STM Teknolojiden Sorumlu Genel Müdür Yardımcısı Ömer Korkut ile yapılan ve MSI Dergisi’nin 147’nci sayısında yayımlanan söyleşi, derginin İnternet sitesinde paylaşılmıştır:
“Hedefimiz, siber güvenlik alanında, uluslararası bir marka yaratmak.”
STM, siber güvenlik alanındaki en büyük kozlarından birisi olan Siber Füzyon Merkezi (SFM)’nin, 17 Mayıs 2016’da hizmete girmesi ile bu alandaki iddiasını ortaya koydu. STM’nin siber karargâhı olan SFM’yi ve firmanın siber güvenlik konusundaki çalışmaları hakkında, STM Teknolojiden Sorumlu Genel Müdür Yardımcısı Ömer Korkut’tan bilgi aldık.
MSI Dergisi: Ömer Bey, öncelikle SFM’nin yapısı hakkında bilgi verir misiniz?
Ömer KORKUT: Füzyon kelimesi, zaten bir araya getirme, birleştirme ve parçalardan bir bütün oluşturma anlamına geliyor. SFM’nin de aslında çıkış noktası burası. SFM, üç ana temel taştan oluşuyor: Siber İstihbarat Merkezi (SİM), Siber Harekât Merkezi (SHM) ve Zararlı Yazılım Laboratuvarı.
SİM, haber kaynaklarını sürekli izliyor, buralardan neticeler çıkartmaya çalışıyor. Bir siber saldırı gerçekleşmeden önce, birtakım emareleri olur. Siber saldırıda rol alacak olanlar; hacktivist dediğimiz, kendinden motive bilgisayar korsanları (hackerlar) olabilir, devlet destekli gruplar olabilir veya gerçekten siber suçlular olabilir. Bunlar, bir şekilde birbirleri ile ağ üzerinden haberleşiyorlar. Kendi web sayfaları var. Ya da sizin benim gibi sıradan İnternet kullanıcılarının erişmediği, Deep Web (Derin Web); daha da dibe gittiğimizde, Dark Web (Karanlık Web) dediğimiz, İnternet’in, yasadışı işlerin yapıldığı kısmı var. Buralar, kullanıcıların izlerinin takip edilememesi için, çok dinamik bir şekilde, sürekli bir değişim içerisinde. İnternet’in bu kısmını takip edebilmek de bir marifet. Dolayısı ile SİM, yine STM tarafından geliştirilen yazılımlar ile normal web sayfalarını, Derin Web’i, Karanlık Web’i ve özellikle bu tip saldırganların kullandığı kaynakları, hissettirmeden tarıyor. Bu işi yaparken kendinizi fark ettirmemeniz çok önemli; çünkü varlığınız hissedildiği anda, orası size kapatılıyor. Crawler olarak tabir ettiğimiz yazılımlar vasıtasıyla buraları hissettirmeden izliyoruz. Şu anda, 100’e yakın Crawler’ımız var ve bunlarla Karanlık Web’dekiler de dâhil olmak üzere, 40.000’e yakın web sitesini takip ediyoruz. Bunlar, anlık olarak, insan eli değmeden yapılıyor. Tabii biz her zaman için, sadece ve sadece, siber güvenlik etki alanında istihbarat topluyoruz. Aslında bu web sitelerindeki, herhangi bir anormal durum işareti veren bütün duyumları alıp, derleyip, gerçekten anlamlı bilgiye çevirip, istihbarat hâline getiriyoruz. Bunu da gerek müşterilerimizle gerekse SHM ile paylaşıyoruz.
SİM ve SHM, sürekli iletişim hâlindeler. SİM, çıkarttığı neticeleri, SHM’ye aktarıyor. SHM de STM ağını ve müşterilerinin ağlarını, çevrimiçi, yani canlı olarak izliyor. SHM, herhangi bir anormal durum ortaya çıktığında, bunu değerlendiriyor ve gerektiğinde müdahaleye başlıyor. Belli kurallar dâhilinde, belli eşik değerler aşıldığı takdirde, bunlar, 1’inci seviye analistler tarafından, anormal durum olarak değerlendiriliyor. İlk 15 dakika içerisinde, konuyla ilgili değerlendirme yapılıyor ve 2’nci seviye analistlere aktarılıyor. 2’nci seviye analistler ise bunun gerçekten bir sorun olup olmadığının kararını veren kişiler aslında. Gerçekten bir sorun olduğunu düşünüyor isek ve bu sorun, zararlı bir yazılım ise bu zararlıyı alıyoruz ve Zararlı Yazılım Laboratuvarı’na veriyoruz. Artı, bir saldırı geliştiğini gördüğümüzde, alınması gereken tedbirler için, hemen kendi personelimizi, müşteri mevkiine gönderiyoruz. Müşteri ile yaptığımız anlaşmaya göre, müşterinin müdahale ekibini de bu konuda anlık olarak uyarıyoruz.
