonu yok.
Her satirina imza atiyorum.
Sadece bu mevzu degil pek cok konuda memleketin ilgisi sabun kopugunden ote degil. Kabul etmek lazim biz henuz bir IT ulkesi degiliz.
Kesinlikle katılıyorum.
Son zamanlarda, işlerimi ayarlayamadığım için katılamadım.
Ama hepimizin bu konuda katkı yapmamız gereken şeyler var.
BİLMÖK ve EMO gibi topluluklarla ortak çalışma yapmak da işe yarayabilir.
@Mesut; Aslında bu ülkedeki teknik adam sayısı bence az değil. Defcon ve Blackhat gibi konferanslarda sunum yapmak ölçüt değil ama bu ülkede oralarda sunum yapabilecek seviyede bir çok arkadaş mevcut. Eğer olaya yenilik olarak bakıyorsak; örneğin blackhat ve defconda yapılan ATM Hacking , Car stealing (wartexting) sunumları mesela. Bu sunumların teknik kısmını blackhat’e katılan her dinleyicinin anladığını düşünmüyoruz heralde. Blackhat salonları da C*SSP sertifikalı danışmanlarla dolu 🙂 Ancak zaten bu sunumlar bir bütün haliyle ve sonundaki demo şovuyla her kesime hitap ediyor. Yani katılımcıların işin teknik kısmını anlamaması pek de sorun değil. Mesele bu ülkede böyle sunumların yapılabilmesi ve yapılamaması? Bunun için Bülent beyin dediği gibi bir IT ülkesi olmak ve R&D’a verilen önemin de artması gerekiyor. Ve Türkiye’de bulunan teknik adamları dolgun maaşla “research” yapması için istihdam edebilecek firmalarının bulunması gerekiyor.
Saygılar.
çok karamsar olmamak lazım…her alanda olduğu gibi bu alanda da hızlı gelişmeler var ülkemizde..eleştiren arkadaşlar elini bir taşın altına koyup mevcut boşlukları bir kaçını doldurmakla meşgul olsunlar bence.
Keşke olsa ama bence biraz daha zamanı var
Mesut’a bir açıdan katılıyorum. Herkesin konuyu anlaması gerekmiyor (Celil’in bahsettigi) buda doğru. Fakat şöyle bir şey hissettim, çoğu insan için “aman nasıl olsa anlamayız biz bunu bak X abi network cihazı tanıtacak o işimize yarar” olayına girdiği için teknik sunumlar nedense 101 yada cihaz, şirketlerin çözümü v.s gibi konular kadar rağbet görmüyor. Sorulacak olan soru; “acaba biz teknik sunum yapan insanlar mı yanlış sunuyoruz / iyi sunamıyoruz, Yoksa insanların işine mi gelmiyor?” olabilir belki.
hocam, yanlış anlamazsanız size bakış açım bahsettiğiniz; “nerden daha fazla kazanırsam orda devam ederim.” şeklinde.
Ülkemizde düzenlenen etkinliklere pek katılma taraftarı olmamakla beraber bu etkinlikleri eğitimlere öğrenci toplama mantığında götürülmesi de bu tarz konferansların düzenlenememesine bir sebep.
Sponsor, kaliteli konuşmacı vb. sorunlarda mutlaka etkendir. Ancak daha fazla teknik konulara yoğunlaşarak verilecek bir konferans ücretli bile olsa gelmesi muhtemel büyük bir kitle sadece zarar vermek için bişeyler öğrenmek isteyen kişiler olacaktır. Biraz da dediğiniz gibi türk insanıyla ilgili sorunlar.
Bu sorunun da yine dediğiniz gibi anlatılanların önemli bir kısmının anlaşılmamasının ve başvurular arasında değerlendirme yapılarak bi nebze de olsa aşılabilceğini düşünüyorum.
Böyle bir yazı beklemiyordum açıkcası.
“… etkinlikleri eğitimlere öğrenci toplama mantığında götürülmesi de bu tarz konferansların düzenlenememesine bir sebep.” Bunu söyleyebilmek için en azından bizim öğrenci kitlesini, kimlere eğitim verdiğimizi ve etkinliklere hazırlanırken neler yaptığımız hakkında bilginizin olması gerekirdi. Oysa bu bahsettiklerimin hiçbiri hakkında en ufak bir bilgi sahibi değilsiniz, dolayısıyla yorumunuz benim için yapıcı ve dikkate alınır bir eleştiri değil.
Sorunu bu kadar komplex düşünmek çözüme ulaşılması açısından biraz zahmetli olabilir. Öncelikle bu etkinlikleri düzenleyen kişi ve kuruluşların amacı gayet açık ve net. Düzenleyen kişi katılımcılara hizmet, sponsor olan firma ise katılımcılara ürün satma derdinde.
Öncelikle hard-core dediginiz olayları aktarabilmek ve kabullendirmek bu kadar zor olmamalı diye düşünüyorum.DDOS veya sql injection’da teknik bir konu fakat bunun aktarimi gayet güzel yapılabiliyor bu ülkede. Güvenlik alanında innovasyon hariç yapılan r&d olayının en temelde niyeti şudur ürün tek başına yeterli değildir. Yapılan teknik konuları kimsenin anlamaması önergesi çok saçma kimsenin hardware based malware analizinde yapılan foton analysis işlemini 2 saatte anlamasını bekleyemezsiniz sonucun ne olduğunu sürecide anlatarak aktarırsanız kimsenin canı sıkılmaz. Öncelikle bu tip seminerler vs düzenlerken oradaki insanlara neler satabilrim düşüncesinden kurtulmanız gerekiyor çünkü bu tip büyük oluşumlar market analizi yapabileceğiniz ortamlar degil think tank yapmanız gereken ortamlardır.
Bu amacı düzenleyenleri çok iyi tanıyor da oyle mi öne sürüyorsunuz yoksa kendi düşünce dünyanızın yansıması olarak mı öne sürüyorsunuz?
Her etkinlik ona katkı verenlere bir şekilde geri dönüş sağlayacaktır, bu konuda sıkıntı yok, etkinlikleri sadece bilgi paylaşılan ortamlar olarak düşünmemek gerekir. İnsanların birbirleriyle tanışması, iş birliklerinin , iş imkanlarının artması da en önemli hedeflerden birisidir.
BlackHat, Defcon vs gibi etkinliklere bakarsanız çok da farklı amaçlarla düzenlenmediğini görürsünüz.
Aynen hocam çok doğru söylemişsiniz. Ama hızla gelişen bir ülkeyiz. İnşallah ilerde Defcon benzeri konferanslar olacak.