Genç Araştırmacılara Tavsiyeler: Niye “Güvenlik” Konusunda Çalışmamalısınız?

Tuomas Aura tarafından yazılmış ve 2006 yılında IEEE S&P magazininde çıkmış bir yazı güvenlik konusu ile ilgili bazı düşüncelerime tercüman oldu. Yazının kısa bir özetini yapmak ve konu paralelinde kendi düşüncelerimi yine kısaca yazmak istiyorum.

 Tuomas’ın bir arkadaşının oğlu bir doktora programına yeni kayıt yaptırmış ve tez konusu olarak güvenliği düşünüyormuş. Tuomas, “Hayır, yapma” demiş. “Dünyada daha ilginç pek çok başka şey var.”

 Güvenlik konusunda çalışmaktan (güvenlikçi olmaktan) memnun olmasına ve güvenliğin de çok sıcak bir konu olmasına rağmen niye böyle bir tavsiyede bulunduğunun uzunca izahı söz konusu yazıda. Özetlemek gerekirse:

  1. Mühendisler ve çalışma arkadaşları güvenlikçileri hiç sevmezler. Güvenlikçiler avukatlara benzerler ve genelde söyledikleri ilk şey “bunu yapmaktan kaçınamaz mısın?” olur. O yüzden kimse zorda kalmadıkça avukatlarla ve güvenlikçilerle konuşmak istemez.
  2. Güvenlikçiler çözüm değil problem üretirler. Bilhassa “yayın sayaç”ının çalıştığı durumlarda başkalarının güvenlik açığını bulmak çözüm üretmekten çok daha verimli ve akılcı bir yol olur.
  3. İşe yarar güvenlik ürünü çok azdır. “Güvenlik sonradan eklenmemeli, baştan düşünmeli” prensibini bilirsiniz. Tuomas diyor ki bu prensip aynı zamanda “güvenlik ürünlerinin çoğu işe yaramaz” anlamına gelir. Çünkü bu güvenlik ürünü ister bir izinsiz giriş algılayıcı sistem (intrusion detection system), ister bir biyometrik tanıma sistemi, ister başka bir şey olsun hep var olan bir sisteme sonradan eklenmesi için tasarlanan sistemlerdir.
  4. Geleneksel güvenlik konuları ile pratik güvenlik problemleri arasında uçurum vardır: Evet bu en sonuncu konu benim de üzerinde durmak istediğım kısım, diğerleri ile ilgili düşüncelerimi bir başka yazıya havale edip, bu son konu üzerinde durmak istiyorum.

 Son zamanların sıcak güvenlik konuları veya endüstrinin gerçekten sıkıntısını çektiği konular neler derseniz 3 örnek verelim: 1) Zararlı yazılımlar 2) Çöp postalar ve olta (phishing) saldırıları 3) Donanım güvenliği.

 Bu üç problem de yeni problemler ve şu ana kadarki mevcut standart güvenlik literatürü konuları (ispatlanabilir güvenlik, kripto savaşları, vs.) ile çok az örtüşmekte. Üç yeni konu da daha farklı alanlarda uzmanlık gerektiriyor. Birincisi için yazılım mühendisliği, ikincisi için makine öğrenme ve veri madenciliği veya yasal konularda uzmanlık, üçüncüsü için ise donanım mühendisliği konularında uzmanlık.

 O zaman Tuomas diyor ki bu konularda gerçekten başarılı olmak ve çözüm için katkı sağlamak için bu farklı konulardan birinde uzman olmaya çalışmak ile işe başlanması çok daha doğru bir yol olur. Çünkü bir güvenlikçinin bu konuların hepsinde uzman olması nerdeyse imkansız. Bir diğer ifadeyle güvenlik alanında başarılı olmak için başka bir alandan başlamak tavsiye ediliyor.

 Bu tavsiyeye katılıyor musunuz derseniz biraz yumuşatarak “evet” diyorum. Yani, güvenlik konusunda çalışmak isteyen genç arkadaşlara güvenlik konusunun yanına en az bir başka alanı belirlemesini ve bu konuda kendisini geliştirmesini hararetle tavsiye ediyorum. Bu alan ne olabilir diye de sorarsanız, yukarıda bahsedilenlere ek olarak benim de şu an bilgi dağarcığımı geliştirmeye çalıştığım kullanışlılık, insan-bilgisayar etkileşimi konularını ve çok daha farklı bir konu olan yöneylem araştırmaları, optimizasyon alanlarını düşünmelerini öneririm. Daha ayrıntılı sormak veya tartışmak istediğiniz bir şey olursa bana yazabilirsiniz.  

One thought on “Genç Araştırmacılara Tavsiyeler: Niye “Güvenlik” Konusunda Çalışmamalısınız?

Comments are closed.