Faruk Kekevi ile Güvenlik Röportajı

Son yıllarda önemi her geçen gün artan güvenlik sektörüne yönelik VİPRE Türkiye Genel Koordinatörü Faruk Kekevi ile bir röportaj gerçekleştirdik. Sektörel sohbetin yanı sıra güvenliği ülkemizdeki ve dünyadaki önemine de değinerek akıllardaki soru işaretlerinin giderilmesi yönünde bilgi verici bir sohbet gerçekleştirildi.

Kısaca kendinizden bahseder misiniz?

İktisatçı ve mali müşavirim. 1990 yılından itibaren bilişim sektöründe çalışıyorum.      10 yılı aşkın süre yazılım geliştirdim, 2000 yılından itibaren bilişim güvenliği ve  sistem konusunda çalışıyorum. Ana şirketimiz Impeks Bilgisayar Ltd. olmak üzere  bilişim güvenliği konusunda çalışan gurup şirketlerimizin yöneticiliğini yapıyorum.  Başta GFI Sunbelt Software – USA olmak üzere bir çok güvenlik programı üreticisi  teknoloji şirketinin Türkiye distribütörlüğünü ve temsilciliğini yapıyoruz. VIPRE  Türkiye platformunun yöneticisiyim.  Bir çok güvenlik üreticisinin distribütörüyüz.  Türkiye’ de bir çok markayı tanıttık, dağıttık. Bu ürünler daima döneminin en iyisi, en  etkilisi oldu. Şu anda çalışmamız “Son Nesil Teknoloji” VIPRE’ ye odaklandı, çünkü      dünyanın en iyisi VIPRE.

Güvenlik işine nasıl başladınız ?

Gümrükleme sektörüne paket program yazmıştım. 1990’ lı yılların sonunda Türkiye’ de İnternetin yaygınlaşmasıyla birlikte güvenlik konusu ön plana çıktı. Kullanıcılarımızın bilgisayarları virüsten etkileniyorlardı, iş ve data kayıpları yaşanmaya başlandı. Kullanıcılar bu konularda henüz çok yeniydiler (günümüzde de maalesef  halen yeniler, bir türlü eskiyemediler..), çözüm geliştirmek gerekiyordu. AVG Antivirus’ un Türkiye dağıtıcılığını aldık. Güvenlik programı kullanma alışkanlığı yoktu, bunun için çok çalıştık. Özellikle bizim programların kullanıcılarını çok zorladık, sonrasında herkes çok rahat etti. Aynı dönemde Software602 firmasının Türkiye ortağı olduk. 602Lan Suite isimli LAN programı için yoğun çalışmalar yaptık, Türkiye’ de LAN programı bilinmiyordu, bu kültürün yerleşmesi için seferber olduk, sektöre epey katkımızın olduğunu düşünüyorum.  Güvenlik, ulusal öneme sahip bir konu, maalesef ülkemizde olması gereken önem verilmiyor, bu nedenle sivil toplum kuruluşları boyutunda çalışmaların yapılması gerektiğini gördük, yaptık da. Bu çalışmalarımız ticari ve STK boyutunda halen devam ediyor.

Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?

Ülkemizde önem sıralamasında en sonda geliyor, yani önemsiz sayılıyor. İnternet  yaygınlaştı, tüm dünyayı içine alan tek bir ağ olduğunu,  İnternet’ e adım atan kişinin bu ağın üyesi olduğunu, iyisiyle-kötüsüyle milyarlarca kişiyle aynı ağı kullandığımızı anlamak istemiyoruz. Bireyden-kuruma ve hatta devlete kadar anlamamakta ısrarlıyız. İnternet’ in yaygınlaşmaya başladığı dönemde bir çok ülkede kullanıcılara bilginin önemini ve İnternet’ i anlatan farkındalık çalışmaları yapıldı, halen bilgi yenilemeleri yapılıyor. O dönemde ve halen bizim kamu yöneticilerimiz “halkı korkuturuz” düşüncesiyle hiç bir eylemde bulunmadılar. Halkımız bilinçsiz, iman gücümüz baskın, bu nedenlerle “bana bir şey olmaz” düşüncesi hakim. Ulusal seviyede risk taşıyoruz. Bu yapımız herkes tarafından bilindiği için, korsanlar için cennet bir ülkeyiz.  Dünyanın bir ucunda bir saldırı gerçekleşiyor, saldırıyı yapanın Türkiye’ den bir ev hanımı veya kamuya ait bir bilgisayar olduğu tespit ediliyor. Çok sayıda bilgisayarımız zombi durumunda, bunu bile önemsemiyoruz.  Bunların hepsini bir tarafa bırakıp, “Güvenli İnternet” adı altında İnternet’ e sansür yasaları çıkarıyoruz. Ama hedefimizde “Bilişim Toplumu”  olmak var, güvenlik kavramı öğretilmeyen bir toplumdan, Bilişim Toplumu yaratmak gibi bir model üzerinde çalışmalar devam ediyor.
Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

