Burak ÇİFTER (SİBER GÜVENLİK UZMANI)

Röportaj: @Sezai ŞENGÖNÜL

Nerelisiniz Burak Bey, biraz ailenizden bahseder misiniz?

1983 yılında Adana da doğdum. Adanalı olmaktan da her zaman gurur duyarım, bunu da belirteyim bu arada. Aileme gelince; anne tarafım aslen Konya/ Ermenekli . Baba tarafım ise İstanbullu.

Mesleğiniz, siber güvenlik uzmanlığı. Siber güvenlik nedir, neleri kapsar?

Öncelikle siber ortam nedir bunu anlayabilirsek güvenliğini daha rahat tanımlayabiliriz. Bilgisayar ve bilgisayar ağlarının doğuşu ile birlikte, gerçek dünyanın içerisinde fakat ondan ayrı bir düzlem oluştu. Gerçek dünyada denenmesi çok zor olan birçok koşulu yazılımlarla gerçekmiş gibi tasarlayıp geliştirmek mümkün oldu. Biz bu ortama ‘siber uzay’ veya ‘siber düzlem’ demekteyiz.

Bu yazılımlar ve bilgisayar donanımları geliştikçe en kritik sistemler de bunlara emanet edildi. Dijital ortamda olan verinin ve bu veriyi saklayan veya işleyen sistem bileşenlerinin güvenliğinin, gizliliğinin ve bütünlüğünün korunmasını kapsar.

Bilgisayar virüslerine merak salmıştım…

Peki, bu kavram ilk nasıl ortaya atıldı ya da çıktı?

Yaygınlaşan ve hedef haline gelen bilgisayar sistemlerinin korunması, geleneksel dünyamızın güvenlik anlayışıyla değerlendirilemeyince ‘siber uzay’ için ‘siber güvenlik’ kavramı ortaya çıktı.

Sizin bu alana olan ilginiz ne zaman ve nasıl başladı?

Çocuk yaşta bilgisayara ilgim başladı. Henüz internet bağlantım yokken etrafımdaki kişilerden program kodları ve programlama kitapları alarak program yazmaya çalışıyordum. Tabii o zamanlar şimdiki gibi yaygın değildi ve bilgiye erişmek çok zordu. Birçok şeyi deneme-yanılma ve gözlemleme ile kendi başıma öğrenmek durumundaydım. Bilgisayar virüslerine merak salarak, güvenlik alanına ilgi duymaya başladım. Sonrasında BBS ve internet erişimi zaten benim tüm hayatımı ve dünyamı değiştirdi.

Siber güvenlik uzmanısınız, bir siber güvenlik uzmanı olmak için şartlar neler ya da ne gerekir?

Öncelikle bir alanda uzman olabilmek için ön gereklilik tutkuyla o konuyu sevmek. Zira uzmanlık seviyesinde birikim gerektiren mühendisliklerin hemen hiç birisi diğerinden daha kolay veya daha az stresli değildir. Siber güvenliği diğer uzmanlıklardan ayıran henüz hem siber güvenliğin hem de bilgisayar ve internet gibi ana teknoloji bileşenlerinin hala olgunlaşmakta olması ve oturmuş bir yapısının olmaması. Her gün gelişen bir konunun uzmanı olmak kolay değil. Asla "oldum” diyemiyorsunuz…

Neden ki?

Zira her gün yeni bir teknolojik yenilik çıkıyor ve beraberinde farklı bir güvenlik yaklaşımı getirebiliyor. Bu yüzden azimli, araştırmacı ve çok sabırlı olmak ön koşul.

‘Hackerlık’ siber güvenliğin neresinde yer alır? Bir ilintisi var mıdır?

Hackerlar (Bilgisayar Korsanı), popüler kullanımıyla, siber ortamda sistemlerin güvenlik açıklarını keşfeden ve bu zafiyetleri suiistimal edip bilgi sistemlerine sızan, niyetine bağlı olarak bazen bu sistemlere zarar veren veya veri çalan, bazen de sadece izleyip keşfeden kişilerdir. Siber güvenlik uzmanlığı kendi altında farklı alt dallara ayrılır. Sistem ve ağ koruma konusunda uzmanlık, uygulama güvenliği, zararlı yazılım analizi, iletişim güvenliği gibi uzmanlıkların yanı sıra güvenlik denetmeni veya sızma testi uzmanı dediğim uzmanlık, hacker’ların yaptıklarının daha kapsamlı olarak uygulanması ve sistemlerin güvenlik açıklarının tespit edilip kurumlara raporlanmasıdır. Yani hacker’lık elbette siber güvenlikle ilgilidir fakat siber güvenliği kapsamaz, ancak alt uzmanlık dallarından birisinin kurallara bağlı olmadan özgürce gerçekleştirilmesidir.

