Sayı 4
Eğitmenlerimiz

Ömer Faruk Acar: "n-telligent institute bir marka olacak"

n-telligent institute’ta siber güvenlik eğitimleri veren Bilgi Güvenliği Hizmetleri Yöneticisi Ömer Faruk Acar ile hem verdiği eğitimler ve n-telligent institute hem de Türkiye’de ve dünyada siber güvenliğin durumu üzerine sohbet ettik. Eğitimi hem bilgi ve tecrübe paylaşımı hem de kendi gelişimi için önemli bir motivasyon kaynağı olarak gören Acar, gelecekte Netaş’ın ArGe ve mühendislik alanındaki başarılarının yansımalarını eğitim şapkası altında göreceğimizi ve n-telligent institute’un bir marka haline geleceğini düşünüyor.
Ömer Faruk Acar: "n-telligent institute bir marka olacak"

Bize kendinizden bahseder misiniz?

2008’de Ege Üniversitesi Bilgisayar Mühendisliği Bölümü'nden mezun olduktan sonra Hacettepe Üniversitesi Bilişim Enstitüsü'nde yüksek lisansımı tamamladım. Şu anda Adana Bilim ve Teknoloji Üniversitesi’nde siber güvenlik alanında doktora çalışmalarıma devam ediyorum, son aşamasındayım, tezimi yazıyorum. Bilişim (IT) sektöründe çalışmaya, üniversitede okurken, web uygulamaları ve KOBİ’lere hazır paket uygulamalar geliştirerek başladım. Sonrasında Türk Telekom, TÜBİTAK ve HAVELSAN bünyesinde siber güvenlik ArGe projelerinde çalıştım. Pek çok yurtiçi TÜBİTAK destekli ya da yurtdışı fonların desteklediği veya ticari amaçlı geliştirilen ürünlere liderlik yaptım.

Farklı teknolojiler ve platformlar üzerinde çalışırken hep bir merak ile siber güvenlik konularında araştırdım ve güvenlik alanında uzmanlaşmaya başladım. Veritabanı güvenliği, Sızma (Penetration) testleri, Kötücül Yazılım (malware) analizi ve mobil uygulama/cihaz güvenliği gibi konularda araştırmalarda bulundum. Türkiye'deki birçok banka, devlet kurumu ve özel sektöre yazılım, danışmanlık, eğitim projeleri gerçekleştirdim. Şu anda Netaş Test ve Yönetilebilir Hizmetler Direktörlüğü altında Bilgi Güvenliği Hizmetleri Yöneticisi olarak görev yapıyorum ve ArGe projeleri ile ilgileniyorum.

ZTE firmasına ait tüm 5G bileşenleri, Cloud altyapısı (Docker, OpenStack) ve IoT cihazlarının Belçika, İtalya ve Çin laboratuvarlarında kullanılan güvenlik testleri gerçekleştiriyoruz. Denetim ve sıkılaştırma süreçlerini uyguluyoruz. Londra merkezli Fluyd firmasının geliştirdiği .Net ve Java (Kotlin) uygulamalarının kaynak kod analizinin gerçekleştirilmesi hizmetini sunuyoruz. Sahibinden.com, Hepsiburada, Decathlon, Yeşilay gibi firmalara mobil güvenlik hizmetleri ve network hizmetleri sunduk, raporladık. Web, Android/IoS sızma testlerinin yapılması ve raporlanması, Savunma Sanayi Başkanlığı (SSB) Siber Güvenlik Teknolojileri Odak Teknoloji Ağı (OTAĞ) Komuta Kontrol Teknolojileri üyesi olarak çalışmalara katılım sağlama gibi birçok farklı görev üstleniyorum. Danışmanlık da veriyorum.

9 yıllık bir eğitmenlik tecrübem var. Netaş çatısı altında Özaltın Holding (Gloria Hotel), Kuveyt Türk Bankası, Intertech (Denizbank), Yapı Kredi Bankası, Türk Hava Yolları (THY), Siemens gibi firmalara Siber Güvenlik alanında eğitimler verdim.

n-telligent institute’da verdiğiniz eğitimin içerikleri nelerden oluşuyor?

Hem saldırı hem savunma anlamında bütüncül bir yaklaşım ile eğitim içeriklerini hazırladık. Güncel saldırılar ve korunma mekanizmalarını işleyerek, doğrudan yol haritası sunacak bilgileri katılımcılar bu eğitimlerde bulabilecekler. Başlıklara bakacak olursak, Web Uygulama Güvenlik Testleri’nde daha çok dış dünyaya açık olan web uygulamalarımızı nasıl koruyabiliriz, ne gibi saldırılar var, hangi araçlar kullanılıyor gibi konulara değiniyoruz.

