Yasemin Akyüz'ün röportajı...
Deloitte Türkiye'de siber güvenlik danışmanı olarak görev yapan Perim Asena Polat, Spacemag Türkiye'ye konuştu, siber güvenlik dünyasında yaşananları anlattı.
Bize kendinizi tanıtır mısınız?
İsmim, Perim Asena Polat. İTÜ SUNY Bilişim Sistemleri Mühendisliği mezunuyum. 2 sene İTÜ'de, 2 sene Amerika'da okudum. Daha sonrasında siber güvenlik alanına yönelmek istedim ama bizim okulda bu konuda çok fazla ders verilmiyordu.
Bir de iş hayatına hazır değildim, dedim ki neden yüksek lisans yapmayayım. Londra'da 'nde bilgi güvenliği (information security) masterı yaptım. Sonrasında Türkiye'ye geldim. Türkiye'ye geldikten sonra EY'da bu Big Four olarak geçiyor.
Big Four nedir onu öncelikle anlatayım; Big Four, Dünya'daki en büyük 4 denetimli danışmanlık firması aslında. Bunlar aynı zamanda Türkiye'deki birçok bankaya, birçok firmaya denetim yapıyorlar. Denetmen de veriyorlar. Ben siber güvenlik alanında danışman olarak çalışıyorum.
Hatta tittle'ım da tam olarak "siber güvenlik danışmanı" olarak geçiyor. 1 sene Türkiye'de EY'da çalıştım. Orada çalıştığım alan bir tık farklı bir alandı. Siber güvenlikti ama daha az teknik gibiydi. Sonrasında ben bunu istemiyorum, ben ful teknik istiyorum dedim.
1 sene sonrasında Deloitte'ta işe başladım. Şimdi Deloitte'tayım. O da aynı şekilde Big Four'da. Rakip firmalara geçmiş gibi oldum. Burada ful teknik yapıyorum. 7 aydır buradayım.
"Siber güvenlik" nedir?
O kadar geniş ki. Aslında siber güvenlik her şey. Teknik tarafta siber güvenlik olmuş oluyor. Şu an Türkiye'de çok popüler olan KVKK da (Kişisel Verileri Koruma Kanunu) aynı şekilde bir siber güvenlik.
Senin görmüş olduğun bütün ürünler olsun, cihazlar olsun, bunları geçtim hayatında karşılaşacağın bütün verilerin güvenliği siber güvenlik oluyor. Örnek vermek gerekirse KVKK senin kişisel verilerini kullanıyor. Diyelim ki wireless güvenliği, o da kalkıyor senin evindeki wireless'ın ya da kullanmış olduğun 5G'nin, 4G'nin güvenliği oluyor.
Ya da ben ek olarak sızma testi yapıyorum. Sızma testinde de web sitelerin ya da yerel ağların ya da şu an kullanmış olduğun mobil uygulamalarında testi yapılıyor. Bunun dışında da, o kadar çok alanı var ki… Hem teknik var, teknik olmayan kısmı var. KVKK denen bir taraf var.
Orada ISO27001'ler giriyor. O da şöyle; senin bir şirketin var diyelim. Ama adamların her şeyi belgeli olması gerekiyor. Telefon açıp; "Ya, Yasemin benim şu işlerimi yapsana" dememesi gerekiyor. Her şeyin dökümanlı bir şekilde olduğu, birbirlerine kayıt açtığı, kayıtlı olması gereken bir sistem oluşturuyorlar.
Bunun içine prosedür ve politikalar oluşturuluyor bunların içerisine. Bunlar tamamen teknik olmayan taraflar. Bu da bir siber güvenlik aslında.
Hacker'ların amaçları nelerdir? Etik Hacker, Black Hacker Nedir?
Öncelikle araştırma yaptığın için teşekkür ederim. Çünkü insanlar genelde "Facebook nasıl hacklenir?" diye geliyorlar. Bu tarz terimleri kimse bilmiyor ama bunlar var aslında. Etik hacker şöyle; ben etik hacker'ım diyebilirim.