Hackerleri en mutlu eden şey!

İyi bir ‘hacker’ iyi bir siber güvenlik uzmanı olabilir mi?

Genelde hacker’lar belirli güvenlik açıklarında uzmanlaşmaktalar. Tabi burada kullandığımız ‘hacker’ tanımı popüler kültürdeki bilgisayar korsanı, gerçek "hacker”ları bu ifadeden ayrıştırmak lazım. Yeterince disiplinli şekilde çalışır ve tek bir alanda değil çeşitli alanlardaki zafiyetleri kullanabilme konusunda kendini geliştirirse ve bunu kurumlara sunabilmek için de gerekli olan ön bilgileri çalışırsa -evet- olabilir.

Hackerler dünyasını az çok tanıdığınız için ilginç bir soru sorayım. Bir hackeri en mutlu eden şey nedir ve de en korktuğu şey?

En mutlu eden şey hedef sisteme üst seviye yetkiyle sızmak, sistemi ele geçirmek elbette. En korkulan da yakalanmak (Gülümsüyor)

Siber alemde daha doğrusu hackerler dünyasında bir ‘lamer’ sözcüğü kullanıldığını okudum. Bu nedir?

Hacker olmayan ama hacker gibi davranan, basit güvenlik açıklarıyla sistemlere sızabilme becerisi olan ama kendi başına bir güvenlik açığı keşfetme kabiliyeti bulunmayan, çoğunlukla başkaları tarafından geliştirilen saldırı araçlarını kullanan, az bilgili olup da çok uzmanmış gibi davranan kişilere "lamer” denir.

Çok başarılı, ifşa olmamış hackerlarımız var!

‘Hacker’ açısından Türkiye nasıl, çokça ve iyi hackerlar var mı? Mesela bir öngörü olarak bir sayı verebilir misiniz bu konuda?

Bilinenler ve bilinmeyenler diye ayırmamız gerekir. Gerçekten çok başarılı olup da asla kimliği ifşa olmamış hackerlar da var. Haliyle bu şekilde olup da bilinmeyen bir çok hacker mevcuttur. Profesyonel anlamda siber güvenlik uzmanı çokça mevcut. Benim gözümde bu işi yine profesyonel olarak iyi şekilde icra eden kişi sayısı yirmiyi geçmez parmaklarını geçmez.

Tekrar siber güvenliğe dönecek olursak… Dünyada siber güvenlik açısından en sıkı ve iyi çalışmaların olduğu ülke ya da ülkeler hangisi?

Kendi değerlendirmeme göre sıralayarak söylersem; ABD, Çin, İsrail, Rusya, Fransa, İran, Almanya, Kuzey Kore. Farkında mısınız, saydıklarım aynı zamanda nükleer gücü olan olan ülkeler. Bu ülkeler bilime yatırım yapmanın boşa olmadığını somut olarak görmüş ülkeler aynı zamanda.

Gelecekte internet ve dijital iletişim her şeyin merkezi olacak…

Hımm… Bizim ülkemizde siber güvenlik çalışmalar nasıl, yeterince iyi mi veya ne aşamadayız…