Güvenlik teknolojisi komplikedir ve üretilmesi kolay değildir. Yapılacak yatırımın amorti edilmesi için dış pazara açılmak gerekmektedir. Yani  iki ayağı olan zor bir konu, bu nedenle özel sektörden böyle bir girişimi ben şahsen beklemiyorum. Güvenliğin kritik bir ulusal konu olduğunu devletin anlaması ve destek sağlaması gerekiyor. Zemana markasıyla bir özel girişimin olduğunu, fakat destek olmadığı için yatırım yapan bu gurubun yurt dışına taşındığını, o ülkede başarılı olduğunu biliyorum. Bir başka özel bir firma da bu işe soyunduğunu söylemişti, bizden destek istedi, elimizden geleni yapacağımızı söyledik, daha sonra amaçlarının konuyu istismar etmek olduğunu gördük. Devletin bu konuyu ele alması gerekiyor.

Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Yıllarca önce güvenlik konusuna dikkat çekmek için “Güvenli İnternet Platformu” kurmuştum. Platform bir süre çalıştı, bazı etkinlikler yaptı, bir süre sonra platformu destekleyenlerin içinden istismar edenler çıktı, konuyu show haline dönüştürmek istediler, tamamen ticari davrananlar oldu, platform atıl hale geldi. Şimdi devletin “Güvenli İnternet” adı altında sansür yasaları çıkardığını görüyorum. Bilişim suçları sıralamasında dünyada ilk sırada olan Türkiye’ de, devletin kullanıcıları eğitmek yerine duygusal markalar oluşturup İnternet’ i politikaya alet etmesi, içinde bulunduğumuz durumu açıklıyor. Bu durum, olayın bir boyutu. Devlet, güvenlik konusunu yok saydığı, ulusal bir konuyu oluruna bıraktığı için ortaya bir diğer boyut çıkıyor. Güvenlik konusu kontrolsüz olduğu için, güvenlik ürünlerinde istismar var. Günümüzde sanal dünyanın en büyük tehdidi casus programlardır (spayware) . Kutusunda anticasus (antispyware) özelliği olduğu belirtilen, ama aslında olmayan bir çok güvenlik programı piyasada satılmaktadır, kullanıcı kandırılmaktadır. Veya 10 yıl öncesi teknolojiler ile üretilmiş, hiç bir fonksiyonu olmayan  güvenlik programları satılmaktadır. Devletin, güvenlik programları için standartlar oluşturması, güvenlik programlarında sertifikasyona gitmesi gerekiyor. Bunun yanı sıra güvenlik konusunda farkındalık ve önlem eğitimleri düzenlemesi gerekiyor. Ama gördüğüm kadarıyla tümünü yasaklayarak sorunu kaynağında yok etmek  gibi bir model deneniyor.

Bu işe yeni başlayanlara neler önerirsiniz?

Çok önemli bir soru. Bence Türkiye’ de güvenlik probleminin ana nedeni de bu sorunun cevabında yatıyor. Klavye, monitör satışını, güvenlik programı satışıyla karıştırmamak gerekiyor. Klavye işini yapmaz ise, çöpe atarsınız. Ama işi bilmeyen ve karşısındakine güvenen birisine güvenlik konusunda tavsiyede bulunmak, klavye satışına benzemiyor. Konuyu bilmek, tavsiye edilecek ürünü iyi tanımak gerekiyor. Güvenlik konusu, kullanıcı için bir savunma silahıdır. İçi boş bir silahı karşı tarafa vermek, her şeyden önce vicdani bir konudur, sorumluluktur. Güvenlik işine başlamadan önce, konunun öğrenilmesini, kullanılacak ürünlerin araştırılmasını tavsiye ediyorum. Güvenlik, pardonu, geriye dönüşü olmayan bir konu. Sektörde bu bilinç var mı? Maalesef HAYIR!
Sizce 2020 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?

