Tarih : 6 Şubat 2009
Önceki hafta "Bilgi Güvenliği" posta listesine attığım bir e-posta ve sonrasında gelişen yazışmalar sonucu Tübitak konusunda birçok tartışma oldu. Tübitak konusunda ve TR/Cert'ün yerleşimi konusunda duyduğum çok sayıda rahatsızlığı ilgili e-postada belirtmiştim. Bu rahatsızlıkları paylaşmak ve Tübitak'ın davranışları hakkındaki endişelerimin neler olduğunu net olarak ifade etmek istedim. Daha sonra bir başka yazı da TR/Cert ile ilgili düşünce, öneri ve endişelerim için yazacağım.
Tübitak'ın Bilgi Güvenliği alanındaki çalışmaları konusunda birçok rahatsız olduğum nokta var; ancak bu durum Tübitak'ın yaptığı diğer olumlu işleri (Geliştirilen ulusal kriptolama altyapısı, araştırma/geliştirme çalışmaları, kamusal bilgi güvenliği çalışmaları, diğer projeler {pardus vb.}) beğenmediğim anlamına gelmiyor. Şu unutulmamalı; bir kurumu/davranışı eleştirirken tarafın güzel/beğenilen hareketlerini de listelemek gereksiz ve yersizdir. Evet güzel çalışmalar yapmış olabilir, bir kısmını takdir de etmekteyim; ama bu durum benim rahatsız olduğum noktalar ile ilintili değildir.
Gerçekler ;
- Tübitak, özel şirketlere bilgi güvenliği alanında denetim ve danışmanlık hizmetleri satmaktadır; yani bilgi güvenliği hizmet pazarının "REKABET EDEN BİR OYUNCUSUDUR".
- Tübitak bir kamu kuruluşudur, kamusal görevleri ve sorumlulukları bulunmaktadır.
- TR/Cert, Türkiye'nin ihtiyaç duyduğu ve bilgi güvenliği konusunda yaşadığımız birçok eksikliği giderebilecek organizasyondur.
- TR/Cert bir kamusal görev olarak değerlendirilmiş ve Tübitak bu doğrultuda yetkilendirilmiştir.
- Tübitak,
Türkiye'nin tüm bilgi güvenliği uzmanlarını bünyesinde toplamamıştır;
Türkiye'de özel şirketler için çalışan ve Tübitak'ın sahip olduğundan
çok daha fazla bilgi güvenliği uzmanı bulunmaktadır.
Kamusal görev olan TR/Cert, bir rekabet unsuru olarak kullanılmasa dahi haksız rekabeti doğuracak bir olgudur. TR/Cert görevleri doğrultusunda kuruluşlara "güvenlik ihlali müdahale", "güvenlik bilinci arttırılması" ve "güvenlik organizasyonu yapılandırılması" konularında bedelsiz/kamusal hizmetler sunacaktır. Söz konusu hizmeti alan kuruluş çalışmalarını devam ettirmek, teknoloji ve hizmet yatırımı yapmak istediğinde ise izleyeceği bir yol olacaktır. Pazar oyuncularını (hizmet sağlayıcıları) davet edecek ve çözüm önerilerini, fiyatı içeren bir teklif dahilinde isteyecektir. TR/Cert'ün de içinde bir bölüm olduğu Tübitak'ın bir başka bölümü ise çalışmalarını ve fiyat teklifini bu kapsamda iletecektir. Bu durum dünyanın neresinde olursa olsun "HAKSIZ REBAKET" olarak değerlendirilir ve cezalandırılır.
Bu durum sadece rekabet rahatsızlığı yaratmayacaktır; TR/Cert'e destek vermek isteyen ve çalışma hayatını belirtilen "RAKİP" kurumlarda çalışan insanların geri adım atmasına neden olacaktır. Pazar rekabeti içinde bulunulan bir kuruma çalışmalarında "ÜCRETSİZ" yardım edilmesini beklemek ve böyle önemli organizasyonların desteklenmesini istemek ise en iyimser ifade ile "SAFLIK" olacaktır. TR/Cert'e belirtilen sebeple yardımcı olamayan/olmayan kişilerin, kar amacı gütmeyen bağımsız dernek ve kuruluşlarda yaptığı çalışmalar ise TR/Cert'e aktarılamayacaktır.
