Yakından takip eden okuyucularımız farkındadır beepeer'da gün aşırı bir internet saldırısı ya da güvenlik açığı haberini paylaşıyoruz. Günümüzün dijitalleşen dünyasında ticaret sitelerinden kişisel veriler de çalınıyor dersiniz büyük krpto paralarından milyon dolarlar da kayboluyor.
Hal böyleyken bu sanal dünyanın açıklıklarını ortaya çıkarak ve koruyacak beyaz şapkalı etik hackerlara ihtiyaç her geçen gün artıyor. BugBounter da bu hackerların bir araya getirip, güvenlik açıklıklarını ortadan kaldırmaya önayak sağlayan bir girişim. Bizler de beepeer olarak ülkemizin BugBounter kurucu ortağı Murat Lostar ile bir röportaj gerçekleştirdik. BugBounter kimdir? Hedefleri ve geleceği nedir? Ve neden bir uygulama? Gelin bu soruların ve fazlasının cevabına birlikte bakalım.
Öncelikle BugBounter nedir? Bunu biraz bize aktarabilir misiniz?
BugBounter, beyaz şapkalı etik hackerlar olarak da bilinen bağımsız siber güvenlik araştırmacılarının niteliksel ve niceliksel gücünü kurumların güvenlik açıklarını olası bir siber saldırıdan daha önce keşfetme, doğrulama ve raporlama konusunda bir araya getiriyor. Bünyemizde yer alan binlerce araştırmacı, şirketlerin ihtiyacı olan alanlarda buldukları güvenlik açıklarını BugBounter üzerinden raporluyor.
İletilen raporlar, kalite kontrol, derecelendirme ve doğrulama süreçleri tamamladıktan sonra ilgili şirketlerle paylaşılıyor. Siber güvenlik uzmanları, buldukları açıkların karşılığında önem derecesine bağlı olarak maddi ödüller kazanabiliyor. BugBounter’da sadece doğrulanan güvenlik açıkları ödüllendiriliyor. Bu sayede kurumlar için daha ekonomik bir çözüm üretmiş oluyoruz.
Bu süreçte en çok önem verdiğimiz unsur ise hız. Her 39 saniyede bir siber saldırı olduğu gerçeğini göz önünde bulundurduğumuzda, test sürecinden raporlanmaya, raporlanmadan doğrulamaya çok hızlı olmamız gerekiyor. Ekosistemde yer alan çeşitli yeteneklere sahip ve çok sayıdaki araştırmacılar sayesinde, birçok açık çoğu zaman aynı gün içerisinde tespit edilebiliyor.
Öte yandan platformu kullanan kurumların mahremiyetine büyük özen gösteriyoruz. 20 yılı aşkın tecrübeye sahip bir ekip olarak kurumların hassas verilerinin, zafiyet alanlarının ve paydaş bilgilerinin herhangi bir şekilde açığa çıkmaması için hızlı ama dikkatli hareket ediyoruz. Verileri en ileri teknikler ile şifreleyip saklıyor, bütün paydaşlarımızla gizlilik ilkesi ve KVKK çerçevesinde ilerliyoruz. Ayrıca rapor dışındaki tüm ödül sürecini uçtan uca blok zincir üzerinde işleyerek güven sorununu ortadan kaldırıyoruz. Böylelikle bütün paydaşlarımıza şeffaf ve güvenilir bir sistem sunmuş oluyoruz.
Devamında hikayenizi dinlemek isteriz. Ekibinizde kimler yer alıyor, bu girişim fikri nasıl ortaya çıktı?
Günümüzde dijitalleşen dünyada aslında pek çok şirket henüz tespit edilmemiş bir güvenlik açığından dolayı olası bir siber saldırı karşısında risk altında. Şirketlerin güvenlik ekipleri pek çok sebepten dolayı tüm açıkların tespit edilmesi için gerekli zamanı ve kaynağı ayıramıyor. Eş zamanlı olarak dünya genelinde yüz binlerce kötü niyetli hacker, bu açıklara saldırmak için çok daha güçlü ve akıllı yöntemler geliştiriyor. Arif Gürdenli ve Ozan Vakar ile birlikte şirketlerin güvenlik açıklarını bulma ve doğrulama ihtiyacını kitle kaynak yaklaşımından güç alarak hızlı ve etkili bir şekilde gidermek için yola çıktık.