Mobil Güvenlik eğitiminde geliştirdiğimiz mobil uygulamaları nasıl koruyabiliriz, işlerimizde de kullanmaya başladığımız cihazların güvenliğini nasıl sağlayabiliriz, fiziksel katmanda başlayıp işletim sistemi ve sonrasında uygulama güvenliğine kadar geniş bir perspektifte anlatmaya çalışıyoruz.

Bilgi Güvenliği Farkındalığı eğitimimizde ise daha çok üst düzey yönetici ve orta seviye teknik olmayan kişilerin farkındalığını artırabilecek bilgiler veriyoruz. Temel standartlar, bu alandaki regülasyonlar nelerdir gibi konulara değiniyoruz ve temel bilgileri vererek insanların daha çok araştırma yapabilecekleri alanları bu eğitim sayesinde iletiyoruz.

Tersine Mühendislik ve Zararlı Yazılım Analizi gibi ileri seviye eğitimlerimizde ise işin derinlemesine girip bir uygulama nasıl bir saldırıya maruz kalarak değiştirilebilir, mevcut uygulamaların koruma mekanizmaları nelerdir gibi konuları daha alt seviye programlama dilleri ve yönetmelerle anlatmaya çalışıyoruz.

Ağ Güvenliği, Windows Sistem Sıkılaştırma, Veritabanı Güvenliği kısımlarında ise biraz daha derine odaklanıp sistem yöneticileri veya veritabanı yöneticileri gibi belirli bir kitlenin günlük aktiviteleri sırasında nelere dikkat etmeleri gerekiyor, iç denetim kurallarını nasıl uygulayabilirler gibi prensipleri anlatmaya çalışıyoruz.

Siber güvenlik alanında şu anda Türkiye’de ve dünyada bulunulan noktayı nasıl değerlendiriyorsunuz? Bu konuda farkındalık hem devlet hem de özel sektörde olması gerektiği noktada mı?

Her gün değişen ve güncelliğini yitirmeyen bir alandan bahsediyoruz. Bu noktada yeni teknolojiler çıktıkça siber güvenlik de bunun bir parçası olarak yer alıyor. Dünyada siber saldırılara karşı koruma için devletler milyarlarca dolarlık bütçeler ayırıyor. 2021 yılı için CyberSecurity Ventures’ın araştırmasına göre güvenlik suçlarının dünya ekonomisine maliyeti 6 trilyon dolara çıkması bekleniyor. Yine 2017-2021 yılları arasında küresel harcama tutarı 1 trilyon dolara ulaşacak.

Her 40 saniyede bir şirketin veri bankası fidye yazılımları ile kilitleniyor. Bu yazılımlar bilinen ya da sıfırıncı gün dediğimiz zafiyetleri kullanıyor. Ülkemizde de hem kamu kurumları hem özel sektörde farkındalık düzeyi gerekli yatırımlar ve eğitimler ile artmaktadır. 2012 yıllarından başlayan bir serüven var. Bu süreçte siber tatbikatlar, Capture the Flag yarışmaları, lisans ve yüksek lisans düzeyinde açılan yeni programlar ile gerekli teknik personel yetişiyor ve bu alandaki bilgi havuzumuz her geçen gün biraz daha genişliyor. KVKK gibi düzenleyici hukuksal altyapının oluşturulması, bilişim hukuku gibi farklı disiplinlerdeki kişilerin de siber güvenlik alanına destek olması ve tüm paydaşların çıktıları ile farkındalığın arttığını söyleyebiliriz. TSE’nin 13638 gibi bir başlık ile siber güvenlik hizmeti veren firmaları ve kişileri akredite etmesi de hedefe giden yolda doğru bir noktada olduğumuzu gösteriyor. BTK’nın USOM çalışmaları ile organize bir şekilde siber saldırılara anlık cevap verebilme kabiliyetlerimiz, diğer BDDK, EPDK gibi regülasyoner kurumların ilgili kritik altyapı oyuncularını güvenlik testlerine zorlaması, yıllık eğitimlerin verilmesi gibi aktiviteler, risklere karşı önlem olarak sayılabilir.

Siber güvenlik konusunda Türkiye’deki genel ortama baktığınızda eksikler ve güçlü yanlar nelerdir?

Bir SWOT analizi gerçekleştirdiğimizde, genç ve siber güvenlik konularına meraklı potansiyel bir beyin gücümüz bulunuyor. Bunu bugüne kadar gerçekleştirdiğimiz etkinliklerde ve mülakatlarda görebiliyoruz. Ben daha öne üniversitelerde de eğitim verdim. Oradaki eğitimlerde de bu ilgiyi görebiliyordum.

