Dayıoğlu Günlüğü

Yahoogroups üzerindeki Bilgi Güvenliği tartışma listesinde son bir haftadır TÜBİTAK’ın UEKAE kolu ile yürüttüğü hizmetlerle ilgili bir tartışma var. BT sektöründe güvenlik danışmanlığı yapan iki firmanın yöneticileri TÜBİTAK’ın bir tarafta bir endüstri oyuncusu gibi faaliyet göstermesinden, öteki tarafta da TR-CERT gibi kamusal çalışmalara (rakip olmalarına rağmen) kendilerinden katkı beklenmesinden rahatsızlıklarını dile getirdiler. Bugün bu konudaki görüşlerimi listeye yazdım; aşağıda da aynen paylaşıyorum:

TÜBİTAK’ın bu (üç paralık) BT endüstrisine (endüstriciğe mi demeliydim) ciddi şekilde zarar verdiğini düşünenlerdenim. Bu düşünceyi BT endüstrisi içerisinde danışmanlık türü hizmet işi yapan firmaların neredeyse tümünün taşıdığını  ve çeşitli çekinceler ile paylaşmadığını da düşünüyorum; ben UEKAE yöneticileri ile de dahil olmak üzere paylaştım, paylaşmaya devam ediyorum. Bu türden karşılıklı iletişimin (en azından) beklentileri anlama açısından önemli olduğuna inanıyorum.

TÜBİTAK BT endüstrisi içerisinde danışmanlık yapan firmalara zarar veriyor çünkü sektördeki pek çok alanda danışmanlık hizmeti sağlayarak ticari eşitliğin söz konusu olmadığı fiili durumlar üretiyor. UEKAE güvenlik ile ilgili danışmanlığa yeni başladığında “ülke güvenliği herhangi bir firmanın eline bırakılamaz, onlar yapmalıyız” sıkça duyduğumuz bir söylemdi. O zaman da ikna olduğumu söyleyemem ama birisinin yapması gerekiyordu, onlar yaptılar (Ellerine de sağlık).

Kamunun güvenlik danışmanlığını yapmaya başladıklarında (ki bana göre pek çok projede özel sektör firmalarının çok üzerinde bedeller vardı ve hala var) devletin gizli bilgilerini başkalarına nasıl verelim”i (umarım kızmazsınız) öğretilmiş bir replik olarak kamu yöneticilerinden duymaya başladık. Bunu hiç anlayamadık zira biz de bu ülkenin vatandaşıyız, vergimizi ödüyoruz ve ailemizle burada yaşıyoruz. Dahası ülke güvenliği için çok önemli olabilecek pek çok noktada da (bankalar, telekom şirketleri, boyumuzun yettiği kamu kuruluşları vb.) zaten danışmanlık hizmeti veriyor, onların en kıymetli verilerine erişiyoruz. Özetle bizler de (sektör oyuncuları/profesyonelleri olarak) bu vatanın evladıyız ve bu biçimde açıkça dışlanmak en hafif hali ile garibimize gidiyor. Firmaların denetlenmesi, soruştulması ve yetkilendirilmesi ile ilgili bir modelin kurulmasını hiç düşünen olmuş mudur, bilmiyorum.

Kamuya hizmet veren TÜBİTAK için kamu yöneticilerinden sıklıkla “onlara vermenin avantajı var, yöneticilerimiz de destekliyor. Kamunun bir cebinden öteki cebine para aktarıyoruz” cümlelerini duyuyoruz; bunlara da inanamıyoruz. Ekonomi böyle işlemez, çok daha fazla cümle kuracak durumda değilim ama böyle bir zihniyetin 2000+ yılına ait olması mümkün değil. Özel sektörünüzü (sadece bizim içinde olduğumuz alan için değil, tüm diğer faaliyet alanları için) kalkındırmak durumundasınızdır; yapmazsanız tekelleşir ve bir süre sonra zarar verir. Bu temadan da ayrıca söz edeceğim.