Siber güvenlik alanında olmamız gereken yerde değiliz. Teknolojiyi üreten biz olmadığımız için güvenliğini de sağlamakta zorlanıyoruz. Belirli çalışmaları devlet destekliyor. Özellikle Ulaştırma Denizcilik ve Haberleşme Bakanlığı bu alanda inisiyatif aldı ve çok güzel faaliyetler gerçekleştirdi. Fakat farklı bakanlıklarda da farklı çalışmalar sürdürülüyor. Bunların artık daha organize, daha tek elden yönetilmesi ve özel sektörde siber güvenlik alanına yüksek seviyede yatırım gerekiyor. Bizim pek bir aşamada olduğumuzu söyleyemem, bu hem iyi hem kötü. Kötü çünkü geç kalıyoruz. İyi çünkü baştan doğru şekilde kurgulama şansımız var. Bu alana özel olarak yatırım yapmamız lazım. Teknoloji yatırımı ayrı, ondan bahsetmiyorum. Teknolojiye ne kadar yatırım yapılıyorsa, içerisinden siber güvenlik alanını ayıklayıp, bunu hepsinden ayrı ve stratejik olarak değerlendirip, teknolojiye yapılan yatırımın bir o kadarını da sadece siber güvenliğe yatırmak gerekiyor. Evet, belki yeteri kadar büyük kaynakları olan bir ülke değiliz ama silah ve savunma kavramı değişiyor. Milli savunma olarak değerlendirmemiz gerekiyor bunu. MİLGEM gibi milli projeler nasıl bizim gücümüzü ve caydırıcılığımızı arttırıyorsa, kendi siber güvenlik ürünlerimizin ve siber güvenlik alanında yetişmiş yetenekli insan kaynağımızın olması da aynı ölçüde gücümüzü ve caydırıcılığımızı arttırır. Bu alana ne kadar yatırım yaparsak yapalım asla yeterli olmayacak. Gelecek yirmi yıl, öngöremediğimiz ve çok radikal bir değişiklik olmadıkça, internet ve dijital iletişim her şeyin merkezi olacak. Siber güvenlik faaliyetlerine yatırım yapmanın önümüzdeki yirmi sene boyunca geri dönüşü olacak.

İsrail bu alanda…

Yatırım dediniz… En iyi olanla ülkeleri saydık pekala siber güvenlik alanında en fazla yatırım yapan ülke hangi ülke ya da ülkeler?

İsrail bu alanda en fazla şirkete ve ürüne sahip ülke. Siber güvenlik alanında hangi ürüne el atsanız ya şirket İsrail’dedir, ya şirket ABD’de kurulmuştur fakat Ar-Ge merkezi İsrail’dedir, ya kurucu mühendis kadrosu İsrail’dedir veya kullandıkları patentlerin yarısı İsrail menşeilidir. İsrail devleti bunu sağlamak için yıllarca muazzam yatırım yaptı. Az insan kaynağıyla çok işler başarmak için "bu az insanları hangi alanda yetiştirirsem en çok faydayı sağlarım” diye düşündü ve siber güvenlik, sinyal güvenliği gibi konulara odaklandı.

Şimdi size ilginç bir soru sorayım… Diyelim bir savaş çıktı, bu günkü şartlardaki teknolojilerle donatılmış askerlerden oluşan bir ordu mu, yoksa iyi bir siber güvenlik ordusuna sahip olan bir ülke ve ordusu mu bu savaşın galibi olur?

Bugün ülkelerin muharip güçleri karşılaştırılırken asker sayısından daha yüksek ağırlığa sahip olan birimler uçak gemileri, savaş uçakları, kendine has hava savunma sistemleri, elektronik savaş ekipmanları, kıtalar arası balistik roketleri, nükleer gücü. Bütün bu sistemler ile bilgisayarlarla ve karar destek sistemleriyle yönetiliyor. Yani asıl sayılan unsurların kendi güvenliğini tehdit etmek tabi ki asker sayısından çok daha önemli. Bu sadece bugün değil, 40 yıl önce de böyleydi, 400 yıl önce de. Sadece siber güvenlik değil, teknolojisi ileri olan ordu kuvvetlidir. Kılıçlı orduya karşı barutu keşfeden ordu, normal toplara karşı yivli topa sahip olan ordu, atlı birliklere karşı zırhlı araçları olan ordu daha başarılıdır.

Bir ülkenin kendi milli yazılımlarını, programlarını yapmasının yine o ülkenin siber güvenliğini sağlamada ne denli katkısı olur?

Bu ekstradan özel bir durummuş gibi düşünülse bile öyle değildir. Milli olması gereken sistemlerimiz var. Askeri sistemlerde, istihbarat birimlerde, güvenlik birimlerinde, devletin hassas verilerinin olduğu sistemlerde başından itibaren güvenlik odaklı olarak tasarlanmış, yerli mühendisler tarafından geliştirilmiş sistemler kullanılmalı. Bunun maliyeti ne olursa olsun yapılmalı. Yazılım yerli olursa, arka kapı olmadığından emin olunur. Ama yeterli değil, donanımın da yerli olması lazım. Montajını kastetmiyorum. Mikroçip seviyesinde güvenlik açıklarının, implantların, arka kapıların kullanıldığı bir dünyadayız.

