Güvenlik kahvesinin bu haftaki konuğu TÜBİTAK- BİLGEM Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü’nde Ulusal Bilgi Sistemleri Güvenliği Programı Yöneticisi Hayrettin BAHŞİ. Kendisi ile hem kendisi hakkında hem de güvenlik dünyası hakkında konuştuk.
Kısaca kendinizden bahsedebilir misiniz?
Bilkent Üniversitesi Bilgisayar Mühendisliği Bölümünde lisans ve yüksek lisansımı tamamladım. Sabancı Üniversitesi Bilgisayar Mühendisliği Bölümünde doktoramı bitirdim. Bilgi sistemleri güvenliği alanında çalışıyorum. Halihazırda TÜBİTAK- BİLGEM Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü’nde Ulusal Bilgi Sistemleri Güvenliği Programı yöneticisi olarak görev yapmaktayım.
Güvenlik işine nasıl bulaştınız?
Bilgi sistemleri güvenliği ile ilgili iş hayatıma başlamadan önce ayrı bir merakım yoktu. Aslında başvurduğum ve kabul edildiğim iş pozisyonu sebebiyle bilgi sistem güvenliği ile tanıştım. Ama tabii ki olası diğer iş pozisyonlarına bilgi sistem güvenliği alanını tercih etmemin sebebi bu alanın gelecekte daha önemli bir alan olacağı ile ilgili beklentimdi. Sonuçta bu beklentinin gerçekleşmiş olduğunu söyleyebilirim.
Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?
Aslında hızla gelişmekte olan bir ülke olmamızın her alana olan etkisi bence bilgi güvenliği alanına da yansıyor. Bilişim sistemlerini en kısa zamanda hayata geçirmek ve faydalarından yararlanmak için önemli işler yapmaya çalışıyoruz. Ama bu hızlı sonuca gitme çabası sistemleri güvenliğini dikkate almadan oluşturmak ve devreye alma sonucunu doğuruyor. Güvenlik ilk planda dikkate alınması gereken bir gereksinim değilmiş gibi algılanıyor başımıza daha önceden çok önemli bir bilgi güvenliği olayı gelmediyse eğer. Aslında bilgi güvenliği bir bakıma sistem geliştirirken ya da yönetirken çok sık aralıklarla durup düşünülecek acaba bu sistemin güvenliği nasıl diye sorulacak bir mesele ama sanıyorum durup düşünmeye çok zaman ayıramıyoruz.
Bence bizim gibi hızlı gelişen bir ülkede, denetleme ve düzenleme yapan kurumların bilgi güvenliğinin sağlanması konusunda devreye girmesi çok etkin sonuçlar doğuracaktır. Denetleyici ve düzenleyici kurum, ilgilendiği alanın ya da sektörün sadece kısa vadesini değil orta ve uzun vadesini de düşünmek durumundadır. Bilgi güvenliğinin sağlanması sektörün sağlıklı gelişmesi için çok önemli bir parametredir. Bilgi güvenliğinin her kurum, kuruluş veya bireye ek bir maliyeti olacaktır ama bu maliyet olası bir çok tehdidi bertaraf edecektir. Bilgi güvenliği regülasyonları ile kurumların sistemleri geliştirirken ve yönetirken durup düşünmesi sağlanabilir. Bilgi güvenliği için gerekli ek maliyetler, aslında kurumlar tarafından bir regülasyona uyma unsuru olarak karşılanacaktır. Ama zaman geçtikçe kurum ve kuruluşlar bilgi güvenliğini özümsedikçe harcadıkları çabaların kaynağı sadece düzenlemeye uyma kaygısının ötesine geçecektir.
Ülkemizde BDDK ve BTK gibi düzenleme ve denetleme yapan bazı kurumlar bilgi güvenliğini de ele aldılar. Bence bu alanda başarılı da oldular. Ülkemizde, bankacılık ve telekomünikasyon alanlarında bilgi güvenliğinin daha etkin ve kurumsal olarak ele alındığını gözlemlemekteyiz. Bu durumun diğer sektörler için de geçerli olması gerekli.
Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?
Yerli güvenlik yazılımı da dahil olmak üzere bir ülkenin her türlü yazılımı geliştirme kabiliyetinin olması gerekli. Bu da örnek projeleri hayata geçirmeye bağlı. Kritik bilgi sistemi altyapılarının mümkün olduğunca yerli güvenlik yazılımları ile korunması bir ülkenin güvenliği için çok önemlidir. Yerli üretilen güvenlik yazılımların tam olarak ne yaptığını uygun kontrol mekanizmaları ile anlama şansınız yabancı ürünlere göre çok fazladır. Ayrıca ulusal isteklere göre yazılımların değiştirilebilmesi yerli ürünlerin daha etkin kullanılmasını sağlar.
