“Ulusal bir sorumluluk taşıyoruz”

Barikat Siber Güvenlik CEO’su Murat Hüseyin Candan, “Kendi altyapımızda ihtiyaç duyduğumuz teknolojileri kendimizin geliştirdiği ve çok ciddi yıkıcı inovasyonlar peşinde koştuğumuz bir süreç yaşıyoruz. Türkiye sınırları içerisinde yapılabileceklere ilave başlıklar açmamız gerekiyor” açıklamasını yaparak bölgesel MSSP olma yolunda hızla ilerlediklerini kaydetti.

“Özellikle istihdam ve kendi iş gücünü yetiştirmek konusu bizim çok uzun zamandır iyi yaptığımızı düşündüğümüz bir şey” ifadesini kullanan Barikat Siber Güvenlik CEO’su Murat Hüseyin Candan, “İçinde rakiplerimizin de olduğu, pek çok meslektaşımızın çalıştığı siber güvenlik emekçilerinin iyi yolda olduğunu düşünüyorum” değerlendirmesinde bulundu. BThaber’in ‘3 Gazeteci 1 Konuk-3G1K’ başlıklı dijital etkinliğinin konuğu olan Candan, BThaber Yayın Koordinatörü Ayhan Sevgi, BThaber Ankara Temsilcisi Sedef Özkan ve BThaber Editörü Handan Aybars’ın sorularını yanıtladı:

Konu güvenlik olduğunda, farkındalık ne seviyede? Güvenlik hizmetlerinize yönelik ilgiyi nasıl değerlendiriyorsunuz?

Hem kurumsal hem bireysel farkındalık her geçen gün artıyor. Regülasyonlar, yayımlanan rehberler, stratejik eylem planları bu konuda ciddi bir yol haritası çıkartıyor. Dijital Dönüşüm Ofisi’nin çok iyi hazırlanmış Bilgi ve İletişim Güvenliği Rehberi var; hem kamu hem de özel şirketlerin kullanabileceği bir altlık oluşturuyor. Siber Güvenlik Strateji ve Eylem Planı var. Düzenleyici, regülatif organizasyonların hazırladığı sektörlerin yapması gereken konular da siber güvenlikle ilgili ajandaları dolduruyor, farkındalığı artıyor. Bizler giderek daha artan tehditlere yönelik çözümlerimizi sahaya indirmeye ve farklı çözümleri icat etmeye de çalışıyoruz.

Koronavirüs, bilişim dünyasını ve kurumsal bilişim ihtiyaçlarını değiştiriyor ve çeşitlendiriyor. Güvenlik ihtiyaçları, riskler de koronavirüsle nasıl bir dönüşüm içinde?

Covid sonrası şirketler, kurumlar, bireyler, fiziksel olarak bir şeye sahip olmanın bir zaafiyet olduğunu değerlendirecek. İşin içine çalışanları, yöneticileri de koyduğumuzda, bunların daha çok servisleştiği, belirli oranda hizmetlerin daha çok tanımlandığı, süreçlerin dijital olarak aktığı, her şeyin bir zemine oturtulduğu farklı bir dünyaya giderek yaklaşıyoruz gibi geliyor. Siber güvenlik özeline baktığımızda artık işler karmaşıklaşıyor. Barikat bünyesinde bugün 242 kişi yer alıyor. Birçok şirket layıkıyla siber güvenliği bir yapıdan almak isteyecek. Konunun iç kaynaklarla çözülmesinden ziyade güvenilir dış kaynaklarla çözüleceğini görüyoruz ve yatırımımızı da bu yönde yapıyoruz. Özellikle istihdam ve kendi iş gücünü yetiştirmek konusu bizim çok uzun zamandır iyi yaptığımızı düşündüğümüz bir şey. Artık müşterilerimiz için de iş gücünü yetiştirmeye başladık. Bu noktada geliştirdiğimiz sistemler, kurduğumuz kadrolar, sahada edindiğimiz tecrübeler ve test edilmiş metodolojiler bizim için önemli bir yaklaşım oluşturuyor. Her şey dış kaynak olacak demek tabii ki yanlış olur. Geniş kapsamlı yaklaşacak, müşterilerin pek çok ihtiyacına tek noktada cevap verebilecek, insanları yormayacak, sürekli kendini iyileştiren geliştiren, işlerin katma değerini raporlayabilen ve gösterebilen organizasyonların artacağını düşünüyoruz. Sektörün gideceği yer; müşterilerinin pek çok ihtiyacını tek bir adresten iyi bir şekilde sağlayabileceği bir nokta olacak. Siber güvenlik zor bir konu. İyi bir savunma mekanizmanız ve zaman zaman da saldırıya dönebileceğiniz sistemleriniz, bakış açınız olması gerekir. Siber güvenlik sade bir konudur; sade tedbirlerle, iyi bir planla, iyi bir planlamayla, birkaç zaman içinde, yol katedilebilecek bir konu. Saldırganların elbette sofistikasyonları, metotları, yetenekleri artıyor, savunanlardan zaten daha disipline oldukları alanları da görüyoruz. Çoğu durumda; iyi bir planla, regülasyonların değerlendirilmesiyle, pek çok parametrenin bir havuzda değerlendirilmesiyle, en doğru adımların atılması bakış açısıyla büyük bir kısmı hallolabilir. Bizim de gelişmemiz lazım. Onlar zaten gelişiyorlar ama bakış açısını arkada geniş tutmamız gerek.