Zararlı Yazılım Laboratuvarı, diğerleri gibi çevrimiçi çalışan bir birim değil. Birçok saldırı çeşidi var. DDoS (Distributed Denial of Service / Dağıtık Hizmet Dışı Bırakma) dışındaki saldırıların çoğunluğu, zararlı bilgisayar kodları üzerinden gerçekleştiriliyor. Örneğin; Advanced Persisting Threat (APT / Gelişmiş Israrlı Tehdit) dediğimiz, daha uzun soluklu, ağlara fark ettirmeden sızıp, uzun süreler içeride kalıp, bilgi casusluğu yapan tehditler var. Ya da her gün karşılaştığımız Oltalama (Phishing) saldırıları gibi. Elektronik postanın ekinde, telefon faturası diye size gönderilen şey, aslında bilgisayarınızı ele geçirmek ve planlı bir siber saldırıda kullanmak için size gönderilen bir dosya olabiliyor. Yine çok yaygın fidye yazılımları da buna bir örnek. Bunların tamamı, zararlı yazılımlar. Zararlı Yazılım Laboratuvarı ise hem STM’nin kendi ağındaki hem de müşterilerinin ağındaki, bir şekilde bulunan zararlı yazılımları veya zararlı olduğu tahmin edilen yazılımları, çevrim dışı olarak analiz etmek maksadıyla kurulmuş bir laboratuvar. Bu yazılımları alıp, bizim kum havuzu dediğimiz ortamlarda çalıştırıyoruz. Eğer zararlı yazılım çalışır durumdayken analiz edilirse buna dinamik analiz diyoruz. Ama bu yazılımlar, enteresan bir şekilde, bazen çalışmıyor veya çalıştırdığınız zaman, davranışları hakkında çok fazla fikir sahibi olamıyorsunuz. Daha derin araştırma ihtiyacınız olabiliyor. O zaman da statik analiz dediğimiz yöntemle kodu inceliyoruz. Tabii bu statik analizde, binlerce satırlık kodun her satırına tek tek girip bakmak çok kolay değil. Bu iş için kullandığımız özel araçlar var. Bu araçlarla belli noktalarda, belli davranışları sergileyecek kodları tespit ediyoruz.
MSI Dergisi: STM, kendisini siber saldırılardan nasıl koruyor?
Ömer KORKUT: Organizasyonumuzda, bu iş için de bir birim var. Kamuda, daha çok bilgi işlem dairesi, bilgi işlem merkezi diye isimlendirilen organizasyonunun karşılığı olan bu birimin STM’deki adı, Kurumsal Bilgi Yönetimi Müdürlüğü (KBYM). Bu birim de Teknoloji Genel Müdür Yardımcılığına bağlı. Aslında KBYM personeli, bizim olay müdahale timimiz olarak görev yapıyor. Örneğin, İstanbul ve Gölcük’teki birimlerimizin de dâhil olduğu ağımıza yönelik bir saldırı istihbaratı alırsak hemen SHM’ye bilgi vererek onları alarma geçiriyoruz. 2’nci seviye analist; “Evet, bu bir siber olaydır!” dediği anda, sürecimiz gereği, KBYM Bilgi Güvenliği Birimi ikaz ediliyor. SHM’nin yaptığı bildirime göre; bu bir DDoS saldırısı ise ilgili cihazda kapasite arttırımı yapılması gibi; bir oltalama saldırısı ise elektronik postaların karantinaya altına alınması veya zararlı trafiğin geldiği İnternet adreslerinin engellenmesi gibi önlemler, KBYM tarafından alınıyor.
MSI Dergisi: STM’nin, kendisini, herhangi bir kurum veya kuruluştan daha fazla koruması gerekliliği gibi bir durum söz konusu mu?
Ömer KORKUT: Kesinlikle gerekiyor. Sizlerin de yakından takip ettiğiniz, Bayrağı Yakala (Capture The Flag / CTF) etkinliklerimiz var. Bu sene, CTF’yi duyurmaya başladıktan birkaç gün sonra, şiddetli bir DDoS saldırısına maruz kaldık. Burada, SFM’nin ve özellikle SİM’in önemini bir kez daha gördük. Zira söz konusu saldırıyı, SİM vasıtasıyla önceden tespit ettik ve gerekli önlemleri aldık. Siber ortamda faaliyet gösteren değişik gruplar var. Bize, “Siz CTF’yi düzenliyorsunuz, siber güvenlik alanında kabiliyetiniz olduğunu söylüyorsunuz; bakalım kendi ağınızı koruyabiliyor musunuz?” dediler bir anlamda. Tabii iyi niyetli siber saldırı olmaz; ama bizim reflekslerimizi canlı tutma açısından, yararlı oluyor bu tür saldırılar. STM’nin, siber güvenlik alanında, CTF benzeri etkinlikler yapması ve kendini ön plana çıkarması, bir meydan okumadır aslında. Caydırıcılık meselesidir. Bu sizi doğrudan zaman zaman hedef hâline getirebilir. İşte biz bunu da bilerek zaten faaliyetlerimizi ve tedbirlerimizi düzenliyoruz.
MSI Dergisi: STM, siber güvenlik hizmetleri alanında bir marka olma yolunda ilerliyor diyebilir miyiz? Siber güvenlik konusunda STM ile çalışan kurum ve kuruluşlar için; “Burası STM ile çalışıyor, buraya bulaşmayalım!” gibi durumlar yaşanıyor mu?
Ömer KORKUT: Hedefimiz, siber güvenlik alanında, uluslararası bir marka yaratmak. Çalışmalarımız da bu yönde ilerliyor. Tabii her zaman bu tip meydan okumalar olacaktır. Bize de müşterilerimize de. Günümüzde, artık “Hibrit Savaş” kavramı öne çıkıyor; uluslararası anlaşmazlıkların siber dünyaya da yansımaları oluyor. İki ülke arasında tansiyon yükseldiğinde, akla hemen, “Siber saldırı olur mu?” sorusu geliyor. Dolayısı ile sadece çalıştığımız kurum ve kuruluşlar için değil, markamızı, Türkiye için bir güvence hâline getirmeyi hedefliyoruz.
