Güvenlik kahvesinin bu haftaki konuğu Bilgi Güvenliği AKADEMİSİ’ nden bilgi güvenliği danışmanı Çağdaş DOĞRU. Kendisi ile hem kendisi hakkında hem de güvenlik dünyası hakkında konuştuk.
Kısaca kendinizden bahsedebilir misiniz?
İstanbul doğumluyum, bilgisayar mühendisliği eğitimi ardından Kanada merkezli güvenlik firmasında çalıştım, 2008’de Türkiye’ye döndüm, 2009’dan beri Türkiye’de Bilgi Güvenliği AKADEMİSİ’ nde eğitim ve danışmanlık hizmetlerine bakıyorum ve uluslar arası güvenlik firmaları için Türkiye analiz raporları hazırlıyorum. [email protected] adresini kullanıyorum
Güvenlik işine nasıl bulaştınız?
Lise yıllarında elektronik cihazları bozma merakım vardı, bu merak üniversite öğrenimimde beni güvenlik sektörüne yöneltti, internette gezerken bulduğum bir zaafiyeti firmaya bildirmemle birlikte soluğu Kanada’da aldım. 4-5 yıl çalıştıktan sonra yakın arkadaşlarımın iknası sonucuTürkiye’e döndüm.
Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?
Türkiye’de sektörü yeni yeni öğreniyorum, Bilgi Güvenliği AKADEMİSİ’ne gelen taleplerden rahatlıkla söyleyebilirim ki henüz bilgi güvenliği kavramı Türkiye’de anlaşılmamış. Güvenlik denildiğinde ürün odaklı operasyonel işler geliyor akla. Son zamanlarda medyada cıkan haberlerle birlikte daha iyiye gideceğine inanıyorum ama bu süreci hızlandırmak yine Türkiye’nin elinde.
Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?
Ticari açıdan baktığımda 2010~ yılında yerli üretim yapmanın ne uzun vadede ne de kısa vadede bir kârı yok. Stratejik açıdan baktığımda ise yerli güvenlik ürünlerinin üretiminin zorunlu olduğunu düşünüyorum. Buna sebep yerli malı haftalarında yerli ürün kullanmak değil, ürün geliştirirken çeşitli süreçleri yaşayan ve bu süreçlerden tecrübe edinen bir nesilin oluşması.
Türkiye’de güvenlik sektörünün güdük kalmasının en temel sebeplerinden biri de bu, sadece al-sat modeli ticari açıdan mantıklı olsa da güvenlik gibi stratejik önemi olan bir konuda değer ifade etmez. Türkiye’de tek işi güvenlik ürünü al-sat olan firmaların çoğunun elinden güvenlik ürününü alıp patates verseniz aynı işi aynı başarıyla yaparlar.
Yeri ürün için devlet teşviki, teşvikin ötesinde, zorunlu tutması gerekiyor. Üniversiteler bu işin ocağıdır, öğrencilere bu konuda motivasyonsağlayacak kişilerin derslere sokulması, proje yarışmalarında güvenlik konularının eklenmesi bu işleri hızlandıracak adımlardandır.
Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?
Türkçe doküman, belge, kitap yazımı, ileri seviye teknik ve teknikolmayan konularda konferansların düzenlenmesi. Aktif güvenlik derneklerinin kurulması ve siyasilerin bilgilendirilmesi öncelikli konulardandır.
Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?
Tübitak’ ın idame etmeye çalıştığı görev kamu için yeterli olabilir ama dünya standartlarında bir CERT kuruluşuyla kıyaslanmayacak kadar dar kapsamlı kalıyor. Tübitak’ ın görev alanını tam olarak bilmemekle birlikte bu tip işlerin sadece devlete bırakılmaması gerektiğini düşünüyorum. 50’e yakın güvenlik firmasının biraraya gelip oluşturamadığı bir yapıyı tek başına Tübitak üstlenmeye çalışıyor.
Bu işe yeni başlayanlara neler önerirsiniz?
