Yahoogroups üzerindeki Bilgi Güvenliği tartışma listesinde son bir haftadır TÜBİTAK’ın UEKAE kolu ile yürüttüğü hizmetlerle ilgili bir tartışma var. BT sektöründe güvenlik danışmanlığı yapan iki firmanın yöneticileri TÜBİTAK’ın bir tarafta bir endüstri oyuncusu gibi faaliyet göstermesinden, öteki tarafta da TR-CERT gibi kamusal çalışmalara (rakip olmalarına rağmen) kendilerinden katkı beklenmesinden rahatsızlıklarını dile getirdiler. Bugün bu konudaki görüşlerimi listeye yazdım; aşağıda da aynen paylaşıyorum:
TÜBİTAK’ın bu (üç paralık) BT endüstrisine (endüstriciğe mi demeliydim) ciddi şekilde zarar verdiğini düşünenlerdenim. Bu düşünceyi BT endüstrisi içerisinde danışmanlık türü hizmet işi yapan firmaların neredeyse tümünün taşıdığını ve çeşitli çekinceler ile paylaşmadığını da düşünüyorum; ben UEKAE yöneticileri ile de dahil olmak üzere paylaştım, paylaşmaya devam ediyorum. Bu türden karşılıklı iletişimin (en azından) beklentileri anlama açısından önemli olduğuna inanıyorum.
TÜBİTAK BT endüstrisi içerisinde danışmanlık yapan firmalara zarar veriyor çünkü sektördeki pek çok alanda danışmanlık hizmeti sağlayarak ticari eşitliğin söz konusu olmadığı fiili durumlar üretiyor. UEKAE güvenlik ile ilgili danışmanlığa yeni başladığında “ülke güvenliği herhangi bir firmanın eline bırakılamaz, onlar yapmalıyız” sıkça duyduğumuz bir söylemdi. O zaman da ikna olduğumu söyleyemem ama birisinin yapması gerekiyordu, onlar yaptılar (Ellerine de sağlık).
Kamunun güvenlik danışmanlığını yapmaya başladıklarında (ki bana göre pek çok projede özel sektör firmalarının çok üzerinde bedeller vardı ve hala var) devletin gizli bilgilerini başkalarına nasıl verelim”i (umarım kızmazsınız) öğretilmiş bir replik olarak kamu yöneticilerinden duymaya başladık. Bunu hiç anlayamadık zira biz de bu ülkenin vatandaşıyız, vergimizi ödüyoruz ve ailemizle burada yaşıyoruz. Dahası ülke güvenliği için çok önemli olabilecek pek çok noktada da (bankalar, telekom şirketleri, boyumuzun yettiği kamu kuruluşları vb.) zaten danışmanlık hizmeti veriyor, onların en kıymetli verilerine erişiyoruz. Özetle bizler de (sektör oyuncuları/profesyonelleri olarak) bu vatanın evladıyız ve bu biçimde açıkça dışlanmak en hafif hali ile garibimize gidiyor. Firmaların denetlenmesi, soruştulması ve yetkilendirilmesi ile ilgili bir modelin kurulmasını hiç düşünen olmuş mudur, bilmiyorum.
Kamuya hizmet veren TÜBİTAK için kamu yöneticilerinden sıklıkla “onlara vermenin avantajı var, yöneticilerimiz de destekliyor. Kamunun bir cebinden öteki cebine para aktarıyoruz” cümlelerini duyuyoruz; bunlara da inanamıyoruz. Ekonomi böyle işlemez, çok daha fazla cümle kuracak durumda değilim ama böyle bir zihniyetin 2000+ yılına ait olması mümkün değil. Özel sektörünüzü (sadece bizim içinde olduğumuz alan için değil, tüm diğer faaliyet alanları için) kalkındırmak durumundasınızdır; yapmazsanız tekelleşir ve bir süre sonra zarar verir. Bu temadan da ayrıca söz edeceğim.
TÜBİTAK özel sektöre (bankalara, telekom şirketlerine vb.) güvenlik danışmanlığı yapmaya başladığında küçük dilimi yutacaktım. Görev tanımında teknoloji üretimi ve üretimi desteklemek olan örgütün hele ki de özel sektöre yine başka özel sektör kuruluşlarınca sağlanabilir hizmetleri vermesi inanılır gibi değildir. Ben ihalelere girerek masada TÜBİTAK ile rekabet ettim, fiyat pazarlıklarında onlardan avantajlı fiyatlar verip iş almaya çalıştım. Güvenlik sektörü içindeki hemen herkes bir zaman bu abukluğu yaşadı, yaşıyor ve yaşayacak.,
Devlet, genel bütçeden maaşları ödenen danışmanları ile, ihalelere giriyorsa rakiplerinin şansı yoktur. Hep söyledim, TÜBİTAK ekibinden de arkadaşlarım bilirler. TÜBİTAK isterse benim firmamı 3-4 ay içerisinde batırabilir. Sonunda sıfır maliyetle (proje maliyeti yok çünkü tüm danışmanlar devlet bordrosunda) benim almaya çalıştığım tüm işleri elimden alabilirler.
