ICT Media
Dijitalleşmenin sınır tanımadığı, yapay zekânın oyunun kurallarını yeniden yazdığı ve jeopolitik gerilimlerin siber dünyaya doğrudan yansıdığı kritik bir eşikteyiz. 2026 yılına girerken siber güvenlik, artık sadece teknik bir birimin sorumluluğu değil; bir ülkenin tam bağımsızlık mücadelesinin en stratejik cephelerinden biri haline gelmiş durumda. Labris Network, siber güvenlik alanında Türkiye’nin ilk yerli üreticisi olarak çeyrek asra yaklaşan mazisiyle “sektörde bir buzkıran” görevi gördü. Henüz "siber güvenlik" kavramı bile tam telaffuz edilmediği bir dönemde AR-GE çalışmalarına başlayan firma, bugün uluslararası sertifikalarıyla dünya devlerine meydan okuyor. ICT Media Genel Yayın Yönetmeni Murat Pehlivan tarafından hazırlanan “Açık Açık” programına konuk olan Labris Network CEO’su Oğuz YILMAZ, sektörün mevcut durumunu ve gelecek vizyonunu değerlendirdi. Dergimizde özetine yer verdiğimiz röportajın tamamını ICT MEDIA TV YouTube kanalından izleyebilirsiniz.
Murat PEHLİVAN: 2026 yılının ilk ayına, bu yılın en çok konuşulan başlıklarından biri olacağını öngördüğümüz siber güvenlik konusuyla başlıyoruz. Konuğumuz, Türkiye’nin bu alandaki marka isimlerinden Labris Network’ün CEO’su Sayın Oğuz Yılmaz. Oğuz Bey 2026 yılı siber güvenlik açısından oldukça hareketli ve kritik bir yıl olacak gibi görünüyor. Siz bu süreci nasıl değerlendiriyorsunuz?
Oğuz YILMAZ: Savunma alanlarının büyük çoğunluğu dünya gündeminde. Siber güvenlik de her ne kadar ticari bir faaliyet alanı gibi algılansa da aslında savunmayla doğrudan ilişkilidir. Yoğun dijitalleşme bu sürece besliyor. Dünya konjonktüründeki sertleşme de bu alanı stratejik bir zorunluluk haline getiriyor. Dolayısıyla 2026, siber güvenliğin kritik öneminin daha net hissedileceği bir yıl olacak.
Murat PEHLİVAN: Labris Network, Türkiye’de siber güvenlik konusunda öncü firmalardan biri. Bize Labris Network’ün kuruluş öyküsünü ve sektörel vizyonunu anlatabilir misiniz?
Oğuz YILMAZ: Labris Network, Türkiye’nin siber güvenlik alanındaki ilk yerli üreticisidir. Sektördeki yolculuğuna 2001 yılında başlayan firmamız, tam 23 yıldır bu alana yatırım yaparak ürünlerini dünya standartlarında geliştirmeye devam etmektedir. Pazarda tek bir çözümle değil, birden fazla ürün ailesiyle güçlü bir şekilde yer alıyoruz.
Labris’in temel kuruluş vizyonu, Türkiye’de katma değerli teknoloji üretme hedefidir. Çalışmalarımıza başladığımızda, bugün "siber güvenlik" olarak adlandırdığımız kavram henüz yaygınlaşmamıştı; sektör daha çok "bilgi güvenliği" (information security) ve "ağ güvenliği" terimleri üzerinden şekilleniyordu. O dönemde dünya genelinde bu alanda parmakla gösterilecek kadar az ürün vardı. Biz de bu boşluğu görerek, ODTÜ Elektronik Mühendisliği mezunu olduğum 2001 yılında güçlü bir AR-GE ekibi kurduk. Ekibimizi Ankara’nın köklü üniversitelerinden mezun nitelikli mühendisler ve uzman pazarlama kadrolarıyla yapılandırdık. Pazar serüvenimize önce yazılım çözümleriyle başladık, 2005 yılından itibaren ise donanım bütünleşik sistemlerle ilerledik.