SFM, İlk ve Tek
MSI Dergisi: STM Siber Füzyon Merkezi, nasıl bir boşluğu doldurdu? Hizmet verdiğiniz alandaki ihtiyaçlar, daha önce nasıl karşılanıyordu?
Ömer KORKUT: Siber savunma kavramından siber güvenlik kavramına geçtiğimiz, yakında da siber saldırı kavramına geçeceğimiz bir evrimleşme sürecini yaşıyoruz. Bundan 10 sene önce, siber savunma deniliyordu; şimdi siber güvenlik deniliyor. Artık siber saldırı, siber mühimmat terimleri de kullanılmaya başlandı. STM de 2010’lu yılların başında, bu konuda sektörde bir boşluk olduğunu görerek, Savunma Sanayii Müsteşarlığı (SSM) ile istişareler yaptı ve Bütünleşik Siber Güvenlik Sistemi Ar-Ge Projesi ile çalışmalarına başladı. Proje, bir prototip oluşturmak; ondan sonra da bir fizibilite raporu hazırlamak şeklinde kurgulandı. Böylece, 2011 senesinde başlayan süreçte, 2017 yılına geldiğimizde, SFM’yi hayata geçirdik.
SFM, Türkiye’de ilk ve tek. SFM’yi kurmadan önce, yurt dışında, bu işi gerçekten yaptığını söyleyen ve yaptığını bildiğimiz, kurum ve kuruluşları ziyaret ettik. Oradaki modelleri inceledik ve bu modellerden, ülkemiz için en uygun olanını adapte ederek SFM’yi kurduk. Türkiye’de, bizim SHM’nin görevini yapan, SOC (Security Operations Center / Siber Güvenlik Merkezi) olarak sınıflandırabileceğimiz yapılar bulunuyor. Hem kamuya hem özel sektöre, sadece siber güvenlik merkezi veya sadece harekât merkezi hizmeti değil, aynı zamanda siber tehdit istihbaratı hizmeti de sunabilecek ilk ve tek merkez ise SFM. Dolayısıyla özellikle tehdit istihbaratı anlamında, büyük bir boşluğu doldurmayı hedefliyoruz ve Ulusal Siber Olaylara Müdahale Merkezi (USOM) ile bu konuda koordineli çalışıyoruz.
MSI Dergisi: Bir Siber Füzyon Merkezi’nin yetkinliklerini; personel, kullanılan araçlar ve istihbarat kaynakları olarak sıralayabiliriz. Bu kapsamda, öncelikle personeli sormak istiyoruz. Ekibiniz kaç kişiye ulaştı? Bu ekibin gelişimi nasıl oldu?
Ömer KORKUT: Sadece SFM ekibi olarak değil, siber güvenlik ekibinden toplu olarak bahsetmekte fayda var. Biz, siber güvenlik personeline şöyle bakıyoruz: Bir, operasyonel işleri yöneten siber güvenlik personeli ki SFM, bu operasyonun içerisinde. İki, bu operasyonda kullanılacak yerli ürünleri geliştiren ve siber güvenlik konusunda Ar-Ge yapan ekipler. Biz de bu şekilde teşkilatlanmış durumdayız. Personel sayımız, 40 kişiyi buldu. Bunun yüzde 40’ı Ar-Ge ve ürün geliştirme tarafında; yüzde 60’ı da operasyon tarafında görev yapıyor. Sene sonunda, asgari 50 kişi olmayı planlıyoruz. Gelecek seneden itibaren, her şey hedeflediğimiz gibi giderse siber güvenlik alanında, yıllık olarak yaklaşık %20 büyümeyi hedefliyoruz. Ama bu büyüme, o kadar kolay değil. Çünkü siber güvenlik, uzman bulmanın zor olduğu bir alan. Doğru personeli bulmak, onu sürekli güncel tutmak, yetiştirmek, yatırım yapmak, uzun vadeli düşünmek gerekiyor. Biz de siber güvenlik ile büyük veri (big data) konusunu beraber düşünüyoruz. İstihbarat konusunda, binlerce farklı kaynaktan veri topluyorsunuz. Burada da büyük veri devreye giriyor. Veri bilimcileri, büyük veri analistleri, büyük veri mühendisleri olmazsa sadece geliştirme yapan kişilerle bu veriyi anlamlı hâle getirme şansınız yok. Bizim yarattığımız farklardan birisi de büyük veri ile ilgili yetkinliklerimizden kaynaklanıyor. Büyük veri altyapısını STM içerisinde kurduk ve hem SİM hem de SHM, bu altyapı üzerinde çalışıyor.
Peki, burada kimler çalışıyor? Çok enteresan bir şeyden bahsedeceğim. Baktığınızda, mühendislik ağırlıklı bir firmayız. Siber Güvenlik ve Büyük Veri Müdürlüğü’nün mühendis ağırlıklı olabileceğini düşünebilirsiniz. Belirli bir yere kadar evet; ama belirli bir yerden sonra hayır. Niye? Çünkü karşı tarafta saldıranlar mühendis değil. Siber uzaydaki mücadele asimetrik. Karşı tarafın düşünce yapısını, bakış açısını belli oranda tahmin edebilirseniz ona karşı savunma stratejilerini daha iyi geliştirebilirsiniz. SFM’yi kurmadan önce, yaptığımızı incelemelerde şunu gördük: Evet, temel eğitim olarak ya da ileri eğitim olarak siber güvenliğe bir yerden dokunmuş insanlar var; ama bunlar arasında, lisans bölümü güzel sanatlar olanlar da var, müzisyenler de var. Evet, bilgisayar mühendisleri, elektronik mühendisleri de var; ama hukukçular da var. Yani mümkün olduğunca, bakış açısını çeşitlendirebilmek adına, farklı disiplinlerden insanları SFM’lere dâhil etmeye çalışmışlar ki bence çok doğru bir yaklaşım.