Internette zaman kaybetmeden bilgiyi gerçek kaynağından öğrenmeye yönelmelerini öneririm. Bilgi Güvenliği AKADEMİSİ kaynaklar kısmındaki kitaplar bu iş için iyi başlangıç olabilir. http://www.bga.com.tr/?page_id=271&postTabs=3
Mailinglistleri takip etmeleri çok önemli, bloglar da yarım yamalak bilgi veren kaynaklar olarak takip edilmeli ama kesinlikle asıl bilgi kaynağının kitaplar ve bireysel uygulamalar olduğu unutulmamalı.
İşe yeni başlayan arkadaşlara işin güvenlik yönünden değil hacking(offensive) yönünden başlamalarını da öneririm. Tabi işin heyecanına kapılıp yoldan çıkmamaları şartıylaJ
Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?
Dünyayı bilmiyorum ama Türkiye farklı şeyleri konuşmayacak. Dünyanın konuştuğu şeyleri taklit edecek. Zoraki siber savaşlar çıkacak, çeşitli firmalar belirli konuları empoze ederek farklı teknoloji ve ürün satmaya çalışacak biz de güvenlik bu yöne doğru gidiyor diyeceğiz.
Güvenlik sertifikaları konusuna ne düşünüyorsunuz?
Sertifikayı alan hakkıyla alıp almadığını belli eder. Sertifikaya ihtiyaç duyan kendini sertifika ile göstermeye çalışanlar zaten heryerde belli eder kendini. Sektörün içinde 3-5 yıl geçiren herkes bilir ki sertifika demek zaman ayırmak demek, en zor sertifika için 2 ayını ayırıpta alamayacak kimse tanımıyorum ben. Zaman kimileri için sertifikaya harcanacak kadar değerlidir, kimileri için de araştırma yapacak kadar önemlidir. Tercih meselesi.
Çalıştığım şirketlerde iş gereği 4-5 sertifika aldım fakat bunların hiçbirini devam ettirmedim. Sertifikasyon kurumları iyi niyetle başladıkları buişte bir müddet sonra ticari meta haline gelmiştir.
Yine de yeni nesile “kolay yoldan ucuz iş” bulmalarını sağlayacağını düşündüğüm için sertifika almalarını öneririm.
Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?
İnsan ve bilgisizlik. Ürün bağımsız eğitimler ve bilgilendirme toplantılarıyla, zaman zaman da göz korkutarak bu soruna bir nebze çözüm bulunabilir.
Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitalpların okunmasını tavsiye edersiniz?
Malware Analyst’s Cookbook: Tools and Techniques for Fighting Malicious Code, herkese tavsiye ederim.
Kitap okumalarında http://www.bga.com.tr/?page_id=271&postTabs=3 adresini takip edebilirsiniz.
Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?
Yok.
Güvenlik dünyasında en fazla kullandığınız yazılım hangi?
Metasploit.
Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?
blog.bga.com.tr ve http://www.bga.com.tr/?page_id=271&postTabs=0 adresindeki blogları öneririm.
Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?
Evet, heyecanlı ve dinamik bir alan.
Bir güvenlikçinin en önemli özelliği size göre nedir?
Ön sezilerinin olması ve araştırmacı, disiplinli, ayrıntılara dikkat eden karekterinin olması.
Bilgilerinizi ve tecrübelerinizi internet ortamında paylaşıyor musunuz? Neden?
Vakit buldukca paylaşmayı deniyorum. Herhangi bir nedeni yok, canım istediğinde oturup birşeyler karalıyorum. Sağolsun Huzeyfe geri kalanını hallediyor.
Paylaştığınız şeylerin kötü amaçlı olarak kullanılması karşısında düşünceleriniz nelerdir?
Ateş ve su gibi. Her ikisi de iyi ve kötü amaçlı kullanılıyor, niyetim kötü olmadıktan sonra gerisine ilgilenmem.
Sorularımızı yanıtladığınız için teşekkür ederiz.