Labris’in hikayesini bir "buzkıran" hikayesine benzetebiliriz. Sektörde ilk olmanın getirdiği tüm zorlukları bizzat yaşadık. Siber güvenliğin henüz bilinmediği bir dönemde, önce kullanıcıları bu ürünlerin gerekliliğine, ardından da neden yerli bir çözümü tercih etmeleri gerektiğine ikna etmek için çalıştık. Tüm bu süreçte gerçek sektör pratiklerinden asla kopmadık; kendimizi korumacı bir konfor alanına hapsetmedik. Sadece belli kurumların desteğiyle satış yapmak yerine, kamu, askeriye ve özel sektörü kapsayan geniş bir yelpazede, gerçek rekabetin olduğu "vahşi doğada" var olmayı seçtik. Bu zorlu rekabet bizi daha güçlü kıldı; sorunlara ve kullanıcı ihtiyaçlarına yönelik daha başarılı çözümler üretmemizi sağladı.
Siber güvenlik, 10 ana segment ve onlarca alt başlığa ayrılan çok geniş bir sahadır. Labris olarak biz, odağımızı "ağ güvenliği" olarak belirledik ve bu uzmanlaşma bize başarıyı getirdi. Seçtiğimiz alan, teknik açıdan en zor segmentlerden biridir. Diğer pek çok siber güvenlik ürününün aksine, bizim çözümlerimiz 7/24 gerçek zamanlı (real-time) veri işleme ve engelleme yapmak zorundadır. Bu da çok üst düzey bir mühendislik disiplini gerektirir. Firmamızın genetik kodu, işte bu yüksek mühendislik kalitesi üzerine inşa edilmiştir.
Başarımızı sadece kendi söylemlerimizle değil, uluslararası sertifikalarla da tescilledik. 2009 yılında Türkiye’deki ilk başvuru sahibi olarak TSE’de Ortak Kriterler (Common Criteria) ISO/IEC 15408 sürecine dahil olduk ve EAL4+ sertifikasını aldık. Ayrıca Savunma Sanayii Başkanlığı tarafından oluşturulan TRTEST Güvenlik Duvarı Şeması içerisinde, UTM Firewall ürünüyle "A Seviye" sertifikasına sahip tek marka Labris Network’tür. Üçüncü partiler tarafından onaylı ve güvenilir olma vizyonumuzu, yeni sertifikasyon çalışmalarıyla sürdürmeye devam ediyoruz.
Murat PEHLİVAN: Oğuz Bey, bahsettiğiniz bu "ilkler" ışığında, Türkiye’nin siber güvenlik stratejisini ve güncel tehditleri bölgesel gelişmelerle birlikte nasıl değerlendiriyorsunuz?
Oğuz YILMAZ: Türkiye için sıkça dile getirilen "Türkiye kuşatılıyor" ifadesi, aslında özünde yanlış bir tespit değildir. Bugün çevremize baktığımızda; kuzeyimizde, güneyimizde, doğumuzda ve batımızda yaşanan gelişmeler bu durumun somut örneklerini oluşturuyor. Bu tablo, Anadolu’nun tarih boyunca değişmeyen kaderinin bir yansımasıdır.
Anadolu, gerçekten her dönemde cazip bir coğrafya olmuştur. Kuzeydeki sert kış koşulları ile güneydeki kuraklığın ortasında, yaşama en elverişli dengeyi sunan bir merkezdir. Bu nedenle tarih boyunca her başı sıkışan, aç veya susuz kalan topluluklar için Anadolu bir sığınak ve varış noktası olmuştur. Bugün de bu durumun benzer şekilde cereyan ettiğini görüyoruz.
Böylesine stratejik ve kritik bir coğrafyada, güçlü bir devlet yapısının varlığı hayati bir gerekliliktir. Türkiye Cumhuriyeti güçlü kalmalı, güçlü olmalı. Böyle bir coğrafyada, siber güvenlik gibi savunmayla doğrudan ilişkili bir başlıkta, tıpkı bugün savunma sanayimizde olduğu gibi gurur verici başarı hikayeleri yazmalıyız. Ancak bir gerçeği de açıkça konuşmamız gerekiyor: Bugün savunma sanayimizde %80’in üzerinde bir yerlilik oranından bahsedebiliyorken, siber güvenlik alanında henüz bu seviyelere ulaşabilmiş değiliz. Bu farkı kapatmak ve bu alanda da tam bağımsızlığı sağlamak en büyük önceliğimiz olmalıdır.
