Dayıoğlu Günlüğü

TÜBİTAK BT Sektörü İçin Bir Tehdit Midir başlıklı mesajımdan/yazımdan sonra çok sayıda geri dönüş aldım. Yazılı ve sözlü geri bildirimde bulunan herkese çok teşekkür ediyorum. Kısaca geri dönüşlerle ilgili bilgiyi buradan da paylaşmak istedim:

Yazıyı okuyanların pek çoğu özünde TÜBİTAK’ın özel sektör ile rekabetinin sağlıksız olduğunda birleşiyor. Bu görüşe TÜBİTAK çalışanlarından da telefonla arayarak ve fiziksel karşılaşmalarda görüş belirterek katılanlar olması bence dikkate değerdir.

Bu özün dışında, TÜBİTAK’ın (ve özelde UEKAE’nin) aslında ülke için çok sayıda anlamlı ve çok önemli hizmet sağladığından dem vuranlar oldu. Yazımda da bahsetmiştim; TÜBİTAK’ın ve UEKAE’nin özellikle savunma sanayi için katkısının görebildiğim kadarı ile sorgulanabilir bir yanı da yoktur. Ben TÜBİTAK’ı başarısız olduğu için eleştirmiyorum; içinde yer almasının makul olmadığı alanlarda yer aldığı için eleştiriyorum.

Geri bildirimlerden birisi TR-CERT’in çok önemli bir kamusal TÜBİTAK projesi olduğundan söz ediyordu; bu görüşe kısmen katılmıyorum. Bana göre TR-CERT, TÜBİTAK’ın bilgi/bilişim güvenliği sektörünün kontrolünü eline geçirmesi, konu ile ilgili her konudan haberinin olmasının sağlanmasının anahtarıdır. En az kamu yararı kadar TÜBİTAK yararını da gözeten bir projedir. Ben de sektörün direksiyonunu nasıl elime alacağımı irdelesem, TR-CERT kurmak en öncelikli eylemlerimden birisi olurdu.

Pardus projesi ile ilgili bir değerlendirme soran bir ağabeyim de oldu. Kısaca yazayım; belki daha sonra tekrar ve daha uzun yazarım: Bana göre TÜBİTAK’ın ticarileşen vizyonunun oldukça dışındaki Pardus projesi kahramanca çalışan proje ekibi olmasa ayakta duramayacak bir projedir. Bence TÜBİTAK yönetimi bu projeyi ticarileşebilir bir proje olarak görerek yatırım yaptı ama geldiği yerde çok da para kazandırmadığı görüldü. TÜBİTAK bu projeden ticari fayda elde etmediği (ve kısa vadede edemeyeceği için) proje sırtında yüktür. Mahalle baskısından korkmasa  bir günde Pardus’u gömerdi ama bunu da yapamıyor. Başka bir şemsiye altında Pardus çok daha kısa sürede çok daha büyük bir kullanıcı bazına ulaşırdı bence. Pardus’tan bir şey olmaz demiyorum, aksine bir ürün olarak çok önemli kazanımlar var ama şemsiye çok kısıtlayıcı diye düşünüyorum.

Yahoogroups üzerindeki Bilgi Güvenliği tartışma listesinde son bir haftadır TÜBİTAK’ın UEKAE kolu ile yürüttüğü hizmetlerle ilgili bir tartışma var. BT sektöründe güvenlik danışmanlığı yapan iki firmanın yöneticileri TÜBİTAK’ın bir tarafta bir endüstri oyuncusu gibi faaliyet göstermesinden, öteki tarafta da TR-CERT gibi kamusal çalışmalara (rakip olmalarına rağmen) kendilerinden katkı beklenmesinden rahatsızlıklarını dile getirdiler. Bugün bu konudaki görüşlerimi listeye yazdım; aşağıda da aynen paylaşıyorum:

TÜBİTAK’ın bu (üç paralık) BT endüstrisine (endüstriciğe mi demeliydim) ciddi şekilde zarar verdiğini düşünenlerdenim. Bu düşünceyi BT endüstrisi içerisinde danışmanlık türü hizmet işi yapan firmaların neredeyse tümünün taşıdığını  ve çeşitli çekinceler ile paylaşmadığını da düşünüyorum; ben UEKAE yöneticileri ile de dahil olmak üzere paylaştım, paylaşmaya devam ediyorum. Bu türden karşılıklı iletişimin (en azından) beklentileri anlama açısından önemli olduğuna inanıyorum.