Bazı durumlarda, yerli güvenlik yazılımı kullanmak maliyet etkin de olabilir dolayısıyla bu durum ülke ekonomisine katkı sağlayabilir. Ama şu unutulmamalıdır ki maliyet etkinlik bu tür yazılımlar için ana amaç olmamalıdır. Çoğu durumda maliyet etkin de olmayacaktır. Çünkü pazara hakim yabancı menşeli güvenlik yazılımları zaten tüm dünyada satılabildikleri ve geniş pazar hiperlandı olduğu için çoğu zaman yerli geliştirilecek ürünlere göre daha ucuza satış yapabilme olanağına sahiptir. Özellikle yazılımların ilk geliştirme maliyetleri çok yüksek olacaktır. Bu durumda, ülkemizdeki kritik bilgi sistemlerini yöneten kurum ve kişiler, maliyet etkinliğe göre değil ülke güvenliğinin önemi doğrultusunda hareket etmeli ve yerli güvenlik yazılımlarını tercih etmelidir.
Devletin oluşturacağı bilimsel ve ar-ge politikaları aslında güvenlik yazılımı üretemde çok önemli bir yer tutacaktır. İlgili kurumların, ihtiyaç olan güvenlik yazılımlarını tespit ederek bu tür yazılımların geliştirilmesi için gerekli finansal ya da yönetsel desteği sağlaması gerekmektedir. Özellikle ilk geliştirme maliyetlerine katkıda bulunmak önemlidir.
Öte yandan, yerli güvenlik yazılım üreten firmalar ulusal ihtiyaçları en etkin bir şekilde karşılayacak yazılımları geliştirmeli fakat bu yazılımları diğer ülkelere de ihraç etmenin yolunu aramalıdır. Güvenlik yazılımı firmalarının bu sayede ekonomik olarak güçlenmesi ülkemizdeki bilgi güvenliği sektörünü daha da ileriye götürecektir.
Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?
Bilgi güvenliği ile ilgili bilinçlendirme ve bilgilendirme faaliyetlerini her seviyede gerçekleştirmek gerekli. Günümüzde bilgi kaynaklarına erişim çok kolay olduğuna göre aslında ilk yapılması gereken bilgi güvenliği konusuna dikkat çekmek daha sonra bilgilenme rahatlıkla gerçekleşecektir.
Bu alanda yapılabilecek en önemli faaliyetler kanımca eğitim alanındadır. Orta öğretim ve liselerdeki bilgisayar derslerinde bilgi güvenliği etkin bir şekilde anlatılmalıdır. Üniversitelerde değişik seviyede bilgi güvenliği dersleri verilmelidir. İlk olarak her üniversite öğrencisi normal bir bilgisayar kullanıcısının bilmesi gerektiği bilgi güvenliği tedbirleri hakkında bilgilendirilmelidir. İkinci olarak öğrencilerin bulundukları bölümün niteliğine göre bilgi güvenliği eğitimleri verilmelidir. Örneğin, yazılım mühendisliği öğrencileri güvenli yazılım geliştirme ile ilgili ders almalıdırlar. İşletme, endüstri vb gibi bölümlerde okuyan gelecekte kurumların yöneticileri olacak öğrenciler bilgi güvenliği yönetimi ile ilgili eğitilmelidirler. Hukuk öğrencileri dijital adli analiz hakkında temel bilgilere sahip olmalıdırlar. Bilgi güvenliği alanında ar-ge personeli geliştirmek amacıyla master ve doktora programları oluşturulmalı ve bu programlar yaygınlaştırılmalıdır. Özellikle bu programlarda, daha derin ve spesifik konulara inen dersler verilmelidir.
Bilgi güvenliği konusunda bilgilendirme yapan web sitelerinin sayısı artırılmalı. Yazılı ve görsel basın bu konuda sıklıkla kullanılmalı.
Burada bilinçledirme ve bilgilendirme ölçüsü ile ilgili bir şeyler söylemek istiyorum. Bilgi güvenliğini anlatırken bilgi güvenliğinin sağlanamayacak bir şey olduğu (her ne kadar %100 güvenliğin olamayacağı doğruysa da) , ne yaparsak yapalım birilerinin bizim bilgilerimizin güvenliğine zarar verebileceği imajından ziyade bir risk analizi mantığı çerçevesinde olaya yaklaşmak gerekli. Kişileri daha kritik bilgilerini korumak için daha çok çaba sarfetmeleri gerektiği konusunda uyarmak temel eksen olmalı. İnsanlara, bilgi sistemlerini kullanmaktan soğutacak tarzda yaklaşmamak gereklidir.