Murat PEHLİVAN: Yani bir anlamda "kendi göbeğimizi kendimiz kesmek" durumundayız...
Oğuz YILMAZ: Siber güvenlikte de, tıpkı savunma sanayiinde olduğu gibi, yerlilik oranlarını önce yüzde 20–30’ların, ardından yüzde 50’lerin ve nihayetinde yüzde 80’lerin üzerine çıkarmak zorundayız. Çünkü bu durumun önemi uluslararası danışmanlık firmalarının raporlarında da açıkça vurgulanıyor. Raporda, siber güvenliğin giderek bölgesel bir nitelik kazanacağı ifade ediliyor. Dolayısıyla yalnızca küresel ürünleri, çözümleri ve servisleri kullanarak uzun vadede siber güvenliği sağlamak mümkün olmayacak. Nitekim bugün gelinen nokta da bunu doğruluyor.
Türkiye Cumhuriyeti, etki alanı oldukça güçlü; fikrî ve kültürel havzası geniş, yakınlık coğrafyası olan bir ülke. Bu kültür havzası içerisinde Türkiye’nin siber güvenlik alanında da söz sahibi olması son derece önemli. Çünkü bugün dünyada, Türkiye’yi doğrudan etkileyen gelişmelerin savaşa doğru evrildiği konuşuluyor. Üçüncü Dünya Savaşı’ndan söz edilen bir ortamda, ülkeler bu ihtimale karşı iki temel adım atıyor: Ordu kuruyorlar ve kasalarını altınla dolduruyorlar. Yani özünde bir savaş hazırlığı yapıyorlar.
Eğer tablo buysa, bunun siber güvenlik alanındaki karşılığını da oluşturmak gerekiyor. Yarın bir gün herhangi bir siber güvenlik ürünü görevini yerine getiremediğinde, bir güncelleme alamadığında ya da ürün çalışmayı durdurduğunda buna şaşırmamak gerekir. Bunların tamamı, önümüzdeki dönemde gerçekleşmesi muhtemel senaryolar. Neden? Çünkü dünyadaki ana siber güvenlik oyuncuları, bugün bölgesel ve küresel rekabet içerisinde yer aldığımız aktörlerdir. Dolayısıyla şu anda sistemler ve ürünler çalışıyor gibi görünse de bunun arkasında belirli nedenler var.
Bugün silah ambargosu uygulandığında birçok ürüne erişemediğimizi gördük. Örneğin yüksek çözünürlüklü kameralar veya lensler alamadık. Çünkü bunlar verildiği takdirde uzun yıllar kullanılabiliyor. Oysa şimdi, istenildiği anda kesilebilecek ürünler veriliyor; hem kontrol elde tutuluyor hem de gelir sağlanıyor. Bu da bize siber güvenliğin siyasi bir karaktere sahip olduğunu gösteriyor. Onu sıradan bir bilişim alanı gibi değerlendirmek büyük bir yanılgı olur. Birinci temel konu budur.
Diğer yandan, siber güvenliğin kendi içinde de ciddi bir stratejik dönüşüm yaşanıyor. Yapay zekânın yarattığı olağanüstü değişim ve dijital dönüşümle birlikte siber güvenliğin etki alanı hızla genişliyor. Eskiden yalnızca kritik altyapılardan söz ediyorduk; ardından fabrikalar bu kapsama girdi. Nesnelerin interneti dediğimiz alan ise artık hayatın tamamını kapsıyor. Otomobillerimiz dahi siber güvenliğin doğrudan konusu hâline geldi. Bu nedenle siber güvenliğin kendi içindeki dönüşümüne uyum sağlamak zorundayız. İçinde bulunduğumuz dönem, tüm bu başlıkları eş zamanlı olarak ele almayı gerektiriyor.
