Sabancı Holding’in bir iştiraki olarak faaliyet gösteren SabancıDx, büyük küçük demeden Türkiye’deki birçok şirkete siber güvenlik hizmeti veriyor. SabancıDx Siber Güvenlik Grup Müdürü Nurettin Erginöz, “Odaklandığımız alanların hepsinde fark yaratarak, yeni çözümler geliştirerek müşterilerimizin bilgilerini koruyor, üretimlerini ve hizmetlerini sağlıklı bir şekilde sürdürmelerine destek oluyoruz” diyor.

Sabancı Holding bünyesindeki şirketlere bilişim teknolojileri alanında hizmet veren ekip, yaklaşık 3.5 yıl önce SabancıDx adıyla şirketleşti. Şirketin adındaki “D” dijitalleşmeyi, “x” ise çarpanı simgeliyor. SabancıDx, ileri veri analitiği, dijital dönüşüm ve siber güvenlik alanlarında hizmet veriyor. SabancıDx Yürütme Kurulu Üyesi ve Siber Güvenlik Grup Müdürü Nurettin Erginöz ile şirketlerinin faaliyet alanlarının yanı sıra Türkiye’de siber güvenlik, kişisel verilerin korunması gibi geniş bir yelpazede bir röportaj gerçekleştirdik.

Faaliyet alanlarınızı ve verdiğiniz hizmetleri yakından tanımaya siber güvenlik alanıyla başlayalım. Bu konuda hangi çözümleri sunuyorsunuz ve nasıl bir hizmet yaklaşımına sahipsiniz?

Siber güvenlik alanına baktığımızda daha çok ‘yönetilebilir hizmet’ dediğimiz yani, bir teknolojiyi birden fazla kişi ya da kurumun kullandığı bir yaklaşım söz konusu. Her şirketin bu alanda eleman bulması, birim kurması ya da çözüm geliştirmesi çok zor olduğu için sadece Türkiye’de değil, bütün dünyada MSSP olarak adlandırılan Managed Security Service (Yönetilebilir Güvenlik Hizmeti) çok tercih ediliyor. SabancıDx olarak biz de MSSP olarak hizmetini veriyoruz. 1,5 yıl önce bir siber güvenlik danışmanlık ekibi kurarak şirketimizin bu alandaki yetenekleri artırdık.

Güvenlik alanında dünya genelinde iki farklı şirket yapısı görülüyor. Biri gelip denetimi yapıyor ve bulguları veriyor. Siz de ‘bu bulgularla ne yapacağım’ diyorsunuz. Diğer şirket yapılanmasında ise iyi teknolojiye ve siber güvenlik çözümlerine sahiplik söz konusu. Sizin ihtiyacınızı ve ürünleri belirliyor ancak konu denetim bulguları ile teknolojinin ortak çalışması ve olgunluğu artırmaya geldiğinde ortada bir boşluk kümesi göze çarpıyor. İşte biz de bilgi birikimimizle bu eksikliği tamamlamak için yola çıktık. Dolayısıyla hem teknoloji hem denetimi birleştiren komple hizmet veriyoruz ki bu oldukça niş bir alan. Müşterilerimize “teknolojiyi A şirketinden mi alıyorsun, denetimi B şirketinden mi alıyorsun, önemli değil. Gel danışmanlıkla, katma değerle bunları nasıl yorumlayacaksın, nasıl kullanacaksın, siber olgunluğunu nasıl arttıracaksın, algını nasıl değiştireceksin ve günün sonunda riskini nasıl minimize edeceksin beraber çalışalım” diyoruz.

Bu noktada şirketlere neler sunuyorsunuz?