TÜBİTAK özel sektöre (bankalara, telekom şirketlerine vb.) güvenlik danışmanlığı yapmaya başladığında küçük dilimi yutacaktım. Görev tanımında teknoloji üretimi ve üretimi desteklemek olan örgütün hele ki de özel sektöre yine başka özel sektör kuruluşlarınca sağlanabilir hizmetleri vermesi inanılır gibi değildir. Ben ihalelere girerek masada TÜBİTAK ile rekabet ettim, fiyat pazarlıklarında onlardan avantajlı fiyatlar verip iş almaya çalıştım. Güvenlik sektörü içindeki hemen herkes bir zaman bu abukluğu yaşadı, yaşıyor ve yaşayacak.,

Devlet, genel bütçeden maaşları ödenen danışmanları ile, ihalelere giriyorsa rakiplerinin şansı yoktur. Hep söyledim, TÜBİTAK ekibinden de arkadaşlarım bilirler. TÜBİTAK isterse benim firmamı 3-4 ay içerisinde batırabilir. Sonunda sıfır maliyetle (proje maliyeti yok çünkü tüm danışmanlar devlet bordrosunda) benim almaya çalıştığım tüm işleri elimden alabilirler.

Özel sektöre de hizmet vermeye başlayan TÜBİTAK bir süre sonra danışmanlık portföyünü geliştirdi. CobIT danışmanlığı, medya alanında yazılım geliştirme hizmeti (sektörde pekala bir yazılım evinin geliştirebileceği bir uygulama) gibi alanlar da resme eklendi. Şu anda pek çok bankada TÜBİTAK CobIT danışmanlığı yapıyor. Bence inanılmaz. Başka ülkelerde örneklerini bileniniz var mı bilmiyorum.

Bir tarihte Rekabet Kurumu ile bile görüştüm; “bu bir haksız rekabet değil midir, ne yapılabilir” diye. Bir şey yapılamıyormuş, teknik olarak bu haksız rekabet değilmiş. J Şükür ki biz yetkin bir ekibiz, bir gün sektör/konu/iş değiştirmemiz gerekirse bunu rahatlıkla yapabilecek durumdayız. J

Sonunda, umarım oraya gitmez ama, tekelleşmiş bir TÜBİTAK’ın kontrolünde BT danışmanlığı (geniş portföy, sadece güvenlik değil) ile çok olumsuz bir zemin göreceğimizi düşünüyorum. Bildiğimden değil ama, herhalde bugünlerde TÜBİTAK’da güvenlik danışmanlığı yapan uzman sayısı 200’ü geçmiştir. Ekibin bu kadar hızlı büyümesi ile kalite nasıl kontrol altında tutuluyor/tutulabiliyor bilmiyorum; bunun da ülke için başka türlü bir risk olduğunu düşünüyorum.

TÜBİTAK’ın Ortak Kriterler (CC) laboratuvarının ve güvenlik danışmanlığı hizmetlerinin yöneticileri yukarıda tek iken, bize neden ürünlerimizi laboratuvar kontrolüne sokmadığımızı ve sertifikasyona ilgi göstermediğimizi sormuşlardı. Cevap fiili durumda açık sanırım.

TÜBİTAK’ın sektörde bu biçimde (fiili durum itibarı ile) birden fazla açıdan haksız rekabet zemini oluşturmasından ötürü sektör kuruluşlarından olumsuz geri bildirimler almasının, kamusal projelerine de destek bulamamasının kaçınılmaz olduğunu düşünüyorum. Bu nedenledir ki, gerek danışmanlık firmaları tarafında gerekse de geçmişinde danışmanlık firması deneyimi olan uzmanlar tarafında durumun tatsız algılanması kaçınılmazdır, hatta son derece normaldir.

Konunun Burak’la, Mustafa’yla, Mehmet’le alakası yoktur; TÜBİTAK’ın hareket tarzı ile alakası vardır. Dolayısı ile zaman zaman bu listedeki TÜBİTAK personeli arkadaşlarıma yapılan çıkışların bu perspektifi de koruyarak değerlendirilmesini, naçizane, öneririm.

Özetle, TÜBİTAK ya sektörü kucaklayacak bir hareket tarzı ile yaklaşmalı ve kendisine rekabet dışı bir rol bulmalıdır ya da tüm sektörü ezip (bizlerin başka alanlara yönlenmesinden sonra) tekeli altında hiç çatlak ses çıkartmayacak şekilde devamını planlamalıdır. Ben birincisinin nasıl olabileceği ile ilgili önerilerimi bir başka mesajda paylaşacağım. Bu aralar çok yoğunum, 9 Şubat haftasını hedefliyorum.

Linux Kullanıcıları Derneği (LKD) üye tartışma listesi hafta sonu son derece hararetli bir tartışmayla geçti, hala da tüm hızıyla devam ediyor. Tartışmanın özü kamu kuruluşlarının adı ve sanı ile “300 adet Windows lisansı, 500 adet MS-Office lisansı istiyoruz” şeklinde doğrudan marka/model işaret eden alımlarının yarattığı rahatsızlık.

