Fintech Dünyası – ÖZEL RÖPORTAJ
Günümüzde siber güvenlikte çok ciddi bir iş gücü açığı var. Hem şirketler hem de çözüm sağlayıcı firmalar bu alanda yetkin iş gücünü bulmakta ve ekibine çekmekte zorlanıyor. Ayrıca mevcut siber güvenlik uzmanları da başka şirketlere veya ülkelere yönelebiliyor. BugBounter da siber güvenlik alanında bu kadar önemli bir açığı yenilikçi bir yaklaşımla gideriyor.
Siber güvenlik dünyasına yeni bir soluk getirmeyi hedefleyen BugBounter Kurucu Ortağı ve CEO’su Arif Gürdenli ile Fintech Dünyası olarak keyifli bir söyleşi yaptık.
Şirketler ile beyaz şapkalı hackerlar arasında köprü görevi görüyor
Keşfettiği güvenlik açıklarını yasadışı yollardan kişisel çıkarı için kullanmak yerine ilgili şirkete bildirerek sistemlerini güçlendirmelerine yardımcı olmayı tercih eden bir kitle var. Beyaz şapkalı veya etik hacker adı verilen ve hackerlarla benzer becerilere sahip olan ancak iyi niyetiyle temelden ayrılan insanlardan oluşan bu topluluk, herhangi bir güvenlik açığını bulduğunda bunu o şirkete göndermeye istiyor ama kime göndereceğini bilemiyor. Şirketlerin gizli kalmasını istediği bir bilgi, beyaz şapkalı hacker doğru kişiyi bulamadığı için alakasız kişilere gidebiliyor ya da bu açık asla açıklanmıyor. BugBounter da bu noktada şirketlerle beyaz şapkalı hackerlar arasında köprü haline geliyor ve beyaz şapkalı hackerların bulduğu güvenlik açıklarını bildirebileceği etkileşim merkezi görevi görüyor.
Küçük ölçekli kurumlar, sistemlerindeki güvenlik açıklarını bulup gidermek isteseler de karşılarına çıkan yüksek ücretli faturalar ile bütçeyi denk getirmekte de zorlanabiliyor. BugBounter kitle kaynağı yoluyla platformundaki binden fazla beyaz şapkalı hacker sayesinde denetleme maliyetini en yönetilebilir seviyelere indiriyor. Herhangi bir inceleme sonunda bir açık bulunduğuna dair rapor gelmezse ya da araştırmacılar tarafından iddia edilen açıkların doğruluğu onaylanmazsa şirketler herhangi bir ücret ödemiyor ve güvenliğini ücretsiz bir şekilde kontrol ettirmiş olabiliyor. Öte yandan bir açık bulunması durumunda da bu açığı siber saldırganlardan önce şirket öğrendiği için bir siber saldırının yaratacağı maddi veya manevi yıkıcı etkiye kıyasla daha uygun bir şekilde kendi belirlediği ödülle bu açık giderilebiliyor.
Birçok şirket para ödülleriyle daha fazla araştırmacının, dolayısıyla da daha yetenekli araştırmacıların dikkatini çekmek istiyor. Ödüllerin en baştan belirlenmesi ise ödül avcılığı (bug bounty) programlarının maliyet açısından şirketlerin yardımına koşan en önemli özelliklerden birisi. Bu programlarda güvenlik açıkları düşük, orta, yüksek ve kritik olmak üzere 4 farklı derecede belirleniyor. Bulunan açık kritiğe ne kadar yakınsa verilen ödül de şirketin belirlediği ölçüde o kadar artıyor.
BugBounter bir güvenlik açığı bulunduğunda şirketlere bunu bütün yol haritası ile raporluyor. Yani sadece açığın olabileceği alanı söyleyip açığı bulma işini şirkete bırakmak yerine siteye girildi, kod yazıldı, gelen cevapla bilgilere erişildi, kopyalama imkanı vardı gibi açığın adım adım nasıl gerçekleştiği video ile görselleştirilerek ve ispatlarıyla birlikte raporlanıyor. BugBounter bünyesinde raporları doğrulayan bir ekip bulunuyor. Bu ekip, gönderilen raporun kalitesine ve derecesine bakıyor ve aynı adımları takip ederek açığı bulursa ilgili şirket ile paylaşıyor. Şirketler de açığı teyit ediyor veya gerek görürse itiraz edebiliyor. Bu da BugBounter’ın demokratik ve merkeziyetsiz yapısını benzer tüm şirketlerden ayırıyor.
