CyberWhiz Kurucu Genel Müdürü Çağatay Büyüktopçu: “MOBİL UYGULAMANIN GÜVENLİĞİ TAM OLARAK SAĞLANIYOR”
“CyberWhiz, IoT temelli siber güvenlik çözümleri üreten bir firma. Üç sene önce kurulduk. Fakat bu üç sene boyunca, resmi olarak kuruluşu yapmadığımız ve kuluçka dönemi yaşadığımız için hem teknik anlamda hem de satış anlamında birçok faaliyetimizi kapalı devre yürüttük. Spin-off sonrası; uçtan uca geliştirdiğimiz teknolojileri modüler hale getirip ihtiyacı olan tüm firmaların hizmetine sunmaya başladık.
Bu üç senelik süreçte içeride oluşturduğumuz Red Team ile aslında mobil uygulamalar konusunda kendimizi geliştirdik. Mobil uygulama özelinde; eğer özel bir talepte bulunmuyorsanız, genelde sizi hızlıca test edip, sizi raporluyoruz. Daha önce test edilen mobil uygulamaları grup içerisinde test ettiğimizde, birçok kritik seviye zafiyetler yakaladığımızı görmeye başladık. Sonrasında fark ettik ki, biz bunları kolayca hack’leyebiliyoruz. Hepsinde benzer problemler var. Bunun üzerine de ‘CyberWhiz Mobile isimli bir siber güvenlik kütüphanesi geliştirelim, bunu mobil uygulamanın içerisine gömelim, dışarıda yakaladığımız bu zafiyetlerin sömürülmemesini sağlayalım’ dedik. Nitekim bir kütüphane geliştirdik. Üç sene boyunca birçok farklı firmanın mobil uygulamasına entegre etmeyi başardık. Bu senenin başında da şirketin kurulumunu gerçekleştirdik. Şu an bunu bütün Türkiye hatta dünyaya yaymaya başladık. Özetle mobil uygulamanın kendisini güvenli hale getiren bir uygulama, caydırıcılık seviyesini de oldukça yukarıya çekiyor.
“Güvenliği tasarımın içine gömmek gerek”
Hepimiz penetrasyon testi yaptırıyoruz. İç kaynak da olsa dış kaynak da olsa testi yapanlardan belli taleplerimiz oluyor. Güvenlik, çalışan sirkülasyonunun çok fazla olduğu bir alan. Dolayısıyla çalışanlar sürekli değiştiği için sürdürülebilir bir yapı oluşturulması günümüz şartlarında giderek zorlaşıyor. Penetrasyon testi tarafı ise aldığınız hizmeti size veren firmanın atadığı kişinin niteliğine ve niceliğine çok bağlı. “Ben test ettirdim uygulamamı, güvenliyim” demek esas risk. Her zaman bir açık kapı olabileceğini düşünmek lazım. Hele de Chat GPT aracılığıyla çok basit bir şekilde atak yöntemleri geliştirilebilen bir çağda mobil uygulamaların gerçekten dedike ve özel bir şekilde test edildiğinden emin olunması, bu hizmetin alındığı firmanın da bu işi yapan kişinin de belli sertifikalara sahip olması gerekiyor. Öte yandan firmalar tek bir yerden hizmet almak istiyorlar ama mobil uygulama uzmanlık alanı, diğer alanlara göre biraz gölgede kaldığı için istenilen hizmete ulaşamıyorlar. CyberWhiz, bu doğrultuda yeni bir yaklaşım sunuyor. Mobil uygulama penetrasyon testi özelinde uzman bir Red Team’imiz var. Bir de ilgili mobil uygulamayı güvenli hale getirecek bu kütüphaneyi tasarlayan Blue Team’imiz var.
Periyodik olarak test edilmiş, penetrasyon test raporları olan birçok mobil uygulamayı bir de bizim gözümüzle test ettiğimizde gerçekten büyük zafiyetler yakalıyoruz. Bunların bazısının da temelden tasarım olarak yanlış yapıldığını gördük. Aslında güvenliği en baştan tasarımın içerisine gömmek lazım. Yani penetrasyon testi aslında geç. Bir satır kod değişikliği bile yapılmadan önce biz Blue Team ile o tasarımı yapan firmayla birlikte oturuyoruz masaya. Aslında daha bir satır kod yazılmadan mobil siber güvenlik özelinde danışmanlık veriyoruz.
‘Mobil uygulamanın en dışına bir siber güvenlik kütüphane çözümüyle bir kale duvarı örelim, içeride en azından daha rahat oyun alanı olsun’ diyoruz. Mobil kütüphanesi bunu yapıyor. Bankacılık sektöründe bu tarz ürünlerin yasa gereği de kullanılması zorunlu. Bizim kütüphanemiz de aslında onu yapıyor.
Mobil uygulama güvenliği konusunda hepimizin daha rahat uyuyabileceğini düşünüyorum. Burada en büyük değer ise ürünlerimiz. İşin sadece penetrasyon testi tarafında değiliz. İlgili mobil uygulamayı güvenli hale getirecek bir ürünümüz var. O mobil uygulamanın sahada yaşadığı süre boyunca yeni bir versiyon çıkacaksa, daha tasarım aşamasında iken Blue Team’le ve tasarım ekibimizle birlikte ilerliyoruz.”