Özellikle daha önceden söylediğim gibi denetleme ve düzenleme kurumlarının bilgi güvenliğini temel bir düzenleme ve denetleme alanı olarak görmesi ülkemize bilgi güvenliği konusunda çok önemli ilerleme sağlatacaktır.
Türkiye’de siber güvenlik ile ilgili bir kurumun ihtiyacına inanıyor musunuz?
Türkiye’nin ulusal bilgi güvenliği politikasını oluşturan, ilgili kurum ve kuruluşlar arasında koordinasyonu sağlayacak kanunla yetkilendirilmiş bir kurula ya da aynı işlevi yapacak bir kuruma ihtiyacı vardır. Böyle bir kurul ya da kurumun eksikliği çok büyük bir şekilde hissedilmektedir. Bilgi güvenliği konusunda teknik bilgiye sahip ve teknik projeler gerçekleştirebilen kamu ve özel sektörde kurum ve kuruluşlar mevcuttur. Ama bahsettiğim yapı daha üst seviyede strateji belirleyen ve koordinasyon sağlayan bir yapıdır.
TR-BOME, TÜBİTAK- BİLGEM-UEKAE bünyesinde kurulmuştur. Temel amacı bilgi güvenliği alanında bilgilendirme yapmak ve bilgisayar olayları ile ilgili ulusal temas noktası oluşturmaktır. Bu kapsamda çalışmalarına devam etmektedir. Diğer ülkelerin ulusal bilgisayar olaylarına müdahal edipleri (BOME) de aşağı yukarı aynı fonksiyonu icra etmektedir. Ulusal BOME’ler teorik olarak proaktif önlemler içeren servisler de verebilirler. Ülkenin kritik bilgi sistemlerini hedefleyen saldırıların gözlemlenmesi ve bu saldırıları önlemek için gerekenlerin yapılması ya da kritik sistemlerin güvenlik açıklıklarının tespit edilmesi gibi. Ama pratikte bu tür servisleri ulusal BOME’ler çoğunlukla vermemektedirler.
Bu tür proaktif servisleri vermek eğer gerçekleştirilebilirse ancak kanunla yetkilendirilmekle mümkün olabilir. Ülkemizde de bu tür bir kanuni yetkilendirme mevcut olmadığından TR-BOME proaktif servisler vermemektedir.
Bu işe yeni başlayanlara neler önerirsiniz?
Bilgi güvenliği uzmanlığı çok geniş bir alanı kapsıyor. Bilgi güvenliği uzmanlığı, geniş bir network,işletim sistemi bilgisi yanında temel yazılım geliştirme birikimine sahip olması ve temel seviyede kriptoloji bilmesi gerektirmektedir. Ayrıca bilgi güvenliği yönetimi gibi hem teknik hem de yönetsel bakış açısı gerektiren unsurlar da bu uzmanlık kapsamında yer almaktadır.
İlk olarak bu alanda çalışacak kişi öğrenmeye aç bir kişi olmalıdır. Aslında bilişim üzerine çalışan her kişi için geçerli olabilecek bu kural bilgi güvenliği uzmanları için çok daha geçerlidir. Ayrıca bilgi güvenliği uzmanı, tespit edilmiş kritik güvenlik açıklıklarını, bilgi güvenliği ile ilgili haberleri, e-posta listelerini, geliştirilen güvenlik yazılımlarını vb gün be gün takip etmelidir. Bu güncel bilgileri sıklıkla kullanmaya ihtiyacı olacaktır. Bu işe başlayanların sabırla çok çalışması gerekmektedir.
Bilgi güvenliği uzmanlığı bir taraftan da iyi bir konuşma ve yazma becerisi gerektirmektedir. Çünkü uzmanlar, çoğu zaman kendilerini üst yönetimi bilgi güvenliği konusunda yatırım yapmaya ikna etmeye çalışırken, bilgisayar kullanıcılarına temel bilgi güvenliği tedbirlerini anlatırken ya da sistem güvenliği ile ilgili teknik ve yönetsel dokümanlar yazarken bulacaklardır.
Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?
Yavaş yavaş her cihazın bir IP’sinin olacağı (bir buzdolabının bile) geleceğin İnternet uygulamalarını kullanmaya başlıyacağız. Evimizin elektrik tüketimini daha zekice yöneten sayaç yönetim sistemlerini yaygınlaştıracağız. Hastanede tutmak zorunda olduğumuz hastaları, gelişmiş sensörler ve gerekli ağ altyapısını kullanarak mümkün olan en kısa zamanda evlerine yollayıp uzaktan sağlıklarını kontrol etmeye çalışacağız. Bu tür uygulamalar yaygınlaştıkça, bilgi güvenliğini sağlayamamak şu an neden olduğu prestij, para kaybı gibi sonuçların yanında artık doğrudan fiziksel zarar görme sonuçları da doğurabilecek.
