“Rahat köşenizde oturarak dünya pazarında rekabet edemezsiniz”

Siber/bilgi güvenliği konusunda hem akademide varlık göstermiş hem de sektörde belirli bir başarıyı yakalamış isimleri bulmak zor. Bu iki hüneri birleştirebilmiş nadir girşimci/akademisyenlerden olan Süleyman Özarslan bilgi güvenliği konusunda uzun zamandır devam ettiği akademik çalışmalarına, ortaklarıyla kurduğu Picus Security firmasıyla devam ediyor. Özarslan ile akademik geçmişini, Picus’un kurulma hikayesini ve yeni girişimcilere tavsiyelerini konuştuk. Türkiye merkezli siber güvenlik şirketlerinin dünya pazarına açılmasında yaşanan sorunlara da değinen Özarslan, sadece devletin teşviklerinin bu konuda yeterli olmayacağını üniversite ve sektörün biraraya gelmesinin hayati öneme sahip olduğunun altını çizdi.

Merhaba, bize biraz kendinizden bahseder misiniz? Kaç yıldır güvenlik sektöründesiniz? Nerelerde çalıştınız? Kendi şirketinizi kurmaya nasıl karar verdiniz?

Ege Üniversitesi Matematik  Bölümü’nde öğrenim görürken danışman hocamın etkisiyle 2000 yılında kriptoloji çalışmaya başladım, bu çalışmaların sonucu olarak da 2002 yılında ODTÜ’de düzenlenen Savunma Teknolojileri Konferansı’nda ilk makalemi sundum.  Akademik tarafta siber güvenlikle ilgili olan ilgim bu şekilde devam ederken arka planda da underground BBS ve IRC kanallarında virüs yazma ile ilgili tartışmalara katılıyor, VXer’lik yolunda ilerliyordum. O dönemde websiteleri hazırlamak popülerdi, bir yandan da web uygulamalarındaki güvenlik açıklarına kafa yormaya başlamıştım. Fakat şu ana kadar ne yazdığım virüslerle ne de diğer yollarla (kendi bilgisayarlarım dışında) hiç bir kişiye veya kuruma bir zarar vermedim. 2005 yılında ODTÜ Enformatik Enstitüsü’nde yüksek lisansa ve araştırma görevlisi olarak çalışmaya başladım. Bir yandan da freelancer olarak güvenlikle ilgili çalışıyordum, düzenli olarak güvenlik denetimleri yapmaya ise 2009 yılında başladım. 2013 yılında ortaklarımla birlikte Picus Security’yi kuruncaya kadar pek çok orta ve büyük ölçekli kurum ve kuruluşta sızma testleri, DDoS testleri, ağ güvenliği ve sosyal mühendislik analizleri gibi konularda güvenlik denetimleri yaptım.

Yaptığımız güvenlik testlerinde saldırı engelleme sistemi (IPS) ve web uygulama güvenlik duvarları (WAF) gibi güvenlik cihazlarının teknik kısıtlar, konfigürasyon eksiklikleri, insan hataları gibi sebeplerden dolayı siber atakları yeterince engelleyemediklerini ve kurumların hedefledikleri/sandıkları güvenlik seviyesinin çok altında olduklarını gözlemledik. Yaptığımız testler maliyetli olduğundan ve sık tekrar edilemediğinden, güvenlik cihazlarının farklı siber atakları engelleyip engellemediğini otomatik olarak test edecek bir ürün aradık. İhtiyacımız, güvenlik cihazlarının yapılandırmasını sürekli olarak kontrol ederek, kurum güvenlik altyapısını mevcutta bilenen siber atakları engelleyebilecek bir seviyeye getirecek bir otomasyon yazılımı bulmaktı. Piyasada böyle bir yazılım bulamadık. Neden biz yapmayalım ki diyerek, bu sorunu çözmek amacıyla Picus Güvenlik’i kurduk. Şu anda 8 kişilik bir ekiple çıktığımız yolda ilerliyoruz.

Ürününüz hakkında biraz bilgi verir misiniz?

