BG: Merhaba hoş geldiniz öncelikle yoğun iş temponuza rağmen bize vakit ayırdığınız için teşekkür ederiz

Daron Yöndem: Ben teşekkür ederim.

BG: Okuyucularımızın sizi daha iyi tanıması için kendinizden kısaca bahseder misiniz?

Daron Yöndem: Beş sene önce kurduğum yazılım şirketinde ağırlıklı olarak Web uygulamaları üzerine içerik yönetim sistemleri geliştiriyoruz.  Şirkette hem proje yöneticiliği hemde kodlama biriminde aktif görev yapıyorum. Ayrıca Uluslar arası DotNet Derneği (INETA) Türkiye başkanlığı görevini yürütüyorum. Dernekçe sosyal topluluklara yön vererek toplulukların aktivitelerine, seminerlerine yardımcı olmaya çalışıyoruz.

BG: Bu sorumuzla benzer bir soru olacak ama açılım açısından, bilişim dünyasında hangi alanlarla ilgilenmektesiniz?

Daron Yöndem: İşim gereği doğal olarak Bilişim dünyasında ağırlıklı olarak yazılım alanında, yazılımların güvenliği ve internet uygulamaları ile ilgileniyorum. En azından donanımla çok fazla ilgilenmediğimi söyleyebilirim.

BG: Bilişim güvenliğinin birçok farklı tanımı mevcut siz bilişim güvenliğini nasıl tanımlıyorsunuz?

Daron Yöndem: Belki farklı bir bakış açısı olacak ama bilişimin insana zarardan çok yarar getirmesi şeklinde tanımlayabiliriz bence. Sonuçta alınan hizmet ya da ürünün güvenliği zafiyet içermiyorsa zarardan çok yarar getirecektir. 

BG: Ülkemizde bilişim güvenliğine yeterince önem verilmemektedir bunun sebepleri sizce neler olabilir.

Daron Yöndem: Bilişim konusunda belirli bir olgunluğa gelemememizden kaynaklanıyor diye düşünüyorum. Çünkü bir şeyin güvenliği ile ilgilenebilmek için onu iyice tanımamız gerekir. Biz bilişimi ne kadar tanıyoruz ki? Onu hayatımızda nereye yerleştirmişiz ve nasıl kullanıyoruz? Öncelikle bu sınırları iyice belirlemeliyiz. Onu tanımalıyız akabinde güvenliğini sağlayabiliriz. İçi boş bir evde ne çalınabilir ki güvenliğini sağlayacağız. Bu eksikliklerden ötürü güvenliğe ne zaman ne de kaynak ayırıyoruz. Ayrıca bilişim konusunda uzman ve yeterince teknik bilgiye sahip kişiler yok veya sayıları çok az. Bu belki konunun eğitiminin de doğru verilemediğinin bir işaretidir. Günü geldiğinde bu eksikliklerin vahim sonuçlara yol açacağını tahmin etmek zor değil.

BG: Saydığınız sebepler neticesinde ortaya çıkan güvenlik zayıflıkları bilişim suçlarına zemin hazırlamakta ve işlenen bilişim suçları giderek artmakta. Devlet siteleri bile bundan nasibini almaktadır. Bu konudaki düşünceleriniz nelerdir?

Daron Yöndem: Devlet siteleri nasıl bir yol izliyor, nasıl bir ekip kurmuş pek bilmiyorum. Ancak bir web sitesinden bahsediyorsak eğer birden çok başlığa değinmemiz gerek. Bu web sitesini kim yönetiyor? Siteyi kodlayan ekip ne kadar uzman?  Güvenliği nasıl sağlanıyor?

Bilindiği üzere çoğu güvenlik açıkları yazılımcıların yanlış kod yazmasından kaynaklanıyor. Ayrıca günümüzde her şeyin hazırını bulmanın zor olmaması nedeniyle web masterların hazır kodlar kullanıyor olması ebetteki güvenliklerinde zafiyetler meydana çıkarıyor. Neticede bir web sitesinin oluşumunda yer alan teknik ekibin iyi derecede teknik bilgiye sahip olması gerek. Maalesef Türkiye’de genel anlamda bu seviyeye ulaşmış değiliz. Profesyonel değiliz. Ayrıca güvenliği aşan şahısa da yeni mevzuatta belirtilen yaptırımlar ne kadar uygulanıyor, takibi ne derece yapılıyor bu da ayrı bir konu.

Devlet sitelerinin yapımında tabi ki daha da dikkatli olmamız gerekiyor. Neticede bir kurumun hatta Devletin itibarı söz konusu. Bence bu çok önemli bir nokta. Güvenlik sorunları şirketlerde de elbette marka değerini yok eden bir şey, üstünde fazla durulmayabilir ancak devlet sitesinin güvenliğinin aşılması, hacklenmesi önü alınmayacak sonuçlar doğurabilir. Eğer güvenli bir site istiyor ve itibarımızı göz önünde tutuyorsak bu siteleri işinde ehil güvenlik uzmanlarına test ettirmemiz gerek.