TÜBİTAK BT endüstrisi içerisinde danışmanlık yapan firmalara zarar veriyor çünkü sektördeki pek çok alanda danışmanlık hizmeti sağlayarak ticari eşitliğin söz konusu olmadığı fiili durumlar üretiyor. UEKAE güvenlik ile ilgili danışmanlığa yeni başladığında “ülke güvenliği herhangi bir firmanın eline bırakılamaz, onlar yapmalıyız” sıkça duyduğumuz bir söylemdi. O zaman da ikna olduğumu söyleyemem ama birisinin yapması gerekiyordu, onlar yaptılar (Ellerine de sağlık).

Kamunun güvenlik danışmanlığını yapmaya başladıklarında (ki bana göre pek çok projede özel sektör firmalarının çok üzerinde bedeller vardı ve hala var) devletin gizli bilgilerini başkalarına nasıl verelim”i (umarım kızmazsınız) öğretilmiş bir replik olarak kamu yöneticilerinden duymaya başladık. Bunu hiç anlayamadık zira biz de bu ülkenin vatandaşıyız, vergimizi ödüyoruz ve ailemizle burada yaşıyoruz. Dahası ülke güvenliği için çok önemli olabilecek pek çok noktada da (bankalar, telekom şirketleri, boyumuzun yettiği kamu kuruluşları vb.) zaten danışmanlık hizmeti veriyor, onların en kıymetli verilerine erişiyoruz. Özetle bizler de (sektör oyuncuları/profesyonelleri olarak) bu vatanın evladıyız ve bu biçimde açıkça dışlanmak en hafif hali ile garibimize gidiyor. Firmaların denetlenmesi, soruştulması ve yetkilendirilmesi ile ilgili bir modelin kurulmasını hiç düşünen olmuş mudur, bilmiyorum.

Kamuya hizmet veren TÜBİTAK için kamu yöneticilerinden sıklıkla “onlara vermenin avantajı var, yöneticilerimiz de destekliyor. Kamunun bir cebinden öteki cebine para aktarıyoruz” cümlelerini duyuyoruz; bunlara da inanamıyoruz. Ekonomi böyle işlemez, çok daha fazla cümle kuracak durumda değilim ama böyle bir zihniyetin 2000+ yılına ait olması mümkün değil. Özel sektörünüzü (sadece bizim içinde olduğumuz alan için değil, tüm diğer faaliyet alanları için) kalkındırmak durumundasınızdır; yapmazsanız tekelleşir ve bir süre sonra zarar verir. Bu temadan da ayrıca söz edeceğim.

TÜBİTAK özel sektöre (bankalara, telekom şirketlerine vb.) güvenlik danışmanlığı yapmaya başladığında küçük dilimi yutacaktım. Görev tanımında teknoloji üretimi ve üretimi desteklemek olan örgütün hele ki de özel sektöre yine başka özel sektör kuruluşlarınca sağlanabilir hizmetleri vermesi inanılır gibi değildir. Ben ihalelere girerek masada TÜBİTAK ile rekabet ettim, fiyat pazarlıklarında onlardan avantajlı fiyatlar verip iş almaya çalıştım. Güvenlik sektörü içindeki hemen herkes bir zaman bu abukluğu yaşadı, yaşıyor ve yaşayacak.,

Devlet, genel bütçeden maaşları ödenen danışmanları ile, ihalelere giriyorsa rakiplerinin şansı yoktur. Hep söyledim, TÜBİTAK ekibinden de arkadaşlarım bilirler. TÜBİTAK isterse benim firmamı 3-4 ay içerisinde batırabilir. Sonunda sıfır maliyetle (proje maliyeti yok çünkü tüm danışmanlar devlet bordrosunda) benim almaya çalıştığım tüm işleri elimden alabilirler.

Özel sektöre de hizmet vermeye başlayan TÜBİTAK bir süre sonra danışmanlık portföyünü geliştirdi. CobIT danışmanlığı, medya alanında yazılım geliştirme hizmeti (sektörde pekala bir yazılım evinin geliştirebileceği bir uygulama) gibi alanlar da resme eklendi. Şu anda pek çok bankada TÜBİTAK CobIT danışmanlığı yapıyor. Bence inanılmaz. Başka ülkelerde örneklerini bileniniz var mı bilmiyorum.

Bir tarihte Rekabet Kurumu ile bile görüştüm; “bu bir haksız rekabet değil midir, ne yapılabilir” diye. Bir şey yapılamıyormuş, teknik olarak bu haksız rekabet değilmiş. J Şükür ki biz yetkin bir ekibiz, bir gün sektör/konu/iş değiştirmemiz gerekirse bunu rahatlıkla yapabilecek durumdayız. J

Sonunda, umarım oraya gitmez ama, tekelleşmiş bir TÜBİTAK’ın kontrolünde BT danışmanlığı (geniş portföy, sadece güvenlik değil) ile çok olumsuz bir zemin göreceğimizi düşünüyorum. Bildiğimden değil ama, herhalde bugünlerde TÜBİTAK’da güvenlik danışmanlığı yapan uzman sayısı 200’ü geçmiştir. Ekibin bu kadar hızlı büyümesi ile kalite nasıl kontrol altında tutuluyor/tutulabiliyor bilmiyorum; bunun da ülke için başka türlü bir risk olduğunu düşünüyorum.