Ben ne yapıyorum? Ben kurumsal bir firmada çalışıyorum. Başka firma geliyor, beni kiralıyor mesela. Bana web sitelerini veriyorlar, mobil uygulamalarını veriyorlar. Ben de onları kaba tabirle hackliyorum. Ama doğru cümle, güvenlik zafiyetlerini buluyorum.
Güvenlik zafiyetlerini onlara söylüyorum. ve kötü bir şey yapmıyorum. Kiralandığım için onlara veriyorum.
Bir şirket başka bir şirket için mi bunu yaptırıyor? Bu yasal mı?
Evet. Bütün Dünya'da bu şekilde. Kanunlar gereği yılda bir kere büyük firmalar, bu danışman firmalara test yaptırmak zorundalar. Özellikle bankalar, Big Four veya başka danışmanlık firmalarına yaptırmak zorundalar. Çünkü denetime girdiklerinde şunu soruyorlar; sen test yaptırdın mı?
Sen kendi zafiyetlerini buldun mu? Çünkü şöyle oluyor; adam kendi kendine yaptırırsa "ya bu zafiyeti göz ardı edelim mi?" gibi şeyler oluyor. Dolayısıyla dışarıya yaptırmak zorundasın. Etik hackerlik bu. Black hacker denen kesim de, dışarlarda bu işi yapan hackerlar diyelim.
Mesela X yerini hackliyorlar. Sonra sana mail atıyorlar ya da bir şekilde ulaşıyorlar ve sana diyorlar ki; "Merhabalar X şirketi, senin şu bilgilerin bende var." Bunu satıp buradan para da kazanabilir veya sana söyleyebilir ve senden para alabilir. Sen de diyorsun ki parayı vereyim halledelim diyorsun.
Hacklenen bir hesabı geri almak kolay mı?
"Benim bir Facebook hesabım var, geri alabilir misin?" diyenler çok oluyor. Gerçekten belli bir yerde bir şey yapamıyorsunuz. Senin yapman gereken şey aslında two factor authentication'ı koyacaksın bütün sosyal medya hesaplarına ve girerken senin telefonuna mesaj gelecek.
Aslında yapmanız gereken en basit şey bu. Ama senin hesabın çalınmış, adam gmail'i değiştirmiş, telefonu değiştirmiş. O saatten sonra yapacak hiçbir şey kalmıyor. Ne yapıyorsunuz başka? İnstagram'a mail atıyorsunuz.
Yalvarıyorsunuz orada. Diyorsunuz ki; "benim hesabım çalındı. Geri verir misiniz?" Onlar da maili görürse. Bu yüzden en doğrusu çift aşamalı doğrulama yapmak en doğrusu.
Türkiye'de kaç hacker var?
Geçen şirketten birisiyle bunu konuşuyordum. Merak edip kendimiz baktık. Ama gerçekten bilemiyoruz böyle bir sayı yok. Çeşitli platformlar var. Sen bir şirketsin gidiyorsun oraya üye oluyorsun. ve adamlara diyorsun ki benim zafiyetlerimi bulun.
Bir şirketle anlaşmak yerine gidiyorlar bir web sitesiyle anlaşıyorlar. Buna "Bang Bang" deniyor. Ondan sonra insanlar kendi açıklarını bulsun. ve oradan dolarla para kazanıyorlar. Orada bir baktık Türkiye olarak bakabiliyor muyuz, öyle bir seçenek var mı diye.
Orada da herhangi bir filtre yokmuş. Dolayısıyla bilinmiyor. Dünya çapında çok vardır. Bir de şöyle bir şey var; ben etik bir hacker oluyorum ama bilemezsiniz gibi... Tabi ki böyle şeyler yok ama. Ben zaten bu yolda ilerliyorum diyerek ilerliyorsun. Artık liseliler bile böyle hacker işleriyle uğraşıyor ve insanların sosyal medyaları vs. hiçbir şeyleri olmuyor.
Dolayısıyla bırakın Türkiye'yi Dünya'da bile tahmin edilemiyor artık böyle şeyler. Ben İTÜ'den mezun olurken siber güvenlik dersi bir tane vardı. Onu da ayıp olmasın diye koymuşlardı açıkçası. Geçenlerde doktoraya bakıyordum. Ders eklemişler. Gelişiyorlar ama benim zamanımda yoktu… Şimdi insanlarla konuşuyorum gerçekten insanlar lisede başlıyor. Benim ekip arkadaşım 2 senelik siber güvenlik mezunu.
