Sabancı Üniversitesi, Tezsiz Yüksek Lisans Programı kapsamında, güvenlik alanında kalifiye eleman yetiştiriyor.
Siber güvenlik konusu, hiç gündemden düşmeyen ve uzunca bir süre de gündemden düşmeyecek bir konu. Güvenlik önlemleri arttıkça, saldıranlar yeni yöntemler geliştiriyorlar. Böylece güvenlik, bir döngü olarak hayatımızdaki önemini artırarak koruyor. Günümüzde kullandığımız bilişim altyapısı ilk ortaya çıktığında güvenlik konusunun bir bileşen olarak düşünülmediğini, bunun da sistemde oldukça fazla güvenlik açığı olmasına yol açtığını belirten Sabancı Üniversitesi Mühendislik ve Doğa Bilimleri Fakültesi’nden Prof. Dr. Erdinç Öztürk,
“Bu güvenlik açıkları da sağlıklı bir şekilde kapatılamıyor. Ortaya çıkan sorun, bir yama ile giderilmeye çalışılıyor, bazen bu yamada bile bir güvenlik sorunu olabiliyor” diyor. Tabii güvenlik konusunun önemli unsurlarından bir tanesinin de kalifiye eleman olduğunu ve bu konuda büyük bir boşluğun yaşandığını belirten Prof. Dr. Erdinç Öztürk hem güvenlik alanındaki gelişmeler hem de Sabancı Üniversitesi olarak bu konuda yaptıkları çalışmalar hakkında sorularımızı yanıtladı:
Siber saldırı çeşitlerine baktığımızda ülkemizde ve dünyadaki gelişmeler hakkında bilgi verebilir misiniz? Özellikle pandemi ile birlikte bu süreçte nasıl bir hareketlilik var?
Siber güvenlik alanında saldıran kesim ile koruyan kesim arasında devamlı bir rekabet var. Bu rekabette bazen bir taraf diğerinin önüne geçebiliyor. Pandeminin ilk ortaya çıktığı dönemde hem internete bağlanan cihaz sayısının hem de internette geçirilen sürenin hızlı ve kontrolsüz bir şekilde artması, saldıran kesimi bir anda öne çıkardı, bu da oldukça fazla olumsuzluk ortaya çıkmasına yol açtı. Ancak her zaman olduğu gibi, koruyan kesim de çok çalıştı ve ortaya çıkan açıkların zaman içinde kapatılabilmesi için elinden geleni yaptı, oyunu dengeledi.
Son zamanlarda yüksek profilli siber saldırıların basına yansıdığını görüyoruz. Bu durumun artık pandemi ile bir alakası olduğunu düşünmüyorum. Bilişim altyapısının artık pandemi koşullarına ayak uydurduğunu ve siber güvenlik ile alakalı alınan önemlerin her türlü saldırıya karşı şimdilik yeterli olduğunu düşünüyorum. Bu tabi ki tam anlamıyla güvenlik sağlandığı anlamına gelmiyor, ancak pandemi koşullarının makro boyutta yaratmış olduğu dalgalanmanın sönümlenmiş olduğunu düşünüyorum.
Saldırılara bakıldığında artık karşımızda bireyler değil, kurumsal hacker yapıları yer alıyor. Bu grupların saldırılarına karşı kurum ve kuruluşlar nasıl stratejiler izlemeli? Bu konuda yapılan en büyük hataların neler olduğunu gözlemliyorsunuz?
Siber saldırı profillerini sosyal medya öncesi ve sonrası olarak ayırabiliriz. Genel itibari ile saldırı çeşitleri ve saldırı yapan kurumlar değişmedi, sadece göz önüne çıkma sıklığı ve göz önüne çıkan saldırının çeşitleri değişti. Sosyal medya ile beraber, saldırıya açık kişi sayısı arttı, bu kişilerin saldırıya uğrayabileceği platform sayısı arttı, bu da saldırıya uğrama olasılıklarını arttırdı. Kurumsal hacker yapıları, evrenin yasaları gereği doğal bir oluşum aslında. Uzunca bir süre bireysel olarak faaliyet gösteren hacker’lar, zamanla bir araya gelmeye ve ortak bir amaç için hareket etmeye başladılar. Ülkeler, siber saldırı amacıyla hacker grupları oluşturmaya başladılar. Bu da tabi, dünya üzerindeki tüm kurumları siber saldırılara karşı daha zayıf hale getirdi. Siber güvenlik söz konusu olduğunda, tam anlamıyla bir güvenlikten söz etmek asla mümkün değildir, her zaman bir açık bulunabilir. Kurumların, ellerinden geldiğince bu saldırılara karşı koymaya çalışmaları ve sanal trafiklerini sürekli olarak izlemeleri gerekmektedir. Saldırıyı önleme stratejilerinin yanında, saldırı olduğunda saldırıyı anlama, durdurma ve saldırının ortaya çıkartacağı zararları en aza indirmek için gerekli mekanizmaları oluşturmaları gerekmektedir. Yangın çıkmasını engellemek mümkün değildir, ama yangın konusunda eğitimler vererek yangın çıkma olasılığını azaltmak, yangın çıktığında da yangının zararlarını en aza indirgemek için çalışılabilir. Kurumların yapması gereken, en zayıf halkanın mümkün olduğunca en güçlü hale gelmesi için çalışmaktır. Bu konuda yapılan ve yapılacak olan en büyük hata, rehavete kapılmaktır. Dünyanın en iyi ve en pahalı güvenlik sistemini alıp altyapısına katan bir firma, bunun rahatlığıyla hareket edip önlem almayı azaltırsa, kaçınılmaz son ile karşılaşacaktır.