Doğal olarak LKD olarak biz mümkün olan durumlarda Linux’un ve OpenOffice’in de bir alternatif olarak değerlendirilmesini, ihalelerin bu seçeneğe de açılmasını istiyoruz. Aksi durumda oluşan tekel tüm dünyada olduğu gibi Türkiye’de de kamu aleyhine çalışıyor ve çalışmaya devam edecek.

Bu konudaki fikirlerimi listede de yazdım ama buradan da paylaşayım istiyorum. Ben kamunun bu fütursuz alımlarına tek başına kamunun tercihi olarak bak(a)mıyorum. Bence BT sektörü oyuncularının da bu konuda yeterince motive edici olmadıklarını düşünüyorum.

Bence, sektör oyuncularını yeterince motive edebilirseniz, Linux ile iş yaparak Microsoft ile elde ettiğinizden daha çok gelir elde etmek mümkün olabilir. Sonunda Linux işi yaparak kestiğiniz faturalar daha küçük olabilir ama fatura rakamının neredeyse tümü şirket kasasına gireceği için fena bir gelir olmayacaktır diye düşünüyorum. Hatta endüstri oyuncularından birisi Microsoft lisansı teklif ettikten sonra diğerlerinin yapabileceği en iyi şey bile olabilir alternatif çözüm olarak Linux önermek.

Temel konulardan biri, Linux ile oluşturulacak çözümlerin kalıplarını oluşturmak ve endüstrinin büyük oyuncularının bu kalıplara ısınmasını sağlamaktır bence. Eğer büyük entegratörlerin bir kaç tanesini kandırıp kendi ayakları üzerinde durarak Linux projeleri yapabilir hale getirebilirseniz MS’e alternatif oluşturulabileceğini düşünüyorum. Bu nedenle kalıpların oluşturulması ve yaygınlaştırılmasında önemli bir çalışma var. TÜBİTAK 1007 projesi mi olur, FP7 projesi mi olur, DPT’den mi fon alınır bilmem ama bir biçimde bu konuda kaynak yaratmaya ve bunu kullanarak kalıpları oluşturup yaygınlaştırmaya ihtiyaç olduğunu düşünüyorum.

Temel bir diğer konunun da rekabette farklılaşmak olduğuna dikkatinizi çekmek istiyorum. Sonunda kamu kuruluşuna gidip MS lisansı satmak üzere pozisyon oluşturan firma projeyi kendisi adına emanete alıyor, bu noktadan sonra (üreticiye satış projesini kaydettirdikten sonra) ihaleyi başkasının kazanma ihtimali zaten kalmıyor. Bu da satıcı açısından iyi bir şey, MS’e kaydettir ve sonrasında rekabetten uzaklaş. Aynı süreci Linux’la düşünsenize, bunu ancak ticari bir dizi bileşeni resmin içerisinde tutarak ve hizmet kısmını küçük tutarak yapabilirsiniz. Yani şartnameye RedHat yazdırabilirseniz sonunda çıkacak ihaleyi kazanma şansınız artabilir ama eğer hizmet kısmı lisans kısmından çok yüksekse çok ucuza hizmet veririm diyen birisi de projeyi alıp gidebilir. Bu noktanın büyük Linux projelerinin yapılmasında zurnanın zırt dediği yer olduğunu düşünüyorum. Doğrusu, kurumda çalışıp müşteriyi ikna edip şartnameyi Linux’lu yazdırdıktan sonra “ne var canım, biz de Linux veririz” diyen firmalara ihaleyi yedirmek (ben olsam) işime gelmezdi.

Bu iki problemi adresleyecek bir yol bulunduğunda işin rengi değişecektir diye düşünüyorum. İlk problem için önerimi paylaştım; bir büyük proje ile bir kamu kuruluşunda dönüşüm ya da Linux’a genişleme desteklenir ve bu arada kalıplar oluşturulup belgelenir, ardından da 2-3 büyük entegratöre ücretsiz eğitimler sağlanır.

İkinci problem için ise ticari lisanslı Linux’lar kullanmak, LKD’nin firmaları ya da firma uzmanlarını sertifikalandırması dışında çözüm aklıma gelmiyor. Sizce bu noktada ne tür yollar öngörülebilir? Güncel Mevzuat Derneği ile çalışıp kamu satınalma teamülleri açısından durumu sorgulamanın bir faydası olur mu acaba?