Murat PEHLİVAN: Siz siber güvenliğin önemine dikkat çekince, Türk savunma sanayisinin kat ettiği yolu hatırlamamak mümkün değil. 1974’ten itibaren ciddi aşamalar kaydetmek zorunda kaldık ve kendi göbeğimizi kendimiz kesmek durumunda kaldık. Siber güvenlikte de benzer bir tecrübeyi yaşamamız kaçınılmaz. Burada da kendi göbeğimizi kendimiz keseceğiz. Kendi yeterliliklerimize ve imkânlarımıza dayanarak, her şeyi kendimiz yapabilecek bir yetkinliğe ulaşmamız gerekiyor. Bunu söylerken ister özel sektör firmaları olsun ister kamudaki yapılar ya da yöneticiler olsun, yerli ürünlerin mutlaka alınıp denenmesi gerektiğini özellikle vurguluyorum. Eksikleri açıkça dile getirin ki bu eksikler firmalar tarafından giderilebilsin. Bu mesele çoğu zaman yalnızca para kazanmak olarak algılanıyor. Oysa öncelik para kazanmak değil; bu işlerin doğru, sağlam ve sürdürülebilir şekilde ortaya konulmasıdır. Standartlar meselesi burada son derece kıymetli. Firmalarımızı ve ürünlerimizi bu standartlara ulaştırmamız gerekiyor. Ancak bu şekilde gelişebilir hem ülkemizde hem bölgemizde hem de küresel ölçekte oyuncu hâline gelebiliriz. Aksi takdirde bunun başka bir yolu yok. Bu noktada Labris’e de değinmek istiyorum. Ulusal siber güvenlik ekosistemine katkılarınız olduğunu söylemek yanlış olmaz. Hangi alanlarda liderlik ediyorsunuz, hangi başlıklarda öncülük ediyorsunuz? Sonuçta 2001 yılında ağ güvenliği alanında başlayan uzun bir süreçten söz ediyoruz.
Oğuz YILMAZ: Çok önemli bir noktaya değindiniz. Yerlileşmenin öneminden söz ederken bunun çoğu zaman “ücret” ya da “para kazanma” meselesi olarak algılandığını ifade ettiniz. Oysa şuna dikkat etmek gerekiyor: Paranın ekonomik döngü içerisinde yurt içinde kazanılıp yurt içinde harcanması, o ülke için zararlı değil; tam tersine faydalıdır. Bugün birçok ülkede artık işsizlik maaşının ötesinde “vatandaşlık maaşı” tartışılıyor. Yani kişi hiçbir şey yapmasa bile devletin ona para vermesi ve bu paranın harcanarak ekonominin dönmesi hedefleniyor. Dolayısıyla parayı yurt dışına aktarmadığınız sürece, bir firmanın ya da bireyin para kazanmasının ülke açısından olumsuz bir tarafı yoktur. Aksine, ekonomiyi canlandıran bir etkisi vardır. Bu yaklaşım hem modern ekonomi teorilerinde hem de İslam’da karşılığını bulur. Yani paranın yatmasını İslam da sevmiyor. Diyor ki para harekette olsun. Faizde yatmasın diyor değil mi? Özü itibarıyla mesele budur: Paranın hareket hâlinde olması.
Dolayısıyla bir ürünü müşteriye sunduğumuzda, bunun karşılığında elde edilen geliri Türkiye’de maaş olarak ödüyorsak, yazılımı Türkiye’de geliştiriyorsak, kirasını ve elektriğini Türkiye’de ödüyorsak burada herhangi bir sorun yoktur. Tam tersine, ülke ekonomisi için son derece faydalı bir faaliyet yürütülmektedir. Üstelik bu aynı zamanda bir ikame yaratır. Çünkü biz üretmeseydik, bu ürün yurt dışından alınacak ve doğrudan cari açık olarak ekonomiye yansıyacaktı.