Altı odak alanımız var. Bu alanlardan biri olan MSSP’yi geliştirip herkesin bildiği firewall’ı yönetmek gibi daha paylaşılabilir olmaktan çıkarıp daha niş sistemlere doğru götürdük. İkinci alanımız bilgi güvenliği ve risk. Bu alanda gerekli olan tüm standartlara sahibiz, denetim ve danışmanlık çerçevesinde müşterilerimize yardımcı oluyoruz. Buna ek olarak dünyada bilinen framework dediğimiz Sans, Nist, Cobit gibi çerçeveler var. Bunların her biri belirli alanlarda özel bilgiler barındırıyor. Fakat 21. yüzyılın etkisinde bu aslında var olan bir şey değil de siz kendinize bunlardan hibrit frameworkler elde edebiliyorsunuz. Bizim ülkemizde de bununla ilgili Cumhurbaşkanlığı tarafından paylaşılan bir çalışma var. Dijital dönüşüm ofisinin yayınladığı bilgi güvenliği rehberi var ki burada da aslında benzer bir yaklaşımı görüyoruz. Biz de diyoruz ki bu çerçeveler dahlinde size uygun framework’ü ve bunun nasıl işletileceğini beraber belirleyebiliriz. Bunun bir ötesine geçtiğimiz zaman Gap analizleriyle başlayıp neyimiz eksik nereye gitmek istiyoruz bakıyoruz ve bu olgunluğu artıracak çeşitli proje kartlarıyla birleştirdiğimiz olgunluk değerlendirmeleri yapmak istiyoruz. Hatta bu olgunluk değerlendirmelerinin sonucunda belki de bazı süreçleri robotlara aktardığımız robotik süreç otomasyonu dediğimiz yere doğru bu projeleri sürüklemek de mümkün.

KVKK, yeni yatırımlar yapılmasını gerektirdi

Tüm bunların odağında elbette veri var. Bu alandaki çalışmalarınızı paylaşabilir misiniz?

Tabii ki verinin güvenliği hepimiz için önemli. Bu noktada veriyi, yapısal ve yapısal olmayan olarak ikiye ayırıyoruz. Bu iki veriyi sınıflandırarak, yöneterek gerektiği yerlerde depoluyoruz. Öte yandan Kişisel Verilerin Korunması Kanunu çıktıktan sonra daha önce verilerimizi paylaştığımız şirketlerden bunları silmesini isteyebiliyoruz. Nasıl bir imha süreci işleteceğim, bunun imha edildiğinin kanıtlarını nasıl saklayacağım, kurum veya bir yer benden istediğinde nasıl cevap vereceğim, verinin döngüsünü nasıl saklayacağım diye teknolojilerle birleştirdiğimiz hizmetleri veriyoruz.

Üçüncü majör alanımızı ise Devsecops oluşturuyor. Operasyon ve yazılımın birleşmesi hayatımızı kolaylaştırdı ancak bir güvenlik eksiği oluşmaya başladı. Dolayısıyla Devsecops alanı da aslında böylelikle ortaya çıkan majör alanlardan biri oldu.

Dördüncü odak alanımız da bulut güvenliği. Burada standartlar da ayrı metodolojiler de ayrı. Dolayısıyla ayrı bir uzmanlık gerektiriyor.

IOT ve OT ise beşinci alanımız… Bir yer hacklendiğinde oranın ne kadar zarar gördüğünü aşağı yukarı hesaplayabiliyoruz ve yapılacakları devreye sokuyoruz. Örneğin bir fabrikanın üretiminin durması gibi yerlerde bu operasyonel teknolojilerin ve IOT cihazlarının gönderdiği verilerin güvenliğini sağlamak gerekiyor. Burası daha kısır bir alan. Bu kısır alan içinde daha az sayıda standart ve uzman var. Neden? OT alanındaki arkadaşlar IT alanındakilerden çok ayrı. Aralarında bir paravan olduğunu düşünün. İki tarafın birbiriyle konuşması gereken durumlara geldik. Dolayısıyla burası hiç küçümsemeyeceğimiz kadar önemli ve büyük zararlar doğuruyor. Bu alanın da güvenliğini sağlıyoruz.

Altıncı ve son alanımız da güvenlik operasyonları ve olay müdahalesi. Klasik bir monitoring hizmeti diye bir şey var. Güvenlik olgularını bakıp izlersiniz ve bilgi verirsiniz ancak karşınızdaki ne yapacağını bilemeyebilir. Dolayısıyla evrilince güvenlik operasyon merkezleri oluştu. Şimdi bu bir öteye MDR’a doğru gidiyor ya da yeni adıyla XDR Next Generation’a doğru gidiyor.

Faaliyet odaklarınız çok geniş, dolayısıyla hizmet verdiğiniz sektörlerin sayısı da oldukça fazla. Hem ekibiniz hem de müşteri portföyünüzden söz edebilir misiniz?

Öncelikle şunu belirtmem gerekiyor, biz küçük ya da büyük diye bakarak şirket ayrımı yapmadan ihtiyacı olan herkese hizmet veriyoruz. MSSP tarafında özellikle küçük müşterilere ya da az çalışanı az uzmanı olan müşterilere bu hizmetleri yönetilebilir servis olarak vermek mümkün. Küçük ölçekli derken cirodan bahsetmiyorum, çalışan sayısından bahsediyorum.

