
“BugBounter.com olarak en önemli prensiplerimiz arasında esneklik, gizlilik, güven ve hız yer alıyor.”
“20 yılı aşkın bir süredir bu alanda Türkiye’de çalışan ve çözüm üreten ekip olarak, kurumun hassas verilerinin, zafiyet alanlarının ve paydaş bilgilerinin açığa çıkma ihtimaline karşı son derece dikkatliyiz ve hassasız.” Diyen BUGBOUNTER SİBER GÜVENLİK TEKNOLOJİLERİ A.Ş. Kurucu Ortağı ve CEO’su Arif GÜRDENLİ ile siber saldırılara karşı uygulanması gereken güvenlik çözümlerini konuştuk.
- BugBounter markasından ve markanızı siber güvenlik alanında sağlamlaştıran yapı taşlarından kısaca söz eder misiniz?
Murat Lostar (CSO) ve Ozan Vakar’la (CTO) bir araya gelerek kurduğumuz BugBounter ile yüzlerce bağımsız güvenlik araştırmacısının (beyaz şapkalı etik hackerların) niteliksel ve niceliksel gücünü bir araya getirerek, kurumların güvenlik açıklarını hacker saldırılarından daha önce keşfedip, doğrulayıp raporlayacak bir ekosistemi büyütüyoruz. Şirketlerin siber saldırılara karşı zaaflarını test etmek için gerekli tüm sürecin güvenli bir biçimde yürütülmesini sağlayan blok zincir tabanlı bir platform sunuyoruz. Platformun paydaşları kurumlar, güvenlik araştırmacıları ve doğrulayıcılardan (triage takımı) oluşuyor.
BugBounter.com olarak en önemli prensiplerimiz arasında esneklik, gizlilik, güven ve hız yer alıyor. Siber güvenlik, yüksek seviyede mahremiyete sahip bir alan. 20 yılı aşkın bir süredir bu alanda Türkiye’de çalışan ve çözüm üreten ekip olarak, kurumun hassas verilerinin, zafiyet alanlarının ve paydaş bilgilerinin açığa çıkma ihtimaline karşı son derece dikkatliyiz ve hassasız. Tüm paydaşlarımız ile karşılıklı gizlilik ilkesi ve KVKK çerçevesinde hareket ediyoruz. Verileri deen ileri teknikler ile şifreleyip saklıyoruz.
Tarafların birbirine güven duyması çok önemli. Hizmeti alan şirket, kendisi için çalışacak araştırmacıya ve hizmeti sağlayan platforma güvenmeli ancak diğer yandan hizmeti veren araştırmacılar da şirket tarafından haksızlığa uğramayacağından emin olmalı. Tarafların güven sorununa platform olarak geliştirdiğimiz süreçler ve blok zincir teknolojimiz ile çare oluyoruz. Kötü niyetli hacker’lara karşı çıktığımız bu yarışta hız, olmazsa olmazımız. Hem test sürecinin başlatılmasında ve açıkların keşfin de hem de keşfedilen açıkların doğrulanıp raporlanmasında çok hızlı olmamız gereken bir dünyada mücadele ediyoruz. Her 39 saniyede bir siber saldırı olduğu gerçeği de bu durumu fazlasıyla gözler önüne seriyor.
- BugBounter Araştırma Geliştirme, AR-GE biriminden söz eder misiniz?
Bizim AR-GE anlayışımız, “tasarım odaklı düşünce” yapısında işliyor. Sürekli müşterilerimiz ile konuşuyoruz, temel ihtiyaçlarını ve isteklerini dinliyoruz. Ürünümüzde geliştirdiğimiz yeni özellikler, hep müşteri merkezli bir şekilde yapılıyor. Yeni bir ihtiyaç alanı belirlediğimizde Ürün Yöneticisi ile CTO’muz işin akışını ve özelliklerini netleştiriyor ve bir sonraki sprint içine, yani yazılım geliştirme ekibinin iş planına giriyor. Yeni ürün özellikleri öncelikle tarafımızca test ediliyor ve onay alan özellikler hemen müşteri ile buluşturuluyor. Ardından müşteriden gelen geri bildirimler doğrultusunda özellikler rafine ediliyor.