Özel sektöre de hizmet vermeye başlayan TÜBİTAK bir süre sonra danışmanlık portföyünü geliştirdi. CobIT danışmanlığı, medya alanında yazılım geliştirme hizmeti (sektörde pekala bir yazılım evinin geliştirebileceği bir uygulama) gibi alanlar da resme eklendi. Şu anda pek çok bankada TÜBİTAK CobIT danışmanlığı yapıyor. Bence inanılmaz. Başka ülkelerde örneklerini bileniniz var mı bilmiyorum.
Bir tarihte Rekabet Kurumu ile bile görüştüm; “bu bir haksız rekabet değil midir, ne yapılabilir” diye. Bir şey yapılamıyormuş, teknik olarak bu haksız rekabet değilmiş. J Şükür ki biz yetkin bir ekibiz, bir gün sektör/konu/iş değiştirmemiz gerekirse bunu rahatlıkla yapabilecek durumdayız. J
Sonunda, umarım oraya gitmez ama, tekelleşmiş bir TÜBİTAK’ın kontrolünde BT danışmanlığı (geniş portföy, sadece güvenlik değil) ile çok olumsuz bir zemin göreceğimizi düşünüyorum. Bildiğimden değil ama, herhalde bugünlerde TÜBİTAK’da güvenlik danışmanlığı yapan uzman sayısı 200’ü geçmiştir. Ekibin bu kadar hızlı büyümesi ile kalite nasıl kontrol altında tutuluyor/tutulabiliyor bilmiyorum; bunun da ülke için başka türlü bir risk olduğunu düşünüyorum.
TÜBİTAK’ın Ortak Kriterler (CC) laboratuvarının ve güvenlik danışmanlığı hizmetlerinin yöneticileri yukarıda tek iken, bize neden ürünlerimizi laboratuvar kontrolüne sokmadığımızı ve sertifikasyona ilgi göstermediğimizi sormuşlardı. Cevap fiili durumda açık sanırım.
TÜBİTAK’ın sektörde bu biçimde (fiili durum itibarı ile) birden fazla açıdan haksız rekabet zemini oluşturmasından ötürü sektör kuruluşlarından olumsuz geri bildirimler almasının, kamusal projelerine de destek bulamamasının kaçınılmaz olduğunu düşünüyorum. Bu nedenledir ki, gerek danışmanlık firmaları tarafında gerekse de geçmişinde danışmanlık firması deneyimi olan uzmanlar tarafında durumun tatsız algılanması kaçınılmazdır, hatta son derece normaldir.
Konunun Burak’la, Mustafa’yla, Mehmet’le alakası yoktur; TÜBİTAK’ın hareket tarzı ile alakası vardır. Dolayısı ile zaman zaman bu listedeki TÜBİTAK personeli arkadaşlarıma yapılan çıkışların bu perspektifi de koruyarak değerlendirilmesini, naçizane, öneririm.
Özetle, TÜBİTAK ya sektörü kucaklayacak bir hareket tarzı ile yaklaşmalı ve kendisine rekabet dışı bir rol bulmalıdır ya da tüm sektörü ezip (bizlerin başka alanlara yönlenmesinden sonra) tekeli altında hiç çatlak ses çıkartmayacak şekilde devamını planlamalıdır. Ben birincisinin nasıl olabileceği ile ilgili önerilerimi bir başka mesajda paylaşacağım. Bu aralar çok yoğunum, 9 Şubat haftasını hedefliyorum.
2007 yılından bu yana birlikte çalıştığımız Fortify Software firmasının yazılım testi çözümleri Gartner‘ın statik analiz ile ilgili ilk raporunda hem teknolojik üstünlüğü hem de ticari başarısı itibarı ile açık ara pazar lideri olarak gösterildi.
Test firması 
Beş gün sürecek ağırlıklı uygulamalı bu eğitimin ardından OPST sertifika sınavı da düzenlenecek ve sınavı başarı ile tamamlayanlar OPST sertifikalarını da ISECOM’dan alabilecekler. Eğitimi ISECOM’un Avrupa’daki en beğenilen eğitmeni olan Fabrizio Sensibile verecek.