Dolayısıyla STM’ye girişte, diğer birimlerde mutlaka üniversite mezunu olma şartı var; ama siber güvenlikte bu şart yok. Yurt dışında duyuyoruz; lise öğrencisi, Pentagon’u hackledi diye. Bunun tabii magazin tarafı da var, gerçek tarafı da var. İşte biz gerçekten, standart eğitim almadan kendini bu konuda ciddi seviyede yetiştirmiş, profesyonellik seviyesine yaklaşmış, üniversite mezunu olmayan; ancak bu konuda gerçekten yatırım yapabileceğimizi düşündüğümüz kişileri de siber güvenlik ekibimize dâhil etmekte herhangi bir sakınca görmüyoruz. Tabii siber güvenlikte hata yapma şansınız yok; aldığımız arkadaşlarımıza güvenlik açısından başka bir gözle de bakıyoruz.
MSI Dergisi: Siber güvenlikle ilgili ayrı bir şirket yapılanması gündeme gelebilir mi?
Ömer KORKUT: Bunu söylemek için henüz çok erken. Gidişata bağlı olarak zaman gösterecek. Şu anda öyle bir hedefimiz yok.
MSI Dergisi: Kullandığınız yazılımların tamamı STM tarafından mı geliştirildi? Bu süreci biraz anlatabilir misiniz?
Ömer KORKUT: SFM’de kullandığımız yazılımların tamamına yakını, burada, STM mühendisleri tarafından geliştirildi. İstihbarat verisinde şöyle bir durum var: STM’nin, şu anda küresel olarak kullanılan bir ürünü olmadığı için, çok geniş bir müşteri kitlesinden veri toplama ve bunu istihbarata kaynak olarak değerlendirme şansı yok. Bunu yapan uluslararası şirketler var ve ücret karşılığında veri sağlıyorlar. Zararlı Yazılım Analiz Laboratuvarı’ndaki ürünler ise ya açık kaynak ürünler ya da lisanslı ticari ürünler. Ama oralarda da ürün geliştirme çalışmalarımız devam ediyor.
MSI Dergisi: Hangi yazılımı geliştireceğinize neye göre karar veriyorsunuz?
Ömer KORKUT: Süreç, bir araştırma ile başlıyor. Bir açıdan bakıldığında, STM, 26 senelik bir IT şirketi. Yazılım geliştiriyor ve geniş bir müşteri portföyü var. Savunma alanında 26 yıldır danışmanlık hizmeti verdiği için, Türk Silahlı Kuvvetleri (TSK) ne ister, nelere ihtiyacı vardır, bunları biliyor. Son zamanlarda, emniyet güçleri ile de yakın çalışıyoruz ve onların da taleplerini anlamaya başladık. Dolayısı ile gerek tecrübemiz gerekse müşterilerimiz ile ilgili birikimimizde fark yaratıyoruz. Ayrıca güncel teknolojiyi de yakından takip ediyoruz.
Hem yenilikçi ve gerçekten bir kabiliyet boşluğunu dolduran ürünler çıkartmaya hem de anahtar teslim taahhüt projeleri ile müşteri ihtiyacını karşılayan özel siber güvenlik çözümleri oluşturmaya çalışıyoruz. Kendi ürünlerimizi geliştirdiğimiz için, ufak modifikasyonlarla farklı kullanıcılardan, farklı sektörlerden gelen ihtiyaçlara göre çözümler ortaya çıkartabiliyoruz.
MSI Dergisi: SFM’de kullandığınız yazılımların, yurt dışındaki rakiplerine göre ya da alternatif yazılımlara göre avantajları nelerdir?
Ömer KORKUT: Burada, yerlilik ön plana çıkıyor. Siber güvenlik alanında, STM’nin adını, iki sene önce, Türkiye’de kimse duymamıştı. Yurt dışı kaynaklı çözümler kullanılıyordu. Bu durum, yurt dışına bağımlılık yaratır mı? Yaratmaz.
Bir de aynı kalitede hizmeti siz üretirseniz hem kamuda hem özel sektörde, herkes yerli üreticiyi tercih eder. Tabii ki verdiğiniz hizmetin kalitesini yüksek tutup fiyatı da rekabetçi bir yerde konumlamanız gerekiyor. STM’nin çözümleri ile ilgili farkındalık arttıkça, talep de STM’ye doğru yönelecektir. Nitekim SFM tarafından sunulan hizmetlere ilgi duyan özel sektör firmalarının sayısı da her geçen gün artıyor.
MSI Dergisi: STM, geliştirdiği ürünleri, bağımsız yazılımlar olarak da pazarlamayı planlıyor mu?
Ömer KORKUT: Tabii ki planlıyoruz. Aslında bu süreç, bizim siber güvenlik alanındaki Ar-Ge süreçlerimizin çıktıları ile ilişkili. Uzun soluklu bir Ar-Ge projemiz var. Ürünleri de bu yılın ikinci yarısından itibaren ortaya çıkacak ve bunları, müşterilerimize, paket ürünler şeklinde sunacağız. Bunlar, yazılım-donanım entegre çözümler de olabilir.