Emin adımlarla ilerleyen gelişme süreci
BugBounter ekibi, birinci faz adını verdikleri ilk aşamada ürünün (MVP) ortaya çıkması için çalıştı. Ağustos 2020’de ilk fazın bitişiyle birlikte çözümü müşteriyle buluşturmaya başladı ve sundukları ürünü daha da geliştirdi ve ileriye taşıdı. BugBounter’ın bugün aralarında yurtdışında da faaliyet gösteren şirketlerin bulunduğu 20’den fazla kurumsal müşterisi bulunuyor. Bunun siber güvenlik ihtiyaçlarını iyi bilmeleri ve müşterilere kolay uyum sağlayabilmeleri sayesinde mümkün olduğunu söylüyor. Girişimin hedefleri arasında müşteri portföyüne Avrupa, Orta Doğu ve Asya’dan müşterileri katarak büyümek yer alıyor.
BugBounter ekibi ekim ayını yurtdışına açılma ve hızlı büyümeye adım atma zamanı olarak tanımlıyor. Ekip, kurulduğu günden bugüne elde ettiği bütün deneyimle ilave bir seed yatırım turuna daha çıktı ve bununla büyüme evresini hızlandıracak.
Sistemlerini kimin denetleyeceğini müşteri seçebiliyor
Platformuna kayıtlı araştırmacı sayısı 1000’i aşan BugBounter, araştırmacı sayısını her ay ortalama yüzde 8 oranında artırıyor. Bu araştırmacılar arasında profesyonellerin yanı sıra öğrenciler de yer alıyor. Platforma katılmak için başvuru yapan araştırmacılar sisteme kabul edilirken birtakım yeterlilik aşamalarından geçiyor. Hangi araştırmacıların sistemini denetleyebileceğine firmalar karar veriyor. Bazı firmalar tüm araştırmacıları kabul ederken özellikle finans gibi regüle edilen sektörlerde şirketler inceleme süreçlerinden geçirilmiş araştırmacılar ile çalışma seçeneğini tercih edebiliyor.
Hedef: Bölge liderliği
BugBounter, başarıyı Avrupa, Orta Doğu ve Asya pazarlarında liderliği ele geçirmek olarak tanımlıyor. BugBounter ekibi, bu sektörde birçok müşterinin birinci tercihi olmak ve çok sayıda müşteri ile çalışıp siber güvenlik sorununa çözüm üretmek için çalışıyor ve ekosistemin başarılı bir merkez üssü olmak istiyor. İlerleyen aşamalarda ekosistemin birçok oyuncusunu da sunduğu hizmetlere dahil ederek çözüm alanını büyütmeyi ve BugBounter markasını çok daha ileriye taşımayı hedefliyor.
Kuralları yeniden yazan yeni yaklaşımları destekliyor
Dünya merkeziyetsizliğe doğru yol alıyor ancak önünde bazı dirençler var. Teknolojiler de bir yerde buluşacak ve birbirleriyle konuşmaya başlayacak. Bu yüzden BugBounter da uygulamalarını blok zincir tabanlı akıllı kontratlar ile geliştiriyor ve bütün mekanizma insana veya bir inisiyatife bağlı kalmadan işliyor. Fintechler de pazardaki kuralları yeniden belirleyen inovasyona dayalı çözümler sunuyorlar. Fintechler sayesinde finans sektöründeki önemli oyuncular arasında yer alan büyük bankalar da buna uyum sağlamak için çalışarak yaptıkları işlerde son derece hızlandı ve maliyetleri de daha uygun oldu. Fintechlerle yakın çalışan BugBounter, bu pazarın oyuncularını ve güvenliğini fazlasıyla önemsiyor.