İkinci önemli konu şu: Eğer bu alanda aklımız başımıza çok geç gelirse, iş işten geçmiş olabilir. Savunma sanayiine baktığımızda, bugünkü noktaya gelmesi yaklaşık yirmi yıl sürdü. Oysa bugün bir savaş ortamı çok daha yakınken, önümüzde yirmi yıllık bir zaman yok. Bu nedenle siber güvenlikte harekete geçmek için bir duvara çarpmayı beklememeliyiz. Bu son derece net bir durum.
Sorunuza gelecek olursak; ulusal siber güvenlik ekosistemi açısından LABRİS, kendi alanında “buz kıran” işlere imza atmış bir firmadır. En büyük katkımız nedir diye sorarsanız, yaklaşık beş yüzü aşkın profesyonel geliştiriciyi sektöre kazandırmış olmamızdır. Bu insan kaynağı, teorik değil; doğrudan sahada, deneyimle yetişmiştir. Bugün bu kişiler Türkiye’nin önde gelen şirketlerinde, siber güvenlik ve yazılım alanlarında ürün geliştiren ve yöneten pozisyonlarda görev almaktadır. Bu, bizim açımızdan en önemli kazanımlardan biridir.
Bunun yanı sıra, şirket kurucularımızın temel yaklaşımı, kazanılan bilgi birikimini yeniden kamuya ve topluma aktarmak olmuştur. Ben öğrencilik yıllarımda dahi bir öğrenci topluluğunda başkanlık yaptım ve 1999 yılında, tamamen öğrenci imkânlarıyla “Bilişim Teknolojileri Işığında Eğitim” başlıklı bir konferans düzenledik. Bu anlayış sonraki yıllarda da devam etti.
Bugün Linux Kullanıcıları Derneği, Türkiye Bilişim Derneği, Bilgi Güvenliği Derneği, Haberleşme Teknolojileri Kümelenmesi ve SAHA İstanbul gibi birçok sektörel yapının içinde aktif olarak yer alıyoruz. Bu çalışmalara zaman ayırmaktan hiçbir zaman kaçınmadık. Siber Güvenlik Kümelenmesi de bu anlamda önemli bir yapıydı ve burada özellikle insan kaynağı yetiştirme konusunda ciddi katkılar sunduk. Elbette her alanda yüzde yüz başarıdan söz edilemez; ancak bu çalışmaların başlatılmış olması bile son derece kıymetlidir.
Bugün ekosisteme katkı başlığı altında, Türkiye’nin bu alandaki ilk sivil toplum kuruluşlarından biri olan Bilgi Güvenliği Derneği’nde genel sekreterlik görevini yürütüyorum. Bu dernek, sektördeki pek çok mevzuatın oluşmasına ve ilk Ulusal Siber Güvenlik Eylem Planlarının hazırlanmasına öncülük etmiş bir yapıdır. Bu çerçevede ekosisteme katkı sağlamaya devam ediyoruz.
Ayrıca Labris Networks olarak insan kaynağı yetiştirme çalışmalarımız sürüyor. Hem kendi personelimiz için hem de LCSA ve LCSP adlı iki farklı sertifikasyon programı ve üç ayrı eğitim müfredatıyla profesyonel sertifikasyon faaliyetleri yürütüyoruz. Ancak tüm bunların ötesinde, ekosisteme en büyük katkımız şudur: Labris, tüm ekosisteme cesaret vermiştir. “Türkler bu işi yapabilir” fikrini ortaya koymuş ve bunun mümkün olduğunu göstermiştir. Bugün yalnızca Labris değil, birçok yerli firma bu alanda başarılı işler yapıyor hem Türkiye’de hem de dünyada ilerliyor. Bunu da belirtmek lazım.
Murat PEHLİVAN: Labris’in 2001 yılında, henüz çevirmeli ağ (dial-up) döneminde bu işe girmesi vizyonunuzun ne kadar köklü olduğunu gösteriyor. Bu öncülükten yola çıkarak şunu sormak istiyorum: Mevcut yasal çerçeve; KVKK, sektörel standartlar ve altyapı yönetmelikleri bağlamında kurumlar için yeterli mi? Gözlemlediğiniz eksikler neler?