Hedef, Yurt Dışı Pazarlar
MSI Dergisi: Siber güvenlik konusunda Türkiye ve dünya pazarlarının büyüklükleri neler?
Ömer KORKUT: 2004’te, dünyadaki siber güvenlik harcamaları, 3,5 milyar dolardı. 2017’de ise 120 milyar dolar olması bekleniyor. 13 yılda, 35 kat artış gerçekleşmiş olacak. 2021 yılına kadar da kümülatif olarak, dünyada siber güvenlik alanında yapılacak harcamaların, 1 trilyon doları bulacağı tahmin ediliyor. Yıllık, %12-%15 arasında bir artış öngörülüyor. Türkiye’ye geldiğimizde ise durum biraz farklı. Türkiye’de, bu kadar kesin rakamlara ulaşmak çok zor. Geçtiğimiz 2 sene içerisinde, bu konularda araştırma yapan kurumların, farklı toplantılarına katıldım. Ciddi bir sistematik eksikliğimiz var. Yine de açıklanan resmi rakamlardan yola çıkarak size bir benzetim yapayım: Türkiye Bilişim Sanayicileri Derneği (TÜBİSAD)’nin rakamlarına göre, 2015 yılında, Türkiye’de IT sektöründeki harcama, 81 milyar lira. Siber güvenlik harcamalarını da bunun içerisinde kabul etmemiz lazım. Bu rakam, 2015’ten 2016’ya geçişte, yaklaşık %18 büyümüş. 2016’da da bir %18’lik büyüme olduğunu varsayarsak, 2017 yılı için, 96 milyar lira, yani yaklaşık 26 milyar dolar eder. Baktığımızda, dünya genelinde IT’ye yapılan harcamaların, sadece %3’ü siber güvenliğe harcanıyor. Çok iyimser bir tahminle dünya ortalaması %3 ise Türkiye ortalaması, en iyi ihtimalle %2’dir. Sonuç olarak, 2017 yılındaki bu 26 milyar doların, en fazla 500 milyon doları, siber güvenlik alanında harcanmış diyebiliriz. Türkiye, 2017 yılında, siber güvenliğe 500 milyon dolar harcıyorsa bence iyidir. Bunlar, sektördeki 20 yıllık tecrübeme dayanarak yaptığım öngörüler.
MSI Dergisi: Yurt dışında müşterileriniz var mı?
Ömer KORKUT: Şu anda yok; ama ciddi potansiyel olduğunu ve çok kısa sürede projeler hayata geçirebileceğimizi, ihtiyatlı bir iyimserlikle söylüyorum. STM’nin, yurt dışında başka iş bağlantıları var; onların da yurt dışındaki iş geliştirme sürecimize katkıda bulunacağını düşünüyorum. Gerek Orta Doğu bölgesinde gerekse bizim yakın olduğumuz diğer coğrafyalarda, herkes, dost yardımıyla da olsa kendi çözümlerini geliştirmeyi hedefliyor. Türkiye’de, siber güvenlik ile ilgili elde ettiğimiz birikimi, oradaki dostlarımızın ihtiyaçlarını sağlayacak şekilde özelleştirmeyi ve onlarla birlikte hizmete sunmayı hedefliyoruz. Bu işin iki temel basamağı var: Birincisi, eğitim. O bölgede, Türkiye’dekinden çok daha fazla insan gücü açığı var. Dolayısıyla bize bölgeden gelen ilk talep, profesyonel iş gücünün eğitimi oluyor. Bu anlamda, STM Akademi çatısı altında, hem özel sektöre hem kamu kurumlarına, siber güvenlik eğitimleri vermeyi hedefliyoruz. Daha sonra, SFM benzeri yapıların, oralarda kurularak teslim edilmesini öngörüyoruz. Bu merkezlerde, STM’nin özgün ürünleri de kullanılabilir. Özgün ürünlerimizi, kolaylıkla onların istediği şekilde özelleştirebiliriz. Hatta onlara da benzer ürünleri geliştirmeyi; kendi çözümlerini üretmeyi öğretebiliriz.
MSI Dergisi: Bu hizmetleri, danışmanlık kapsamında değerlendirebilir miyiz?
Ömer KORKUT: Tabii ki. STM’nin kamuyla olan ilişkisini ve SSM ile olan bağını bilen kamu kurumları, bize gelip “Bizim güvenliğimizi inceleyin, bir durum tespiti yapın. Neye ihtiyacımız var, söyleyin.” diyorlar. Biz de onların bu taleplerini karşılamak için, elimizden geleni yapıyoruz. Genelde süreçler, buna benzer danışmanlık projeleri ile başlıyor ve karşılıklı güven ilişkisi kurulduktan; yetkinliklerimiz, hizmet verdiğimiz kurumlar tarafından görüldükten sonra, daha yakın çalışmaya başlıyoruz. Danışmanlık, aslında STM’nin 26 yıl önce kurulduğu günden beri, ana faaliyet alanlarından bir tanesi. Siber güvenlik danışmanlığı da bunun içerisinde yer alıyor.
MSI Dergisi: TSK ve Emniyet Genel Müdürlüğü (EGM) ile hangi seviyede, nasıl ilişkileriniz var?