- Siber güvenlik proje çalışmalarının son yıllardaki motivasyonunu nasıl değerlendiriyorsunuz?
COVID-19 salgını, 2020’de birçok alanda büyük dönüşümlere neden oluyor. Siber saldırılar da bu etkilerin hissedildiği alanlardan birisi. Bu dönüşümler, bizlere yeni normalde siber güvenliğin ne kadar önemli olduğunu gösteriyor. Siber güvenlik profesyonelleri, şirketler açısından baktığımızda itibarlarına büyük hasar verebilecek bu saldırılara karşı en büyük koz haline geliyor. Bu saldırılara maruz kalmadan önce artık görevini yerine getirmekte zorlanan ve düşük verimliliğe sahip yöntemlerin biraz dışına çıkmak, konfor alanında da küçük değişikliklere giderek daha etkili yöntemleri erken uyarı mekanizmalarına dâhil etmek, doğru bir seçim olarak öne çıkıyor. Şirketler bağımsız araştırmacı topluluğundan faydalanarak çok daha uygun bir maliyetle, çok daha hızlı ve sonuç odaklı bir yaklaşımla sistemlerindeki kritik açıkları bağımsız araştırmacılar sayesinde keşfedebilir ve savunmalarını buna göre yıkıcı bir saldırıyla karşılaşmadan önce iyileştirebilir. Kapattığı güvenlik açıklarını da yine araştırmacılarımıza teyit ettirebilir.
Covid-19 gibi olağanüstü durumlar için nasıl bir aksiyon planladınız?
İş modelimiz, kitle kaynağı ile platform üzerinden (bir pazaryeri oluşumu mantığında) çalışan bir yapıda kurgulandığı için Covid-19 gibi şartlarda çok daha esnek, ölçeklenebilir ve uygun maliyet ile kurumların yanında oluyoruz. Yani işimizin doğası, krizlere karşı aşılı diyebiliriz. Kendi ekibimiz de şu anda %50 zamanında evden çalışıyor. Teknopark İstanbul’da yerleşik olduğumuz için bizlere sağlanan uzaktan çalışma esnekliği ile işimizde sağlığı da öne alacak şekilde düzenimizi devam ettiriyoruz.
Sektördeki yeni trendler neler ve gelecekte bizi neler bekliyor, öngörülerinizi aktarır mısınız?
2020, büyük çoğunlukla pandeminin yarattığı birçok değişime ayak uydurulduğu bir yıl oldu. Hibrit çalışma modelini benimseyen şirket sayısının bir anda artmasıyla güvenlik planlarının da bu değişimi destekleyecek hale getirilmesi gerekti. 2020’yi pandeminin neden olduğu veya hızlandırdığı trendlerle geride bıraktık ancak şirketlerin henüz farkında olmadıkları güvenlik açıklarını bulma ihtiyacı katlanarak artmış durumda.
2021’de karşımıza sıklıkla çıkacağını düşündüğüm başlıkları şöyle sıralayabiliriz:
- Kurumların temel harcamaları arasında siber güvenliğe daha büyük pay ayrılacak.
Şirketler, gelişmiş saldırıları net yaklaşımlarla tespit eden çözümler kullanmaya önem gösterecek. Aynı zamanda siber korumaya ve siber tehditleri tespit etmeye yapılan harcamalar, önümüzdeki 6 ayın öncelikleri arasında yer alacak. Gelirleri azalan şirketlerde bile başka alanların harcamalarından kesinti yapılarak siber güvenliğe kaynak aktarıldığı gözleniyor.
- Şirketler, e-posta güvenliği için başka yaklaşımlar kullanacak.