Güvenlik konusunda güvenlik teknolojilerinin ve ürünlerinin yanı sıra en önemli unsuru insan kaynağı oluşturuyor? Türkiye ve dünyada güvenlik uzmanlarının yeterliliğini nasıl değerlendiriyorsunuz?
Bu soruya cevap verebilmek için dünyanın önde gelen firmalarının iş ilanı profillerini inceleyebiliriz. Bu bile bu konudaki açığın ne kadar fazla olduğunu gösteriyor.
Siber güvenlik, teorisi tamamlanmış ve olgunlaşmış bir alan değil. Sürekli kendini yenileyen, yepyeni saldırı ve koruma yöntemlerinin ortaya çıktığı bir alan. Dolayısıyla, siber güvenlik konusunda uzmanlaşacak bir personel için en önemli yetenek, farkındalık. Dolayısıyla, siber güvenlik konusunda kalifiye eleman açığını kapatabilmek için izlenebilecek en önemli strateji, tüm toplumda bir farkındalık yaratmak olabilir. Konunun aslında ne kadar önemli ve hassas olduğu topluma anlatılabilirse, bu konuda çalışmak isteyecek insan sayısı da o kadar artabilir.
Kalifiye eleman açığını kapatmak için nasıl stratejiler izlenmeli?
Siber güvenlik, teorisi tamamlanmış ve olgunlaşmış bir alan değil. Sürekli kendini yenileyen, yepyeni saldırı ve koruma yöntemlerinin ortaya çıktığı bir alan. Dolayısıyla, siber güvenlik konusunda uzmanlaşacak bir personel için en önemli yetenek, farkındalık. Dolayısıyla, siber güvenlik konusunda kalifiye eleman açığını kapatabilmek için izlenebilecek en önemli strateji, tüm toplumda bir farkındalık yaratmak olabilir. Konunun aslında ne kadar önemli ve hassas olduğu topluma anlatılabilirse, bu konuda çalışmak isteyecek insan sayısı da o kadar artabilir.
Sabancı Üniversitesi olarak bu alana yönelik ne tür çalışmalar gerçekleştiriyorsunuz?
Sabancı Üniversitesi, bu konuda oldukça yoğun olarak çalışan geniş bir akademik kadroya sahip. Siber Güvenlik konusu oldukça geniş bir alana yayılıyor, çeşitli alt başlıklara ayrılıyor. Sabancı Üniversitesi akademisyenleri olarak da bu alt başlıkların büyük bir kesimini ilgilendiren konularda hem araştırma çalışmalarımıza devam ediyoruz hem de tezsiz yüksek lisans programımızdaki öğrencilerle endüstride çalışan insan profiline bir katkıda bulunmaya çalışıyoruz. Siber güvenlik, daha önce bahsettiğim gibi sürekli kendini yenileyen bir konu, dolayısıyla bu konuyu hem takip edebilmek hem de bir adım önde olup bu konu hakkında bilgi üretebilmek oldukça önemli. Üniversitemizde biz de bu doğrultuda oldukça yoğun bir şekilde çalışıyoruz.
Siber Güvenlik Tezsiz Yüksek Lisans Programı’nız hakkında bilgi verebilir misiniz?
Üniversitemiz bünyesinde kurguladığımız Siber Güvenlik programları, bahsettiğim çerçevede kurulmuş programlar. Konu hakkında güncel bilgileri takip ediyoruz, müfredatımızı ona göre her yıl hem dersler özelinde hem de müfredata yeni dersler ekleyerek güncelliyoruz. Siber Güvenlik konusunda oldukça tecrübeli bir akademik kadromuz var, bu tecrübeyi de programı her sene daha iyi bir yere getirmek için kullanıyoruz.
Bu programlarınız ile kimleri hedefliyorsunuz? Sizce kimler bu programlardan yararlanmalı?
Tezsiz yüksek lisans programımızda özellikle hedeflediğimiz bir kesim yok, ama tabi ki de ne olursan ol gel de diyemiyoruz. Biz tüm başvuruları ayrı ayrı değerlendiriyoruz ve aradığımız en önemli kriter de “motivasyon”. Oldukça zor bir program, bir yıl boyunca çok çalışılması ve sürekli bu konu hakkında araştırmalar yapılması gerekiyor. Dolayısıyla, programa katılan adaylardan da bir yıl boyunca özverili bir şekilde programa kendilerini adamlarını bekliyoruz. Böyle bir ortamda başarılı olabilmenin en önemli kriteri, motivasyon.
Bilişim profesyonelleri dışındaki diğer birimlerin (üretim, finans, pazarlama, vs) profesyonelleri de bilişim ve güvenlik konusunda ne tür yetkinliklere sahip olmalılar?
Bu soruya da bir önceki soruya verdiğim cevabı verebilirim. Buna ek olarak, analiz yeteneği güçlü, oldukça meraklı, matematiksel altyapıya hakim olunması gerekiyor. Siber güvenlik konusu bilişim altyapısını ilgilendiren bir konu, bu beceriler de bilişim altyapısı için aslında olmazsa olmaz kriterler.