Siteyi yapan web masterın yeterli derecede teknik bilgisi varsa ve sistem uzmanlarca test edilmişse güvenlikte zafiyet oluşmayacağı kanısındayım. 

BG: Bilişim suçlarının önlemek ve suç işleyenlere ceza uygulamak amacı ile hukuk alanında birtakım gelişmeler olmaktadır. Buna rağmen bilişim güvenliği konusunda herhangi gelişme olmamaktadır, Bu durumu nasıl değerlendiriyorsunuz?

Daron Yöndem: Bu konuda herhangi bir gelişme olduğunu düşünmüyorum. Eğer siz oluyor diyorsanız gerçekten sevindirici bir haber. Mevzuata ilişkin işlenen suç karşısında yargılama sürecinde bir savcının bilişimle ilgili bir alt yapıya sahip olmasını beklemek çok doğru olmaz. Ancak kanunların biraz daha spesifik hale getirilmesi yani yoruma dayalı değil de kesin hüküm taşıması gerekiyor. Bunu yapacak olan da tabi ki Türkiye’de yeterince teknik bilgiye sahip kişilerdir. Artık bizde eşimizden, dostumuzdan duyduğumuz IP kültürü ile yargıya varmaktan ziyade bu bilgiyi uygulayarak yaşayan, sektörde yer alan kişilere (ekiplere) bırakmalıyız. Çünkü uygularken yaşanan deneyim farklıdır.

BG: Türkiye de bilgi ve bilgi teknolojileri hızlı bir şekilde gelişmektedir. Bu gelişme aynı zamanda kontrolsüzdür. Kontrolsüzlük aynı zamanda da tehlikedir. Bunu nasıl kontrol altına almalıyız?

Daron Yöndem: Bir akarsu düşünün akarsunun önüne yaptığınız baraj sayesinde suyu hidrolik santraline yönlendirirsiniz ve sonuçta elektrik elde edersiniz. Gücü kontrol altına almaktan bunu anlamamız gerekir. Bu potansiyelin önüne set koymaktansa bu gücü yönlendirecek kontrol mekanizmaları kurmak gerekir. Buda tabi ki eğitimle olur. Eğitim bir hayat boyu sürmelidir. Neticede teknoloji kendini sürekli yeniliyor. 

En önemlisi lise ve üniversite çağını çoktan geçirmiş olan büyüklerimiz, hani bilgisayar çağında doğup büyümekte olmayan hali hazırda bilgisayar çağı ile bir anda karşılaşmış olan büyüklerimizi kesinlikle karşımıza alıp bir şekilde bazı şeylerin anlatmamız gerek. Örneğin son dönemde çok popüler facebookmuz var; facebook a üye olan bir çocuğu olduğunda bir velinin çok farklı bir bakış açıcı ile konuya baktığını görebiliyorum. Veya daha ilginç başka bir nokta şu olabilir; hala insanların internetten alışveriş yaparken kredi kartı kullanımından çekindiklerini görebiliyoruz. Verilecek eğitimle bu insanların teknolojiye ayak uydurmalarını sağlayabiliriz.

Neticede halihazırda elimizde olan bilgi kaynaklarını bir anda durdurmak, yok etmek yerine bunları nasıl daha iyi değerlendiririz öncelikle bunu düşünmemiz gerek.

BG: Evet son sorumuz; bildiğiniz gibi bizim bir derneğimiz var, Bilişim güvenliği ve bilişim suçları ile mücadele derneği, derneğin adından da anlaşılacağı gibi hem bilişim güvenliği konusunda hem de bilişim suçları ile mücadele konusunda çalışmalarımız olmaktadır. Bu çalışmalarımız karşısında ki düşünceleriniz ve ayrıca sivil toplum örgütlerine düşen görevler nelerdir?

Daron Yöndem: Derneğiniz güzel bir amaç uğruna çalışıyor. Dediğim gibi hızla büyüyen ve sürekli gelişen Bilişim Teknolojilerinde insanların doğru bilgi alabilecekleri, danışabilecekleri bir merkezin olması çok güzel bir gelişme. Güvensiz bir yazılım satın almış olan, yanlış bir hizmet satın almış olan, mağdur durumda olan insanların haklarını arayabilecekleri veya danışabilecekleri bir merkezin olması şart. Web sitesi hacklenen bir şirket ne yapacak? Yeniden bir site yaptırmak yerine hakkını arayabilir mi? Neden hacklendiğini bir şekilde analiz ettirebilir mi? Gibi soruların cevaplarının olduğu bir örgüt olmak bence çok önemli. Bu görevi doğru bir şekilde eminim siz götüreceksiniz.