Yerli ve milli yazılım seferberliği ile birlikte gelişen firmalarımız siber güvenlik alanında da başarılı ürünler çıkarmaya başladılar. Örneğin; picus, Labris, atarlabs, Trapmine, chomar antivirüs gibi birçok sektörde aktif oyuncu olabilecek firmalar ortaya çıktı.

Fırsat olarak önümüzde bazı konular var. Netaş’ın da faaliyet gösterdiği akıllı şehirler, 5G teknolojileri, akıllı araçlar, bulut güvenliği gibi trendleri takip edip bu alanlarda da kendimizi ispatlamalıyız. Bir teknoloji çıktığında bunun güvenliği de hemen arkasından geliyor.

Zayıf yanımız olarak da şunu söyleyebilirim: Yatırımcılar, üniversiteler ve sektördeki tecrübeli insanların bir araya gelip iş birliği yaparak dünya genelinde ses getirecek ArGe projelerini hayata geçiremiyoruz. Herkes kişisel olarak tek başına bir şeyler yapmaya çalışıyor. Örneğin giyilebilir sağlık ürünleri üzerinde Avrupa’da birden fazla ülkeden irili ufaklı firmalar bir araya gelerek ortak bir ürün ortaya çıkarabiliyorlar.

Yurtdışında siber güvenliğe meraklı kişileri ödüllendirmek için Bug Bounty programları düzenleniyor. Benzer teşvik mekanizmalarını bizim de hayata geçirmemiz faydalı olacaktır.

Gelecekte siber güvenlik nasıl gelişecek ve değişecek sizce?

Global şirketlerin dijital dönüşümünü tamamlaması ve Endüstri 4.0 gibi yaklaşımlarla evrimleşmesi sonrasında saldırı vektörleri de çok ciddi oranda artacak. Bu nedenle siber güvenlik alanında otomatize çözümlerin ortaya çıkmasını bekliyoruz. Çünkü saldırı sonucu ortaya çıkacak bulguların manuel olarak kapatılması mümkün olmayacak. Şimdiden yapay zeka ve makine öğrenmesi algoritmalarını kullanan saldırı ve savunma araçları piyasaya çıkmaya başladı.

Her cihazın internete bağlanması, anlık haberleşmenin yaygınlaşmasıyla birlikte merkezi tehdit algılama ve siber istihbarat servislerinin önemi artacak. Konvansiyonel savaşların yanında ülkelerin siber dünyada orduları olacak ve her türlü değerli bilgi ve varlığı bunlar koruyacak. Dijital para kullanımı, veri mahremiyeti gibi konular nedeniyle siber güvenlik sağlıktan, ekonomiye birçok alanda etkin bir parametre olarak karşımıza çıkacak.

Bu yeniliklere kimlerin ne şekilde hazırlanması gerektiğini düşünüyorsunuz?

Kurum ve kişi olarak ele alacak olursak, kurumların siber güvenlik olgunluk modelini oluşturması (maturity model), organizasyonel olarak gerekli değişikliklerin yapılması ve sadece güvenlik ekiplerinin değil tüm çalışanların bütünün bir parçası olması nedeniyle güvenlik farkındalığının artırılması hedeflenmeli. Kişiler olarak temel terminolojiyi öğrenip, günlük hayatta karşılaşabileceğimiz her türlü saldırı ve tehdide karşı önlem yöntemlerini öğrenmeliyiz. n-telligent institute da zaten burada bu misyonu üstleniyor.

n-telligent institute’da eğitmen olmaya nasıl karar verdiniz? Neden eğitmen olma isteği duydunuz?

Eğitmenlik uzun yıllardır kendimi geliştirdiğim bir alan olarak hobi şeklinde ilgilendiğim bir konuydu. n-telligent institute’ta, Netaş ArGe’sinde edindiğimiz tecrübeleri ve bilgi birikimini ve ZTE ile birlikte güncel teknolojilere odaklandığımız bugünlerde karşılaştığımız siber güvenlik olaylarını bir içerik haline getirip paylaşarak faydalı olmak istedim. Eğiticinin eğitimiyle başlayan eğitmenlik sürecim, farklı müşterilerimize uygulamalı olarak verdiğim eğitimlerle devam ediyor. Benim için hem soft skill hem de teknik eğitimler her zaman kendimi geliştirdiğim, kendimi kariyer olarak ileri götürdüğüm hedef taşları oldu. Bundan dolayı n-telligent institute’da eğitmen olmaya karar verdim.

Eğitmen olmak sizin için ne ifade ediyor? En çok sevdiğiniz yönleri nelerdir?

