TÜV AUSTRIA SyberCode Kurucusu ve CEO’su Serhat Yediel; “Siber saldırı öncesinde, sırasında ve sonrasında konuya-konusuna hâkim ekiplerimiz tarafından servislerimizin tüm dünyaya hizmet verebilir seviyede olması, bizi herkesten ayıran en önemli yönetimsel danışmanlık yaklaşımımızdır” diyor. Yediel, Fortune’a siber güvenlikle ilgili gelecek dönem gelişmeleri ve sektörün konuya yaklaşımını bilgi teknolojileri açısından değerlendirdi.
Siber güvenlik çok yönlü bir konu. SyberCode’un özellikle uzmanlaştığı bir alan var mı?
TÜV AUSTRIA SyberCode uçtan uca bir koruma sağlamak amacıyla kurdu. Siber güvenlikte uzmanlaştığı alan çok daha uygun maaliyetle bütünsel çözümler sunmak üzerinedir. TÜV AUSTRIA SyberCode’un BT departmanı olmayan bir firmayı 7/24 koruyabileceği, büyük ölçekli bir firmaya uçtan uca bir hizmet verebileceği ve 7/24 siber güvenlik politikasını oluşturabileceği uzman bir kadrosu var. TÜV AUSTRIA SyberCode, sektörde SDLC güvenliği gibi son derece niş olan bir konuda öncülük yaparak birçok yazılım geliştiren kuruma danışmanlık ve hizmet sağlamıştır. Bizde Teknik departmanlar üçe ayrılır; Teknik operasyon, hücum (offensive) ve savunma (defensive) takımları. Savunma altında MDR, IR, tehdit avcılığı gibi konular var. Hücum altında statik kaynak kod analizi, web penetrasyon testi, ileri seviye tehdit avcılığı (red team), oltalama farkındalık hizmetleri, siber güvenlik farkındalığı ve regülatif uyumluluklarla ilgili danışmanlık ve eğitimler veriliyor. Operasyon ekiplerimiz de ürünlerin kurulum, bakım, yönetişim ve as a service (hizmet olarak sunulması) olması aşamalarını yönetir. Siber saldırı öncesinde, sırasında ve sonrasında konuya-konusuna hâkim ekiplerimiz tarafından servislerimizin tüm dünyaya hizmet verebilir seviyede olması, bizi herkesten ayıran en önemli yönetimsel danışmanlık yaklaşımımızdır.
Türkiye’de doğan bir şirket olarak Türkiye’deki siber güvenliğe bakışı ve bölgesel tehdit ekosistemini nasıl değerlendiriyorsunuz?
Teknolojik ve yetişmiş insan kaynağı olarak, Türkiye’nin diğer birçok ülkenin önünde olduğunu düşünüyorum. Tabii ki eksiklerimiz bulunmakta… Burada doğmuş, global çapta iş yapmak üzere birleşme başarı öyküsüne imza atan bir şirket olarak, ülkemizin siber güvenlik ihtiyaçlarını çok iyi analiz ettik. Belki biraz ezberlerimizin bozulması gerekecek ancak buna alışmalı, çevik olmalı ve değişime ayak uydurmalıyız. Siber güvenlik camiasında 5-10 yıl bile artık çok uzun bir zaman. Stratejik olarak artık 1-3 yılları konuşuyor ve yol haritasını bu şekilde belirlemek zorunda olduğumuza inanıyorum. Siber güvenliğin en riskli tarafı her zaman insan faktörü olmuştur. Milyonlarca dolarlık yatırımları çok küçük tıklamalar ile boşa çıkardığımız bir gerçek. O yüzden her anlamda farkındalığı yüksek olan şirket çalışanları o şirketlerin siber güvenliğinde olumlu anlamda büyük etki yaratıyor. Bunun yanı sıra yetişmiş insan kaynağı bulmak tüm dünyada sorunken, bizde enflasyondan dolayı artan maliyetlere bağlı olarak tüm şirketler adına çok daha büyük bir sorun olarak karşımıza çıkıyor. Siber güvenlik açığımızın farkında olmak artık maalesef yetmiyor. Farkındalık artmalı ve anlık aksiyonlar alınmalı… Burada en önemlisi, alınmış tüm ürünlerin-teknolojilerin tam manasıyla kullanılabilir olduğundan ve yapılan yatırımın karşılığının alındığından emin olmaktır. Bunun için de yetişmiş