En sansasyonel örneği Wikileaks olsa da veri sızıntısı aslında içinde bulunduğumuz dönemin gündelik sorunlarından biri. Bilgi çağında en önemli gücün bilginin kendisi olduğunu düşününce kurumların ellerinde bulundurdukları bilgileri korumak istemesi son derece doğal. Burada en büyük sorun ise bunu sağlamanın kolay olmaması. İşlerin yürümesi için kurum bünyesindeki çalışanların kuruma ait bilgilere erişim imkanına sahip olması gerekiyor ama diğer yandan bu bilgilerin dışarı sızmasını engellemek şart.
Medra adlı bir Türk girişimi, bilgi güvenliği ve verilerin dışarı sızdırılması önlemek ile ilgili çalışmalar sonucunda geliştirdiği MyDLP adlı açık kaynak kodlu yazılımı ile şu anda bu alandaki önemli alternatiflerden biri. Bu yıl Etohum 15'te de yer alan MyDLP'yi daha yakından tanımak için kuruculardan Hüseyin Kerem Cevahir ile keyfli bir sohbet gerçekleştirdik.
Ümit Öncel: Biraz kendinizden bahseder misiniz? Ekipte kimler var, daha önce yaptığınız benzer işler var mı?
H. Kerem Cevahir: Sonradan biraz daha kalabalıklaştık ancak kurucu ekibimiz üç kişi; ben Hüseyin Kerem Cevahir, Hüseyin Özgür Batur ve Burak Oğuz. Hepimiz uzun yıllardır Bilgi Güvenliği alanında çalışıyoruz. Ürün geliştirmeden, destek - iş geliştirmeye kadar çeşitli görevlerde bulunduk. Bazı open source projelerde de öncesinde beraber çalıştık. Şimdi de Medra Teknoloji bünyesinde bir araya geldik ve hep birlikte MyDLP projesini geliştiriyoruz, büyütüyoruz.
ÜÖ: MyDLP projesine ne zaman başladınız?
HKC: MyDLP projesinde kullandığımız teknolojiler üzerinde yaklaşık 3 - 4 senedir çalışıyoruz, ancak işi gücü bırakıp tamamen MyDLP ile uğraşmaya başlamamız 2009 Kasım'dan sonra Medra Teknoloji'yi kurmamız ile mümkün oldu. O zamandan beri hem geliştiriyor, hem müşterilerimizin kullanımına sunuyoruz.
ÜÖ: Peki MyDLP nedir? Mydlp'yi tanıtır mısınız?
HKC: MyDLP (My Data Leakage Prevention), adından da anlaşılabileceği gibi bir bilgi sızıntısı engelleme çözümü. Kısaca MyDLP; kişisel ve kurumsal özel belgelerin üçüncü kişilerin eline geçmesini engelliyor. Yani başka bir deyişle, kurumlarda çalışan kişilerin kazara ya da kötü niyetle bilgileri sızdırmasının önüne geçiyor. Bu konuda belki en bilindik en anlaşılır örnek, Wikileaks. Bir kuruma ait birçok hassas veri, ciddi teknik bilgi gerektirmeyen yöntemler kullanılarak kurum dışına çıkarılıyor ve bu durum kurumda geri dönülemez hasarlara sebep oluyor. Bu tip olaylar sadece yurtdışında gerçekleşmiyor, Türkiye'de de hali hazırda birçok örnek mevcut. Kazara yayınlanan, kurum/firma dışına sızdırılan her türlü özel bilgiyi, örneğin banka hesap numaraları ya da vatandaşlık numaraları, bu kapsamda değerlendirebiliriz.
ÜÖ: Bilgi güvenliği nedir? Tam ve kesin bir bilgi güvenliği mümkün mü?
HKC: Bilgi güvenliği, kurumların sahip olduğu bilgilere ve bilgi sistemlerine yetkisiz yapılan erişimlerin engellenmesi anlamına gelmektedir. Dolayısıyla oldukça kapsamlı bir başlıktır. Ancak bizim özelimize inecek olursak; örneğin bir e-ticaret firmasında hukuki yükümlülüklere uymak için alınan bir kararlara rağmen bir çalışan, müşterilere ait özel bilgileri veya finansal verileri, e-posta ile ya da USB diske kopyalayarak firma dışına taşıyabiliyor ise burada bir bilgi güvenliği ihlali vardır.
Tam bir bilgi güvenliği pratikte mümkün değildir. Ancak, bir güven hiyerarşisi içinde araçların ve idari süreçlerin doğru kurgulanması ile riskler büyük ölçüde bertaraf edilebilir. Örneğin bu e-ticaret firmasında, MyDLP kullanılsa ve tespit edilen bilgi sızıntısı potansiyeli yaratacak olaylar tespit edildikten sonra bunların idari süreçler dahilinde takibi gerçekleşse, e-posta yolu ile, herhangi bir web uygulaması yolu ile ya da bir harici depolama aygıtı ile, hatta yazıcıdan çıktı dahil alınarak bu bilgiler firma dışına taşınamazdı.
ÜÖ: Wikileaks'le beraber bilgi güvenliği büyük dikkat çekmişti. Hatta mydlp de o dönem ulusal basının gündemine gelmişti sanırım?