Ömer KORKUT: STM, 2011 yılından itibaren, siber güvenlik ile ilgili yetenekler geliştirmeye başladı ve böylece, TSK’nın hizmet alacağı şirketler listesine girdi. 2013 yılında tesis edilen TSK Siber Savunma Komutanlığının, SSM ile uzun zamandır üzerinde çalıştığı bir Siber Savunma Merkezi (SİSAMER) Projesi var. Bu, SSM’nin doğrudan temin yöntemi ile STM’yi görevlendirdiği bir proje. Sözleşmesini, 16 Aralık 2016 tarihinde imzaladık. 23 Şubat 2017 tarihinde de proje takvimi işlemeye başladı. Bu projeyle ilgili öngörülen yetenekleri, 23 Nisan 2018 tarihi itibarıyla TSK’ya teslim etmiş olacağız.
EGM’nin, Siber Suçlarla Mücadele Daire Başkanlığının ihtiyacı olan bir projede, yine SSM tarafından, doğrudan temin yöntemiyle STM görevlendirildi. Bu projenin de bütün hazırlıkları tamamlandı. Proje takviminin, bu yılın ikinci yarısında işlemeye başlamasını öngörüyoruz.
Bu projeler devam edecektir. TSK için yaptığımız çalışmanın, Kuvvet Komutanlıklarını daha geniş bir alanda kapsayacak şekilde devam edeceğini düşünüyoruz. EGM’de de benzer şekilde, konuyla ilgili ihtiyaç duyan birimlerin projelerinin gündeme gelmesini bekliyoruz.
MSI Dergisi: Türkiye’de, kaç kurum ve kuruluşa hizmet veriyorsunuz? Bunların devlet-özel sektör olarak dağılımları, özel sektörün çalışma alanlarına göre dağılımları nasıl?
Ömer KORKUT: Özel sektörde, an itibarıyla uzun soluklu hizmet ve iş birliği anlaşmamız olan iki önemli kuruluş var. Bunların dışında, benzer hizmetleri sunmak için anlaşma aşamasına geldiğimiz, üç kuruluş daha var. Bu kuruluşların farklı sektörlerde olması, bizim çok yönlü yeteneklerimizin kabul gördüğünün de bir kanıtı niteliğinde. Bu kapsamda hizmet sunduğumuz ve görüşmelerimizin son noktaya geldiği kuruluşların faaliyet gösterdiği sektörler, ağırlıklı olarak; savunma, iletişim, finans ve ulaştırma. Ayrıca, enerji, sigorta, üretim/sanayi ve sağlık sektörlerine de hizmet sunma konusundaki iş geliştirme faaliyetlerimiz devam ediyor. Kamu tarafında ise danışmanlık hizmetleri, taahhüt projeleri veya daha farklı yöntemlerle şu anda 11 kurumla çalışıyoruz. Bu kamu kurumlarının içerisinde; TSK, EGM, Sağlık Bakanlığı ve Çalışma ve Sosyal Güvenlik Bakanlığı bağlısı kurumlar ile yerel yönetimler var.
Özellikle enerji güvenliği, çok önemli bir konu. Dolayısıyla enerji sektöründe, mutlak surette, hem kamu da hem özel sektörde yer almayı hedefliyoruz. Umut ediyoruz ki; 2017 içerisinde, hem kamuda hem de özel sektörde hizmet verdiğimiz kuruluşların sayısı, siber güvenlik farkındalığının artışına bağlı olarak hızlı bir yükseliş gösterecek.
MSI Dergisi: Özel sektörle attığınız ilk imza hangisi?
Ömer KORKUT: Siber güvenlik ve büyük veriyle ilgili, 2016 yılında, TEMSA ile bir imza attık. Büyük veri ile ilgili bir çalışma; ama siber güvenlik tarafı da var. TEMSA’nın ürettiği otobüslerin akıllı hâle getirilmesi ve bunların siber güvenliğinin sağlanması ile ilgili bir iş paketini, Haziran ayı sonunda bitirmiş olacağız. Bundan sonra üretilen her TEMSA otobüsü, STM’nin çözümleri ile akıllı birer platform olacak. Bu platformların her birinde, 250’ye yakın sensör var. Frenlerinden diferansiyeline, yakıtından yağına kadar her şey ile ilgili veri toplanıyor. Toplanan bu veriyi, platforma yerleştirdiğimiz bir telemetre cihazı ile formatlayıp 4,5G üzerinden, buluttaki büyük veri analitiği platformumuz olan OVERA altyapısı üzerine yüklüyoruz. OVERA, bu veriyi toplayıp, şoförün yokuş inerken fren mi yaptığı yoksa motor freni mi kullandığından tutun da aracın bir sonraki bakımına kaç kilometre kaldığına, şoför alışkanlığına, kestirimli bakıma, şoförün eğitimi ile ilgili girdi teşkil edebilecek çıktılara dair birçok bilgi üretiyor. Bu veri anlamlandırmasını, otobüsü satın alan firma da yapabiliyor. Burada ciddi bir haberleşme olduğu için, sistem İnternet’e bağlandığı için, araçların hacklenme ihtimali de var. Geliştirdiğimiz şeyi sadece akıllı hâle getirmeyelim; aynı zamanda da güvenli olsun dedik. Dolayısı ile bunu kısmen de olsa bir siber güvenlik projesi kabul edecek olursak aslında ilk anlaşmayı TEMSA ile imzaladık diyebiliriz.
MSI Dergisi: Ürün ve çözüm geliştirme konusunda iş birliği yaptığınız kurum ve kuruluşlar var mı?
