Karl Buffin: “VeriSign, dünyadaki en büyük buluttur. VeriSign’in altyapısında yaşanabilecek bir tökezlemede Google sayfasını bile açamazsınız, dolayısıyla İnternet’in omurga şirketi konumundadır.”
VeriSign EMEA Kıdemli Müdürü Karl Buffin’le yaptığımız görüşmede bilişim güvenliği konusundaki son gelişmeler, VeriSign’ın bu gelişmelere kattığı değerler ve Türkiye pazarının durumu gibi konulara değinmiştik. Ardından Mayıs sonunda gelen bilgi ile VeriSign’ın güvenlikle ilgili birimlerinin Symantec tarafından satın alınması gündeme geldi. Her iki konuyu da görüşlerinize sunuyoruz:

Çevrimiçi güvenlik sistemlerinin yıllar içindeki değişimi?
Aslında her dakika değişiyor. Çünkü İnternet kendisi başlı başına bir değişim içinde. Güvenlik ihtiyacı her ülkeye göre de farklılık gösteriyor. Bu anlamda güvenlik sistemlerindeki devrimler de ülkelere göre ayrılıyor. Bugün gördüğümüz en öne çıkan eğilim; güvenliği servisle birleştirmektir. Büyük operasyonlardan son kullanıcıya kadar herkesin farklı seviyelerde güvenliğe ihtiyacı. Fakat bu güvenlik sistemi çok güvenli ama kullanışsız ve karışık olursa kimse kullanmak istemez. VeriSign’in görevi burada sadece güvenliği arttırmak değil, aynı zamanda kolay bir kullanımla en üst düzeyde tutmak. Bir güvenlik sistemi basit ve herkes tarafından kullanılabilir olmalıdır.
Değişen teknoloji tehditlerin de evrim geçirmesine yol açıyor ancak 2009 IC3 FBI istatistiklerine ve T.C Kaçakçılık ve Organize Suçlar Daire Başkanlığının istatistiklerine baktığımızda, kimlik hırsızlığı ve buna bağlı suçların her zaman çoğunlukta olduğunu görüyoruz. Dolayısı ile kurumlar, kimlik denetimi teknolojilerine daha fazla ağırlık vermeye başladılar.

Çevrimiçi şirketler olarak, işimizi korumak ve müşterilerimize güvenilir olduğumuzu ispatlamak adına daha fazla neler yapabiliriz?
Pek çok şeye ihtiyacınız var. Sadece SSL veya bir anti virüs programı kullanmakla yetinemezsiniz. Güvenlikte olduğunuzdan emin olmanızı sağlayacak pek çok çözüm var. Gerçekten ihtiyacınız olan müşterilerinize ciddi anlamda güvenli olduğunuzu göstermek. Örneğin; VeriSign ürünlerini satın aldığınızda, herkes Web sitenizde VeriSign logosunu görecek ve size daha fazla güven duyacaktır. Böylelikle insanlar sitenize daha çok girecekler ve daha fazla transfer yapacaklar. VeriSign markası tüm dünyaca iyi tanınan bir markadır ve size ayrıcalık sağlar.
Tüketici ve Web siteleri arasında güven ilişkisi kurulabilmesi çok önemli. VeriSign markası bugün bunu başarmış yegâne kuruluş. VeriSign SSL sertifikası kullanan Web sitelerinde görüntülenen ‘VeriSign Trust Seal’ yani güven mührü, bugün İnternet kullanıcılarının %90’ı tarafından biliniyor ve fark ediliyor. İşte bu güven olgusu, VeriSign sertifikalarının dünya çapında %70 pazar payına sahip olmasını sağlıyor.