insan kaynağını bulamasak bile, bu kaynaklara sahip olan firmalardan çerçevesi net, kapsamı belirlenmiş ve yönetilebilir hizmetler alınmalıdır. Türkiye’ de doğan ve şu anda globalde çeşitli hizmetler veren bir firma olarak, siber güvenliğin öneminin dijitalleşmenin yaygınlaşmasıyla fark edildiğini söyleyebiliriz. Fakat globalden farklı olarak, Türkiye’de hala önceden değil de bir siber saldırı sonrası güvenliğin önemi fark ediliyor. Siber saldırıya uğrayan firmalar saldırı sırasında aksayan işleri ve kaybolan maddi kazançları nedeniyle, siber güvenlik yatırımının saldırıyı bertaraf etmek için yapılması gerektiği gerçeğiyle yüzleşiyorlar. Bölgesel tehdit ekosisteminin Türkiye’deki önemine yönelik bakacak olursak, siber güvenlik açıklarının raporlanması için eylem planları düzenlenmiştir. TSE içinde de siber güvenlik açıklarının nasıl ele alınacağına ve nasıl bildirileceğine dair düzenlemeler oluşmuştur. Günümüzde zorlayıcı yaptırımları olan regülasyonlarla siber güvenlik olgusu, devletin önemli kuruluşlarında, bankacılık sektöründe, veri hacmi geniş firmalarda daha sağ duyulu bir şekilde etkinleşmeye başladı.
Türkiye’de böyle bir işi başlatmanın ve büyütmenin zorlukları veya avantajları hakkında neler söyleyebilirsiniz?
Türkiye’de vergiden doğru insan kaynağına kadar bir dizi zorlukla işe başlıyorsunuz ama bunların tamamını dezavantaj olarak görmek yerine avantaja çevirmek bence bir girişimcide olması gereken özelliklerden biri. Bu ülkede diğer hiçbir ülkede göremeyeceğiniz ve bulamayacağınız insan kaynağını, çalışma arkadaşlarınızı, emektaşlarınızı doğru zamanda bulabilir ve liyakati sağlayabilirseniz. Türkiye’deki mühendis olan veya mühendis olmaya aday çok değerli insanlar mevcut. Birkaç kişiyle çok verimli işler yapabiliyor ve gereken katma değeri ortaya koyabiliyorsunuz. Doğru bir vizyon, misyon, nakit akışı, tahsilat gibi konular bir girişimcinin hayati konuları ancak merkeze insanı koyduğunuzda birçok şeyi baştan tamamlamış oluyorsunuz. Müşterinize de eğer bir şey satmak için değil de doğrudan sorununu çözmek için yanında olduğunuzu hissettirebiliyorsanız, bence o zaman doğru bir girişimci oluyorsunuz. Siber Güvenlik konusunun önü kapanmamak üzere açık durumda ve Türkiye bu konu için global bir merkez; bu yadsınamaz bir gerçek. Doğru yerde durmak, sektörün ihtiyaçlarını önden görebilmek ve stratejik manada kısa değil, orta-uzun vadede sabredebilmek bu konudaki en büyük zorluk. Mucit olamayabilirsiniz ama inovatif olmak zorundasınız.
TÜV Austria’dan aldığınız yatırımı hangi alanlarda kullanmayı planlıyorsunuz?
TÜV AUSTRIA birçok ülkede hizmet veren ve istihdam oluşturan bir grup şirketidir. Vizyon olarak kaliteye ve insan yatırımına önem vererek bu doğrultuda adımlar atmıştır. SyberCode ile de bu konuda ortak bir vizyona sahip olmaları nitelikli insan kaynağına yatırım yapmamızı kolaylaştırmıştır. Siber güvenlik alanındaki ihtiyaçların %60’tan fazlasının hizmet olarak alınacağı bir dünyaya inanıyoruz. Biz de şirket olarak buna ayak uydurmak, kalitemizi çok daha yükseğe çıkarmak için değişimimizi ve dönüşümümüzü tamamlamış bulunuyoruz. Türkiye merkezli bir global şirket olarak, ülkemize öncelikle insan kaynağı yaratma yönünde yatırım yapacağımız çok net. Sonrasında da büyüme stratejimiz doğrultusunda çeşitli yeni hizmetler ve teknolojiler olarak yatırımlarımıza devam edeceğiz.