Oğuz YILMAZ: Mevzuatın asgari bir çerçeve belirleme açısından önemli bir işlevi var. Mevzuattan beklentimiz; herkes için bir minimum seviye tanımlaması yapması ve ortak bir yol haritası sunmasıdır. Mevzuatın özü aslında budur. Bugün siber güvenlik ve bilgi güvenliği alanına baktığımızda, temel olarak birkaç ana kanun öne çıkıyor. Bunlar; Elektronik İmza Kanunu, Kişisel Verilerin Korunması Kanunu, bilişim suçlarıyla mücadeleyi düzenleyen 5651 sayılı Kanun ve yeni yürürlüğe giren Siber Güvenlik Kanunu’dur. Haberleşme mevzuatı içerisinde yer alan çeşitli hükümler de olmakla birlikte, esas çerçeve bu dört kanun ve bunlara bağlı yönetmeliklerle çiziliyor.
Bu düzenlemeler, kurumlar için bir asgari seviye belirlenmesi açısından son derece önemli. Dünya ölçeğinde bakıldığında da bu alanda belirli çalışmalar yapıldığını görüyoruz. Ancak siber güvenliğe özel bir kanunun çıkarılması konusunda geç kalındığını söylemek yanlış olmaz. 2025 yılında Siber Güvenlik Kanunu’nun yürürlüğe girmesi ve Siber Güvenlik Başkanlığı’nın kurulması bu açıdan önemli bir dönüm noktasıdır. Öncesinde Dijital Dönüşüm Ofisi bünyesinde yürütülen çeşitli çalışmalar ve yayımlanan genelgeler, kamu kurumlarını belirli bir olgunluk seviyesine taşımayı hedefliyordu. Siber Güvenlik Başkanlığı ile birlikte bu çalışmaların daha kapsamlı ve sistematik biçimde yürütülmesi mümkün hâle geldi. Bunun kurumlar açısından önemli faydalar sağlayacağını söyleyebiliriz.
Kurumlar, bu çerçeveleri referans alarak kendi siber güvenlik olgunluklarını ölçebilirler. Burada unutulmaması gereken temel bir ilke var: Ölçemediğiniz hiçbir şeyi yönetemezsiniz. Önce ölçmek, ardından iyileştirmek ve bunu düzenli olarak tekrarlamak gerekir. Siber güvenlik zaten doğası gereği böyle bir süreçtir. Bu alan, bir “maksimum” hedefi değil, “optimum” dengeyi gerektirir. Çünkü maksimum güvenlik hedeflendiğinde maliyetler aşırı yükselebilir ya da sistemlerin kullanılabilirliği ciddi şekilde düşebilir. Kurumların, maliyet, kullanılabilirlik ve riskleri birlikte değerlendirerek kendi siber güvenlik hedeflerini belirlemesi gerekir.
Elbette her kurumun koşulları farklıdır. Yürüttüğü faaliyetler, işlediği bilginin niteliği ve kurumsal sorumlulukları birbirinden ayrıdır. Bu nedenle herkes için geçerli tek bir hedef tanımlamak mümkün değildir. Ancak burada sıklıkla gözden kaçan önemli bir nokta var. Bunu Mustafa Kemal Atatürk’ün “Hattı müdafaa yoktur, sathı müdafaa vardır” sözüyle ifade edebiliriz. Yani yalnızca kamu kurumlarının siber güvenliğini kanunlarla güçlendirmeye odaklanmak yeterli değildir.
Bugün tek bir fabrikanın bile ülkenin üretim zincirinde hayati bir rol oynayabildiğini görüyoruz. Örneğin poliüretan üreten bir tesis, tekstil dâhil birçok sektörü doğrudan etkileyebilir. Bu da doğrudan ülke ekonomisini ilgilendirir. Dolayısıyla bu tür tesislerin güvenliği, sadece şirket özelinde değil, ulusal ölçekte önem taşır. Yakın zamanda yaşadık. İngiltere'de bir motor fabrikası iki ay boyunca üretimini durdurmak zorunda kaldı. Nitelikli Jet motorları üreten bir fabrika. Bu bir ülke için büyük bir dert.
Murat PEHLİVAN: Evet.