Başta bilgiyi paylaşmak ve birlikte yeni şeyler öğrenmek benim için başarıyı ifade ediyor. Bazen yanlış bildiğim bir noktayı eğitime katılan arkadaşlar düzeltebiliyor mesela ve bu durum beni çok mutlu ediyor. Eğitim konuları sürekli güncellendiği için siz de kendinizi sürekli yenilemeli ve bunu eğitim içeriklerine yansıtmalısınız. Bu aktif öğrenme durumu benim için iyi bir motivasyon kaynağı oluyor.

İleride vermeyi planladığınız yeni eğitim içerikleri var mı?

Doktora tezinde üzerinde çalıştığım uygulama güvenliği konusu, Blockchain teknolojileri ve alternatif kuantum cihazlarının anlatıldığı uçtan uça mesajlaşma ve video konferans çözümlerinin güvenliği konularında eğitimler vermeyi planlıyorum. Pandemi günlerinde sıkça kullandığımız bu uygulamaların arka planında neler oluyor sanırım çoğu kişi tarafından merak ediliyordur.

n-telligent institute hakkında görüşlerinizi paylaşır mısınız?

Bir eğitmen olarak ve dışarıdan baktığımda sadece teknik değil soft skill eğitimlerle de n-telligent institute’un katılımcıların kariyerlerine ve kişisel gelişimlerine doğru ve hızlı etki eden fırsatlar sunduğuna inanıyorum. Her ne kadar yeni yola çıkmış olsak da Netaş’ın o hep övündüğümüz iş birlikçi ve samimi kültürünün etkisiyle çok hızlı bir şekilde odaklanıp eğitim hizmeti almayı düşünen insanlara ihtiyacı olan içeriği hazırlayabiliyoruz. Gelecekte de Netaş’ın ArGe ve mühendislik alanındaki başarılarının yansımalarını eğitim şapkası altında da göreceğimizi ve n-telligent institute’un bir marka haline geleceğini düşünüyorum.

Geliştirilmesi gereken yönler var mı sizce?

Bunu toplantılarda da sık sık konuşuyoruz. Müşterilerin geri dönüşlerini biraz daha aktif toplamamız gerektiğini düşünüyorum. Projelerimizde bunu çok iyi yapıyoruz. Hatta bunun için farklı sistemlerimiz var. Ama eğitim tarafında da bunu yapabilirsek hem eğitim içeriklerimizi buna göre yönlendirebiliriz hem de sonrasında eğitim taleplerinin artmasını sağlayabiliriz.

Eğitmen olmak isteyenlere neler önerirsiniz?

Eğitmenlik öncelikle pozitif bir enerjiye sahip olmayı gerektiriyor. Siz eğer verdiğiniz eğitimden sıkılıyorsanız ve anlatırken yaşıyormuş gibi karşıdaki kişilere etkin hitap edemiyorsanız sadece zaman kaybına neden olursunuz. Eğitmen olacak kişiler, mutlaka katılımcılar ile etkileşim halinde olmayı öğrenmeli, sevdikleri konu başlıklarında eğitimler hazırlamalı ve eğitimdeki değerlendirmeleri ve geri dönüşleri sonraki eğitimlere yansıtmalı diye düşünüyorum.

Siz eğitiminizin sürekliliğini nasıl sağlıyorsunuz?

Üniversite kütüphanelerinden kopmamaya çalışıyorum. Sürekli bir yüksek lisans, doktora yapmaya devam ediyorum. Bilgisine güvendiği arkadaşlarım ile sürekli olarak yeni konularda konuşup ortak makale yazmaya veya bir konferansta sunum yapmaya çalışıyoruz. Bu, bizi dinç ve bilgilerimizi güncel tutuyor. Ayrıca alanımdaki gerekli eğitimlere katılıp, sertifikaları almaya çalışıyorum.

Hayat boyu öğrenmenin önemi ve gerekliliği konusunda sizin düşünceleriniz nelerdir?

Konfüçyüs, “Gerçek bilgi insanın ne kadar cahil olduğunu bilmesidir” der. Ben yıllardır üzerinde çalıştığım konularda bile araştırdıkça ne kadar derinlemesine bilgiler edinebildiğime şahit oluyorum ve her gün yeni bir bilgi öğrenmiyorsam kendimi zararda sayıyorum. Hayat boyu öğrenme sizin etrafınızdaki dünyayı nasıl algıladığınızdan yaşamdan zevk almanıza kadar birçok yeteneğinizi geliştirmenizi sağlıyor. Eğitim ile öğrendiğiniz bir bilgiye hiç beklemediğiniz bir anda ihtiyaç duyabiliyorsunuz. Doğduğumuz günden itibaren şekilleri farklı olsa da aslında sürekli bir eğitim halindeyiz. Bunu ne kadar etkin bir şekilde yönetebilirsek kendimizi o kadar geliştirebiliriz diye düşünüyorum.