Ömer KORKUT: İş birliği yapmak zorundayız. Neden? Biz zaten, şirket olarak yaklaşık 700 kişiyiz. Ama bu konuda yapılacak o kadar çok iş var ki. 700 kişinin tamamı siber güvenliğe adansa yine de yetmez. Dolayısıyla mutlak surette iş birliği yapmak zorundayız. Bir siber güvenlik ekosistemine ihtiyacımız var. SİSAMER projesi, yüksek oranda yerliliğin talep edildiği bir proje. Biz de bu proje kapsamında; ürün, hizmet ya da çözüm geliştirmiş yerli ortaklar ediniyoruz. Bu ortaklarımızı da kendilerini ispat ettikleri takdirde, potansiyel projelerimize terfi ettiriyoruz.
STM olarak, bizim Ar-Ge projelerimizin neticesinde geliştirdiğimiz ve geliştireceğimiz ürünler var. Kendimize özel alan olarak seçtiğimiz; özellikle tehdit istihbaratı konusunda kendimizi geliştirdiğimiz ve ürün hâline getirdiğimiz uygulamalarımız ve yeteneklerimiz de var. Ama siber güvenlik, çok geniş bir alan. Bunların hepsini bizim geliştirmemiz mümkün değil. Kaliteli ve zamanında çözüm geliştiren, siber güvenlik alanında faaliyet gösteren tüm yerli firmalar, aslında bizim doğal çözüm ortağımız.
Siber güvenlik, milli güvenliğin parçası. Özellikle kamuya baktığımızda, olabildiğince yerli ürünlerle siber güvenliğin sağlanmasının tercih edilmesi gerekir diye düşünüyorum. Bir plan dâhilinde, kaynak optimizasyonu yaparak ve her alanda olduğu gibi bu alanda da kısa-orta-uzun vadeli plan yaparak ilerlemek lazım. Hangi ürünlere milli olarak ihtiyacımız olduğunu ve bunların kimler tarafından, hangi sürelerde, nasıl geliştirileceğine dair, daha yukarıdan koordinasyon ve hatta yönlendirmeye ihtiyaç var.
Türkiye’de, aslında siber güvenlik alanında kaplanması gereken o kadar büyük bir satıh var ki; bizim birbirimizle rekabet etmek gibi bir sorunumuzun olmaması lazım. Yani siber güvenlik işinde aktör olduğunu iddia eden şirketlerle rekabet değil iş birliği yapmamız lazım. Bu konuda yetenek geliştiren tüm kuruluşlar, imkân ve kabiliyetleri doğrultusunda, doğru yere odaklanmalı. Rekabet, erişilmek istenen kaynağın kısıtlı; bu kaynağa erişmek isteyen taliplilerin sayısının fazla olduğu ortamda söz konusudur. Oysa bu alanda, ülkemizde o kadar çok yapılacak iş var ki; bu açığı kapatmak için, aslında mevcut yetkin oyuncuların sayısı yeterli değil. Şu anda, siber güvenlik alanında, gerçekten çözüm üreten kuruluşların sayısı iki katına çıksa belki ihtiyaç ancak karşılanabilir.
STM’nin Siber Savaştaki Akıllı Silahları
MSI Dergisi: Yürüttüğünüz Ar-Ge projelerinden bahseder misiniz?
Ömer KORKUT: En önemli Ar-Ge projemiz CYDCSYS; yani Cyber Decision System (Siber Karar Destek Sistemi). CYDCSYS aslında şu: Biz OVERA’yı, hem siber tehdit istihbaratı tarafında hem de siber güvenlik harekâtında, siber güvenlik altyapımızı güçlendirsin diye geliştirdik. Ama OVERA, daha sonra çok iyi bir yere geldi; diğer sektörlerde de kullanma kararı verdik. CYDCSYS projesinin bir basamağı, aslında OVERA’nın teşkil edilmesiydi. Bunu da başardık.
CYDCSYS, bir karar destek sistemi. Türkiye’de karar destek sistemleri algısı, bizim iş zekâsı dediğimiz, kullanıcıya, önce renkli, güzel grafikler gösteren; sonra da kullanıcının karar vermesini bekleyen uygulamalardan çok öteye geçemiyor. Biz CYDCSYS ile bunu bir adım öteye görüyoruz. Artık CYDCSYS sayesinde, siber güvenlik konusunda bir saldırı olup olmadığı daha kolay anlaşılabilecek. Bu uygulama, analistlere yardımcı olacak; alternatif çözümler önerecek. Makine öğrenmesi ve derin öğrenme tekniklerini kullanacak; yine füzyon mantığının ve vizyonunun bir parçası olacak. Çok farklı yerlerden gelen verileri birleştirecek ve bunları değerlendirecek.
Proje kapsamında geliştirdiğimiz CYRISK diye bir modülümüz var. Maalesef %100 güvenlik yok. Çünkü her açığı kapatacak kadar çok kaynak, her zaman bulunamıyor. “Siz her açığı kapatmak zorundasınız; ama saldırgan tek bir açık bulsa yeter.” diye de bir söz var. Dolayısıyla risk yönetimi yapıyor olmamız lazım. Risklerimizi doğru skorlayıp; ona göre tedbirler almamız gerekiyor.
Bunlar için, CYRISK’te olduğu gibi, şu anda yapılanlardan farklı bir şey yapmalısınız. Burada, üniversite-endüstri iş birliğine çok önem veriyoruz. Farklı üniversitelerden danışmanlık alarak hocalarımızla beraber çalışıyoruz. Bu, uzun soluklu bir proje ve 2017 sonunda, bu projenin belli çıktılarının ürün olarak konumlandırılmasını planlıyoruz. Şu anda en önemli ve en büyük projemiz bu.
