Okuyucularımıza kendinizden biraz bahseder misiniz?
90’lı yılların başında bilgisayar ile tanışan biri olarak, bilişim alanında birçok departmanda görev aldım. Sırasıyla Software, System, Network alanında ve son olarak ortalama 10 yıldır da Security alanlarında görev yapıyorum. Bazen soruyorlar hocam neden yazılımdan sisteme geçiş yaptınız? Bizim zamanımızda yazılım eskiden pek rağbet görmediği için bir dönem sistem bölümünde devam ettim. Ayrıca sistem tarafı da güzel bir bölüm ve onun da kendine has kompleks bir yapısı bulunmaktadır. Tüm bölümlerde deneyim sahibi olmam sayesinde siber güvenliği daha rahat anlamama, daha iyi savunmama ve daha iyi adapte olmama yardımcı oldu. Bu benim için çok büyük bir fırsat oldu. Siber güvenlik alanında ilerlemek isteyen arkadaşlara da önerim tüm detayları öğrenmeye çalışsınlar. Tabi eskiden çok fazla kaynak da yoktu, kendi çabalarımla saatlerce okuyup, bilgisayar ve internet üzerinden bir şeyleri devamlı karıştıran, hayatımda çok zor zamanlar geçiren, asla pes etmeyen, mesleğine aşkla bağlı olan bir kişi olarak buradayım. Son olarak, arkadaşlarım, dostlarım tarafından yapılan baskılar nedeniyle bildiklerimi paylaşmam gerektiğini söyleyenleri kırmayıp bir dönem yüz yüze eğitimler, online canlı eğitimler verdim. Bir dönem de YouTube üzerinden derslikler oluşturdum. Fakat tehlikeli bulunan videolarım silinince bu işlemleri yapmaktan vazgeçtim. Security ile ilgili bir kitap yazdım ama bir türlü bastırma fırsatım olmadı.
Normal internet kullanıcılarının kendi güvenliklerini sağlamaları için tavsiyeleriniz nelerdir?
Bu aslında çok uzun bir yazı olabilir ama ben mümkün olduğunca özet geçmeye çalışayım. Kullanıcı her şeyden önce yaptığı tüm işlemlerin “farkında olarak” yapmalı. Kullandığı bilgisayar-akıllı telefonları için mutlaka anti-(virüs-malware) kullanmalı. Alışveriş yaparken bankanın sanal kartlarını kullanmalı. Limiti manuel tanımlayıp, sadece gerektiğinde açıp kullandıktan sonra internet alışverişine kapatmalı. Her platformda kişisel bilgilerini paylaşmamalı! Mail ile gönderilen eklere ve linklere biraz şüpheci yaklaşmaları, onları bir nebze de olsa güvende tutacaktır. Küçük ama kritik bir durum notu da eklemek istiyorum “mutlaka bilgisayar kamerası için bir bant veya koruyucu kullanmalı”.
Bazı gençler bu alanda staj bulmak ve staj yapmak için yeterli bilgilerinin olmadığını ve ezileceklerini düşünüyorlar. Sizce staj ya da iş için yeterli seviye nedir?
Üniversitelerin daveti üzerine katıldığım seminerlerin hemen hemen tümünde bu soru soruluyor. Bu konuda sorun yaşayan bir çok öğrenci ve öğrencilerine staj yaptırmak üzere şirket/kurum bulamayan üni. hocaları bulunmaktadır. Öncelikle siber güvenlik üzerine 4 yıllık lisans gibi bir bölüm bulunmamaktadır. Bazı üniversiteler yüksek meslek okulu şeklinde 2 yıllık önlisans bölümleri açtı. Şirketler tarafından ise 2 yıllık önlisans mezunlara lise mezunu muamelesi yapılıyor. Bu gençler de maalesef arada kalıyor. Zamanında bazı çalışmalar yaptık. Kurumları ve üniversiteleri bir araya getirmeye çalıştık. Fakat günün sonunda istenilen kıvama getiremedik/getiremiyoruz. Zaten mesleğimizde kıdemlileşen çoğu kişi de yurt dışına gidip çalışıyor. Kesinlikle çırak-usta ilişkisi içerisinde olacak bir yöntem/sistem kurulmalı. Elimizden ne geliyorsa ardımıza koymadan ilerlemeye çalışıyoruz. Fakat bu sadece bireysel olarak kalıyor ve çok kısıtlı kalıyor. Umuyoruz YÖK buna yönetmelik ile bir çare bulur ve iş kanununa da bir kaç madde eklenir. Diğer türlü maalesef yürümüyor.
Siber Güvenliğin ülkemizdeki durumu sizce nedir? ilerlenmesi için nasıl adımlar atılmalı?
