Güvenlik Röportajları #20 Afşin TAŞKIRAN

Güvenlik kahvesinin bu haftaki konuğu AVEA’ da Güvenlik Dizayn Bölümü Takım Lideri olan Afşin TAŞKIRAN.

NGB: Kısaca kendinizden bahsedebilir misiniz?
Afşin TAŞKIRAN: Fen Lisesi’nde okumanın getirdiği bilim aşkı, Elektrik-Elektronik Mühendisi olmama vesile oldu. Lisans sonrasında yarıda bırakmak zorunda kaldığım aynı bölümdeki yüksek lisansımı da tezimi verdiğim taktirde bitireceğim.  

 

Lisans yıllarımın ilk zamanlarında bölümün getirdiği disiplinlerin yanında bilgisayar bilimlerine yöneldim. Lisans yıllarımın ilk yıllarından itibaren ağ teknolojileri ve linux işletim işletim sistemi üzerimde fazlasıyla heyecan uyandıran konulardı. Buna paralel olarak üniversitenin mühendislik bilgi işlem grubunda yer aldım. Kampüste sabahın ilk ışıklarına kadar çalışmanın hazzını hala özlüyorum.

 1. Linux Şenliği’nde LKD’yle tanışmamızla birlikte çeşitli üniversitelerde düzenlenen seminerlerde konuşmacı olarak da yer aldım.

 EnderUnix ise benim ömrüm boyunca içinde olmaktan gurur duyacağım bir grup.

Küçük yaştan beri satranç oynuyorum. Gerçi iş güçten artık vakit bulamıyoruz ama zihni çalıştıran bu tarz strateji oyunlarından da zevk alıyorum.

 NGB: Güvenlik işine nasıl bulaştınız?

 Afşin TAŞKIRAN: 10 sene önce Türkiye’de sistem yöneticisi ile ağ yöneticisinin ayrımı bile yokken günümüzde Linux ve Solaris sistem yöneticisi  görevleri bile farklı pozisyonlanıyor. 

 Uzun yıllar Linux/BSD  ve ağ sistemleriyle uğraştım. Çalışmalarım sırasında da güvenlik bakış açısı benim için bir kalite kriteri haline geldi.  Örneğin her sistemin nmap, nessus la testlerini yapip gördüğüm sıkılaştırmalarını da yapardım. 

 Lisans sonrasında göreve başladığım Turcom Teknoloji’de Cuma Kurt ile birlikte açık kodlu sistemler üzerinde  güvenlik çözümleri desteği veriyorduk. Burada sayısını hatırlamadığım kuruma Linux/BSD firewall, IDS, proxy altyapısı kurup desteğini verme fırsatı buldum.

EnderUnix ekibindeki arkadaşlarımın ve Barış Şimşek’in dostluğu benim için her zaman çok kıymetli oldu.

 NGB: Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?

Afşin TAŞKIRAN: Güvenlik belki sadece Türkiye’de değil dünyada da bütçesi kısılmak istenen bir bölüm. En büyük nedeni de pozitif yönde gelir kaydetme durumunun olmaması.

Türkiye’deki çoğu karar vericinin ise güvenlik konusuna yabancı olması bizim en büyük eksikliklerimiz arasında.

Burada biz teknik adamların üzerine düşen en büyük görevin “öcü var, kaçın!!” gibi korkutma politikaları sunmak yerine riski ve çözümlerini net bir şekilde gösteren “güven veren” bir tutum sergilemek olduğu da aşikardır.

Yine de Türkiye’de büyük kurumların bile ayrı güvenlik birimlerinin varoluş nedeninin zorunlu güvenlik politiları olduğu, buralarda yapılan çalışmalardan çıkarabildiğim bir sonuç.

NGB: Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

Afşin TAŞKIRAN:  Treni kaçırmak deyimi kullanmak istemiyorum ama güvenlik alanındaki bazı hazır çözümlerde durum böyle. Maalesef doksanlı yıllarda henüz 5-10 kişilik ekiplerle geliştirilen firewall/IPS vb ürünlerin dağıtıcılığını almak yerine bunları kendi içimizde geliştirme yolunu seçseydik her şey çok farklı olurdu. 

Firewall administrator arkadaslarimiz firewall a kural yazmak yerine firewall yazılımındaki kodlarda geliştirme yapıyor olurlardı.

Dolayısıyla çok mesefe kaydedilmiş Firewall/IPS gibi teknolojileri yeniden keşfetmek yerine ihtiyaç çalışması yapıp buralara yoğunlaşmamız gerekiyor. Bundan iki sene önce DLP gibi bir trend başladı, belki bu da kaçıyor. Bilgisayar mühendisi arkadaşlarımızın elverdiği ölçüde yenilikleri görmesi gerekiyor.

NGB: Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Afşin TAŞKIRAN: 

Güvenlik konusunda da müşteri olmak yerine üreten taraf olmayı ümit ediyorum. Bu nedenle bilişim sektöründe konuya hakim gençlerimizin hazır bilgiyi kullanmaları yerine, üretmelerine; sektöre yön veren patronlarımızın da üretimi teşvik etmelerine ihtiyacımız var. Bu konuda bizlere düşen en büyük ve gerçekçi görev de gençlerimize yol göstericilik yapmak.

NGB: Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

Afşin TAŞKIRAN:

Teorikte inanıyorum ancak pratikte bunun gerçekleştirilebileceğini göremedim, keşke olsa.