Pazar araştırmaları ve fikir geliştirme süreci başlangıçta 3 ay sürdü. Tüm geliştirmelerimizi tasarım odaklı düşünce metodolojisi ile gerçekleştiriyoruz. Ürünün kurgusal tasarımlarını devamındaki 3 ayda tamamladık. 12 ayda da yazılımı geliştirdik ve testlerimizi gerçekleştirdik. Böylece platformu hizmete açabilir hale getirdik. Birinci faz adımı olarak tanımladığımız ürünün (MVP) çıkış sürecini 2020 Ağustos’ta tamamladık ve müşterilerimizle buluşturmaya başladık. Süreç içerisinde ürünümüzü sürekli geliştirdik ve BugBounter’ı ileriye taşıdık.
Şu an bünyemizde platforma kayıtlı 1200’den fazla araştırmacı bulunuyor ve bu sayı her ay ortalama yüzde 8 artıyor. 20 farklı ülkeden gelen araştırmacıların içerisinde profesyoneller haricinde öğrenciler de yer alıyor.
Bu serüvende yaşadığınız kırılma noktaları neler oldu?
Dahil olduğumuz iki hızlandırılmış kuluçka programı İTÜ Çekirdek ve Cube Incubation’dan çok yararlandık ve önemli iş birlikleri geliştirdik. Başlangıçta yaşadığımız en büyük zorluk, yenilikçi iş modelini potansiyel müşterilere kabul ettirmek oldu. Kurumsal firmalarla çalışmaya başladıkça referanslarımız güçlendi ve farklı sektörlere giriş yapmayı başardık.
Araştırmacı sayımızın 1000’i geçmesi de önemli bir kırılma noktası oldu. Müşterilerimize ne kadar geniş nitelikte bir araştırmacı havuzundan hizmet sağlarsak başarı da o kadar artıyor.
Son önemli kırılma noktası da ikinci yatırım turumuzun beklediğimizin çok üzerinde bir talep ile 10 gün gibi kısa bir sürede kapanması olduğunu söyleyebilirim.
BugBounter olarak rekabet ettiğiniz ekiplerden neyi farklı ya da daha iyi yaptığınızı düşünüyorsunuz? Sizi siz yapan detay nedir?
BugBounter olarak kurguladığımız model, Türkiye’de ve yakın coğrafyada bir ilk olma özelliğini taşıyor. Bu alanda Amerika’da ve belirli bazı ülkelerde önemli oyuncular bulunuyor. Biz de yerelleşmiş yaklaşımla platformun hem müşteri hem de tedarikçi tarafındaki topluluğa butik hizmet kalitesini sunuyoruz.
Rakiplerimizden en önemli farkımız, siber güvenlik açıklarının bulunma sürecinde attığımız yenilikçi adımlar sayesinde bütün paydaşlarımıza şeffaf ve güvenilir bir sistem sunuyoruz.
BugBounter ile çalışmaya başlamak ve ilk bug bounty (ödül avcılığı) programını yayınlayıp hizmet almak bizimle çok kolay. Bir gün içerisinde sözleşmeleri imzalayıp, kapsamı belirleyip servisi açabiliyoruz. Bunu bizden daha hızlı, kolay ve zahmetsiz yapabileni yok.
Platformda yer alan araştırmacıların hacmi ve farklı alanlardaki uzmanlıkları sayesinde kurumlara çok sayıda test imkânı sağlıyoruz. Böylece mevcut yöntemlerle bulunamayan açıklar hızlı bir şekilde tespit edilebiliyor. Öte yandan sağladığımız yerel destek sayesinde verdiğimiz hizmetler Türk regülasyonlarınca denetlenebiliyor. Sadece doğrulanan güvenlik açıklarının ödüllendirilmesi ve ödüllerin kurumlar tarafından belirlenebilmesi, kaliteli hizmetin uygun bir bütçe ile alınmasına olanak sağlıyor. Bu sayede harcanan zamana değil, bulunan açıkların değerine para ödenmiş oluyor.