Picus Güvenlik sadece kuruluş amacındaki sorunu çözmek için çalıştığından, ürünümüzün adını da Picus koyduk. Picus, kurumların siber tehditlere karşı hazırlık seviyelerini devamlı olarak denetleyen bir yazılım çözümüdür. Temel olarak hackerlar tarafından kullanılan güncel siber atakların kurumunuza yapılması durumunda, bu atakları ne ölçüde engelleyebileceğinizi sürekli olarak test edebileceğiniz ve hangi atak yöntemlerine karşı zayıf olduğunuzu görebileceğiniz bir sistem. Böylece, gerçek bir siber atağa maruz kalmadan önce, proaktif olarak kurum güvenlik işletimindeki sorunları görüp,  gerekli teknik ve operasyonel iyileştirmeleri gerçekleştirmeniz mümkün olacaktır.

Picus Yazılım Bileşenleri, hem hacker saldırı tekniklerini hem de zafiyet içeren sistemleri simüle ederek, bu sistemlerin birbirine saldırması halinde kurum güvenlik sistemlerinin davranışını ortaya koymaktadır. Bu nedenle, Picus, bir zafiyet analiz ya da bir otomatik sızma testi aracından farklıdır. Kurumların risklerini zafiyet bilgisine ek olarak, tehdit odaklı analiz edilmesini mümkün kılar. Bu sistemin en iyi yanı ise, bünyesinde üretim ortamlarını tehlikeye atacak herhangi bir uygulama veya zafiyet bulundurmamasıdır.

Ürününüz ABD’deki bir yarışmada ödül alıyor bildiğimiz kadarıyla. Ondan biraz bahsedebilir misiniz?

Picus Security olarak 17-18 Mart 2015 tarihlerinde Security Innovation Network (SINET) ‘ün Silikon Vadisi’nde düzenlediği IT Security Entrepreneurs Forum (ITSEF)  2015‘e katıldık. ITSEF, bilişim güvenliği alanında faaliyet gösteren startup’ları, yatırımcıları, büyük şirketleri ve danışmanlık firmalarını bir araya getirerek, bilişim güvenliği alanındaki güncel sorunlarının tartışılmasını ve olası iş birlikteliklerinin kurulmasını amaçlayan bir oluşum. Konferansın ikinci günü bilişim güvenliği alanında faaliyet gösteren 12 startup’ın katıldığı Shark Tank yarışmasında, girişimcilerin 2 dakika içerisinde asansör sunumlarını yaptı. Yarışma jürisinde bilişim güvenliği alanında önemli yatırımcılardan AGC Partners, Paladin Capital Group ve Alsop Louie Partners yöneticileri yer aldı. Picus Güvenlik, etkinlik sonunda yapılan törende diğer ABD startup’larını geride bırakarak Shark Tank kazananı olarak açıklandı ve AGC’s 2015 Information Security & Broader Technology Growth Conference ve SINET 16 Innovator Showcase etkinliklerine davet edildi. Bu sonuç ABD’deki tanınırlığımıza katkıda bulundu ve bazı yatırımcılar ve güvenlik firmalarının bizimle iletişime geçmesine vesile oldu.

Bu ödül Picus Security’nin girişimlerin katıldığı yarışmalardaki ilk başarısı değil. Şubat 2013’te Türkiye’de 2000’ün üzerinde girişim arasından eTohum tarafından gelecek vadeden ilk 15 girişim (e15) arasına seçildik. Mayıs 2013’te ODTÜ Teknokent tarafından düzenlenen Teknojumpp hızlandırma programına seçilen 8 firma arasında girdik ve bir ay süren Teknojumpp ABD kampına katıldık. Kasım 2013’te Bootcamp Ventures’IX İstanbul organizasyonuna seçilen 20 teknoloji girişimi arasında yer aldık. Yine Kasım 2013’te 500 Startups’ın kurucusunun da (Dave McClure) katıldığı Geeks on a Plane (GOAP) İstanbul etkinliğinde “Startup Olympics” yarışmasını kazandık.

Kendi şirketini kurmak isteyenlere ne tavsiye edersiniz? Fikirlerine inanıyorlarsa istifayı basıp çalışmaya mı konulsunlar? Sizin karşılaştığınız zorluklar nelerdi?

Çok güzel bir soru ancak cevabı biraz uzun. Bu sorunun cevabını ortağım Volkan Ertürk Hacktrick14 Ankara etkinliğinde “Bir fikrim var! Bilgi Güvenliği Alanında Yazılım Geliştireceğim” konulu 45 dakikalık sunumla vermeye çalışmıştı. Göz atmak isteyenler için Picus’un Slideshare’inde etkinlik sunumu mevcut.