SyberSaas adını verdiğiniz modelin vaatleri neler?
SyberSaaS’ı diğer tüm servislerden ayıran en temel nokta, müşterilerin siber güvenlikle ilgili tüm endişelerini ve yatırımlarını ortadan kaldırmasıdır. Bu çok iddialı bir cümle farkındayım fakat müşterilerimizin önceliği hiçbir zaman ürünü ya da hizmeti satın almak olmadı. Onlar, siber güvenlik konusunu yönetebilmeyi, güvende olmayı ve hatta bu konuyu unutmayı istiyorlar. Özellikle belirli bir ölçekte olan, BT kadrolarını barındırmak istemeyen, yatırım yapmayı matematiğe oturtamadıkları için doğru bulmayan, bulsa dahi bütçeleri olmayan tüm kurumlar bizim SyberSaaS modelimizin en doğru adresi konumundalar. SyberSaaS modeliyle, sanki müşterilerimizin yan masalarında bir ekip varmış gibi süreçlerini yönetebiliyoruz. SyberSaaS ile ürüne karar verme, ürünü satın alma, ürünü yönetmek için uzman teknik personel, ürün için devasa sunucu, kurulum ve bakım maliyetleri, yine ürünü yönetecek teknik personel için eğitim vb. gibi konuların tamamı ortadan kalkıyor. Bunun yanı sıra siber güvenlik testleri ve KVKK, CBDDO gibi danışmanlık hizmetlerimizi de yine aynı paket içerisinde alabiliyorlar. Öte yandan kritik altyapılara sahip olan, veriyi toplayan, işleyen ve yaptığı işle ilgili bu verileri saklamak zorunda olan finans, sigorta, enerji, üretim, e-ticaret, elektronik para piyasaları kuruluşları ve fintechler (fintekler) başta olmak üzere tüm sektörler hedef kitlelerimiz arasında yer alıyor. Özetle, SyberSaaS modelimizle, ürün, kurulum, bakım, sunucu ve nitelikli insan kaynağı maliyetini özellikle KOBİ’ler için ortadan kaldırırken, aynı zamanda teknolojiyi seçme, değerlendirme ve karar verme gibi maliyetleri bu model içerisinde sunarak, normal bir siber güvenlik yatırımına karşı %65 gibi maliyet koruması sağlıyoruz. Üstelik bunu hemen hemen piyasada dolar olarak alınabilen ürünler & hizmetler özelinde, aylık ödeme planı ve sabit Türk Lirası desteğiyle yapıyoruz. Önümüzdeki döneme dair beklentilerinizi ve 2023 öngörülerinizi paylaşabilir misiniz?
2023’ün her açıdan ve her şirket için çok zor bir dönem olacağını düşünüyorum. Artık şirketler çok daha akıllıca davranmalı ve yatırımlarını gözden geçirmeliler. Bunları yapamadan yılı kapatacak birçok şirket -üzülerek söylüyorum- belki de artık var olamayacaklar. Ayrıca 2023’te her şirket için nakit akışının son derece iyi yönetilmesi gerektiğini de düşünüyorum. Burada mecburen yapılması gereken tüm yatırımları sermaye yatırımı yerine işletme giderine çevirmeli ve gelir oranında işletme giderini doğru kurgulamalı. Seçimlere kadar piyasanın kısmi olarak durgunlaşacağını düşünsem de özellikle dördüncü çeyrekte çok daha yüksek piyasa hareketlenmesi bekliyorum. Bilgi teknolojileri çerçevesinden bakacak olursam da birçok müşteri artık donanım ve yazılımları satın almak yerine hizmet modeliyle ilerlemenin ne kadar doğru olduğunu görecek. Bizim de yatırımlarımız bu yönde. Elimizden gelenin fazlasını yaparak, katma değerli kampanyalarla orta ve uzun vadeyi hedefleyerek tüm müşterilerimizin hem güvenliğini sağlamayı hem de onların yanında ticari olarak da sorumluluk alarak en güvendikleri tedarikçi olmayı arzu ediyoruz. Bu vesileyle 2023 yılının önce ülkemize, akabinde tüm dünya insanlığına barış, sevgi ve huzur getirmesini diliyorum.