Birçok kişi bu mesleği yapmaya çalışıyor. Merakla başlayan ve sonra profesyonel hayata dönüştürenlerin sayısı bir hayli fazla. Yeni mezun olmuş gençler de bu tarafa doğru merak ile gelmektedir. Fakat ülkemizdeki personel verilen değer ortada. Zaten anlaşılması zor bir meslek, kurumlarda ki torpille gelen yönetici sayısı arttıkça bizim mesleğin anlaşılması bir o kadar zorlaşıyor. Anlaşılmayan bir mesleğe de çok değer verilmiyor. Liyakat sistemi şart. Türkiye de 10 kuruma iş başvurusu yapıyorum. 1 veya 2 tanesi görüşmeye davet ediyor. Yurt dışındaki şirketlere başvuru yaptığımda ise istisnasız tüm şirketler benimle iletişime geçiyor. Kıymetini biliyor, seni anlıyor, değer veriyor. Onların sayesinde kendimi değerli hissediyorum ama ülkemizde maalesef değerler yerlerde. Bir diğer yandan baktığımızda “bir musibet bin nasihatten iyidir” mantığı ile ilerliyoruz. Kurumlar hacklenmeden, dili yanmadan personel bile almıyorlar. Bazı kanun yapıcılarla bu tür çalışmaların yapılması için çok uğraştık ama inanın siyaset/politika ile ilerlemek çok çok zor. Hele tanıdığınız yok ve para kazandıramıyorsanız kimsenin umurunda değilsinizdir. Son dönemlerde çok fazla sesimizi yükselttik. Eminim bizi takip edenler ve dinleyen bir kesim var ve bazıları bizi duydu. Ülkenin siber güvenlik adı altında artık bir oluşumu var en azından. Hiç yoktan iyidir. Bekliyoruz. Bir diğer sorun ise, benim bir benzetmem ile açıklamaya çalışayım. Siber güvenlik sorunu balistik füzelere ve savaş uçaklarına benzetiyorum. Yarın-bugün bir savaş çıktığında bu silahların uzaktan müdahale ile çalışmasına izin verilmeyeceğinin nasıl bir garantisi olabilir? Ki tarihte buna benzer olaylar da mevcut. Ülkemizdeki en gizli bilgilerin yer aldığı kurumları bile farklı ülkelerin ürünleri ile koruyoruz. Bu bana hiç mantıklı gelmiyor ve burada susuyorum.
İyi bir siber güvenlik araştırmacısı ne derecede programlama bilmelidir? Özellikle web uygulama güvenliği alanında çalışanlar ne gibi dilleri bilmeliler ve hangi seviyede olmalılardır?
Çok güzel bir soru. Siber güvenlik 2 farklı departmanı ve bunun da kendi için kırılımları bulunmaktadır. Ofansif ve defansif alanında çalışacak kişilerin görevleri her ne kadar birbirinden farklı olsa da birbirlerine bağımlıdır. Ofansif alanında özelikle analyst, researcher olarak çalışacak arkadaşların kesinlikle .net, php, python gibi dilleri bilmesi büyük bir avantajdır. Bu dilleri bilen arkadaşların başarı oranı alanında yükselmesi ile eşdeğerdir. Zaten yaklaşık 5-10 yıl içinde siber güvenlik alanı SecOps alanına tamamen kayarak “orchestration” yapıya geçecek. Bu durumda firewall kurallarında birinin policy yazmasına bile gerek kalmayacak. Bu bakış açısıyla baktığımızda defansif alanında bile yazılım bilmesine ihtiyaç duyulacak bir noktaya gelinecektir. Bilmeyenlerin iş bulma olasılığı daha da aşağılara inecektir. Bu nedenle en az bir yazılım dili ve linux kullanmayı öğrenmelerini öneririm.
Acil durum prosedür/politikalarınızın güncelliği ve uygulanabilirliği konusunda ne gibi aksiyonlar alınabilir?
Bu soruyu siber güvenlik alanında yönetici olan kişiler bile sormuyor. Bu soruları nasıl düşündüğünüzü bilemiyorum ama teşekkür etmek istiyorum. Bu soru başlı başına bir kitap olacak niteliktedir. Ben yine özetlemeye çalışayım. Her kurumun, verdiği hizmet alanına göre kendine has bir acil durum prosedürü mutlaka olmalı. Burada öncelikle “zafiyetler üzerinden sisteme giriş yapıldığının mı?” yoksa “sistemsel bir hata olduğunun mu?” anlaşılması süresi bulunmaktadır. Eğer bu süre zarfında “belirsizlik” varsa farklı bir prosedür uygulanır. Siber güvenlik ile ilgili bir acil durum olduğu anlaşıması üzerine “uygulanabilirlik” devreye giriyor. Burada zafiyetin ölçümlenebilme şartı aranmalıdır. Çünkü her zafiyetin sağladığı etki farklı olmaktadır. Bir dünya stadartları ölçüsü bir de sizin itibarınızın zedelenme ölçüsü de baz alınarak önceden bir prosedüre bağlanması gerekmektedir. Bu prosedür sisteminizdeki çevresel birimlere ve envanterineze göre güncel olması şartı da aranır. Ve saldırı esnasından bu prosedürü uygulanabilirliği de önceden test edilmesi de beklenmektedir. Yani bir çok çarkın çalışması ve bu çarkların bir tane dahi eksik olması durumunda “daha büyük bir soruna” neden olacaktır. Bu düzeneğe göre yapılandırılmalıdır.