Ayrıca, yine iç ürün geliştirme olarak yaptığımız ve CYDCSYS’ten bağımsız olarak, siber tehdit istihbaratını kompakt bir ürüne dönüştürme projemiz var. Bunu hayata geçirmeye çalışıyoruz. O da 2017’nin, 3’üncü çeyreğinde hazır bir ürün olarak müşterilerimize sunulma aşamasına gelecek.
MSI Dergisi: SFM ile ilgili ciro, çalışan sayısı, iş hacmi gibi konularda nasıl bir gelecek öngörüyorsunuz?
Ömer KORKUT: Siber güvenliğin tamamı için, 2017-2019 yılları arasında kendimize koyduğumuz hedef, ciro olarak 200 milyon doların üzerinde. Tabii Türkiye, eğer yılda 500 milyon dolar harcayacaksa biz 3 yıl için, yüksek bir hedef koyuyormuşuz gibi görünüyor. Türkiye pazarı ne kadar genişleyecek, nerede kalacak, nereye gidecek diye baktığımızda, bu hedef, sanki tek bir kurum için yüksekmiş gibi gelebilir; ama yüksek hedef koymak, bir nevi sizin bu konudaki vizyonunuzu ve motivasyonunuzu gösterir.
MSI Dergisi: Önümüzdeki dönemde, yurt dışı müşterilerle ulaşmayı hedeflediğiniz bir iş hacmi var mı?
Ömer KORKUT: Evet, siber güvenlik alanında, ihracat hedeflerimiz de var. Bu hedefler de az önce bahsettiğim ciro hedefinin, yaklaşık %30’u mertebelerinde diyebilirim.
MSI Dergisi: Eklemek istediğiniz başka bir konu var mı?
Ömer KORKUT: İki konu var aslında. Bir tanesi eğitim. Ne kadar otomasyon olursa olsun ne kadar makinalardan yardım alırsak alalım, illa ki insanla yapıyoruz işimizi. Dolayısıyla sadece Türkiye’de değil, tüm dünyada siber güvenlik profesyonelleri açısından çok büyük bir açık var. Biz, siber güvenlik konusunda görevlendirdiğimiz arkadaşlarımızı, ciddi bir eğitime tabi tutuyoruz. Bunu bir yatırım olarak görüp, arkadaşlarımızın yurt dışında, gerçekten prestijli kurumlardan eğitim almalarını sağlıyoruz. Ama sadece bizim belli yetkinliğe ulaşmamız yetmez. Mutlak surette, siber güvenlik ile ilgili bütün profesyonellerin, hem kamuda hem özel sektörde yetişmiş olması gerekiyor. Çünkü bu, bir bütünün parçası. Ülkenin bir yerindeki siber güvenlik ile ilgili bir zafiyet, bütün ülkeye sirayet edebilecek bir seviyeye gelebilir; çünkü herkes birbirine bağlı. Biz bu konuda tedbirler almak adına, STM Akademi çatısı altında eğitimler veriyoruz. En üst seviye yöneticinin siber güvenlik farkındalık eğitiminden, en alt seviyede bir zararlı yazılım analizcisinin pratik olarak alması gereken eğitime kadar, çeşitli seviyelerde eğitimler. Bunu da hem kamu hem de özel sektöre açıyoruz.
İkinci konu da Cyber Resilliance (Siber Güvenlik Dayanıklılığı). Silah sisteminden tutun, komuta kontrol sistemi yazılımlarına kadar, yurt dışından aldığınız farklı donanım ve yazılımlar olabiliyor. Bunların Siber Güvenlik Dayanıklılığı’nı biliyor olmamız lazım. En azından, arka kapı olmadığından emin olmalıyız. Özellikle de kritik görevlerde kullanılacak yazılım ve donanımın, mutlak surette belli şartlarda kontrol edilmesi, siber güvenlik açısından bir açık yaratmayacağının garanti edilmesi gerekiyor. Bunun için prosedürler, aslında aşağı yukarı belli. Uluslararası standartlar var. STM’de, bu standartları sağlayan, bir değerlendirme ve sertifikasyon laboratuvarı kuruyoruz. Ortak kriterler temelinde olacak bir laboratuvardan bahsediyorum. Bununla ilgili, Türkiye’de birkaç tane kurum var; ama bunlar talebi karşılamakta zorlanıyorlar. Özellikle görev kritik anlamda kullanılacak yazılım ve donanımların, belli standartlarda siber güvenliğinin sertifiye edilmesi gerektiğini düşünüyoruz. TÜRKAK’tan da sertifikalandırılacak olan laboratuvarımızın hazırlıklarını, yıl sonuna doğru tamamlayacağız. İlk başta yazılımların, zaman içerisinde de özellikle savunma alanında silah ve komuta kontrol sistemleri dâhil olmak üzere, her türlü yazılım ve donanım biriminin siber güvenliğinin testinin ve kalifikasyonunun yapılacağı bir laboratuvar hâline getirmeyi planlıyoruz. Bu da siber güvenlikte faaliyet gösteren diğer kurumlardan bizi ayırt eden bir özellik olarak ortaya çıkacak.
STM Teknolojiden Sorumlu Genel Müdür Yardımcısı Ömer Korkut’a, zaman ayırıp sorularımızı cevaplandırdığı ve verdiği bilgiler için, okuyucularımız adına teşekkür ediyoruz.