Teknoloji, dijitalleşme, siber güvenlik kavramlarının öne çıktığı bir dönemde KPMG Türkiye, siber istihbarat alanında kendi ürün ve teknolojilerini geliştiren PRODAFT ile iş birliği yaptı. KPMG Türkiye ve PRODAFT bankacılık, havacılık, sigortacılık, e-ticaret gibi kritik sektörlerle birlikte güvenlik stratejisini yenileyen veya yeniden yapılandırmak isteyen kurumlara siber güvenlik hizmeti verecek. PRODAFT Kurucusu ve CEO’su Can Yıldızlı KPMG Gündem’in sorularını yanıtladı

PRODAFT ne zaman kuruldu, hangi hizmetleri veriyor?

PRODAFT, 2012 yılında kuruldu. Kurulduğu yıldan bu yana PRODAFT’ın odağı, siber güvenliğin niş alt başlıklarında özel hizmetler sunmak ve siber istihbarat alanında kendi ürün ve teknolojilerini geliştirmek oldu. Siber istihbarat alanında geliştirdiğimiz U.S.T.A. (Ulusal Siber Tehdit Ağı) platformu dünyada bu alandaki ilk ürünlerinden biri. Ayrıca bölge lideri olarak bankacılık, havacılık, e-ticaret, sigortacılık gibi kritik sektörler tarafından tercih ediliyor. Bunun yanında ileri düzey sızma testleri, siber güvenlik tatbikatları, kuruma-özel siber güvenlik eğitimleri gibi birçok farklı alanda kritik kurumlara hizmet sağlıyoruz.

Siber güvenliği biliyoruz. Siber istihbarat nedir, biraz anlatır mısınız?

Siber güvenlik dünyası 2010’ların başında güvenlik duvarı, antivirus, DLP ürünleri gibi konvansiyonel siber güvenlik çözümlerinin siber tehditler ile mücadelede yeterli olmadığını anladı. Zira bu çözümler yalnızca bir saldırı başlatıldığında görev alabilen ‘reaktif’ araçlardı. Bu yaklaşım yeterli olmuyordu ve saldırılar hakkında önceden bilgi verebilecek ‘proaktif’ önlem mekanizmalarına ihtiyaç vardı. Bu ihtiyaç siber istihbarat dediğimiz alanın doğmasına sebep oldu. Siber istihbaratı, bir kurum için risk haline gelebilecek siber tehdit faktörlerini önceden analiz eden, kuruma bu yönde uyarı ve önlem alma fırsatı sağlayan farklı çözüm ve araçlar olarak tanımlayabiliriz. Önceden verilen bu bilgiler sayesinde kurumlar; kendilerini hedef alabilecek tehditler, kullandıkları yöntemler ve kurumlarındaki riskli hedefler hakkında bilgi seviyelerini yükselterek daha hazırlıklı hale geliyorlar.

Ne gibi hizmetler verilecek, örneklendirebilir misiniz?

İlk aşamada hizmet verilecek faaliyet alanlarını siber istihbarat, ileri düzey güvenlik testleri, forensic analizleri, olay müdahale süreçleri, danışmanlık ve siber güvenlik eğitimleri olarak belirledik. Pazarda bu konuda standart süreçler yürüten firmalardan ciddi şekilde ayrışıyoruz. Bu sebeple bankacılık, savunma sanayi, telekomünikasyon, havacılık gibi kritik sektörlerde sağladığımız hizmetlerle farkımızı gösterdik.

Peki içinde bulunduğumuz dönemde şirketler nelere dikkat etmeli?

Dijitalleşme, şirketlere bambaşka pazar ve kitlelere erişim imkanı sunuyor, bu bir gerçek. Ancak genelde unutulan nokta şu; aynı adımlar bambaşka coğrafyalardaki birçok tehdit aktörü için aynı şirketleri birer hedef haline getiriyor. Verimlilik ya da erişim kolaylığı alanında atılan her adımın, şirketlerin uğrayabileceği siber saldırıların ihtimal ve şiddetini artırdığını unutmamak gerekiyor.