Web üzerindeki işlemlerde bizi bekleyen en önemli güvenlik sorunu
Sizin de bildiğiniz gibi, çevrimiçi işlerde oltalama (phishing) denilen bir kavram var. Normal bir Web sitesi gibi görünen, ama aslında gerçek olmayan Web siteleri. Örneğin; bir bankanın Web sitesine giriyorsunuz, ama aslında burası bir korsan tarafından yaratılmış gerçek olmayan bir site. Gerekli bütün bilgiyi ve şifreyi giriyorsunuz ve bu bilgilerle birisi sizin bütün banka hesabınıza el koyabiliyor. Bugünlerde çok yaygın olan bu durumlarda kullanıcının normal şartlarda oradaki sertifikanın gerçek olup olmadığını görmesi çok zor. Bu tür Web sitelerinin VeriSign’inkiler gibi sertifikalar alarak kendilerini korumaları gerekiyor. Çünkü hiçbir kullanıcı oradaki sertifikanın gerçek olup olmadığını anlamıyor. Bu durumlarda Web siteleri VeriSign tarafından üretilmiş EV sertifikalarını kullanabilirler. Burada amaç; eğer girilen Web sitesi gerçek bir site değilse ‘kırmızı’, gerçek bir site ise ‘yeşil’ bir çubuk göstererek sitenin güvenilirliğini ispatlamaktır. Bu kullanıcıya ulaşan direk bir mesajdır. Oltalama tipi saldırıların bertaraf edilebilmesi için ise, Web sitelerinin kimliklerini kullanıcılara etkin bir şekilde ibraz etmesi gerekiyor. Kullanıcının eriştiği ve işlem yapmakta olduğu bir Web sitesinin, gerçekten doğru Web sitesi olup olmadığının farkına varabilmesi çok önemli. Bunun için 2007 yılından beri tedarik ettiğimiz EV SSL, yani doğru Web sitesine girdiğinizde tarayıcı üzerinde ‘Yeşil Adres Çubuğu’ gösteren ve kullanıcıyı görsel olarak uyaran bir teknoloji mevcut. Bugün ABD, Japonya gibi ülkeler ile Avrupa ülkelerinde İnternet üzerinde finansal işlem yapan bütün uygulamalar bu teknolojiyi kullanıyor. Ancak Türkiye’de henüz sadece 6 banka bu teknolojiyi kullanıyor, e-ticaret sitelerinde ise bu rakam 80 civarında.

Verisign ürünlerini kaç grupta toplar?
VeriSign çok büyük bir şirket. Şirketin ürünlerini 3 grupta toplamak daha doğru olur. İlk olarak VeriSign “.com, .net, .cc, .tv” uzantılı alan adlarının dünyadaki tek kayıt operatörü. Bu büyük bir sorumluluk. Bütün İnternet DNS altyapısını %100 erişilebilirlik garantisi ile ayakta tutmak oldukça büyük bir organizasyon gerektiriyor. İkinci grup ürün olarak VeriSign bir Sertifika ve Güven Otoritesi. Dünyadaki Web sitelerinin %70’ine sayısal kimlik yani SSL sertifikası sağlıyoruz. Bu oldukça büyük hassasiyet gerektiren üst düzey güvenlikli bir operasyon. Üçüncü ürün grubumuzda ise kurumsal ürünlerimiz var: VeriSign VIP iki faktörlü kimlik denetimi altyapısı, VeriSign FDS bankacılık sektörü için geliştirilmiş gerçek zamanlı sahtecilik tespit sistemi, VeriSign MPKI kurumlar için geliştirilmiş özelleştirilebilir “Açık Anahtar Altyapısı” ve VeriSign VIDN 100Gb/s kapasiteli DDoS saldırısı engelleme servislerimiz bulunuyor.

Kurumsal ürünlerinizde KOBİ’ler ile büyük ölçekli kurumların pazar payı nedir?
Pazar payının yüzde 70’ini büyük ölçekli kuruluşlar teşkil ediyor, yüzde 30’u ise KOBİ’lerin.

Bilişim Teknolojileri güvenliğinde en son eğilimler nedir?
Kimlik denetimi sektörüne damgasını vuracak yenilik; VeriSign tarafından geliştirilen paylaşılabilen iki faktörlü kimlik denetimi altyapısıdır. İki faktörlü kimlik denetiminin yaygınlaşmasının bir dezavantajı, çalıştığınız her banka ya da kuruluşun size ayrı ayrı cihazlar vermesi durumudur. Eğer 5 banka ile çalışıyorsanız 5 farklı tek kullanımlık şifre cihazı yani halk deyimiyle şifrematik kullanmak zorundasınız. Kurumsal banka kullanıcılarında ise durum çok daha vahim. Birçok kurumda 8-9 adet tek kullanımlık şifre cihazı bulunuyor. Bir yere seyahat etmeniz gerektiğinde, bir torba dolusu şifre cihazını taşımak zorunda kalıyorsunuz. VeriSign iki faktörlü kimlik denetimi altyapısında ise, tek bir şifre cihazı ile birçok bankanın Web sitesinde işlem yapabilmeniz mümkün. Bugün ABD ve Avrupa’da birçok banka, bu paylaşımlı iki faktörlü kimlik denetimi altyapısına geçiyor. Bu hem bankaların kimlik denetimi maliyetlerini düşürüyor, hem de kullanıcıları büyük bir eziyetten kurtarıyor. Kısa bir zaman önce Türkiye’de ortak ATM altyapısına geçildi, benzer bir şekilde yakın bir zamanda iki faktörlü kimlik denetimi altyapısının da ortak olacağını düşünüyoruz.