Bilişim çok dinamik bir konu. Yaşanan gelişmeler insan ufkunu zorluyor. 10 yıl önce virüsleri engelleyen casus programdan bahsedilse, inanmazdım. Bilgi o kadar değerli ki, casus program yerleştiği bilgisayarda yerini muhafaza etmek için gelen virüsleri engelliyor, hayal etmesi bile zor, ama günümüzde bunlar var. Bilgi, tarih boyunca önemini kaybetmemiştir. Her geçen gün daha önemli hale geliyor. Bence 2020 yılında karayolu sürücü ehliyeti gibi kullanıcılara güvenlik sertifikası verilecek, bilgisayarlar bu sertifika ile açılacak. En azından benim temennim bu.

Güvenlik sertifikaları konusunda ne düşünüyorsunuz?

Ürünlerin standardları çok önemli, özellikle güvenlik konusunda disiplin gerekiyor ve bu sertifikalar bunları sağlıyor. Ama bunlar uluslararası sertifikalar, her ülkenin ulusal sertifikasyonuna gitmesi gerekiyor. Kullanıcıların alışkanlıkları, kültürlere göre değişiyor, güvenlik konusundaki öncelikler de buna parelel olarak değişiklik gösteriyor. Amerikalı bir kullanıcı ile Türkiye’ den bir kullanıcının zayıf noktaları farklılıklar gösteriyor. Her devletin iyi analiz yaparak ulusal güvenlik standartlarını oluşturmaları ve dinamizme ayak uydurmaları gerekiyor.

Vipre güvenlik yazılımının kısaca tarihi, gelişimi ve yayılımı hakkında bilgi verir misiniz?

VIPRE, GFI Sunbelt Software – USA ürünüdür. Sunbelt Software, güvenlik teknolojisi üreten kuruluşların önde gelenlerinden ve en eski firmalardandır. Asıl işlevi teknoloji satmak iken, kendisine ait bazı markaları da vardır. Casus programların (spyware) varlığını ilk olarak keşfeden ve anticasus (antisyware) yazılımı gerçekleştiren ilk güvenlik firmasıdır. CounterSpy markası tüm dünyada çok yaygın olarak kullanılmaktadır. Kerio Firewall, Sunbelt’ in bireysel firewall alanında tanınan markasıdır. Mevcut tüm antivirüs güvenlik ürünleri birden çok motor (antivirüs, antispyware, firewall v.s.) ile çalışmaktadır, bu durum bilgisayar kaynaklarının aşırı tüketilmesine, makinanın ağır çalışmasına ve zararlı kod kaçağına neden olmaktadır. Sunbelt, tüm fonksiyonları tek bir motorda çalıştıran bir teknolojiyi geliştirerek, 2008 yılında VIPRE markası ile kullanıcılara sundu. Bu teknoloji literatürde “Son Nesil Güvenlik Teknolojisi”, “Geleceğin Güvenlik Teknolojisi” olarak anılıyor, halen sadece VIPRE’ de kullanılıyor. Biz, firma olarak 2007 yılından beri Sunbelt Software Türkiye distribütörüyüz, 2009 yılı ortalarından itibaren VIPRE güvenlik serisini Türkiye piyasasına sunduk. Amerika ve diğer ülkelerde yeni bir marka olmasına rağmen çok yaygın olarak kullanılan VIPRE’ nin, Türkiye’ de kullanıcı sayısı her geçen gün artıyor. Güvenlik programları konusunda bilinç sahibi olan kullanıcıların VIPRE’ yi tercih ettiklerini gözlüyorum. Kullanıcı ihtiyaçları ve güvenlik gereksinimleri çok iyi analiz edilmiş ve bu alanda varolan şikayetlere VIPRE ile çözüm getirilmiştir. VIPRE ile bilgisayar kaynakları kullanıcının hissetmeyeceği oranda tüketilmektedir, yani performans kaybı yoktur. Kullanıcıyı şaşırtan, korkutan mesajlar vermemektedir, soru sormamaktadır, kur-unut tipinde bir programdır. Geride çalışarak işini yapmaktadır. %99,5 yakalama oranıyla alanında liderdir. Home Site Licence uygulamasıyla, her bütçenin alacağı bir fiyatla bireysel kullanıcıya sunulmaktadır. Kurumsal (enterprise) sürümü admin dostu bir yapıdadır, diğer markalara oranla oldukça düşük fiyatlara sahiptir.