Oğuz YILMAZ: Sırların ya da tasarımların çalınması durumunda sorun çok daha büyüyor. Bu nedenle eksikliğimizin, ülkeye bir bütün olarak bakamamak olduğunu düşünüyorum. Regülasyonların yalnızca kamu kurumlarını değil, diğer sektörleri de kapsadığından ve onlara da asgari bir güvenlik seviyesi getirdiğinden emin olmamız gerekiyor.
Bu noktada Avrupa Birliği’nin yaptığı çalışmaları önemsiyorum. Avrupa Birliği, Siber Güvenlik Yasası ve Siber Dayanıklılık Yasası olmak üzere iki ayrı düzenleme hayata geçirdi. Üretilen her ürünün siber dayanıklı olmasını temel bir şart olarak ele aldı. Bunun yanında altyapıların ve fabrikaların güvenliğini sağlamak amacıyla da çeşitli mevzuatlar oluşturdu. Bu açıdan bakıldığında, mevzuat tarafında hâlâ almamız gereken bir mesafe olduğunu söylemek mümkün.
Murat PEHLİVAN: Avrupa’ya değinmişken soruyu buradan devam ettirmek istiyorum. Türkiye’de siber güvenlikle ilgili regülasyonlar henüz tam anlamıyla oturmuş değil; ancak bir mevzuatımız ve kanunumuz da var. Kurumların, Avrupa ve Amerika’daki standartlara uyum sağlaması konusunda tabloyu nasıl görüyorsunuz? Zorluklar var mı? Labris’in yurt dışı faaliyetlerinde bu alanda karşılaştığı başlıca sorunlar neler? Daha genel anlamda sektörün yaşadığı zorlukları nasıl değerlendiriyorsunuz?
Oğuz YILMAZ: Aslında burada mesele sadece Labris değil; sektörün genel bir sorunu var. Sektörün derdi derseniz, gerçekten çok sayıda başlık sayabiliriz. Ancak en temel sorunlardan biri şu: Yerliliği zorlayıcı bir mevzuatımız yok. Çok net söyleyebilirim; özendirici ve tavsiye edici düzenlemeler var ama zorlayıcı, bağlayıcı bir mevzuat yok. Bence en önemli eksiklik de bu.
Ben uzun süredir profesyonel iş hayatındayım. Yerlilikle ilgili geçmişte iki ya da üç tane Başbakanlık genelgesi gördüm. Ancak genelge seviyesindeki düzenlemelerin, niyet beyanı ve teşvik etkisinin ötesine pek geçmediğini defalarca tecrübe ettim. Bu nedenle artık zorlayıcı, kanun niteliğinde hükümlere ihtiyaç olduğunu düşünüyorum.
Yurt dışına baktığımızda, özellikle Amerika Birleşik Devletleri’nde bu konuların çok net biçimde kanunlarla düzenlendiğini görüyoruz. Örneğin ABD, 5G altyapılarında Çin menşeli ürünlerin kullanılmasını tamamen yasakladı. Bunu yaparken “küresel sistem”, “ticari dengeler” ya da “uluslararası anlaşmalar” gibi gerekçelerin arkasına sığınmadı. Ülke güvenliği açısından önemini gördü ve doğrudan adım attı. Türkiye’nin de siber güvenlik ve stratejik teknolojiler konusunda benzer bir kararlılığı ortaya koyması gerektiğini düşünüyorum.
Murat PEHLİVAN: Kurumlar bu yeni döneme nasıl hazırlanmalı, nasıl bir aksiyon almalı?
Oğuz YILMAZ: Bence bu konuda mutlaka aksiyon alınması gerekiyor. Ancak bir kanun hazırlanırken ya da yurt dışındaki örneklere bakılırken, düzenlemeleri olduğu gibi almak da doğru değil. Önemli olan, bu düzenlemelerin ülkenin yapısına uyup uymadığına ve gelecekte ne gibi sonuçlar doğuracağına bakmak. Bu durumu anlatırken ben genellikle miras hukuku örneğini veriyorum. Atadan kalan bir miras, çocuklara ve torunlara bölüne bölüne üçüncü nesilde bir arsaya bakıyorsunuz; iki yüz, üç yüz ortağı olan bir yapı ortaya çıkıyor. Sonuçta o arsada ne üretim yapılabiliyor ne de sağlıklı bir kullanım mümkün oluyor. Oysa bu sonuç baştan öngörülebilir bir durumdu. Kanunu olduğu gibi aldığınızda, uzun vadede böyle sorunlarla karşılaşabiliyorsunuz.
