Bu eleştirileri getirenlerin çoğu(belki de hepsi) Türkiye’de yaşıyor, Türkiye’nin suyunu içip, havasını soluyor ve dünyayı Türkiye gözlüğüyle anlamaya, algılamaya çalışıyor… Ama karşılaştırdıkları etkinliklerin gerçekleştirildikleri ülkeler, yaşam standartları ve insanlarının güvenliğe bakış açısından haberdar değiller.Temel sorunda buradan kaynaklanıyor.

Ben de yaklaşık on yıldır katıldığım yerli yabancı onlarca etkinliği düşünerek Neden Türkiye’de özlemi duyulan nitelikte bir güvenlik etkinliğinin düzenlenemediği konusundaki fikirlerimi yazmaya çalıştım.

Defcon ve Black Hat konferanslarının ciddi bir geçmişi vardır

Bir etkinliğin oturması için en az 4-5 yıllık bir süre gerekir, isminin duyulması, rağbetin artması (hem konuşmacı hem de dinleyici açısından) . Burada “Defcon ve Black Hat ilk zamanlarında da kaliteliydi” eleştirisi gelebilir, doğrudur. Bir etkinliğin kalitesini zamanı değil düzenleyicileri ve hitap ettikleri kesim belirler.

İlgi

Bundan birkaç sene önce Türkiye’de düzenlenen etkinliklere ilginin azlığıdan yakınırdık ama günümüzde özellikle medyanın da siber güvenlik üzerine haberleriyle birlikte konuya olan ilginin ciddi oranlarda arttığı gözleniyor. Başarılı bir düzenleyici Türkiye’de düzenleyeceği siber güvenlik, hacking vs konulu bir etkinliğe 2000 kişiyi taşıyabilir. Fakat mesele çok kişinin katılmasından ziyade ilgililerin katılımının sağlanmasıdır. 2000 konuya meraklı kişi yerine 500 ama konuya merakın ötesinde ilgi duyan katılımcı bu tip teknik etkinlikler için daha önemlidir.

Türkiye’de ilgiyi arttırmanın en basit yolu, etkinlikleri cafcaflı bir otel/mekanda gerçekleştirmek, öğle yemeği vermek ve hediye dağıtmaktır. Belki komik gelecek ama öğle yemeğini kendi cebinden ödeyeceğim diye etkinliğe katılmayan onlarca insan tanıdım. Evet profesyonel bir etkinlikte katılımcılara öğle yemeği de verilir, çay kahve de ısmarlanır ama profesyonel etkinliklerin de bir bedeli vardır ve o bedel sponsorlar tarafından karşılanamazsa etkinlik ücretli olmak zorunda kalır. Uzun yıllara dayanan etkinlik düzenleme/inceleme tecrübelerime dayanarak ücretsiz etkinliklerin içeriği ne kadar başarılı olsa da görünüm olarak başarısız gözüktüğüne şahit oldum. Biz Türk’lerin gönüllü yapılan işler, indirim ve bedavaya getirme konusunda sicili pek de iyi değildir:)

Sponsor Desteği

Türkiye’de bilgi güvenliği üzerine iş yapan firmaların %99’u ürün temelli çalışmaktadır. Ürün temelli çalışan firmaların bu tip ürün bağımsız etkinliklere sponsor olması Türkiye’de malesef mümkün olmamaktadır, olsa da firma sunum olarak teknoloji değil ürün anlatmayı tercih etmektedir.

Neden? Türkiye’de güvenlik hala ürün al sat mantığının ötesine geçememiştir, sektör içindeki ciddi oyunculardan birinin yöneticisi ağzından duyduğum “Ben kazandığım paraya bakarım, yarın patates satarak daha fazla kazanırsam güvenlik ürünü yerine onu satarım” yoruma ihtiyaç bırakmayacak kadar halimizi anlatmaktadır.

Biz demiyoruz ki ürün anlatılmasın, elbette sponsor olan sponsorluğunun karşılığını almalıdır ama bunu tahtaya çıkıp bizim ürün şöyşe iyi, böyle iyi diyerek değil, alternatif anlatım teknik ve yöntelerini kullanarak gerçekleştirmesi gerekir. Etkinlikler sonrası düzenlediğimiz değerlendirme anketlerinde ürün anlatan firmaların sunumlarının neredeyse hiç beğeni almadığına şahit olduk. Oysa ürün yerine ürünün arka planında yatan teknolojiyi anlatan firmalar zaten göz doldurdukları için o teknolojinin hangi üründe, hangi firmada olduğunu katılımcılar merak etmektedir.