Belli satır başlarına değinmek gerekirse, girişimcilik tek kişilik bir şey değil, bir takım oyunu. Başarılı girişimlerin istatistikleri 3-4 kişilik kurucu ekiple yola çıkan ekiplerin daha başarılı olduğunu söylüyor. Ekip kurarken dikkat edilmesi gereken konuların başında, farklı ilgi alanları ve kabiliyetlerde kişilerin bir araya gelmesine dikkat etmektir. Üç iyi yazılımcı yola çıkarsa süper bir ürün geliştirebilirler, ancak ekipte bu ürünü pazarlayacak ve satacak bir kişi yoksa, bu ekibin başarılı olması çok güç. Girişimci olmak bir firmada çalışmaktan çok farklıdır. Hukuktan, muhasebeye, devlet desteklerinden, nakit yönetimine, pazarlama/satış stratejilerine ve yatırımcı görüşmelerine kadar öğrenmeniz ve tecrübe etmeniz gereken çok konu var. Paranız varsa bu konularda destek de alabilirsiniz ancak her durumda bu konularda ekipte belli bir bilgi birikiminin olması şart. Belli alanlarda çok iyi olabilir ekip ancak diğer alanlarda geçer not alacak kadar performans gösteremezseniz, başarılı olma ihtimaliniz çok azalacaktır.

Girişimcilik konusunda başarılı olmak da çok göreceli bir kavram. Girişim Fabrikası hızlandırma programına katıldığımızda her 10 girişimden 9’unun bir yıl içinde kapandığını söylemişlerdi. Bir yıldan uzun hayatta kalmak bir başarı olabilir. Udemy gibi üst üste yatırım alarak hızlı büyüyen bir girişim de başarılı kabul edilebilir. Bu aşamaya gelen girişim sayısı gerçekten çok az. Son birkaç yıldır girişimci olmak moda belki de. Hatta melek yatırım bulmak ve belli bir büyüklüğe gelmek de görece daha kolay. Ancak ABD’de kurumsal yatırımcılardan Seri-A yatırımı alan girişim istatistiklerine bakıldığında, yeni şirket kuruluş sayısı patlamışken, belirli bir olgunluğa ulaşan girişim sayısı neredeyse artmamıştır. Özetle, girişimcilik kolay bir iş değil. Çok okuyarak, çok deneyerek, hata yaparak, hatanızı hızlı fark ederek, doğruyu aramaya devam ederek geçiyor bu süreç. Paranız bitmeden bunu başarmaya çalıştığınız bir süreç.

Girişime niyetli arkadaşlara, işin salt teknik kısmına odaklanmamalarını önerebilirim. Bahsettiğim bu konuları dikkate alsınlar, çok okusunlar. Başarı ve başarısızlık hikayelerini dinlensinler. Etohum’un Türk girişimcilerinin tecrübelerini paylaştıkları çok güzel videoları var. 500 Startups gibi hızlandırma programlarının da girişimcilik konusunda eğitim ve seminer kayıtları mevcut. Bunların hepsi nefis hap bilgiler. Birçok hatayı yapmanıza engel olacak, size zaman ve para tasarrufu sağlayacak kaynaklar. Girişimciliği öğrenmeye zaman ayırmalarını tavsiye ederim özetle.

Ne zaman istifa edelim? Zor bir soru. Istıfa ettiğiniz zaman kum saati dönüyor ve zamana karşı yarış başlıyor. Bu adımı atmadan önce makul seviyede hazırlık yapmalarını tavsiye ederim. Diğer yandan ben ilk iş tecrübesi olarak girişimciliği pek önermiyorum. Belli başlı konularda tecrübe elde etmek için doğru bir yerde birkaç yıl çalışmanın önemli olduğunu düşünüyorum. Bu kişinin bakış açısını geliştireceği gibi, bir network oluşturmasına da katkı sağlayacaktır.

Şirketinizin Ankara’nın yanı sıra bir de San Fransisco’da bir ofisi bulunuyor? ABD’de ofis açmanın nedeni nedir?