Hedefimiz bir Türk firması olarak küresel ölçekte oyuncu olmak

Barikat, bu konuda kurum ve şirketlere nasıl bir yaklaşım sergiliyor?

Siber güvenlik söz konusu olunca, sahada mühendis olarak da çalıştım, kabin montajı yapan ekipten geliyorum. CEO’yum ama TechCEO demem daha doğru olur; teknikten uzak kalmamaya çalışıyorum. 2008’de Barikat’ı Ankara’da kurduk ve doğal olarak müşterilerimizin büyük çoğunluğu kamuydu. Ancak şu an geldiğimiz noktada; kamu alanındaki müşteri sayılarımız azalmamakla birlikte Anadolu’daki, İstanbul’daki, Katar’daki, Azerbaycan’daki, hatta dijital pazarlamayla suyunun tadını bilmediğimiz coğrafyalardaki müşterilerimizi dikkate aldığınızda, yüzde 35-40 müşterimiz kamu. Etrafımızdaki coğrafyalarda onların 4-5 sene Türkiye’nin gerisinden gelmelerinin hasebiyle gözlenen problemleri ve o problemlerin nereye evrileceğini Türkiye örneğinden çok iyi tahmin edip çeşitli tedbirleri önden alıp bazı finansal avantajlar elde edebiliyoruz. Biz herkesle iş birliği yapabilecek bir firma değiliz çünkü müşterilerimize karşı sorumluluğumuz var; bazı kırmızı çizgileri geçmememiz gerekiyor. Barikat içerisinde birleştirilecek operasyonlar çok sağlıklı gitmesi gereken ve belli akreditasyonları olması gereken operasyonlar. Çok önemli kurumlarda, şirketlerde çok önemli projelerde yer alıyoruz. Ulusal bir sorumluluk olarak görüyoruz. Sorumluluğumuz BT’nin herhangi alanındaki herhangi bir sorumluluktan çok daha fazla. Üst seviye arkadaşlarımızın böyle kalifiye olmasının sebebi; bu bakış açısından geliyor. Bu bakış açısıyla kendimizi geliştirmeyi, kendimizi geliştirirken piyasa tecrübelerini bu havuza boca edebilmeyi ki bunun içinde yurt dışı tecrübeler de bulunuyor. Sonra buradan çıkacak her sonucu da müşterilerimizle paylaşarak kendi kendini geliştiren ve iyileştiren bir motor tanımlamayı bir mecburiyet olarak görüyoruz ve bunun içerisine de insan yetiştirme mekanizmasını dahil ettiğimizde ortaya bir değer çıkıyor. Şu anda Barikat’ın içinde çalışan mühendislerin pek çoğu Barikat Akademi’de yetiştirildi ve daha da fazlası yetiştirilecek. Siber Güvenlik Kümelenmesi de çok önemli; üyesiyiz. Kümelenme olmasa da geçen sene çok önemli bir gelirimizi yerli ürünlerin satışından elde ettik. Bu ticaretin çoğunu yurt dışında yapabilme arzusundayız. Ulusal olarak bizim için kıymetli olan şeyin; ülkemize döviz getirmek olduğunu düşünüyoruz. Türkiye olarak yadsınamaz bir kuvvetiz, bunun özgüvenini hissetmek lazım ve her geçen gün bunu çok iyi görüyoruz. Yapacak çok işimiz var, yapılmış da pek çok iş var. İçinde rakiplerimizin de olduğu, pek çok meslektaşımızın çalıştığı siber güvenlik emekçilerinin iyi yolda olduğunu düşünüyorum. Startup tarafında da Siber Kümelenme’nin desteğiyle çok iyi şeyler oluyor. Umuyoruz birkaç yıl içinde hep beraber güzel neticeler alırız. Profesyonel anlamda melek yatırımcı olma düşüncemiz var. Bununla ilgili geçmişte yaptıklarımız ve gelecekte yapacaklarımız, bu yönde ciddi bir çabamız var. Üretilenlerin yurt dışıyla buluşturulması konusunda da ciddi bir çaba mevcut. Çok iyi sonuçlar alınacağını görüyoruz. Kendi altyapımızda ihtiyaç duyduğumuz teknolojileri kendimizin geliştirdiği ve çok ciddi yıkıcı inovasyonlar peşinde koştuğumuz bir süreç yaşıyoruz. Bu sektörde, etrafımızdaki coğrafyada bölgesel MSSP (Managed Security Service Provider / Yönetilen Güvenlik Hizmeti Sağlayıcısı) olmak ve ‘Gartner Magic Quadrant List’e girmek uzun yıllardır konuşuluyor. Türkiye sınırları içerisinde yapılabileceklere ilave başlıklar açmamız gerekiyor. Bu bizim bu ülkeye olan borcumuz. Bizim hedefimiz bir Türk firması olarak hem finansal altyapısı hem organizasyon yapısı hem ekibiyle, küresel ölçekte oyuncu olmak, biz de varız diyebilmek.