Ürün temelli sponsorların yanında bilgi güvenliği üzerine hizmet veren, ar-ge yapan (dolayısıyla ürün geliştiren) firmaların sponsor olması çok daha önemlidir. Zira hizmet veren firma hizmetinin kalitesini firmalardan toplantı talep ederek teker teker anlatmaya kalksa hem zaman hem de maliyet açısından yetiştiremez. Oysa yüzlerce insanın karşısına çıkıp sağlam bir sunum yapan firma aynı anda onlarca firma kazanmış olur.

Türkiye’deki firmalar henüz bu yönteme inanmamaktadır ,zira hala eski kafa ticaret yöntemleri kullanarak, dost, arkadaş eş aracılığıyla iş ayarlama yöntemleri büyük oranda işlemektedir. Ama zaman değişiyor ve ticaret şekilleri de değişiyor, insanlar artık kaliteye de en az eş, dost kadar önem vermeye başladı.

Konuşmacı Sıkıntısı

Etkinliklerin en önemli üç bileşeninden biri konuşmacı kalitesidir, kaliteli bir konuşmacı kaliteli bir sunumla katkıda bulunduğu her etkinliğin hem değerini yükseltir hem de kendi adına iyi reklam yapmış olur. Türkiye’de düzenlemeye çalıştığımız çoğu etkinlik için “Aktif Katılım Çağrısı” yapıyoruz ve gelen konular bir ekip tarafından incelenerek karar veriliyor. Gelen talepler genellikle sık bilinen konular, orta seviye sunumlar oluyor.

İleri seviye konuları anlatacak arkadaşlar ya konuşmaktan çekiniyor (kimliğini gizleme derdi, konferansı beğenmeme, geçduyma vs)ya Türkiye’de yeterli sayıda ileri seviye teknik konuları konuşacak arkadaşlar yok ya da biz onlara ulaşamıyoruz, onları bu etkinliğe katılmaları konusunda ikna edemiyoruz. Son madde doğrudan düzenleyici olarak bizleri ilgilendirdiği için bu konuya daha fazla ilgi gösterme planlarımız var.

Konu Sıkıntısı

Türkiye’de düzenlenecek olan etkinliklerle ilgili diğer önemli bir nokta da seçilecek konular. Sektörün çoğu güvenlik denilince akla Firewall, IPS, İçerik filtreleme ve tamamı ürünlerden oluşan bir konsepti düşündüğü için . burada sadece hata katılımcılarda değil, etkinliği düzenleyenler de katılımcıları yönlendirecek şekilde konu seçimine karar vermeli (Bir önceki konuyla-konuşmacı sıkıntısı-doğrudan alakalıdır.)

Sonuç

Türkiye henüz güvenlikle ilgili emekleme aşamasında bir ülkedir. Her ne kadar Amerika’da, İsrail’de geliştirilen bir ürün ertesi gün ülkemizde “satılabiliyor” olsa da güvenlikle ilgili araştırma, üretim yapan firmalarının sayısının en az satıcı firmaların yarısı kadar olmadıkca, siber güvenlik üniversitelerde ders olarak okutulup, üniversite okuyamayan ama security, hacking konusunda kendini geliştirmiş gençlere bir yol açılmadıkca emekleme aşaması tamamlanmayacaktır.

Bu aşamada biz güvenlik uzmanlarına düşen sektörün önünü açacak, ihtiyaçları daha net belirlemeye yardımcı olacak gruplar kurarak teknik seviyesi yüksek etkinlikler düzenlemek ve bu etkinliklere firma ayrımı gözetmeksizin konunun uzmanlarını davet ederek konuşturmaktır.

Konuyla ilgili geri bildirimlerinizi yorum olarak yazabilir ya da doğrudan [email protected] adresine iletebilirsiniz.

The post Türkiye’de Neden Defcon/Black Hat Konferansları Düzenlen(e)mez? first appeared on Complexity is the enemy of Security.