Bilişim güvenliği özelinde Türkiye küçük bir pazar. Devlet destekleri, yerli ürün algısı ve network etkisi girişimleri belli bir büyüklüğe gelmesini mümkün kılmaktadır. Ancak dünya pazarında rekabet edebilecek ve kolay satılabilecek ürün ve iş modeline ulaşmak için rahat köşemizde oturmamamız gerekiyor. Bunun için müşteri, iş ortakları, rakip ve yatırımcılara dokunmak ve sürekli iletişim halinde olmak önemli. Bu nedenle Picus’un ABD’de varlık göstermesine çok önem veriyoruz. Bünyesinde yer aldığımız ODTÜ Teknokent’in benzer bir vizyona sahip olması ve San Francisco’da bir ortak çalışma ofisi açmasıyla birlikte bu adımı atmak bizim için bir nebze daha kolay oldu.

Diğer yandan bilişim güvenliği pazarında üreticiye güven konusu da önemli olduğu için, Türkiye merkezli bir firma olarak yurtdışında satış yapmanın zor olduğunu gördük. Picus’un ABD ofisinin bulunması ve oluşturmaya çalıştığımız satış kadrosuyla, devam etmekte olan kavram ispatı/demo çalışmalarının daha hızlı satışa döneceğini öngörüyoruz.

Bir yandan kendi şirketinizi yönetirken aynı zamanda akademik çalışmalara da devam ediyorsunuz. Akademik olarak hangi alanlarda üretim veriyorsunuz? Ne tür faaliyetler gerçekleştirdiniz/ gerçekleştiriyorsunuz?

Akademik olarak yakın zamanda ODTÜ Enformatik Enstitüsü’nde Siber Güvenlik yüksek lisans programını açtık ve şu anda başvuruları almaya devam ediyoruz. Aynı zamanda yine Enformatik Enstitüsü bünyesinde siber güvenlik ve siber savunma alanında AR-GE çalışmaları yapmak, üniversite ve endüstri kaynaklarını bir araya getirmek üzere CyDeS isimli Siber Savunma ve Güvenlik Araştırma Laboratuvarı’nı kurduk. Ayrıca 2012 yılından beri ODTÜ Enformatik Enstitüsü bünyesinde 6 farklı ülkeye NATO Barış ve Güvenlik İçin Bilim (SPS) kapsamında iki haftalık uygulamalı siber savunma eğitimleri verdik ve vermeye devam ediyoruz.

Hem akademide hem özel sektörde bulunmanın birbirini besleyici yanları var mıdır? Yoksa biri diğerine ayırdığınız mesaiden mi çalıyor?

Yukarıdaki verdiğim örneklerden de anlaşılacağı gibi hem akademide hem özel sektörde bulunmamın olumlu yanları oldukça fazla. Özellikle özel sektörde bulunmamın üniversitede yaptığım akademik çalışmalara katkısı oldukça yüksek. Akademik tarafta da yenilikleri takip etmeyi, sürekli yeni kalmayı, yenilikler ortaya koymayı ve araştırmayı öğreniyorsunuz. Ülkemizde siber güvenlik alanında hem akademik tarafta hem de özel sektörde bulunan profesyonel sayısı çok az. Bu sayı arttıkça akademi ve özel sektör birbirini daha iyi anlayacaktır.

Siber güvenlik konusunda Türkiye’de akademi ve özel sektörün etkili bir iş birliği için neler lazım desem hangi maddeleri sayarsınız?

Açıkçası son yıllara kadar siber güvenlik denilince akademide sadece kriptoloji akla geliyordu. Ne yazık ki ülkemizde siber güvenlik alanındaki çalışmalar teoride kalıyor, uygulamaya dönüşen akademik çalışmaların sayısı bir elin parmaklarını geçmez. İşte bu noktada, yani akademik çalışmaların ürüne dönüşme noktasında akademinin özel sektöre ihtiyacı var. Diğer taraftan, özel sektörün dünya çapında siber güvenlik ürünleri geliştirmek için ciddi AR-GE çalışmaları yapması gerekiyor. Bunun için de özel sektörün akademiyle etkili bir işbirliği içinde olması önemli.  Kısacası, akademi ve özel sektör birlikte etkin bir biçimde AR-GE çalışmaları yapmalı.  Bu işbirliğinden genel olarak gördüğümüz bir biçimde AR-GE projelerinde kağıt üzerinde bir akademik danışman görünmesini değil, akademisyenlerin yüksek lisans ve doktora öğrencileriyle birlikte etkin olarak projelere dahil olmasını ve bu projelerden lisansüstü tezlerin, uluslararası yayınların ortaya çıkmasını kastediyorum.