Şu anda hangi aşamadasınız? Kaç kullanıcınız var?
Portföyümüzde şu an yurtdışında da faaliyet gösteren 20’den fazla kurumsal müşterimiz bulunuyor. Siber güvenlik ihtiyaçlarını iyi bilmemiz ise müşterilere ve onların ihtiyaçlarına kolay adapte olmamızı sağlıyor. Ulaşım, finans, otomotiv, e-ticaret, yazılım, teknoloji, eğlence, sigorta gibi sektörlerden yeni müşterilerimiz ile büyümeye devam ediyoruz.
10 ay içerisinde bize iletilen 500’ün üzerinde güvenlik açığı raporu oldu. Bunlardan 150 tanesi onay aldı ve müşterilerimizin açıklarını kapatması sayesinde 1,5 milyon dolardan fazla zararın önüne geçilmiş oldu.
Diğer yandan çözüm ortaklarımızın ve yapay zekânın kurmayı hedeflediğimiz ekosistemin diğer yapı taşları olarak adlandırabiliriz. Güvenlik açıklarının tespit edilmesinin yanı sıra iş planında olan diğer katma değerli hizmetleri de dahil ederek müşterilerimizin yanında olmayı planlıyoruz.
Şirket veya şahıslara özel çözümleriniz var mı yoksa herkes için standart bir deneyim mi vaat ediyorsunuz?
Şu anda bireysel bir hizmetimiz bulunmuyor ancak 3-5 sene içerisinde yapay zekâ ile destekli bir modeli bireylerin de hizmetine açmak gibi bir hedefimiz var.
Kurumlar için sağladığımız hizmetlerin ise hepsi aslında kuruma ve kurumun sorununa göre özelleştirilmiş çözümler oluyor. Platforma kayıt olup profil oluşturduktan sonra ihtiyaçlarına göre özelleştirilmiş bir siber güvenlik test programı oluşturabiliyorlar. Ödül programının kapsamını kendileri belirliyor ve programda çalışmasını istedikleri "Araştırıcı" ve "Doğrulayıcı" topluluğunu kendileri seçiyorlar.
Elbette biz de müşterilerimize bu doğrultuda destek veriyoruz. Süresini ve bütçesini belirledikleri programı platformda yayınlıyorlar. Tercihleri doğrultusunda ya bütün açıklar için ya da geçerliliği doğrulanan açıklar için rapor talep edebiliyorlar. Hem müşteriler hem de araştırmacılar onaylanan raporlara geçerli bir açıklama ile itiraz edebiliyor. Sadece onaylanan raporlar için ödüller veya hediyeler tahsis ediliyor.
Yakın gelecekte planlarınız neler?
Öncelikli hedefimiz Türkiye’den başlayarak önce bölgesel sonra küresel seviyede siber güvenlik ihtiyacını kitle kaynağı ile karşılayabilmek. Müşteri portföyümüze Avrupa, Orta Doğu ve Asya’dan müşterileri katarak büyümeyi hedefliyoruz.
2021 sonunda yurt dışına açılmak öncelikli planlarımız arasında yer alıyor. Bu zamana kadar elde ettiğimiz deneyimlerle beraber ilave bir tohum yatırım turunu tamamladık ve aldığımız yatırım ile büyümemizi hızlandıracak adımları atmaya başladık.
Sizin için başarı kıstası nedir? Size göre BugBounter ne zaman başarı kıstasına erişmiş olacak?
Kısa vadedeki başarı ölçütümüz, 12 ay içerisinde çıkacağımız Seri A yatırım turuna hazır hale gelmek. Bunun için müşteri sayımızı 4 katına çıkaracağız ve yurtdışından edindiğimiz yeni müşteriler ile portföyümüzü çeşitlendireceğiz. Diğer yandan da küresel ölçekte büyüme hızına geçmeyi sağlayacak İK ve teknoloji altyapımızı güçlendiriyoruz. Bu noktaya gelmek, bizim için yeryüzünden uzaya çıkmak gibi. Sonrasında ise keşfedilecek yerlerin ve fırsatların sınırı yok.
