Şubat ayının son günlerinde düzenlenen ve IT PRO’nun medya sponsoru olarak desteklediği IDC IT Security Roadshow’da İnternet dünyasının önde gelen firmalarından Internet Security Systems (ISS) firmasından Peter Stremus’la ISS ve İnternet güvenliği üzerine bir röportaj gerçekleştirdik.

Bize ISS hakkında bilgi verebilir misiniz?
ISS hakkında söyleyebileceğimiz en önemli bilgi bir IBM firması olduğu. Bizim yaklaşımımız, güvenliğin bir nokta ürün değil, bir platform şeklinde sunulması gerektiği. Bu platformu legolar gibi düşünürsek birinci parça açıkların tespit edilmesi, ikinci parça tespit edilen açıkları öncelik sırasına göre değerlendirilmesi, üçüncü parça güvenlik kalkanının oluşturulması, dördüncü ve son parça ise durumun raporlanması ve sürekli kıyaslama yapılarak gerekli takibin yapılması. ISS’in güvenlik platformu anlayışını işte bu dört öğe oluşturuyor. Biz tüm bunları birleştiren bir yönetim kontrol sistemi sunuyoruz. Amaç, ürünü kutulayıp, satışı gerçekleştirip işimiz tamamlandı demek değil, bunu bir servis olarak sunmak. ISS olarak güçlü yanımız, mevcut açıkları sürekli araştıran X-Force ekibimiz.
Şu an üzerinde çalıştığımız en önemli proje IBM’in Tivoli yönetim sistemine entegre olmak.

X-Force’un nasıl bir yapısı var ve kaç kişilik bir ekip bu araştırma işini üstleniyor?
Çekirdek kadromuz aslında 100 kişi. Ama bu 100 kişi bir çok güvenlik grubuyla birlikte çalışıyor. Bu grupları da eklediğinizde ekip yaklaşık 3 bin kişiye çıkıyor. Bu 3 bin kişi konularının tamamen uzmanı. İçlerinde FBI kökenli kişiler de bulunuyor ve aktif olarak çalışıyor. X-Force ekibinin sadece 2006 içerisinde tespit ettiği açık sayısı 7 bin 300’den fazla.
Bizim yaklaşımımız ortaya bir sorun çıktığında bu sorunu gidermek üzerine değil, tam tersi açık ortaya çıkmadan, işin en başından önlemin alınması. Bu anlamda önleyici güvenlik tarafında olduğumuzu söyleyebilirim. Zaten IBM’in ISS’i satın almasındaki en önemli etken de bu duruşumuzdu.

Peki bu satınalma hangi firmaya daha çok yaramış durumda? Şu an sadece IBM üzerinden mi müşterilere ulaşılıyor yoksa IBM’in içindeki ISS yapılanması eskisi gibi bağımsız olarak yola devam etme imkânı tanıyor mu?
ISS ile IBM’in yaklaşık 10 yıl geriye giden bir ortaklığı var. Satınalma sonrasında IBM ISS adını aldık. Kimin daha çok işine yaradı sorusuna gelince. Öncelikle olaya biraz farklı bakmak gerekiyor. Aslında en çok faydayı görecek olan grup müşteriler. Nedenine gelince; IBM’in içerisinde güvenliğe özel bir alan olarak yaklaşılıyor. IBM, zaman içerisinde ISS’in gruptaki görevini tamamlayıcı başka şirketlere de talip oldu ve bünyesine kattı. Bu sayede IBM’in içerisinde büyük bir aile haline geldik.
Biz güvenliğe geniş bir perspektiften bakmak istiyoruz. Dijital ve fiziksel güvenliğin birleştirilmesi, kimlik yönetimi ilk akla gelenler.
Güvenliğe daha geniş bir perspektiften bakmak istiyoruz. Fiziksel ve dijital güvenlik olarak iki ayrı açıdan bakmak gerekiyor. Dijital ve fiziksel güvenliğin birleştirilmesi, kimlik yönetimi, kimlik yönetiminde Gartner’ın araştırmasına göre IBM’in çok güçlü bir depolama şeyi var.
Bütün bunlara birarada baktığımız zaman hem bilgi olarak hem teknoloji olarka hem de IBM gibi bir firmanın güvencesi altında olduğu için tüketici en fazla kazanan taraf oluyor.

