Siber güvenlik alanında bir kariyer mi düşünüyorsunuz? Nasıl bir eğitim almalısınız? Örgün bir eğitim şart mı? ESET uzmanları iç görülerini paylaşıyor.
Siber tehditlerin artmasıyla birlikte siber güvenlik uzmanlığı oldukça önem kazandı. Cybersecurity Ventures tarafından yakın zamanda yapılan bir araştırmaya göre, 2013'ten 2021'e kadar açık siber güvenlik pozisyonlarında %350 artış olacak ve yetenekli işçi sayısının az olması nedeniyle 2021 yılı itibariyle sektörde 3,5 milyon iş ilanı olacağı tahmin ediliyor.
Bununla ilgili olarak, bu yılki Kötü Amaçlı Yazılımdan Korunma Günü'ne (Antimalware Day) özel makalelerimizden birinde, bazı ESET güvenlik araştırmacılarının iç görülerine yer verildi. Uzmanlıklarını nasıl elde ettiklerini öğrenmek ve bir güvenlik uzmanı olmak için örgün eğitime karşı kendi kendine eğitim konusundaki düşüncelerini öğrenmek üzere güvenlik araştırmacılarına bir dizi soru sorduk.
Hepsini kendi kendine mi öğrendin?
Dünya çapında giderek daha fazla okul ve üniversite bilgisayar güvenliği alanında lisans programları sunarken, tüm akademik kurumların bu tür programlar başlatması henüz söz konusu değil. Bu alandaki pek çok uzman aslında kendi kendini yetiştiriyor ve/veya becerilerini çeşitli akademik olmayan kurslar ve sertifikalar yoluyla ediniyor.
1980'lerin sonlarında BT güvenliği alanında kariyere başlayan ESET’in Seçkin Araştırmacısı Aryeh Goretsky, o zamanlar aslında özellikle bilgisayar güvenliğine odaklanan herhangi bir kurs veya sertifikanın olmadığını belirtiyor ve durumu şöyle açıklıyor:
“Bilgisayar güvenliği öğretiliyordu, ancak bu eğitim genel olarak erişim kontrolü modelleriyle ilgiliydi. Bence çok kullanıcılı bilgisayar sistemlerini güvence altına alma kavramına daha fazla odaklanılıyordu ve kullanıcıların bu bilgisayarlara erişimi, daha büyük ve daha küresel şekilde birbirine bağlı bir sistemin parçalarından ziyade bir atom model olarak görülüyordu. Dolayısıyla, siber güvenlik konseptiyle ve farklı bilgisayarların ve ağların birbirine nasıl davranabileceğiyle ilgilenen kişiler, bunu bir nevi kendi kendine öğrenmek zorunda kaldı. Bu bilginin bir kısmı standart bilgisayar bilimi ve mühendisliği ve referans kitaplarını okumakla ve bilgisayar ve ağ operasyonları hakkında bilgi edinmekle kazanılmış olmakla birlikte bir kısmı da resmi olmayan ve uygulamaya dayalı deneyimlerden elde edildi.”
Yazılım geliştirme ve bilgisayar mühendisliği alanında eğitim almış, ESET’in Kanada laboratuvarında kötü amaçlı yazılım araştırmacısı olarak çalışan Marc-Etienne M.Léveillé de bu konuda hemfikir ve şunu ekliyor: “Okulda veya üniversitede öğrendiğim şeyler, bir güvenlik araştırmacısı olarak pozisyonumla doğrudan alakalı değildi. Güvenliğin birçok yönünü kendi başıma öğrenmek zorunda kaldım.”
Bu, şüphesiz diğer birçok uzman için de geçerli bir durum. Günümüzde çeşitli beceri ve deneyim seviyelerine sahip insanlar için sayısız kitlesel çevrim içi açık eğitim (MOOC'lar) dahil olmak üzere çok sayıda çevrim içi öğrenme kaynağı bulunuyor. Ayrıca, sosyal ağlar, özellikle Twitter ve YouTube dahil olmak üzere diğer birçok çevrim içi hizmet, bilgi ve deneyim alışverişinde bulunmak isteyen kişiler için büyük fırsatlar sunuyor ve sonuç olarak birbirlerinden öğrenmelerine imkan tanıyor.
ESET’in Brezilya’daki araştırmacısı Daniel Cunha Barbosa konuyla ilgili olarak şunları söylüyor: “Teknoloji ve güvenlik topluluğunun büyüdüğü ve pek çok kişinin bilgilerini paylaşmaktan mutlu olduğu doğrudur, bu da yeni başlayanların profesyonellerden destek almasına olanak tanıyor. Kendi kendine öğrenme olası bir yol olsa da ve sektördeki birçok uzman bu şekilde kendini eğitmiş olsa da, tek seçenek bu değildir.”
Gerçekten de, güvenlik profesyonellerinin kendi kendilerine öğrenmeye devam etmeleri ve neredeyse her gün becerilerini geliştirmeleri gerekse de, birçoğu akademik eğitimin yadsınamaz bir değeri olduğu konusunda hemfikir.
Léveillé buna istinaden, “Tekrar yapmak zorunda kalsaydım, yine de okula ve üniversiteye gitmeyi seçerdim. Her ikisi de bana insanlarla tanışma ve çok keyif aldığım yarışmalar ve güvenlik konferansları gibi müfredat dışı etkinliklere katılma fırsatı verdi. Bazı okullar ayrıca sahada deneyim kazanmanıza yardımcı olan stajlar da sunuyor.” diyor.