Ben kaç sene önce mezun oldum mesela, o 2 senelik mezun ama çok çabuk sektöre girebiliyor. Çocuk diyor ki; ben lisede başlamıştım. Benim lisede hiçbir şeyden haberim yoktu.
Bu sektörde kadın olmanın zorlukları neler?
Önce iyi yanlarını söyleyeyim; bazen kadınlar bir tık daha detaylı düşünebiliyorlar. Bazen erkeklerin düşünmediği şeyleri biz test sırasında düşünebiliyoruz. Çok kritik noktalarda. Bu yüzden bir avantaj. Yine kendi sektörümden arkadaşlarımı düşünürsem, bazı erkekler daha sert
oluyorlar.
Ama bizim müşteriyle sürekli diyalog halinde olmamız gerektiği için, daha kibar, daha çözüm odaklı gidenler biziz. Hatta tanıdığım bazı erkek arkadaşlarım çok sertti, müşteriyle mümkünse onları muhatap ettirmiyorlar. Çünkü gerçekten çok "höt"lerdi. Ama işte işini iyi yapıyor.
Orada da şunu yapıyorlar; "kızsın, sen konuş." Burada da bir ayrımcılık oluyor. Başımdan geçen bir olayı anlatayım. Benim mülakatımda, isim vermeyeceğim. Bir müdürle mülakat yapıyordum. Bana şunu demişti; "Ya Perim, eğri oturup doğru konuşalım. Bence erkeklerin aklı, kadınlara göre daha iyi basıyor bu sektörde" demişti.
Ve bunu mülakat sırasında söylemişti, şok olmuştum. Ben de o şekilde düşünmediğimi söyledim. Ben öyle düşünüyorum dedi. ve şunu da söylemişti bana; "Bizim şirket yüzde 50 çalışanın bayan olmasını istiyor, çok şanslısın" demişti. Ben de neden şanslıyım yani dedim.
"Bak Perim, yüzde 50 bayan olması gerekiyor sen avantajlısın" dedi. Ben de "Bence değil, bence kim iyiyse işe onun alınması gerekiyor" dedim. Bir erkekse iyi o alınması gerekiyor. Bir kadınsa iyi, onun alınması gerekiyor.
Ama kendisiyle farklı frekanslarda olduğumuz için bana hala "Hayır, hayır anlamıyorsun bak" falan demişti. Yani böyle insanlarda var. Bu arada şirketten kabul almışım ben, ama o kişi benim müdürüm olacaktı. Sonuçta projeleri bana o verecekti.
Öyle birisinin altında çalışmak istemediğim için ben bunu reddetmiştim. Sonradan öğrendim şikayet edilebildiğini ama ne gerek vardı, birisinin ekmeğiyle de oynamak istemem sonuçta. Bir başka arkadaşımın başından geçen bir olay daha var. Kız sızma testi yapıyor.
Açıklıkları buluyor. Ama şirkette çok büyük zafiyetler buluyor. Şirkete gidiyor, zafiyetleriniz bunlardır vs. diye sunum yapıyor. Pandemiden önce sunum yapılırdı normalde. Zafiyetlerini göstermek için müşterinin yerine giderdik.
Kıza diyorlar ki; "Sen çık bir erkek gelsin o anlatsın. Sen kızsın, sen mi buldun bu zafiyetleri?" şeklinde kıza kötü davranıyorlar. Zafiyetleri kim bulursa, o anlatır. Çünkü sen hakimsin konuya. Ama adam orada "Benim zafiyetlerimi bir kız mı bulacak?" şeklinde yaklaşıyor olaya.
Kızı göndermeye çalışıyor. Ama kız orada "Hayır ben buldum, ben anlatacağım" diyor. Hatta elini de masaya vurmuş. Müşteri daha sonrasında kızı kendi şirketine şikayet etmiş. Çalışanınız sert davrandı diye. Şirket de kızın arkasında durmuş.