Dahası artık şirketler dijitalleşme yolunda birçok üçüncü parti teknolojiden faydalanıyor. Kullanılan her bir üçüncü parti teknoloji, şirketin kendi güvenlik kültürü ne kadar yüksek olursa olsun, birer ‘truva atı’ haline gelme riski içeriyor. Biz buna ‘tedarik zinciri saldırıları’ adını veriyoruz. Yüksek profilli hacker grupları, artık şirketleri hedef alırken şirketlerin kendi geliştirdikleri sistemlerin yanı sıra, hizmet aldıkları üçüncü parti firmaları da birer araç olarak kullanabiliyor. Saldırılar bir anlamda içeriden geliyor. Bundan kaçınmak için firmaların kullandıkları her bir teknolojiyi ve bu teknolojinin doğru implementasyonunu, ayrıntılı biçimde test ettirmesi gerekiyor.

Bir başka önemli nokta; kurum personellerinin artık şahsi dijital kimlikleri ile profesyonel kimliklerini pek ayıramadığını görüyoruz. Bu çerçevede şirket personelini hedef alarak yürütülen siber saldırılar her personeli, şirket ağına açılan birer kapı haline getirebiliyor. Bu sebeple şirketlerin kendi adlarına, personel ihmali sebebi ile sızmış olan verilerini devamlı kontrol ederek önlem alması zorunlu hale geliyor.

Siz kendi güvenliğinizi nasıl sağlıyorsunuz?

Biz öngörüye inanıyoruz. Gelecekte güvenlik dünyasında yaşanacak olanı öngörmenin tek yolu ise ekibimizdeki görev alan her bir mühendisin asıl rolünün ‘araştırma’ üzerine kurgulanması olduğuna inanıyoruz. İşimiz tehditler konusunda ‘istihbarat’ yani haberalma olduğundan, biz güncel kaldığımız an, kaybederiz. Asıl odak noktamız geleceği öngörmek. Hizmet ettiğimiz kurumların gözünde bu sebeple ayrışıyoruz. PRODAFT’taki her ekip henüz yaşanmamış farklı trend değişimleri üzerine kafa yoruyor, riskleri değerlendiriyor, senaryolar kurguluyor. Çoğu zaman bu kurgular, bir veya iki sene içinde gerçeğe dönüşüyor. 2014’ten bu yana yayınladığımız faaliyet raporlarımız nasıl düşündüğümüzü anlatıyor. Bu raporlarda her yıl yayınladığımız öngörülerimizin birebir gerçekleştiğini görürsünüz. 

KPMG Türkiye ile iş birliğiniz hakkında neler söylersiniz?

KPMG Türkiye ve PRODAFT iş birliğini dijitalleşme, teknoloji, siber güvenlik gibi kavramların iyice öne çıktığı çok doğru bir zamanda, siber güvenlik gibi çok doğru bir yere odaklanan, farklı alanlarda çok kuvvetli yönlere sahip iki şirketin doğru zamanda doğru yerde buluşması olarak görüyoruz. KPMG’nin iş dünyasındaki imajı ve tecrübesi ile PRODAFT’ın siber güvenlik alanındaki teknik kapasitesinin birleşmesinden çok ciddi bir katma değer ortaya çıkacağına inanıyoruz. 

Bu iş birliği iş dünyası için nasıl bir değer üretecek?

Öncelikle bu alanda şimdiye dek benzeri görülmemiş, önemli bir sinerji yakalayacağımızı düşünüyoruz. PRODAFT’ın teknik bakış açısı ile sunduğu ileri-düzey birçok çözümün, KPMG Türkiye’nin profesyonel iş perspektifi ile harmanlanarak ihtiyaç duyan kurumlara sunulması çok sayıda başarı hikayesi yazacaktır. 

Bu ortaklık KPMG Türkiye ve PRODAFT’ı; özellikle henüz siber güvenlik alanında stratejisini önceliklendiremeyen, nereden başlaması veya neye, nasıl müdahale etmesi gerektiğini tam olarak değerlendiremeyen büyük kurumlar için tüm süreci devralıp çözüm üretebilecek yeni bir güvenilir çözüm ortağı haline getirecek