Örgün siber güvenlik programları
Goretsky, çevrim içi tehditlerin hızlı bir şekilde artmasıyla siber güvenlik uygulamalarını öğrenmek isteyen kişilerin pedagojik yönlerini standartlaştırma arzusunun da arttığını söylüyor ve sözlerine şu şekilde devam ediyor:
“Genel olarak, üniversitenin yanı sıra her seviyedeki geniş kapsamlı siber güvenlik eğitiminin okul dışında bulunması olumlu bir şey, ancak bu eğitimlerin kalitesi konusunda da endişelerim var. Operasyonelcilere ihtiyacımız olduğu kadar teorisyenlere de ihtiyacımız var ve bu insanların karmaşık sistemlerin yapı taşları hakkında çok iyi bilgi sahibi olmaları gerekir. Bunların çoğu öğrenilebilir, ancak öğrendiklerinden bir şeyler çıkarabilen ve bunların üzerine karmaşık yapılar ve fikirler inşa edebilen, kendini geliştirmiş kişilere de çok ihtiyaç var. Lisansüstü kurslar ve sertifikalar, insanların üniversitede öğrendiklerini geliştirmelerine izin veriyor mu, yoksa onlara öğretilenler siber güvenlik kavramlarına yönelik sağlam bir temel sağlamak için çok sınırlı veya kırılgan bir çerçeveye mi sahip? Bu sorunun cevabını bilmiyorum.”
Cunha Barbosa ise şunları ekliyor: “Lisans bölümlerinin yanı sıra uzmanlık ve lisansüstü programların da olması kendi başına olumlu bir şeydir, çünkü geleceğin uzmanlarına daha geniş eğitim temelleri veren bir program, teknoloji ile ilgili konularda güvenlikten daha fazlasıyla ilgili bilgi edinmeleri için gençlere olanak tanır ve nihayetinde, gençlerin zorluklar için daha iyi hazırlanmalarını sağlar.”
Léveillé, Kanada'da okulların ve üniversitelerin daha fazla bilgi güvenliği programı sunduğunu söylüyor ve şunları ekliyor: “Artık bilgisayar güvenliğinde uzmanlaşma programları var. Daha önce, tek seçenek yazılım geliştirme veya bilgisayar ağıydı. Siber güvenlik uzmanlarının farklı bir yaklaşımla her ikisine de ihtiyacı vardır. Sektörümüzde hala doldurmamız gereken büyüyen bir ihtiyaç var. Eğitim programlarının çabasıyla belki birkaç yıl içinde daha istikrarlı bir durum görebiliriz.”
Siber güvenlik kariyer farkındalığı eksikliği
Gençler genellikle hangi kariyer yolunu izleyeceklerine karar vermekte zorlanır ve birçoğu bir sonraki adımda ne yapmak istediklerine dair net bir fikre sahip olmadan liseyi bitirir. Siber güvenlik genellikle gençlerin radarında değildir çünkü çoğunun bu muhtemelen daha az geleneksel kariyer yolu hakkında yeterli bilgisi yok. Belki, daha da önemlisi, siber güvenlik alanındaki bir kariyerin gerçekte neler sunduğuna dair varsayımları çok yanlış olabilir.
Goretsky bu konuda şöyle söylüyor: “Hayatından memnun olmayan bir gencin bilgisayar korsanı olduğu ve bilgisayarlara saldırı düzenlediği (veya siber operasyonlar yürüttüğü’) ve bu şekilde şöhret ve servet kazandığı ya da ‘tam spektrumlu bilgi egemenliği’ elde edebileceği imajı gençlere çekici geliyor, ancak siber güvenlik alanında çok daha fazlasını bulabileceklerinin farkında değiller.”
Bununla birlikte, bilgisayar güvenliği alanında kariyer yapmaya dair genel ilginin son yıllarda artış gösterdiğine dair bir fikir var ve bu da nihayetinde bazı yaygın yanlış anlamaların ortadan kaldırılmasına yardımcı olabilir.
Bununla ilgili olarak Léveillé, “Benim öğrencilik yıllarımdakinden çok daha fazla öğrencinin bilgisayar güvenliğiyle ilgilendiğini görüyorum. Önceden, kendi başınıza olduğunuz bir ilgi alanıydı. Artık daha fazla öğrenciyi alana girmeye teşvik eden işletmeler ve okullar var. Muhtemelen saldırılardaki artıştan dolayı sektörde artan bir talep olduğunu düşünüyorum.” diyor.
Yazılım geliştirmenin başlangıcından itibaren güvenliği dahil etmenin önemine kısaca değinerek Léveillé’ye okul ve üniversite müfredatının öğrencilere tasarım yoluyla güvenlik ilkelerini öğrenmeleri için yeterli fırsatları sunup sunmadığını sorduk.
Bu soruya ise şu şekilde cevap verdi: “Bugünlerde güvenli geliştirmenin oldukça iyi öğretildiğini düşünüyorum. Ancak sorun, geliştiricilerin öğrendiklerini uygulamak için teşvike ihtiyaç duymalarıdır. Güvenli olmayan kodlar, kod incelemesi sırasında yakalanmalı ve projeye dahil edilmeleri engellenmelidir. Geliştiriciler, güvenlik nedeniyle kodlarının tekrar tekrar reddedildiğini görürlerse, ekstra dikkat gösterecek ve doğru ‘refleksleri’ geliştireceklerdir.”
Sonuç
Artan tehdit yelpazesi ve tehditlerin sürekli olarak geliştiği göz önüne alındığında, gelecek nesil BT güvenliği profesyonellerini eğitmek ve endüstrinin yetenek açığını kapatmaya yardımcı olmak acil bir gereksinim. Seçenekler ve fırsatlar oldukça çeşitli, sonuç olarak ise siber güvenlik alanında kariyer yapmak isteyen kişiler için gelecek parlak gözüküyor.