Yukarıda ki tanıma uyan, kamusal görev ve ticari rekabeti beraber devam ettiren çok sayıda kamu kuruluşu bulunmaktadır. Geçtiğimiz yıllarda belirtilen şartlardaki kamu kuruluşlarından bazıları özel şartlarla satılmıştır. Türk Telekom örneği düşündürücü ve çarpıcı örneklerden sadece biridir. Kamu görevleri icra eden, gelir elde eden ve alanında tekel olan Türk Telekom özelleştirildi. Özelleştirme süreci öncesinde PTT ve Türksat şirketlerine belirtilen kurumun görevlerinden bazıları aktarıldı; özelleştirmeye konu olan Internet altyapısı ve İletişim altyapısı halen ilgili kurumun hizmet verdiği alanda tekel olmasını sağlamaktadır. Kamusal görevler arasında yer alan "iletişim güvenliği" konusunda ise Askeri önlemler (özel bir iletişim altyapısı) ve kamusal önlemler geliştirildi.
Anlatılan koşullar çerçevesinde;
- TR/Cert'e sadece Tübitak (yeni/eski)çalışanlarının veya hizmet alan kurum bünyesindeki kişiler destek verecek; önemli bir danışman/denetmen/eğitmen kitlesi icraat esnasında (sözde olmasa bile) dışlanacaktır.
- TR/Cert ile Tübitak kendisine "Bilgi Güvenliği" çalışma alanı için "REKABET BOZAN" bir özellik kazandırmıştır.
- Tübitak'ın tamamen veya kısmen özelleştirilmesi söz konusu olduğunda (böyle birşey hayalidir, hatta kabusidir) ise zaten bozulmuş olan "REKABET", "ULUSAL BİLGİ GÜVENLİĞİ POLİTİKASI", "HİZMETTE ELDE EDİLEN BİLGİLERİN GİZLİLİĞİ" ve birçok prensip rahatsızlık uyandıracaktır.
Özel şirketlerin hizmet aldıkları Tübitak; hizmet zararını göze alabilmekte, çalışanlarını farklı bütçeler altında eğitebilmekte ve çok sayıda çalışanı bünyesinde barındırabilmektedir. Bu durum maliyetlerin azalması, hizmet bedellerinin ve kalitenin zamanla düşmesi sonucuna da gidecektir. Belirtilen düşük maliyet ve zarar ise sadece sermayesi güçlü olan kurumlar tarafından kaldırılır; belirtilen örnekteki "BİLGİ GÜVENLİĞİ HİZMET/ÜRÜN PİYASASI" için sermaye rahatlığı içindeki tek kurum TUBITAK'tır. Zaman içinde küçük hizmet şirketleri, özel bir alanda hizmet sunmak için kurulan şirketler veya büyük oyuncular piyasadan silinecektir. Bu durumu görmek için pazar analizi yapılmasına gerek yoktur; oluşan Türkiye Internet altyapısı ve hizmet sunan kurumların durumu da incelenebilir. Müşteriler için başlangıçta "UCUZ" olan hizmet bir süre sonra kalitesiz, otomatize ve yetersiz olacak; zamanla oyuncular silindikçe ve tekel oluştukça "PAHALI" olacaktır. Pazardaki hizmet sunan küçük kurumların yok edilmesi ve hizmet kalitesinin yetersizliği sonrasında ise YABANCI kurumların Türkiye temsilciliklerinden hizmet alınacak; hatta "BU KONUDA ÇALIŞAN BİR TÜRK FİRMASI DAHİ YOK, HEPSİNİN KALİTESİ YERLERDE" denilebilecektir.
Özetle; TR/Cert kanaatimce sorunlu doğmuştur. TR/Cert gibi yıllarca kurulması için çaba gösterdiğimiz kurum, içeriğine sağlanacak katkılara engeller ile oluşturulmuştur. TR/Cert'ün Tübitak tarafından kullanılış tarzına bağlı olarak "REKABET BOZAN" yapısı ileride çok ciddi tehlikeler oluşturacaktır. TR/Cert'ün bünyesinden ayrılması durumunda dahi Tübitak'ın "REKABET İHLALİ" yaptığı noktalar bulunmakta ve kamusal fayda ile uyuşmamaktadır. Türkiye'nin bilgi güvenliği çalışma alanındaki "Araştırma/Geliştirme" yapan özel şirketlerin sayısının azlığı, hizmete (yabancı kökenli ürünlere değil) yatırım yapan hizmet/ürün sunan şirketlerin azlığı ve piyasada bulunan hizmet bedelleri incelendiğinde, gelecekteki tehlike daha net görülebilir. Halen birçok kurum bilgi güvenliği hizmetlerini -daha iyi oldukları gerekçesi ile- çok yüksek meblağlar ile yurtdışı kökenli -bünyesinde türk mühendislerini kullanan- firmalardan almaktadır.
Fatih Özavcı
Bilgi Güvenliği Danışmanı