Türkiye’de siber güvenlik şirketlerinin durumunu nasıl değerlendiriyorsunuz?

Türkiye’de siber güvenlik alanında faaliyet gösteren çeşitli kurumlar mevcut. Bunların bir kısmı, bu alanda çözüm geliştiren ve pazarlayan yabancı üreticiler, bir kısmı uluslararası danışman firmaların birkaç kişiden oluşan bölümleri, bir kısmı da geçmişleri çoğunlukla en fazla 5-10 yıla dayanan yerel firmalar. Bahsi geçen kurumların hedefleri ve menfaatleri birbirlerine göre çeşitlilik arz ettiğinden pazara getirdikleri hizmetler ve beklentileri de farklılık arz ediyor. Örneğin yabancı bir firmanın ilk önceliği, daha olgun ve doymuş pazarlara hitap eden güvenlik duvarı, antivirüs, vb. mevcut çözümleriyle birlikte hızla gelişmekte olan siber tehdit çözümlerini pozisyonlamak iken temel odağı siber tehditler olan yerli bir firmanın önceliği pazarda adını duyurup hayatta kalmak olabiliyor. Bu durum da yabancı firmaların yerli firmalara karşı pazarda bir kaç adım ileride yer almasına neden oluyor.

Yerli ürün geliştirdiğini söyleyen şirketlerin ürünleri ne kadar yerli?

Kendi adımıza ürünümüzün tamamen yerli olduğunu söyleyebilirim. Bizim dışımızda da özellikle son dönemde gerçekten iyi yerli ürünler ortaya çıkmaya başladı. Fakat, sektördeki herkesin bildiği gibi ne yazık ki yerli olduğunu iddia eden bir çok ürün de aslında mevcut çeşitli yazılımlara arayüz yazmaktan ibaret.

Sektördeki aktörlerin yurt dışında da ses getirecek başarılı ürünler geliştirmesinin önünü açmak için ne yapılabilir?

Devletin ve özel sektörün özellikle bilim ve teknolojiye daha yatırım yapması ve teşvik vermesi gerekiyor. ABD, İsrail, Hindistan gibi ülkelerde bilişim sektörüne yapılan yatırım bizim katbekat ilerimizde. Ayrıca ülkeler arası iletişimin arttırılması ve karşılıklı destek programları ile farklı ülkelerdeki kaynakların kullanıma açılması da faydalı olacaktır. Örneğin Türkiye’deki yeni bir yazılım şirketinin ülke dışı pazarlara açılması ile yukarıdaki bahsi geçen ülkelerdeki bir yazılım şirketinin ülke dışı pazarlara açılma süresi arasında çaba, zaman ve mali anlamda dağlar kadar fark var. Şu da bir gerçek, ülkemizdeki yerli yazılım üreten firmaların birçoğu eğer ABD’de kurulsaydı şu andaki durumları çok farklı olurdu.

Yüzde yüz yerli firmaların sadece kuruluş aşamasında değil devamlılıklarının sağlanması açısından hem ticari alanda hem de uluslararası alanda daha çok desteklenmeleri gerektiğini düşünüyoruz. Uluslararası seminerlere katılım, pazarlama ve reklam konularında verilecek devlet destekleri ile bu tip kurumların verdikleri yaşam savaşlarında daha başarılı olacakları kanaatindeyiz.

Ülkede stratejik seviyede karar vericilerin siber güvenlik farkındalığını nasıl değerlendiriyorsunuz?

Bu konuda ülkemizde olumlu gelişmeler olduğunu söylemeliyiz. 10 sene öncesine kadar özellikle kurumsal ve kamusal alanda ürün ve farkındalık seviyesi oldukça düşükken artık siber tehditlerle ilgili seminerler, kurumlar, bölümler ve yerli firmalardan bahsedebiliyoruz. Bizce bunlar önemli atılımlar ama hala olması gerekenin oldukça gerisinde.

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.