TÜBİTAK’ın Ortak Kriterler (CC) laboratuvarının ve güvenlik danışmanlığı hizmetlerinin yöneticileri yukarıda tek iken, bize neden ürünlerimizi laboratuvar kontrolüne sokmadığımızı ve sertifikasyona ilgi göstermediğimizi sormuşlardı. Cevap fiili durumda açık sanırım.

TÜBİTAK’ın sektörde bu biçimde (fiili durum itibarı ile) birden fazla açıdan haksız rekabet zemini oluşturmasından ötürü sektör kuruluşlarından olumsuz geri bildirimler almasının, kamusal projelerine de destek bulamamasının kaçınılmaz olduğunu düşünüyorum. Bu nedenledir ki, gerek danışmanlık firmaları tarafında gerekse de geçmişinde danışmanlık firması deneyimi olan uzmanlar tarafında durumun tatsız algılanması kaçınılmazdır, hatta son derece normaldir.

Konunun Burak’la, Mustafa’yla, Mehmet’le alakası yoktur; TÜBİTAK’ın hareket tarzı ile alakası vardır. Dolayısı ile zaman zaman bu listedeki TÜBİTAK personeli arkadaşlarıma yapılan çıkışların bu perspektifi de koruyarak değerlendirilmesini, naçizane, öneririm.

Özetle, TÜBİTAK ya sektörü kucaklayacak bir hareket tarzı ile yaklaşmalı ve kendisine rekabet dışı bir rol bulmalıdır ya da tüm sektörü ezip (bizlerin başka alanlara yönlenmesinden sonra) tekeli altında hiç çatlak ses çıkartmayacak şekilde devamını planlamalıdır. Ben birincisinin nasıl olabileceği ile ilgili önerilerimi bir başka mesajda paylaşacağım. Bu aralar çok yoğunum, 9 Şubat haftasını hedefliyorum.

Bugün eski sunumlarımın bir bölümünün daha slaytlarını buldum; kaybetmeden siteye yükleyeyim istedim. Log yönetimi, Linux güvenliği, Windows masaüstü güvenliği, açık kaynak kodu ve güvenlik, BGYS’ler için giriş gibi konular var. İşte tarihi slaytlarım:

2008′in bu son gününde, daha da gecikmeden, 2009 yılı için güvenlik kehanetlerimi listeleyeyim:

• Kamunun güvenliğe bakış açısında ve alım biçiminde önemli bir değişiklik olmayacak. Kamu, büyük oranda risk-bazlı olmayan korku faktörlü (almazsak … olabilir) alımlar yapmaya devam edecek.
• 2009′da kamuda çokça iş sürekliliği projesi konuşulacağını tahmin ediyorum.
• Yazılımların güvenliği konusu 2009′da yükselmeyi sürdürecek, yazılımların güvenliği daha çok konuşulacak.
• BKM ve bankalar daha çok bastıracak, 2009′da PCI uyumluluğu projeleri ciddi şekilde artacak.
• DLP konusunda 2009′da çok konuşulacak, az proje yapılacak. DLP projeleri 2009′un ikinci yarısında daha da çok konuşulacak, projelerin çoğu 2010 olacak.
• 2009 sonunda hala 5651 sayılı yasa ile uyum projeleri konuşuluyor olacak, ben daha da beter sıkılmış olacağım konudan.
• Sanallaştırma tam gaz devam ederken, arada frene basıp, bunun güvenliği n’olcak şimdi? diyenler olacak. Sanallaştırma güvenliği konusu yavaş - orta hızlı bir giriş yapacak.
• Windows’un güvenlik problemi yoğunluğu daha da azalacak, Internet Explorer’ınki değişmeyecek.
• Büyük güvenlik üreticileri 2009 içerisinde yeni firma alımı yapmayacaklar.
• Cep telefonu üzerinde çalışan zararlı yazılımlarda patlama yaşanacak, 2009 bir mobile malware yılı olacak.
• Mobil uygulamaların artmasına paralel, mobil imza ve mobil yazılımların/içeriğin güvenliği ile ilgili diğer teknolojiler (DRM, code signing vb.) daha çok uygulama alanı bulacak.