Uçak ve helikopterlerin hacklenme ihtimali…

Uçak, Helikopter vb. hava ulaşım araçları… Bunlarda hacklenebilir mi?

Evet, hacklenebilir. İletişime açık sitemleri var sonuçta. Zaten cihazlar vasıtasıyla birbirleriyle haberleşiyorlar. Bu haberleşme kanalı saldırı yüzeyi olarak kullanılabilir. İletişim kriptosu zaten bu kanalların güvenliği ni sağlamak için var. Ama bu durum kırılmayacağı anlamına gelmez.

Gözlemlediğimizde anlaşılıyor ki her halükarda kişisel verilerimize çok istenirse ulaşılabilme imkanı her daim var. Bunu bir çok olayda gözlemledik, okuduk… Fakat şunlar yapılırsa bu risk çok aza iner diyeceğiniz en belli başlı hususlar var mı?

Kişisel kullanım için çok yaygın ve bilinen önerilerin dışında yapılabilecekler kısıtlı. Kuvvetli şifreler kullanın, her bir sitede farklı şifreler kullanın, şifrelerinizi düzensiz aralıklarla değiştirin, kendi bilgisayarınız dışında bir bilgisayardan hesaplarınıza erişmeyin, bilmediğiniz ve güvenmediğiniz kablolu veya kablosuz ağları kullanmayın, bilgisayarınızın ve kullandığınız uygulamaların sürekli güncellemelerini yapın, hem bilgisayarınızda hem de cep telefonunuzda kaliteli bir anti virüs yazılımı kullanın, cep telefonunuzu şarj etmek için bilmediğiniz bir bilgisayara USB ile bağlamayın, bilgisayarınızda disk şifreleme yazılımı kullanın. En önemlisi de hassas verilerinizi bilgisayar ortamlarında saklamayın.

Güvene dayalı 'güvenlik' zafiyeti!

Birde, ‘kurumsal siber casusluk’ kavramı var... Bu ne anlama geliyor?

Hacker’lar becerilerini paraya çevirmek için çeşitli yollar kullanıyorlar. Bu da şirketler adına becerilerini rakip şirketler üzerinde kullanıp verileri ele geçirmek anlamına geliyor... Yani hacker’ın güdümlü olarak çalışması ve bunu ‘ticari sırları çalmak’ için kullanması.

Çalmak dediniz de… Sanıyorum bizlerde ve dış dünyada genelde dış tehditlere yönelik bilgi güvenliği çalışmaları yapılıyor… Neden böyle düşünüyorum çünkü; Edward Snowden, Julian Assange (Wikileaks) vb. birkaç olay da daha görüldü ki iç tehditlere karşı da aslında kurumlar devletler nezdinde dahi olsa zayıf. Son 3-4 yıldır yaşadığımız bazı olaylarda bizlerde ülkemizde bizzat bu halleri gözlemledik maalesef. Peki, bu tür iç kurumsal tehditlerin önüne geçmek hususunda sizin özel bir düşünceniz var mı?

İnsan faktörünü olabildiğince devreden çıkartıp, insanın veriye temasını mümkün seviyede azaltarak meta-veriler üzerinden karar vermesini ve inceleme yapmasını sağlayabilirsek benzeri bilgi sızıntılarının önüne geçebiliriz. İnsan olduğu sürece güvenlik zaafiyeti vardır. Zafiyet asla sıfıra indirgenmez. En basit olanı, güvene dayalı güvenlik zafiyeti vardır. Kimse ne Snowden’dan,, ne Manning’den (Bradley Manning’den) veri sızdırmasını beklemezdi ama gerçekleşti. Demek ki veriler iyi tasnif edilmeli, erişimler kısıtlanmalı, kısıtlanan erişimler denetlenmeli, erişenler de düzenli olarak denetlenmeli, eriştiği veriler de tamamı değil sadece gerektiği kadar anlamlı parçalar veya özetler olmalı.