Gözlerimizi kapatıp düşünelim; öyle bir kurum olsun ki, güvenlik zaafiyetlerini kabul edilebilir yanlış alarmlar olmadan anında duyursun, çözüm yollarını göstersin, güvenliğin gidişatı konusunda bilgilendirsin ki yatırımlarımızı ona göre yapalım. Güvenlik politikalarımıza referans oluştursun. Kurduğumuz mimarilerde bize ışık göstersin.  Gönüllülük esasına da dayanmasın.

Ben henüz aradığımı bulamadım ama olursa yeme de yanında yat olur.

 NGB: Bu işe yeni başlayanlara neler önerirsiniz?

 Afşin TAŞKIRAN:

Günümüzde bazı çelik kapı üreticilerinin kapılarını ancak firmaya başvurduğunuz vakit açtırabiliyorsunuz. Köşe başlarındaki çilingirler ancak eski kalmış, standart kapıların haricindeki kapıları açamıyor.

 Güvenlik konusunu da  bu bilişim disiplinlerinin üstünde bir katman gibi düşünüyorum. Bir router cihazın derinlemesine yönetimini yapmamış bir uzmanın router güvenliği konusunda hazır bakış açıları dışına çıkması mümkün değil.

 Dolayısıyla güvenliğe merak duyan arkadaşlarımızın mutlaka birden fazla alanda uzmanlık kazanmasını tavsiye ederim.  Sabırlı olsunlar, zaten bir konuda derinlemesine bilgi sahibi olduğunuz vakit o sistemin arka kapılarını da kendiliğinden görmeye başlarsınız.

 NGB: Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?

 Afşin TAŞKIRAN:

Bazısı 2010 yılında, bazısı 2015 yılında karşılaşır. Ama firewall larla baslayıp SSL VPN, DLP, NAC a kadar giden bu kadar yeni teknolojinin kurumlara entegrasyonundan sonra çıkabilecek en büyük sorun, bu yapının hakkını vererek işletimini ve optimizasyonu sağlamak olacaktır.  Tabi bunlar büyümenin de getirdiği problemler.  2015 de konuşabilir miyiz bilmiyorum ama cloud ve grid computing in sektör uygulamalarını merakla bekliyorum

 NGB: Güvenlik sertifikaları konusunda ne düşünüyorsunuz?

 Afşin TAŞKIRAN:

Hepimizin çevresinde ehliyeti olup da araba kullanamayan bir çok insan vardır. Sertifikalar da bunun gibi.

 Sertifikasyonların beni cezbeden en büyük artısı bir konuyu methoduyla öğrenme fırsatıdır. İçerik konusunda bir çok kurum ve kişinin çalıştığı sertifikasyonları görmezden gelmek imkansız.

Ancak tabi ki tecrübe mi sertifika mı deseniz düşünmeden tecrübe derim. Sertifikaları, kişinin tecrübe kazanması yolunda bir araç olarak görmesi  gerekir. Bilgi dağarcığını zenginleştirmek için bence çok da faydalıdır.

Eğer bir kişi iyi bir firewall admin olmak istiyorsa ürün sertifikasyonlarına yönelip metodolojiyi öğrenmesi, danışmanlık için kullanılabilecek, bir çok konunun yüzeysel geçildiği tarafsız kurumların verdiği sertifikalardan daha hayırlıdır.

İş görüşmesi yaptığımız arkadaşlarda da ilk baktığım kısım tecrübe, ardından sertifikalar kısmı oluyor. Tabi yine sonuç itibariyle danışmanlığı sertifika vermiyor, firewall u da sertifika yönetmiyor.

 NGB: Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

 Afşin TAŞKIRAN:

Bilgisizlik en büyük problem görünüyor .Detayını çay içerken konuşalım 🙂

 NGB: Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitapların okunmasını tavsiye edersiniz?

 Afşin TAŞKIRAN:

Magazin tadında kitapları okuyamıyorum maalesef. Biraz zaman darlığı, biraz da sevmemem belki de.

White paper denen el kitapları en büyük yoldaşım.

Keşke vaktim olsa da ISACA’nın kütüphanesine dalsam diye içimden geçirmiyor değilim.

 NGB: Bilgi güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?

 Afşin TAŞKIRAN:

Bilgi güvenliği açısından örnek aldığım bir kişilik yok. Ancak bir çok insanı gözlemler ve onlarda bulunan güzel özellikleri kendimde de geliştirmeye çalışırım. Uzaklara gitmeye gerek yok, yakınımızdaki bir çok arkadaşımız da bizim için birer kahraman.

NGB: Güvenlik dünyasında en fazla kullandığınız yazılım hangisi?

 Afşin TAŞKIRAN:

Eskiden nmap şu aralar ethereal. Pasif tarafa mı geçtim ne 🙂

 NGB: Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

 Afşin TAŞKIRAN:

Haber sitelerini maalesef takip edemiyorum. Bunun yerine az olsun öz olsun mantığıyla Sans ın makalelerini takip etmek daha faydalı geliyor.

 NGB: Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

 Afşin TAŞKIRAN:

İllaki elektronik/bilgisayar teknolojileri üzerine çalışacaksam evet, mesleğimden memnunum.

Ancak hayat planım üzerine de yoğun düşüncelerim var. Memlekette ufak bir bahçemiz olsa, meyveler sebzeler yetiştirsek, toprağa gönül versek. Çay demlesek.. Düşünceler işte..

 NGB: Zaman ayırarak röportajımıza katıldığınız için  teşekkür ederiz.

This entry was posted in Röportajlar and tagged . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

twelve − 10 =