Dünya antivirüs yazılım pazarında Vipre’nin pastadaki payı ne kadar?

Yayınlanmış böyle bir çalışma yok, ben gözlemlerimi aktarabilirim. VIPRE, yaklaşık 3 yıllık bir ürün, ülkeden-ülkeye yapılan çalışmalara bağlı olarak kullanıcı sayısı değişiyor.  Sunbelt Amerika’ nın gözde firması, çok tanınıyor, VIPRE piyasada en başlarda. Türkiye’ de kullanıcı sayısı ile %10’ a yaklaştığımızı sanıyorum. Sahip olduğu teknoloji ile VIPRE’ nin kısa bir süre sonra bir numara olacağı görüşündeyim.

Vipre verilerine göre insanlar en fazla hangi saldırı türlerine maruz kalıyor?

Casus programlar, en büyük tehdit. Virüsler gibi kendilerini yayıyorlar, virüslerin aksine kendilerini gizliyorlar. Ulaştıkları bilgisayarı ele geçiriyorlar, bilgisayarı uzaktan yönetilir hale getiriyorlar. Korsanlar, ele geçirdiği bilgisayar sayısına göre rütbe alıyor ve fiyat talep ediyor. Daha tehlikelisi olabilir mi? Aynı tehdit, mobil cihazlar (cep telefonu) için de geçerli. Bunlar Türkiye’ nin hiç umurunda değil. Bu durum riski daha da artırıyor, şeker gibi tüm haşaratı üzerimize çekiyoruz.

Kurumsal firmalar neden antivirüs yazılımı kullanmalılar? Orta ölçekli bir kobi için de gerekli olabilir mi?

Tek başına antivirüs programı güvenlik sağlamıyor, bu algıyı düzeltmek istiyorum. Antivirüs programı, casus programları tanımazlar. Muhakkak antispyware programının da kullanılması gerekir.  Tehditler çok çeşitli hale geldiler. Her bilgisayarın, kurumsal ağda olanlar da dahil olmak üzere antivirüs+antispyware programları tarafından korunması gerekiyor, buna firewall ilave edilmesini de öneriyorum. Bunlardan birisi eksik olursa, zaafiyet oluşur. Piyasada çok sayıda sahte ürün satılıyor. Gerçekten antispyware içeren programlar kullanılmalı, söylenene itibar edilmeyip, antispyware özelliği test edilmeli.

Vipre’nin önümüzdeki aylarda kampanya planları yapılıyor mu?

Şu anda VIPRE Antivirus+Antispyware sürümünün 90 günlük lisansını kampanya kapsamında ücretsiz olarak popüler ve güvenilir kurum ve kuruluşlar ile birlikte dağıtıyoruz. 2 aylık sürede 100,000 üzerinde lisans talebi geldi. Bu bir süre daha devam edecek. Yanılmıyorsam Şubat ayında yakala.co fırsat kuruluşu ile bir indirim kampanyası düzenlemiştik. Önümüzdeki günlerde benzer bir fırsat kampanyası daha düzenleyebiliriz.
Vipre’nin Türkiye’de ki Pazar hedefi ve faaliyetleri nelerdir?

Türkiye bilişim kullanıcısı güvenlik konusunda ciddi bir zaafiyete sahip. Bunun üzerine bir de sahte veya teknolojisi eskimiş güvenlik ürünleriyle istismar ediliyor. Türkiye’ nin gerçek güvenlik programlarına, VIPRE’ ye ihtiyacı var. Kısa sürede en çok tercih edilen güvenlik programı olacağını öngörüyorum. Bunun için tanıtım çalışmalarımız devam ediyor, daha da yoğunlaştıracağız. Bireysel ve kurumsal kullanıcının VIPRE’ ye ihtiyacı var.

Vipre konusunda takipçilerimize iletmek istedikleriniz nelerdir ?

VIPRE’ yi muhakkak denesinler. Halen kullanmakta oldukları güvenlik programını kaldırsınlar, VIPRE’ yi kursunlar ve taratsınlar. Benim söylediklerimi daha iyi anlayacaklar.

Faruk Kekevi’ye düşüncelerini okurlarımızla paylaştığı için teşekkür ediyoruz.