TRtest Test ve Değerlendirme AŞ Direktörü Mustafa Yılmaz, Defensehere.com'a verdiği röportajda, TRtest'in siber güvenlik alanındaki çalışmalarını anlattı.
TRtest'in hizmet verdiği diğer alanlarda da değinen Yılmaz, şunları söyledi:
"Ürün belgelendirmesinde bir ürünün sahip olması gereken standartları, kriterleri bahsettik ama olaya sadece ürün perspektifi ile bakmamak lazım. Bu ürünü üreten işletmenin de belirli standartları, belirli yapıyı sağlaması lazım ve bu pandemi döneminde özellikle hijyen konusu çok önemli hale geldi.
Dolayısıyla nasıl ki kişisel hijyenimize dikkat ettiğimizde, temel anlamda mikroplardan bertaraf oluyorsa, bunları uzak tutabiliyorsak bir işletmede temel siber güvenlik risklerine karşı önlemlerini aldığında, temel anlamda kendini bir koruma altına almış oluyor. İşte buna siber hijyen deniliyor. Bu yeni üretilmiş bir şey değil. Bu ENISA’nın raporlarına baktığımızda, 2016 yılındaki raporunda da bunları rahatlıkla görebiliyoruz.
Orada siber hijyen ile alakalı kavramlar var. Mesela Belçika, Fransa ve İngiltere’de ki yapılardan bahsediliyor. Biz de bu anlamda ülkemizde bu siber hijyene yönelik neler yapabiliriz diye, TRtest olarak çalışmaları başlattık. Savunma Sanayii Başkanlığı öncülüğünde devam ediyoruz. Yedek bir çalışma grubu kurduk. Bu grupta ulusal ve uluslararası uygulamaları baz aldık.
Bu ENISA’nın Belçika, Fransa, ABD, İngiltere’de ki yapılarını inceledik. Bunları uluslararası standartlar 27001, Dijital Dönüşüm Ofisi’nin yayınladığı rehberler gibi birçok rehberi aldık ve bir acil önlemler kriter seti çıkardık.
Acil önlemler kriter setindeki kastımız şuydu: Yani birçok standart var geniş kapsamlı ama bir nevi yangın söndürmek adına bir sürü siber saldırı geliyor. Önlemini alabilmek adına hızlı olarak neler yapılabilir, bu kriter setini çıkarttık ve bu anlamda da belgelendirmeleri yapıyor olacağız.
Biz açıkçası bu tarihe kadar 11 ürün grubunda çalışmalarımızı tamamladık. Firewall, SIEM, DLP, Zafiyet Yönetimi, Video Konferans ürünleri, Güvenli Mesajlaşma ürünleri, Yönetişim Risk Uyumluluk ürünleri gibi birçok ürün grubunda ilgili üreticilerle beraber kriterleri tamamladık.
Şimdi bir taraftan da bu çalışmalara devam ediyoruz. SD-WAN, Adli Bilişim, Data Diyot, Veri Diyotu, WAF, Web Application Firewall, NAK gibi kriterlerde de kriterleri ilgili üreticiler, laboratuvarlar ve akademisyenlerle birlikte oluşturmaya devam ediyoruz.
Donanım grubumuzu da başlattık. İhtiyaç çerçevesinde üreticilerin odaklandığı gruplarla birlikte bu çalışmalara devam ediyor olacağız.
Bu uygunluk değerlendirme aktivitesi gerçekten kıymetli bir aktivite. Buna iki perspektiften bakmak lazım; Hizmetten faydalanıcı olan kamu, kurum ve kuruluşları veya özel sektör tarafından bu tarz sertifikalara uygunluk değerlendirme aktiviteleri ilgili mevzuatlarda aranması gerekir. Bir taraftan da üretici gücüyle baktığımızda, kalitenizi göstermek istiyorsanız bunu bir sertifikayla taçlandırmanız gerekir. Bu yüzden bu tarz aktivitelere muhakkak kıymet verin, bütçe ayırın, emek verin karşılığını mutlaka göreceksinizdir.
Bu ürün ve hizmetler ülkemizde çok fazla sayıda ve her geçen gün de sayısı gittikçe artıyor. Ancak şöyle bir problemle zaman zaman bu üreticilerimiz karşılaşabiliyorlar. Kamu, kurum ve kuruluşlarına veya özel sektöre gittikleri zaman, bazen kaygılar olabiliyor. Ürünümüz var ama bu ürün belirli bir kaliteyi, olgunluğu sağlıyor mu? Bu tarz kaygıların aslında bertaraf edilmesi lazım. Bu tarz kaygıları bertaraf etmenin en önemli yolu da; uygunluk değerlendirme aktiviteleridir. Yani yurt dışında Certificate of Conformity olarak adlandırılan, ülkemizde de uygunluk değerlendirme aktiviteleri olarak çevrilen aktivitelerin yapılmasıdır.
Uygunluk değerlendirme de aslında tanım itibariyle baktığınızda, bir ürünün, sistemin, sürecin uluslararası veya ulusal standartlara karşılığının ispatıdır.
Dolayısıyla bu tarz faaliyetler, çok kıymetli. Bu sadece Türkiye üzerine olan bir şey değil, uluslararası alanda da uluslararası ticaretin dili, bu tarz uygunluk değerlendirme aktivitelerinin yapılmasıdır. Bizde TRtest olarak bu anlamda, 2019 yılından beri ciddi bir çalışma içerisindeyiz. Türkiye’de Türkiye Siber Güvenlik Kümelenmesi ’ne kayıtlı olan firmaları bir araya getiriyoruz. İlgili ürün grubu bazında sınıflandırıyoruz ve bu ilgili ürün grubu üreticileri, akademisyen ve laboratuvarlar ile birlikte, bu ürünlerin, ürün ailesinin ne gibi bir kritere sahip olması gerektiğini ortaya çıkartıyoruz.
Kriterleri oluşturduktan sonra bu kriterler çerçevesinde ülkedeki mevcut altyapıları kullanarak testleri yapıyoruz ve testlerden başarılı olarak geçenlere de sertifika veriyoruz. Bu sonuç itibariyle üçüncü tarafa bir güven veriyor. Sertifikayı alan bir kişi evet bu ürün, bu kriteri sağlıyor, bu kritere göre test edilmiş, bu kriterlerden geçmiş algısını rahatlıkla görebiliyor, diyebiliriz.
TRtest Test ve Değerlendirme A.Ş.’de; Savunma Sanayii Başkanlığı, Türk Standartları Enstitüsü, TÜBİTAK, Türk Silahlı Kuvvetleri Güçlendirme Vakfı ve STM işbirliğinde oluşturulmuş bir şirket. Ülkemizdeki test altyapılarını etkin ve koordineli bir şekilde, kullanmak için aktif görev yapan bir şirket.
2018 yılından beri aktif olarak faaliyetlerini yürütüyor. Şuanda yaklaşık 25 civarı bir çalışanı var ama bizim en önemli gücümüzde ülkedeki mevcut test ve altyapılarını etkin kullanmak, onlarla iş birliği protokolleri yaparak bu çalışmaları birlikte yürütüyoruz."