VeriSign’ın “Bulut”taki yeri?
VeriSign dünyadaki en büyük buluttur. VeriSign’in altyapısında yaşanabilecek bir tökezlemede Google sayfasını bile açamazsınız, dolayısıyla İnternet’in omurga şirketi konumundadır. İnternet’i ayakta tutan bir şirket. Dünyadaki en büyük bulut topolojisine sahip kurum zaten VeriSign. Bu konudaki toplam altyapı yatırımımız 1 milyar doları aşkın. Coğrafi olarak dağıtık 46 veri merkezi ve 17 süper veri merkezi ile 10 yıldır %100 erişilebilirlik istatistiğine sahibiz. Birçok servisimizi bulut topolojisinde sağlıyoruz. Türkiye’ye en yakın veri merkezimiz İsviçre Fribourg’ta yer alıyor, bu 14.000 metre kare alanda bulunan 80 Gb/s kapasiteli yeni bir tesis.

Türkiye’deki referanslarınız hakkında örnek verir misiniz?
VeriSign ürünlerini Türkiye’de kullanan Garanti Bankası, Halkbank, TEB, Finansbank, Şekerbank, Vodafone gibi kuruluşlar var.

Türkiye’deki bilişim güvenliği pazarı hakkında ne düşünüyorsunuz?
Türkiye çok aktif ve dinamik bir pazar ve çok büyük bir potansiyele sahip. Günden güne de olgunlaşmakta ve çok hızlı büyüyeceğine inanıyorum. İnsanlar bilişim teknolojilerindeki son eğilimleri kullanmaya istekliler. İnternet’in yaygınlaşması açısından şanslısınız çünkü son teknolojileri kullanacaksınız. Bugünlerde Avrupa’da herkes bir teknoloji değişimi furyası içinde. Siz daha yeni, daha güvenli ve daha kolay teknolojilerle daha da ileri gidebilirsiniz.

Symantec bilgi ve sanal ortamda kimlik koruması alanında dünyanın en güvenilen çözüm sunucusu VeriSign’ın güvenlik birimlerini kendi bünyesine katacağını duyurdu
27 Mayıs 2010 - Perşembe - Symantec, VeriSign’ın Secure Sockets Layer (SSL) Sertifika Hizmetleri, Public Key Infrastructure (PKI) Hizmetleri, VeriSign Trust Hizmetleri ve VeriSign Identitiy Protection (VIP) Authentication Hizmetleri’ni içereren “kimlik ve doğrulama iş birimlerini” bünyesine katmak üzere bir satın alma anlaşması imzaladığını kamuoyuna duyurdu. Eylül çeyreği içinde kapanması ön görülen anlaşma süreci, düzenleyici onaylar da dahil olmak üzere uygulanmakta olan kapanış koşullarına tabi olacak. Anlaşma şartları gereğince Symantec, VeriSign Japonya’nın başlıca varlıklarını yaklaşık 1,28 milyar dolar nakit para karşılığında kendi bünyesine katacak.
VeriSign’ın sunduğu güvenlik çözüm ve hizmetlerinin yanı sıra, sanal dünyanın en güvenilir markası olarak algılarda oluşturduğu saygınlık, Symantec’in pazar lideri güvenlik çözümleri ve dünya çapındaki yaygın hizmet ağı ile bütünleştirilecek. 
Dünyada bir milyonun üzerinde Web sunucusu, VeriSign’ın SSL Sertifikalarını ve günlük iki milyon sertifika kontrolünün gerçekleştiği bir altyapıyı kullanıyor. Bu anlamda VeriSign, SSL pazarının lideri konumunda bulunuyor. 2013 yılına kadar, sunucu ve kullanıcı doğrulama pazarı için pazar büyüklüğünün 1,6 milyar dolara ulaşacağı ön görülüyor. Buna ilaveten, VeriSign’ın kontrol onayı, 160 ülkede 90,000’den fazla Web sitesinde her gün 175 milyondan fazla izlenimle güvenli sanal dünyanın en bilinen sembolü olarak biliniyor.