Siz kendinizi hizmet ve çözüm açısından nasıl konumlandırıyorsunuz?

Hizmet olarak baktığımızda MSSP’in tehdit tespitten cihazların yönetim ve idamesine, uyumluluk sağlanmasından zafiyet yönetimine kadar 8 tane dikeyinden bahsederiz. Teknoloji satışı da bu MSSP çatısının altında yapılıyor. Barikat bir MSSP’dir. Türkiye’de MSSP’yim deyince tam bir karşılığı yok. Sadece sızma testi yapan bir firma olarak değerlendiriliyor ki aslında o değil. Barikat için ‘ulusal bir MSSP’ derim. Bunu bölgesel bir MSSP deme noktasına geldik. Geçtiğimiz günlerde Katar’da ‘Security Operation Center’ı açtık. Bir MSSP’nin nasıl olması gerektiğine yönelik bir doküman, metodoloji, akış yok. MSSP oluyor olmak arka tarafta bir şeylerin icat edilmesi zorunluluğunu ortaya çıkartıyor. Biz yaklaşık 7 yıldır bunu icat etmekle uğraşıyoruz. Dünyanın neresinde olursa olsun Bir MSP’yi, MSSP’ye dönüştürecek yazılım, ‘know how’ ve tecrübeye sahibiz. Siber güvenlik ‘cek-cak’ işinden ziyade yapmak işi.

Siber güvenlik konusundaki regülasyonları artı ve eksileriyle değerlendirebilir misiniz? Bu konuda atılması gereken adımlar hakkında bilgi verebilir misiniz?

Regülasyon ajandası yoksa siber güvenlikle ilgili pazar oluşması o kadar kolay olmuyor. Felaket bazlı bir pazar çok sağlıklı değil. Regülasyon işin sağlıklı yaşam reçetesi. Regülasyonlar ülkemizde 5-6 yıldır ajandamızı oluşturuyor. Bunların yeni versiyonlarının, altlıklarının, denetleme mekanizmalarının oturması gerekiyor. Bizlerin regülasyonlarla ilgili yapması gereken şeyler olduğuna inanıyorum. Hem kamuda hem özelde hem de düzenleyici kuruluşlarda ciddi bir çaba var. Biz de zaman zaman parçası olabiliyoruz. Denetleme mekanizmalarını illa kamu değil özel şirketlerin yapabileceği hale de dönüştürmek gerek ki toptan bir kalkınmanın derdine düşelim. Siber güvenlik diye düşündüğümüz konu zaman zaman ulusal güvenliğe dönebilir. Her şeyin parçası olmaya çalışıyoruz ama denetlemenin de artık hayatımızda daha fazla yer alması, ölçülmesi, nasıl iyileştirilebileceğinin de ortaya çıkması gerekiyor.

Barikat’ın bilgi birikimi ve tecrübesini, uluslararası arenaya açma konusundaki çalışmalarınızdan bahsettiniz. Bu konuyu biraz daha açabilir miyiz? Geçtiğimiz haftalarda Palo Alto – Barikat iş birliği ile ilgili dijital etkinlikleriniz de olmuştu…

Bizim bir stratejik planımız var. Bu plan; belirli coğrafyalara açılmayı mecbur kılıyor. Katar’a, Azerbaycan’a; oralarda çok iyi iş ortakları bulduğumuz için gittik. Çok iyi iş ortağı bulabilirsek Amerika’ya da gideriz. Çok iyi iş ortağı dediğimiz; siber güvenlik alanına girmemiş, bizim siber güvenlik alanında portföyünü zenginleştirebileceğimiz ve hep beraber değer yaratabileceğimiz organizasyonlardır. Yerli de yabancı da olabilir. Dolayısıyla biz bunların peşinde koşan ayrı bir birime sahibiz. Günlük mesaisini buna harcayan zehir gibi arkadaşlar var. Plan, program yapmak önemli ama dünyanın nereye evrileceğini de kontrol edemiyoruz. Biz Barikat’ı; yurt dışında da Türkiye’de kazandığı başarıları artıracak ve bu ülkenin mühendislerini yabancı şirketlere kaybetmeden kendi çatısı altında küresel bir organizasyonda dünyaya açacak bir yapı olarak görüyoruz. Böyle olmak için inovasyon, Ar-Ge birimlerine sahip. Zaman zaman burada oluşturmaya çalıştığımız kültür bazen şok da yaratabiliyor. Mevcut olduğumuz her yerde ayak basmadık metrekare bırakmayacağız. Arkadaşlarımın üstlendiği Anadolu siber güvenlik pazarında da öncü bir rolü var. Benzer yaklaşımları yurt dışında da yapacağız. Küresel anlamda bizi farklı noktalara taşıyacak ajandaları arkadaşlarımız oluşturuyorlar.