HKC: Evet, oldukça :). Birçok gazeteye, dergiye çıktık. Yine birçok gazetenin internet sitesinde ana sayfadaki 10 manşet haberden biri olduk. Hatta ana haber bültenlerine, canlı yayınlara konuk olduk.
ÜÖ: Bilgi güvenliği konusunda açık kaynak kod oldukça önemli. Sanırım MyDLP'de de açık kaynak kod tercih ettiniz?
HKC: Kesinlikle katılıyorum. Söz konusu bilgi güvenliği çözümleri olduğunda, kurumların en değerli bilgileri ile çalışmaya, onları korumaya talip oluyoruz. Haliyle burada güvenden öte, kullanıcıların en değerli bilgileri ile ne yaptığımızı tam olarak bilmeye hakkı var. İşte açık kaynak kod bunu sağlıyor. Kurumlar, bilgilerini emanet ettikleri yazılımların nasıl çalıştıklarını ne yaptıklarını, tam olarak öğrenebiliyorlar. MyDLP'nin açık kaynak kodlu olmasını hem community kullanıcılarımız, hem kurumsal müşterilerimiz, hem de bizler çok önemsiyoruz.
ÜÖ: MyDLP'yi geliştirirken veya hayata geçtikten sonra karşılaştığınız en büyük sorunlar nelerdi?
HKC: Türkiye'deki her girişim gibi, en büyük zorluk tüm zamanımızı MyDLP'ye ayırabilmek için kaynak yaratmak oldu. Buna şirketleşme, çalışanların maaşları, ofis de dahil. Ancak bu maddi boşluğu devlet destekleri ile kapattık.Sonrasında, Medra Teknoloji bünyesinde MyDLP'yi geliştirmeye başladık.
ÜÖ: Bilgi sızıntısı engelleme konusunda MyDLP'nin benzerlerinden farklılıkları nedir?
HKC: "Tam merkezi yönetim", "Entegre olay takip sistemi", "Entegre trafik arşivleme" gibi birçok teknik farklılıktan öte, daha önemli olduğunu düşündüğüm birkaç noktadan söz etmek istiyorum.
Öncelikle MyDLP açık kaynak kodlu. Şimdiden sırf bu sebepten ötürü bizi tercih eden üç ayrı kurum var. Bu hem güvenilirlik açısından bizim için önemli, hem de ürünün geliştirilmesi açısında. Her açık kaynak kodlu projede olduğu gibi, MyDLP'yi sürekli kullanan test eden, MyDLP'ye yeni özellikler eklemek isteyen birçok kullandı var. Bunlar bizim üzerimizden oldukça büyük bir yükü alıyor ve çok büyük maliyetler ile dahi oluşturamayacağımız bir geliştirme ortamı sağlıyor.
Ayrıca, DLP (bilgi sızıntısı engelleme) pazarında lider rakiplerin tümü bilgi güvenliği sektöründe önceden beri bulunup, ürün yelpazesini bu alana da kaydıran firmalar. Başka bir deyişle direkt olarak işi DLP olan yok, ya antivirus ya da içerik filtreleme yazılımı üreticisi firmalar. Biz MyDLP'yi DLP olması için tasarladığımız için onlardan bu konuda bir adım öndeyiz. Bu sayede, bu alana dair her türlü özelliği kolayca MyDLP'ye ekleyebiliyoruz. Bu da bize oldukça iyi bir hareket kabiliyeti sağlıyor.
ÜÖ: Projenin gelir modeli nedir? Gelir anlamında beklentilerinize göre nasıl gidiyor? Hedeflere ulaşmak anlamında proje nasıl gidiyor?
HKC: MyDLP'nin gelir modeli öncelikle MyDLP Kurumsal Sürüm'e erişim, sonrasında ise MyDLP Kurumsal Sürüm için destek, danışmanlık, eğitim ve özel geliştirme faaliyetleri karşılığında talep edilen ücretler olarak özetlenebilir.
ÜÖ: Şu anda MyDLP'nin kurumsal kullanıcıları var mı?
HKC: Tabii ki var. Türkiye'de kamu kurumu, askeri kurum ve özel şirket kapsamında birçok organizasyon MyDLP'yi kurumsal olarak kullanıyor. Ayrıca, yurtdışından, Amerika'dan dahi kurumsal kullanan müşterilerimiz mevcut.
Bunların dışında kurumsal olarak bizden destek almayarak kullanan çok sayıda kişi var. Bu durum bizi gerçekten heyecanlandırıyor.
ÜÖ: MyDLP için yatırım aldınız mı? Ya da arıyor musunuz?
HKC: Henüz sonuçlanmış bir yatırım süreci yok. Ancak, görüşmelerimiz devam ediyor.
ÜÖ: Son olarak girişimcilere söylemek istedikleriniz, tavsiyeleriniz var mı?
HKC: Biz çok gecikmedik ama yine de biraz geç öğrendik; bir girişim için işin kendisinden daha önemli herhangi bir şey yok. Herhangi bir sebepten ötürü (idari, mali) başka şeylere zaman harcayıp odağı kaybetmemek gerekiyor. Bunu hiç unutmamak lazım…
ÜÖ: Çok teşekkürler ve başarılar…
HKC: Biz teşekkür ederiz.
Fotoğraf: Yalvaç Akgün