2021’de e-posta güvenliği alanında sadece güvenilir alıcıların e-postasının ulaşmasına izin vererek taklitçi oltalama saldırılarının önüne geçebilen sıfır güven yaklaşımı öne çıkacak. Başka bir deyişle sıfır güven yaklaşımı, gelen kutusuna ulaşan sınırsız mail arasından kötü olanları belirlemek yerine sınırlı sayıdaki gerçek göndericileri seçiyor.
- Sadece çalışanlar değil, tüm işleyiş uzak noktalara yayılacak.
Salgınla birlikte ortaya çıkan düşük temas ekonomisinin ihtiyaçlarını karşılayan yeni iş modelleri ve özel hizmetler, günlük hayatlarda yer almaya devam edecek. Tam görünürlüğün nasıl sağlanacağını ve aynı tedarik zincirindeki uzak kuruluşlar arasındaki ilişkinin nasıl güvence altına alınacağını açıklığa kavuşturmak, kilit önem taşıyacak.
- Bütçelerin azalmasıyla BT yöneticileri güvenlik çözümlerini tek çatı altında toplayacak.
Düşük bütçeye rağmen şirketlerin BT yöneticileridijital dönüşüm yolculuklarını tamamlamak için çalışacak. Bu yüzden sistemlerin birleşmesi ve basit bir yapıya sahip olması çok önemli hale gelecek. Bu yüzden birçok hizmeti tek bir platformda buluşturan teknolojilere yönelecek.
- Kurumlar uzaktan çalışmaya imkân tanıyan daha uzun vadeli çözümlere öncelik verecek.
Uzaktan çalışanları desteklemek için birbirine benzeyen VPN, VDI, DaaS gibi çözümleri tercih eden şirketler, ölçeklenme sınırına ek olarak kullanıcı deneyimi, güvenlik ve maliyet alanlarında sorunla karşılaşabilirler. Zoom, Google Docs, Slack gibi modern, bulut tabanlı çözümler kullanıldıkça geleneksel uzaktan erişim çözümlerinin eksikliği kendisini gösterecek.
- Şirketler, siber güvenlik ve kurumsal ihtiyaçlar arasında riske göre bir denge oluşturacak.
BT ekipleri, ölçeklenebilirlik ve erişilebilirlik gibi kurumsal ihtiyaçları giderirken güçlü bir güvenliğin de olmasını sağlayacak. Yüzde 100 güvenlik sağlamak gibi gerçekleşmesi çok zor bir beklenti, yerini belirli bir düzeye kadar riski göze alma ve dayanıklılığı da buna paralel olarak artırma stratejisine bırakacak.
- Sıfır güven yaklaşımının benimsenmesiyle geleneksel VPN’ler daha az kullanılacak.
Pandemi sırasında birçok şirketin tüm kurumsal BT ve güvenlik stratejilerini yeniden oluşturması gerekti. İlk aşamada monolitik VPN sunucuları hemen değiştirmeseler de şirketler zamanla kurumsal BT mimarilerinin büyük çaplı uzaktan çalışma yöntemini destekleyebileceğini gözlemleyecek. Ayrıca daha yeni protokolleri kendisine temel alan VPN’ler tercih edilecek.
- 2020 ekonomik olarak zorlu bir yıldı, 2021 yılı hedefleriniz nelerdir?
Zorlu bir yılda ekibimizi küçültmeden platformu geliştirmeyi ve müşterilerimiz ile buluşturmayı başarabildik. Şu anda platformda 400 üzerinde araştırmacı ile çok geniş bir portföyde test hizmetlerini çok hızlı sağlayabiliyoruz. 2021 bizim için bir yandan Türkiye’de özel sektörde yaygınlaşırken kamu ile de çalışmalar yapabilmek ve yurtdışı pazarlara açılarak ihracat gelirleri elde etmek ana hedefimiz.