Anladım… Bu tür olaylara karşı riski azaltmaya dair bir haber okudum yakın bir geçmişte… Bazı ülkelerde ‘siber sigorta’ poliçeleri uygulaması varmış. Bu ürün hakkında bilginiz var mı, ya da faydalı olur mu bilgi güvenliği açısından bu tür bir hizmet alımı. Sanırım bizde henüz yok…

Dünyada yaygınlaşmaya başladı fakat henüz çok yeni, uygulaması ile ilgili hem olumlu hem de olumsuz tarafları görmek lazım. Benim çekincem sigorta poliçesi olan kurumların güvenli olduklarını garanti etme yükümlülükleri. Zira sigorta şirketi, güvenlik açıkları olan bir yeri poliçeleştirmek istemeyecek de olsa bir yüksek maliyeti ortaya çıkaracaktır.

İnternete açtığınız veriniz sizin değildir!

Olsun ne olur ki? Sonuçta çok önemli bir riske karşı tedbir alıyorsunuz…

Şöyle ki; Bu durum şirketler de sigorta yaptırırken güvenlik denetiminden geçmek durumunda olacaklar demektir. Güvenlik denetimleri ve risk değerlendirmesi ne kadar başarılıysa sigortalama işlemi de o kadar doğru olur. Fakat risk değerlendirmesi yanlış olursa sigortalama sistemi doğru çalışmayabilir. Bu bir yandan sigorta şirketlerinin belirli güvenlik önlemlerinin veya doğrudan belirli ürünlerin alınmasını baskılayıcı olarak da kullanılabilir. Yani sigorta şirketleri istedikleri bir siber güvenlik ürününü, kendi müşterilerine "Bu ürünü kullanırsanız riskiniz azalır” veya "Bu ürünü kullanmazsanız sigortalayamayız” diyerek bir anda piyasa lideri haline getirebilirler. Bekleyip sistemin nasıl oturacağını görmemiz gerekecek.

Sosyal medya konusu var birde… Buralarda bilgi güvenliği nasıl? Facebook, Twitter, Linkedin vb ağlarda kişisel veriler ne denli güvence altında?

İnternete açtığınız veriniz sizin değildir. Facebook’da bir hesabınız olması, oraya kendi şifrenizle erişebiliyor olmanız, sizi o hesabın gerçekten sahibi yapmaz. Güvende kalmasını istediğiniz kişisel verileriniz varsa internete açmamanız gerekir. Başkasına ait bir siteye yüklediğiniz bir fotoğrafın gizliliğinden bahsedemezsiniz. Ama dünya artık buna müsait değil. Sosyal canlılarız ve sosyalliğin yeni tanımı dijital iletişim ortamlarını zorunlu kılıyor. İnternet ve sosyal ağlar karşı koyamayacağımız bir değişim. Mümkün olabildiğince bilgileri paylaşmadan önce iki kere düşünmek gerekiyor.

Akıllı televizyonlar görüntü alır mı?

Biraz kişisel bir soru size. Çalıştığınız, işini yaptığınız önemli kişilerin, firmaların, kurumların her türlü gizli bilgisine haliyle ulaşma imkanınız var. Diyelim işinizi yaparken size ait olmayan çok özel bir bilgiye ulaştınız, nasıl bir duygu bu… Öyle bir bilgi ile karşılaştığınızda hangi duygularla hareket ediyorsunuz?

Emin olun keyifli veya heyecan verici bir durum değil bu. Tam aksine; sizi geren ve sorumluluk yükleyen bir durum. Bu durumda duyguyla değil profesyonellik doğrultusunda hareket edilir ve erişilen bu zafiyet ve elde edilen veri kurumda çalışmayı birlikte yürüttüğümüz yetkili kim ise onunla paylaşılır.

Bu kadar olan biteni görünce insanın aklına şu da gelmiyor değil Burak bey; evlerimizde bulunan televizyonlar veya bu vb. elektronik aletler işlevinin dışında; bulunulan ortam görüntüsünü, sesini alabilir mi, böyle bir şey muhtemel midir?

Yeni nesil akıllı televizyonlar kamera ve mikrofonla geliyorlar ve zaten aslında büyük bir ekranı olan bilgisayardır bu sistemler. Yani bilgisayar ve telefonlarımız için hangi güvenlik tehditlerinden bahsediyorsak aynısı akıllı televizyonlarımız için de geçerli.

