Vodafone Türkiye’nin IT güvenliği konusundaki tecrübeli yöneticisi Ömer Köker’le sektörün güvenlik açıklarını, gelecek beklentilerini ve kendisinin motorsiklet aşkını konuştuk.
IT Security’yi bu kadar önemli kılan nedir? Bu konunun gitgide artan önemi, bir, insanların farkına varması, iki, insanların canının yanması. Özetle bütün gizli bilgileriniz, aşk mektubunuzdan tutun gizli tekliflerinize kadar her şey elektronik ortamda duruyor. Ve bunların başkalarının eline geçmesi sizin için ne kadar rahatsız edici ise konunun önemi de o kadar artıyor. Eskiden filmlerde gördüğümüz konular artık gitgide her ay ülkemizde de birisinin başına gelmeye başladı. Dünya genelinde milyonlarca kredi kartı ve gizli bilgi çalınıyor. Kimlik verileri, endüstriyel sırlar vb.. Hatta Amerika’da herhalde herkesin kredi kartı iki kez çalınmıştır. Çünkü çalınan kredi kartlarının toplamı 440 milyonu geçti, nüfus ise 280 milyon.
Peki fraud konusunda Türkiye’de durum nasıl? İnsanımız her konuda olduğu gibi bu konuda da çok meraklı. Hem saldıran tarafta hem saldırılan tarafta çok fazla insan var. Ancak Türkiye’de gerek bankacılık ve özellikle telekomünikasyon konusundaki regülasyonlar olsun gerek büyük kurumların bu konuya gitgide artarak verdiği önemden olsun birçok ülkeden daha iyi durumdayız. Ama bu bitmeyen bir konu, daha alacağımız da çok yol var. Özellikle bireylerin bilincinin artırılması çok önemli. Kurumların da entegre çözümlere daha çok önem vermesi, işi bilene yaptırmaya alışması gerekiyor. Güvenlik alıp köşeye kurduğun bir kutu ile sağlanamaz. Bu, devamlı takipve güncelleme gerektiren bir konu.
Bu konuda Vodafone’da çalışmalar ne durumda? Türkiye’deki regülasyonlara ek olarak Vodafone’un tüm dünyada uyguladığı birçok kuralı var. Seçtiğimiz üründen kullandığımız metodolojiye yanılma payını minimize etmek için yurt dışındaki deneyimi çok iyi kullanıyoruz. Bir taraftan da Türkiye olarak diğer ülkelerdeki Vodafone’lara örnek uygulamalar hayata geçiriyor ve önderlik ediyoruz. ISO 27001, PCI gibi standartları olduğu gibi destekliyoruz. İş sürekliliği burada çok önemli çünkü hem bilginizi kaybetmemeniz lazım hem de ihtiyacınız olduğunda o bilgiye ulaşabilmeniz lazım. İş sürekliliği standardı olan ISO 22301’i de Türkiye’de ilk alan operatörüz. Dolayısıyla bu, gerek kaynak gerek üst yönetim desteği açısından çok ciddiye aldığımız bir konu.
Biz bu konuda gelişiyoruz diyorsunuz ama hacker’lar da gelişmiyor mu? Ben çok uzun süredir bu işle uğraşıyorum. İnternet’te Türkiye ile ilgili ilk web sayfalarını ben yaptım, yıl 1991’di. Eskiden hem Türkiye’de hem yurt dışında bu saldırıları tasarlayan ve yapan insanlar meraklı lise ve üniversite öğrencileriydi. Finansal bir kazanç elde etmek gibi bir düşünceleri yoktu. Fakat aradan geçen uzun sürede endüstriyel boyutta bu işi gerçekleştiren organize suç örgütlerinin girdiği bir konu oldu. Artık bir kredi kartı çalıp onunla alışveriş yapan kişiler yerine iki milyon kredi kartı çalıp onları Hong Kong, New York gibi yerlere, dark web dediğimiz ortamda kart başına belli bir ücretle satan kişiler ortaya çıktı. Bu iş de çok ciddi karlar bırakmaya başladı. Hatta iki ay evvel keşfedilen bir hacker grubunun dört yıl içinde yurt dışında 17 bankayı hack’leyerek bir milyar dolardan fazla bir parayı kendi hesaplarına geçirdiği ortaya çıktı. Üstelik her bankayı defalarca hack’leyerek. Bu gibi işlemler birkaç kişinin değil yüzlerce kişinin içinde olduğu organize suç örgütlerinin işi. Son zamanlarda konu devletler arası bir boyuta taşındı. ABD hükumeti, alt yapısına yapılacak siber sadırıları savaş nedeni sayabileceğini duyurdu.