Şu anda gördüğümüz yaklaşım şu; biliyorsunuz ki önceden hep büyük yerlerin hacklendiğini duyardık, hedefte hep büyük yerler vardı, finans sektörü büyük hedeflerden bir tanesi. Ancak hackerların davranışı değişti. Hackerlar şu an küçük yerlere hizmet veren daha küçük şirketleri örneğin bir muhasebe şirketini hedefliyor. Böylece muhasebecinin müşterisi olan herkesin bilgisine erişebiliyor. Davranış değişince sektörel ihtiyaçlar da buraları korumaya doğru gelişti. Büyük yerlerin de siber risklerini değerlendirmek mantıklı oluyor. Küçük yerlerin de uzmanı yok teknolojisi yoksa bu yönde bir şeyler yapması gerekiyor. En küçüğünün de bilinçlenmek adına bir şeyler yapması gerekiyor.

“Kimse yüzde 100 güvendeyim diyemez”

Bizim şirketlerin, büyük veya küçük, sizlere bakış açısı ne? İkna etmekte zorlanıyor musunuz yoksa talep geliyor mu?

Bizim sektörümüzün kanayan yarası bu. Siber güvenlikte yüzde 100 güvenlik diye bir şey yok. Kimden olduğundan bağımsız, kaç tane olduğundan bağımsız ne kadar çok önlem alırsanız alın hiçbir zaman ben yüzde 100 güvendeyim dediğiniz bir alan maalesef siber güvenlikte yok. Bu nedenle belki milyonlarca dolar harcayan bankaların veya kamu kurumlarının veya hastanelerin bugün hacklendiğini duyma sebebimiz maalesef bundan kaynaklanıyor. Çünkü siz ne kadar önlem alırsanız alın diğer taraftaki kötü niyetliler de o tarafa doğru çalışıyor.

Dolayısıyla bir proaktif yaklaşım gerekiyor. Yani mümkün olduğunca olay zarar verici noktaya gelmeden müdahale etmek gerekiyor. Biz risklerimizi minimuma indirmek istiyoruz. İkinci olarak gözümüz hep sistemlerde olsun istiyoruz. Ayrıca hunting dediğimiz olayı yaparak da en ufak bir parmak izini yakalayıp bir şey oluşmadan önceki zamanda aslında bir şeyin oluşacağından şüphelenip ona göre önlem alan takımlar, ürünler, çözümler ve proseslerimiz var.

Bizde bir üçgen vardır; insan, teknoloji ve süreç. Bunun ortasına siber güvenliği yazabiliriz aslında. Dolayısıyla insanı doğru eğittiğimiz, nereye bakacağını bulduğu ya da bildiği doğru teknolojileri alıp buraya adapte ettiğimizde, doğru proses ve tekniklerle maksimum koruma minimum riskle işletmeye çalışıyoruz.

Hacklerlar için Türkiye endüstrisi Avrupa’ya kıyasla nasıl bir pazar? Daha kolay mı?

Türkiye bugün, atak alan ilk 10 ülke arasında. Bu iyi mi kötü mü çok tartışılır. Ancak şu bir gerçek ki hepimiz risk altındayız. Hepimizin siber olgunluğu artırması gerekiyor. Bu hepimizin görevi sadece IT’cilerin ya da siber güvenlik ekiplerinin görevi değil. Bu sebeple farkındalık, insana yatırım ortaya çıkıyor. Klasik bir cümle olacak ama en zayıf halka kadar güçlüyüz. En zayıf halka kim? İnsan. Bugün hackleme vakalarının yüzde 90’ından fazlası e-mail yoluyla geliyor. Bu oran çok önemli. Aslında bir her bir bireyin farkındalığını maksimuma çevirmeliyiz ki diğerlerinin önüne geçebilelim. Dolayısıyla her zaman her yer cazibe merkezi. Birilerinin bir yerler gözünün önünde. Bunun birçok sebebi olabilir. Bazen oraya karşı bir kötü niyet beslemek, bazen tamamen finansal, siyasi olabilir. Bu sebepleri tartışmak önemli değil ama önemli olan bugün her bir kurum bir şekilde birilerinin hedefi. Herhangi bir kurum yoktur ki biz kimsenin hedefi diyen, sanmıyorum. Hangi sektör olursa olsun.