Kriptolu telefonlar…

Bu soruyla bağlantılı başka bir soru daha… Kriptolu telefon ya da kriptolu başka araç, gereçler… Bu tür cihazlar dinlenmeye kesin engel midir? Hiçbir şekilde müdahil olunamaz mı bu sisteme?

Kullanılan kripto algoritmasına, uygulamanın mimarisine, iletişimi sağlama biçimine kadar bir çok parametreye bağlı bunun cevabı. Eğer iki kişi arasındaki iletişimi kendi sunucuları üzerinden değil direkt iki kişiyi birbirine bağlayarak yapıyorsa, kriptolama için asimetrik ve açık anahtarlamalı alt yapı kullanıyorsa, kripto anahtarı uzunluk düzeyi yüksekse, anahtar oluşturma ve dağıtma işlemini de merkezi olarak değil yine iki cihaz kendisi o anda ve sadece o iletişim için üretiyorsa, anahtar değiş tokuşu doğru ve güvenli şekilde gerçekleştiriliyorsa aradaki iletişimin şifresini çözmek pratik olarak imkansızdır.

Şunu da merak ediyorum dünyada bir çok üniversitede bilgisayar mühendisliği bir branş olarak tek başına okutuluyor ama bu genel bir kural… Özel de, siber güvenlik ya da vb. bölümler var mı?

Mutlaka bu alanda çok iyi eğitim veren üniversiteler mevcuttur. Lisans değil lisans üstü programları olarak siber güvenlik hem dünyada hem Türkiye’de bulunuyor. Aslında bu alan insanlara ne öğretildiğinden ziyade insanların kendini bu alanda ne kadar geliştirdiği ile ilgili bir durum...

Fiber omurgalara gerçekleştirilecek bir sabotaj…

Birde Türkiye'nin Akdeniz'den giden ana fiber internet bağlantısının Ortadoğu sorunu nedeniyle etkilenmesi mümkün mü? Şayet bir arıza olursa bu konuda Türkiye'ye etkileri nasıl ve neler olabilir?

Bir ana hat İstanbul’dan çıkıp Marmara ve Ege denizinden geçip İtalya’ya ulaşıyor. Aynı deniz altı fiber omurgasına Yunanistan ve İsrail de bağlı. İkinci bir ana hat da Fransa, İtalya, Türkiye, Mısır, kızıl denizden geçerek Suudi Arabistan, Yemen, Birleşik Arap Emirlikleri, Umman, Pakistan, Hindistan, Sri Lanka, Bangladeş, Burma, Malezya ve Singapur hattında seyrediyor. Bir diğer ana hat da Hollanda, Belçika, İngiltere, Fransa, Portekiz, Fas, İtalya, Türkiye, Kıbrıs, Mısır, yine kızıl denizden geçerek Sudi Arabistan, Umman, Birleşik Arap Emirlikleri, Pakistan, Hindistan, Sri Lanka, Burma, Malezya, Singapur, Tayvan, Avusturalya Filipinler ve Güney Kore olarak devam ediyor. Bu omurgalar özel şirketlere ait. Ortadoğu’daki siyasi durumun fiber omurgaya bir sabotaja sebep olması ne kadar muhtemel, bu konuda bir yorum yapamıyorum. Bunlar dışında da çeşitli fiber altyapıları mevcut, uydu bağlantıları mevcut. Fakat fiber omurgalar tüm iletişimin ana bileşeni. Fiber omurgalara gerçekleştirilecek bir sabotaj elbette iletişim sistemimizi hissedilir ölçüde etkiler.

Anladım… Peki, son yıllarda gündemde olan ‘devlet destekli siber saldırılar’ hakkında neler söylemek istersiniz?

Devletler bilgisayar ağları operasyonu dediğimiz faaliyetlerin önemini anladıklarındani bu alanda sadece korunmak üzere değil saldırı yapmak üzere çalışmalar yürütüyorlar. Bu saldırıların çeşitli evreleri var. Konvansiyonel operasyon yaşam döngüsüne benzeterek hedef hakkında bilgi toplama, ilk erişim, kalıcılığı sağlama, içeride yayılma ve bilgi çıkartma evreleri siber operasyonlar için de geçerli. Burada ilk erişimi sağlamak kadar önemli bir aşama da kalıcılığı sağlamak. Kalıcılığı sağlamak için zararlı yazılımlar adıyla genellediğimiz casus yazılımlar kullanılmakta ve hatta bazen ilk erişim de yine zararlı yazılımlarla sağlanmakta. Bu sebeple hassas kurumların siber güvenlik tedbirlerinde mutlaka zararlı yazılımlara karşı özel olarak tedbir almaları gerekiyor.