Bilgi sistemleri ile erişeceğimiz sosyal ağlar daha da artacak. Şu anda bizim için problem olan kişisel gizliliği sağlayamama problemi muhtemelen daha da kendisini gösterecek. Bilgi paylaşma ve kişisel gizliliği sağlama ikilemini çok daha fazla yaşayacağız.
Gürcistan’da ve Estonya’da gerçekleştiği üzere, aralarında büyük siyasi kriz çıkan ülkeler birbirlerine siber alemde savaş açmaya çalışacaklar. Ülkelerin bu tür siber savaşlara hazırlanma çalışmaları gerçekleşmeye başladı. 2015’de bu çalışmaların çok daha ileri bir düzeye geleceğini düşünüyorum.
Yazılım geliştirme ekiplerinin güvenli yazılım geliştirme döngüleri oluşturmaları özellikle ülkemizde gündeme gelmeye başladı. Bu alanda daha önemli ilerlemelerin olacağını düşünmekteyim.
Ülkemizde, ürünlerin güvenlik değerlendirmesi ile ilgili en etkin uluslararası standart olan Ortak Kriterler’in (Common Criteria) daha da yaygınlaşacağını öngörmekteyim. Özellikle ülkemizin bir ay içerisinde sertifika üreticisi (yani sertifikasyon makamının verdiği sertifikaların bu standardı tanıyan tüm ülkelerce kabul edilmesi) olması sebebiyle ürün güvenlik değerlendirmeleri çalışmalarının daha da artacağını düşünmekteyim.
Güvenlik sertifikaları konusuna ne düşünüyorsunuz?
Genelde verilen güvenlik sertifikaları pratik bilgiyi test etmek yerine bilgi güvenliği ile ilgili terminolojiye hakim olunup olunmadığını test etmekte. Bu sertifikalar kesinlikle faydalıdır. Ama bilgi güvenliği uzmanlarının bilgi ve birikimi gerçekleştirdiği somut projelerle oluşur. CISSP genel bilgi güvenliği terminolojisine hakim olmak için faydalıdır. CEH vb gibi sertifikalar da özellikle güvenlik test yapan kişiler için fayda sağlayabilir. CISA ve ISO 27001 Baştetkikçi sertifikaları özellikle bilgi güvenliği yönetimi ve denetimi alanında çalışan kişiler için yararlıdır.
Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?
Web uygulamalarında karşılaşılan güvenlik açıklıkları halihazırda önemli bir güvenlik problemi olarak karşımıza çıkmakta. Özellikle çoğu web uygulamaları kurumların kendisi tarafından yazılmakta ve yeteri derecede güvenlik testine tabi tutulmadan canlı sisteme aktarılmaktadır. Web uygulamaları, kritik sistemler için kullanılmaktadır dolayısıyla doğrudan saldırganların hedefindedir. Web protokolü güvenli bir protokol değildir. Web tarayıcılarında da bir çok güvenlik açıklığı çıkabilmektedir. Dolayısıyla web uygulamalarının güvenliğine ayrı bir önem vermek gerekmektedir. Bu uygulamalardaki temel eksiklik geliştiricilerin güvenliği düşünmeden geliştirme gerçekleştirmesidir. Güvenli yazılım geliştirme döngüsü oluşturma özellikle bu uygulamalar için çok gereklidir.
Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitalpların okunmasını tavsiye edersiniz?
Bilgi güvenliği ile ilgili en son okuduğum kitap, Brian Carrier tarafından yazılan “File System Forensic Analysis” isimli kitap. Bu kitap, özellikle bilgisayar olaylarına müdahale edecek teknik kişilerin ve dijital adli analiz ile uğraşan kişiler için bence çok temel bir kitap.
Bilgi güvenliği alanında bir çok farklı konuda çok fazla kitap var. Ama şu aralar özellikle ilgilendiğim başka bir alan olan güvenli yazılım geliştirme döngüleri ile ilgili kitapları özellikle yazılım geliştiricilere tavsiye ederim.
Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?
SANS, webappsec ve securityfocus’un pen-test listelerini takip etmekteyim. Bu listelerin takip edilmesini öneririm. Ayrıca www.bilgiguvenligi.gov.tr da takip edilmesinin gerekli olduğunu düşündüğüm önemli bir site.
Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?
Seçerdim ya da seçmezdim diyemem. Bilgi güvenliği alanı güzel bir alan ama bir çok güzel alan daha var.
Bir güvenlikçinin en önemli özelliği size göre nedir?
Yetkinlik ve rasyonellik.