Türk şirketleri yurt dışına da hizmet vermeye başladı

Son dönemlerde Türkiye’ye bu konuda hizmet veren yabancı şirketler oluyor. Bu pazarın boşluğundan mı? Bunun nedeni nedir?

Aslında iş alanı büyüyor çünkü pazar boş değil. Gerçekten uzman firmalarımız var ülkemizde. Hatta ülkemizde birçok firma yurt dışına da hizmet vermeye başladı. Nasıl yabancı şirketler firmalar bize geliyorsa bizden de dışarıya hizmet gidiyor. Ülke olarak 5-10 yıl önceye kıyasla çok iyi yerlerdeyiz. Siber güvenlik alanında çok iyi isimler de çıkarıyoruz, bu çok önemli bir şey. Bir yandan da tabii ki yatırım alanıyız. Neden? Burada bir sürü şey oluyor ve herkesin yiyebileceği bir pay var. Dolayısıyla niş uzmanlık alanıyla geldikleri yerlerde bu şirketler de kendilerine bir oyuncu olarak saha inşa etmeye çalışıyorlar. Özet sebebi bu.

SİBER SALDIRILAR İÇİN SİGORTA HİZMETİ BAŞLADI

Siz daha çok şirketlere hizmet veriyorsunuz. Bireyler olarak bizler ne yapmalıyız. Verileri önemli olan bireyler ne yapmalı?

Şuradan başlayalım, nasıl evimizi arabamızı sigortalatıyorsak şimdi de siber güvenlik sigortaları çıktı. Bu küçük şirketlere hatta bireylere kadar indi. Dolayısıyla gerçekten kendimizi risk altında görüyorsak en uçta alacağımız güvenlik önlemlerinden biri belki de bu sigorta. Siber sigorta hayatımıza girdi. Yurt dışında bu inanılmaz fazla.

Bizim ülkemizde daha yeni oturan bir sektör. Geçmişine baktığımızda 3 ila 5 yıl geriye gidiyor. Kişisel olarak alabileceğimiz önlemler var. Örneğin mailimizi okuduğumuz bir browser var. Aynı browserda çocuğunuz film izliyor, onlar bir takım küçük izler bırakıyor bilgisayarda. Aynı yerden bankacılık uygulamanızı kullanmanızı önermiyoruz. İş için ve günlük hayat için browser ayırmak lazım. Keza bankacılıkta da böyle. Günümüzde çoğumuzun kullandığı iki farklı banka var. Bir kredi kartını daha düşük limitli tutup internet alışverişlerinde kullanırken diğerini gözle yaptığımız alışverişlerde kullanabiliriz. Telefonlarımız ya da bilgisayarlarımızdaki bu kameralara bir tane kapak takmak.

Hafta sonu bir şey okudum, android yüklü televizyonların bir tanesinde adını vermeyeyim, bir güvenlik açığı çıktı, uzaktan bağlanabiliyoruz. Bu yıllar önce de başımıza gelmişti. Orda da kameradan odayı izleyebiliyordu, haberlere çıktı.10 yıl geçti bakın tekrar hortladı. Siber güvenlik alanında bu oluyor. Dolayısıyla bizim böyle temel önlemler almaya ihtiyacımız var.

İkinci olarak her gün telefon bilgisayar kullanıyoruz ancak güncelleme geldiğinde o güncelle butonuna basmaktan imtiyaz ediyoruz. Bunlar inanın bizim için yapılan şeyler. Dolayısıyla buna yama yönetimi diyoruz. Büyük serverlarda sırf buna bakan teknolojiler oluyor. Bizim de kendi kullandığımız cihazlarda güncellemeleri kesinlikle yapmamız gerekiyor. Mümkünse bir antivirüs kullanmalıyız. Ama şu şekilde yapmamız gerekiyor. Virüs programlarını internetten torrentlerden indirmememiz gerekiyor. Güvende olmak için güvensiz bir program kullanıyoruz. Artık bunların fiyatları çok düştü. Evde internet kullanıyoruz. Bütün internet sağlayıcılar güvenli internet diye bir paket yapıyor. Nereye erişip erişilemeyeceği kapatılabiliyor. ISP dediğimiz hizmetlerden bunu alabilir durumdasınız, çocuğunuz için örneğin. Aynı şey cep telefonlarında da var. Bunlara bakmak lazım. Kişisel önlem, farkındalık, okuma, eğitim, hepimiz için gerekli.