Günümüzde, hayatımızın içine bu kadar sanal alemin girmesi hali size göre bir mutsuzluk veya mutluluk halimidir?

Açıkçası internetsiz bir gündelik hayat artık mümkün değil. Bunu yadsımak veya bunun mutluluk-mutsuzluk dengesiyle değerlendirmemek lazım aslında. İnternet ve sanal gerçeklik artık hayatımızın bir gerçeği. Bu hala yaşamakta olduğumuz bir devrim. Nasıl ki insanlık elektriği keşfetti ve bunun hayatımızın her alanına yayılıp insanlık tarihini değiştirmesi zaman aldıysa, internet de böyle bir devrim. Bakın elektronik devrimi farklı, internet daha farklı. Sadece teknolojik bir yenilik değil. Hayatımızı değiştirdi. Sınırların olmadığı sonsuz büyüklükte yeni bir kıta keşfedildi. İnsanların birbiriyle iletişim biçimini değiştirdi. Sosyolojik etkileri var. Ülkerlerde devrimler yapılmasına ön ayak oldu. Matbaa nasıl ki bilginin herkese ve hızlıca yayılmasını sağladıysa, internet bunu hem katladı hem de herkesi bilgi üretebilir hale getirdi. Bu sebeple benim kanaatimce eleştirmek, negatif değerlendirmek, zamanın ruhuna aykırı. Bunu sadece anlamak ve akışı iyi okuyarak karşı koymadan, mümkünse hakim olmak gerekiyor.

Dünyadaki en büyük siber güvenlik açığı…

Size göre dünyada şu ana kadar skandal sayılabilecek en büyük siber güvenlik açığı olayı…

‘Snowden’ belgeleridir. Teknik olarak olmasa da içeriği bakımından skandaldır. Bütün güvenlik bakışımızı, yaklaşımımızı da değiştiren bir skandaldır bu. Bu olay aynı zamanda Amerika’nın da kod ajanslarının bu alandaki beceri ve kabiliyetlerini ortaya koymuştur aynı zamanda.

Burak Bey röportajımızın sonuna doğru geldik artık… Son olarak bu alanda uzmanlaşmak isteyen genç kardeşlerimize bir şeyler tavsiye edecek misiniz?

Var, evet… Bazı tavsiyelerde bulunmak isterim. Siber güvenlik alanında uzmanlaşmaya yatkın, hatta kendi çabalarıyla belirli aşamalar kat etmiş, çok yetenekli gençlerle karşılaşıyorum. İstekli, hevesli, fakat doğru yönlendirilmemiş veya motivasyonu değil. Genç arkadaşlar bana ulaştıklarında çoğunlukla doğru motivasyona sahip olmuyorlar. Gençliklerinin de verdiği hevesle, hızlıca bir şeyler yapmak, sistemleri kırmak, arkadaşlarının hesaplarını hack etmek istiyorlar. Onlara doğru olan yolu işaret edince, yani yoğun şekilde çalışıp kendisini geliştirmesi gerektiğini anlatıp, çalışması gereken konuları gösterince tabi sıkılıyorlar ve emek harcamadan birazda hızlıca sonuca ulaşmak istiyorlar. Genç kardeşlerimizin sıkılmadan okumaları lazım. Siber güvenliğin temeli teknoloji ve teknolojiyi en yakından takip edebilmeleri içinde iyi bir İngilizce bilgisine ihtiyaçları var. Bu olmazsa olmaz. En başından başlayarak, bilgisayar nasıl çalışır, içerisindeki parçalar ne işe yarar, tüm bunları anlayarak okuyup, öğrenmeleri şart. En önemlisi ise mutlaka yazılım geliştirme konusunda kendilerini yetiştirmeleri. İyi bir yazılım bilgisine sahip olmadan tam anlamıyla bir siber güvenlik uzmanı olmak çok zor.

Teşekkür ederim, bu kadar meşguliyetinize rağmen bize zaman ayırdığınız için…

Ben de teşekkür ediyorum. Diliyorum ki; okuyucularımız bu konuştuklarımızdan istifade ederler…