Kurumdaki en olağan veri sızıntısı şekli ve tespiti sonrası alınan aksiyonlar nelerdir?
Genel olarak veriyi almayı başaran kişiler sizinle iletişime geçiyor ve fidye olarak bir ödeme bekliyor aksi durumda tehdit ediliyor ve datanın darknet tabanında bedava dağıtılacağı söyleniyor. Kurumlar da hackerdan örnek data talebinde bulunurlar. Eğer hacker gerçek verilere sahipse, şirket tarafından pazarlık yapılabiliyor. Tabi bu işlem sonucunda tekrar tehdit etmeyeceğinin ya da farklı bir kişi(ler) üzerinden tekrar bu işlemlerin yapılmayacağının garantisi bulunmamaktadır. Diğer yandan forensic, yani adli bilişim devreye girmektedir. Kurumdan sızan verinin önemi ölçekleniyor ve bu sızıntıya neden olmuş olan zafiyetlerin tespit işlemleri başlatılıyor. Forensic eğitimi kitabı ortalama 1500 sayfadan oluşuyordu. En azından benim aldığım eğitimde verilen kitap bu boyutta idi ve hiçbir gereksiz bilgi bulunmamaktaydı. Forensic “ince eleyip sık dokuma” işlemi olarak nitelendirebiliriz. Hiç bir şey gözden kaçmamalı ve gerektiğinde hukuk departmanını da sürece dahil ederek tüm deliller hukuk departmanı ile paylaşılarak ilerlenmelidir.
IOT teknolojisi artık hayatımızın bir parçası haline geldi peki siz bu teknolojinin insanlığa kattığı yararlar ve zararları hakkında neler düşünüyorsunuz?
Çok yeni bir teknoloji demesek de uzun süre olmamak kaydıyla bu ürünleri kullanıyoruz ve inanılmaz bir şekilde hayatımızı kolaylaştırmaktadır. Yakın zaman içerisinde bu sistemleri kullanmayan kişi sayısı çok az olacaktır. Bu da oluşacak tehlikenin ne kadar büyük olduğunu gösteriyor. Ürün üzerindeki yazılım ihtiyacı, sadece yapacağı hizmete odaklanarak yapılmaktadır. Bu nedenle bireysel ürünlerde çok büyük zafiyetler doğurabilmektedir. Bu durumu çok iyi bilen hacker grupları IOT sistemleri üzerinden birçok girişimde bulunmaya çalışmaktadır. Ki bazı kurumların hack edilme nedenlerinden bir tanesi de bu ürünleri kullanan ve güvenliği alınmamasından kaynaklanmaktadır. Datancenter’larda kullanılan SOC (Security Operation Center) hizmeti artık yavaş yavaş IOT sistemleri için de kullanılmaya başlandı. Her zaman söylediğimiz gibi,”bilinçli birey sayısı arttıkça, tehlike azalır”. Ama bu yine de “zincirin en zayıf halkasını insan oluşturur” durumunu değiştirmeyecektir.
KernelBlog ekibi hakkındaki görüşleriniz?
Böyle bir hizmeti ücretsiz yapıyor oluşunuz ve bir çok bilgiyi ve bir çok kişinin deneyimini paylaşıyor olmanız inanılmaz büyük bir emek verdiğinizi görüyorum. Daha çok kişiye ulaşmalı daha çok kişi bundan istifade etmeli. Bu kadar iyi ve sağlam sorular yönelteceğinizi tahmin etmemiştim açıkçası 🙂 sağlam bir ekip olduğunuzu görüyorum. Başarılarınızı devamını diliyorum.
Son olarak eklemek istediğiniz bir şey var mı?
Daha önce bu kadar “maalesef” kelimesini kullanmamıştım sanırım. Mümkün olduğunca resmi cevap yerine samimi cevaplar vermeye çalıştım. Umarım siber güvenlik mesleğinin ne kadar değerli olduğunu anlayacak bir politika/topluluk gelişir. Son olarak bu meslek kolay değil, maaş için bu mesleği seçmesinler. Bu meslek sevilmeden yapılırsa eziyet verir, zor olur, ömür tüketir. Bu nedenle merak ve heyecan her zaman action için gerekli. Maymun iştahlı olmasınlar, kesin kararlı olsunlar. Bu yola gönül ve ömür vermeliler. Klişe olacak ama çok okusunlar çok araştırsınlar. Herkese mutlu ve sürdürülebilir bir gelecek diliyorum. Bana bu imkanı verdiğiniz için de ayrıca teşekkür ediyorum. Görüşmek dileğiyle.