ISS’in müşterileri arasında hükümetler, sosyal güvenlik kurumları var. IBM de bu çizgide. IBM’in daha düşük seviyede ürünleri de var. Bu çizgi de devam edilecek mi yoksa daha düşük seviyeye inilecek mi?
IBM’den önce de daha düşük seviye ürünlerimiz vardı. Tüketici direkt fokusumuz olmamıştı. Genelde kurumsal bazlı çalışıyoruz. Ama orta boy işletmelere de hitap ediyorduk. 50 kişi çalıştıran firmalara kadar giden ürünlerimiz var.

Türkiye’deki firmaların çoğu 50 ve üstü diyebileceğimiz kurumlar. Türkiye’de ne tür firmalar ilgi gösteriyor ya da belli bir sektör var mı öne çıkan?
Bunu Türkiye’deki temsilcimize sormanız daha doğru olacaktır. Ama dünya geneline bakarsak bankalar, hükümetler ve telekom. Küresel anlamda bu üç kol bizim en önemli müşterimiz. Tarihsel olarak da en güçlü olduğumuz alanlar bunlar. AB uyum kriterleri nedeniyle başka sektörler ve kurumlar için de bazı sektörlere özgü çözümlerimiz var. Kartla ödeme sistemleriyle işlem yapan bütün kurumların sahtekarlığa karşı güvenliğe ihtiyacı var. ISS ürünleri bu alanda PCI tarafından sertifikalıdır. Bu sertifikayla bankalara ya da perakende işlem yapan işletmelere gidip onları sertifikalandırabiliyoruz.
Enerji santralleri, petrol şirketlerinin altyapıları tabii ki internet üzerinden kontrol ediliyor. Kimse bir nükleer santralin bir hacker tarafından kapatılmasını istemez. Bizim güvenlik uzmanlarımız yaptıkları testlerde bu tür kurumlara bir mouse tıklaması kadar yaklaştılar. Önceden önlem alınması gerekiyor. Bu yaptığımıza bir anlamda etik hacker’lık da denebilir. Bizim işimiz firmaların güvenlik altyapılarını test edip raporlamak.

Genelde karşılaşılan güvenlik problemleri neler? Kullanıcı hataları, programlar, hacker’lar mı?
Aslında açık dediğimiz şey programa aittir. Bir programda açık olmasının da çeşitli nedenleri olabilir. Çoğunlukla güncel olmaması nedeniyle sorunlar yaşanıyor. Program eğer kısa zamanda hazırlandıysa kalite kontrolünde sorunlar olabiliyor ya da tüm bunların dışında baştan savma, yeterince özenilmemiş bir program karşımıza çıkabiliyor.
Biz saldırılarla zafiyetleri ayrı ayrı değerlendiriyoruz. Kötü niyetle girilmeye çalışılırsa bu bizim için saldırıdır. Açıklardan ziyade açıklar nedeniyle ele geçirilebilecek bilgilerin değeri oldukça yüksek. Bu yüzden artık bu saldırıları çok yüksek paralara çok iyi eğitimli insanlar yapıyor. Dikkat ederseniz uzun süredir basında hacker haberleri göremiyoruz, çünkü artık gizli kalmak istiyorlar. Gizli kalmak onların saldırıları gerçekleştirebilmeleri için bir avantaj.

ISS’in geçici yama, yani kalkan uygulamasından bahsedebilir misiniz?
Röportajın başında güvenliği kutulanmış bir ürün değil, bir platform olarak ele aldığımızdan bahsetmiştim. Bu platformun dört aşamasından üçüncüsü de sanal bir kalkan oluşturulmasıydı. Normalde bir yamayı uygulamak için server’ı kapatmanız, yamayı uygulamanız ve yeniden başlatmanız gerekiyor. IT yöneticileri, işler aksayacağı için bu yöntemden pek hoşlanmıyorlar doğal olarak. Ama bu bir güvenlik problemi ve yapılmak zorunda. Biz, oluşturduğumuz sanal yamamızı (kalkanı) server’ın önüne yerleştiriyoruz. Bu yama, gelen saldırıları server’a ulaşmadan engelliyor. IT yöneticileri de zamanı olduğunda, server’ı kapatabileceği zaman gerekli yamayı uygulama şansına sahip olabiliyor. Böylece işler fazla aksamadan sorun ortadan kaldırılıyor.