Sektördeki 24 yıllık tecrübeniz size neler kattı bu gibi olaylara karşı? En basitinden, önüme çok az bilgi içeren bir konu geldiğinde onun aşağı yukarı ne olduğunu sezebilecek duruma geldim. Yabancıların ‘Gut Feeling’ dediği durum bu. Neler yapıldığını yeterince gördüğünüz zaman, karşınıza bir olay geldiğinde hatta bir haber okuduğunuzda arkasında ne olduğunu daha sağlıklı anlayabiliyor veya tahmin edebiliyorsunuz. Hatta Vodafone’un sistemlerini kurcalamaya gelen insanların da kafasının nasıl çalıştığını, nerelerden girebileceğini, neler deneyeceğini anlıyorsunuz. O açıdan okullu ve alaylının farkı gibi anlatabilirim bu tecrübeyi. Güvenlik konularında sertifikalar önemli ama deneyim ile pişmeden bir işe yaramaz, akademik kalır.
Teknoloji geliştikçe fraud konusunda daha ne gibi senaryolar çıkacak karşımıza? Elektronik dünya gitgide etrafımızı sarıyor, Internet of Things bunu iyice artıracak. Örneğin her an kullandığımız akıllı telefonların üzerindeki güç eskiden aya giden araçların tüm bilişim güçünden yüksek. Gelişim böyle oldukça güvenlik konusunun önemi artacak. Konuya önem vermeyenlerin baş ağrısı artacak. Konuya önem verenlerin de devamlı buna kaynak ayırmaya devam etmesi gerekecek ama bu yatırımlar ciddi marka ve rekabet avantajı sağlayacak. Benim inancım, yeni fikirler, yeni ürünler tasarlamaya giden şirketlerin aynı zamanda bunların güvenliğini nasıl sağlayacaklarını düşünmesi, farklılaşmayı sağlamaktan öte şirketin hukuki geleceğini etkileyecek. 30 dolarlık bir şeyi üç dolara alabilirsiniz elbette ama o üç dolarlık şeyi on günde bir birisi hack’liyorsa bu aradaki fiyat farkının bir önemi kalmıyor.
Gelelim daha kişisel sorulara; çalışırken ve iş hayatı dışında nasıl bir insansınız? Her ikisi için de değişmeyeni söyleyeyim; meraklıyım. Özellikle bizim gibi teknolojiyle uğraşan insanlarda merak olmazsa gelişimlerin ve değişimlerin dışında kalırsınız. Fakat iş hayatında bu merakın devri yüksek, özel hayatımda daha sakinim kendimi soğumaya bırakıyor merakımı başka konulara da yayıyorum.
Özel zamanlarınızda ne yapıyorsunuz? Hobilerim var. Motorsiklet bunların başında geliyor. Benim için meditasyon gibi. Özellikle İstanbul trafiğinde beyin çok özel bir duruma geçiyor, ‘hayatta kalma içgüdüsü’ ön plana çıkıyor. Beyin kafadaki tüm tilkileri siliyor ve tüm CPU’sunu hayatta kalmaya ayırıyor. Arkandan hızla gelen araba, kapısına bakmadan açan adam vs. gibi şeylere odaklanıp yarım saat bile motora binince bana meditasyon gibi geliyor. Hele hele iki üç saat kadar motora binip yol yapabilirsem bambaşka bir insan olarak iniyorum üzerinden. Ama yoğun toplantı trafiğinde veya kıyafetim müsait olmadığından bazen motora binemiyorum. O zaman benim için biraz sıkıntı oluyor tabii.
Stresle nasıl başa çıkıyorsunuz? Eskiden beri kod yazmayı seviyorum. Bu kimi zaman bir web sayfası ya da farklı programlama dilleriyle yazılmış bir script oluyor. En sevdiğim yanı ise sonuç net, iki seçenek var; çalışıyor ya da çalışmıyor. Çalışmadığında neden çalışmadığını bulabiliyorsun. Alakasız sorulardan oluşan ilişkisi olmayan bittiği zaman bir bütünlüğü olmayan bilmeceleri sevmem. Ama kod yazarken ne yazacağını biliyorsan akışın ne kadar elegan olacağını ve cinlikleri sen belirliyorsun. Bu bana çok büyük zevk veriyor.
Şu gün size yepyeni bir iş seçmeniz gerektiği söylense ne seçerdiniz? İnternet Türkiye’de bilinmiyorken benim hobimdi. Hobim işim oldu o yüzden çok şanslıyım. Ama daha fazla zaman ayırmak isteyeceğim iki konu var. Biri mimarlık. Çünkü şehire nasıl renk ve şekil verdiğin tüm insanların hayatını değiştiriyor. Diğeri ise fotoğrafçılık. Bu da üniversite günlerinden gelen bir merak. Hatta zamanında fotoğraf satmışlığım bile var.
‘Bir gün mutlaka’ dediğiniz ne var? Bir gün, hiç acele etmeden, klasik bir Ducati 998 motorsiklet ile Kuzey İtalya ve Harley Electra ile ABD’de doğu-batı turu atacağım! Esasında düşündükçe çok şey geliyor akla sanırım bir bucket list yapma vakti gelmiş.
Bu röportaj IHS Telekom Spam Dergi Q2 2015 Sayısında yayınlanmıştır. Spam Dergiyi dilerseniz online okuyabilirsiniz.