Bu nedenle bizim için doğru olanın ne olduğunu, gelecekte hangi sonuçları doğuracağını iyi hesaplayarak düzenleme yapmak gerekiyor. Türkiye’de siber güvenlik alanındaki temel sorunlardan biri, uzun süre merkezi ve tekil bir yönetişim yapısının bulunmamasıydı. Bu eksiklik artık giderildi. Siber Güvenlik Başkanlığı bu anlamda çok çok önemli. Biz buna çok önem veriyoruz ve başarılı olacağına inanıyoruz. Üzerimize düşen ne varsa yapmaya da hazırız.
Bugün yürürlüğe giren ilk Siber Güvenlik Kanunu, bana göre biraz da Siber Güvenlik Başkanlığı’nın kuruluş kanunu niteliğinde. Önümüzdeki dönemde yapılacak değişikliklerle bu düzenlemenin daha güçlü bir “Siber Güvenlik Kanunu” kimliği kazanacağını ve eksik mevzuatların hızla tamamlanacağını düşünüyorum. Ancak dediğim gibi kendi ürünlerimizi kullanma konusunda cesur olmamız; hatta cesaretten öte, net bir irade ortaya koymamız lazım. Başka ülkeler bunu bu şekilde yapıyor ve başka türlü de başarı sağlanamıyor. Avrupa örneğine baktığınızda da bunu görmek mümkün. Avrupa’nın bu alandaki başarısızlığının temelinde de yeterli iradenin ortaya konulamaması yatıyor.
Murat PEHLİVAN: Aslında tam da bunu soracaktım; siz büyük ölçüde yanıtladınız ama biraz daha açmak istiyorum. Bu durum sadece siber güvenlik sektörüne özgü değil. Türkiye’de birçok alanda benzer süreçler yaşandı. Örneğin haberleşme sektöründe… Yanlış hatırlamıyorsam 2005–2006 yıllarında, ilk 3G ihalesi yapıldığında Telekomünikasyon Kurumu şunu fark etti: Türkiye’de haberleşme sektöründe yerli üretim neredeyse yoktu. Bir modemimiz yoktu, baz istasyonu antenimiz yoktu. Fiber kablo gibi bazı unsurlar vardı ama çekirdek teknolojiler tamamen dışa bağımlıydı. O dönemde Telekomünikasyon Kurumu, haberleşme sektöründe yerliliği artıracak tedbirler alınması gerektiğine karar verdi. Aslında bu, klasik anlamda bir regülasyon otoritesinin görevi değildi. Ancak orada bir irade ortaya kondu ve bu irade uygulandı. Bugün haberleşme sektöründe Türkiye’nin geldiği nokta, inişleri çıkışları ve oranları bir kenara bırakırsak, önemli bir dönüşüme işaret ediyor. En azından artık bu alanda bir irade var ve bir yola girilmiş durumda. Bu çerçevede siber güvenlik alanında da kamu ve özel sektör arasındaki iş birliklerinin güçlenmesi, daha derin ve kalıcı hâle gelmesi gerekiyor. Sizce bu iş birliğini geliştirmek için atılması gereken kritik adımlar neler olmalı?
Oğuz YILMAZ: Siber güvenlik alanında önde olan ülkeleri analiz ettiğimizde şunu görüyoruz: Bu ülkelerde hem üretici hem de servis firmaları açısından güçlü bir KOBİ tabanı var. Yani sektör ne kadar gelişmişse, ülkenin siber güvenlik seviyesi de o kadar yükseliyor. Doğru. Mekanizma ne olabilir? Ürüne daha kolay erişim sağlanıyor, yerel riskler daha iyi anlaşılıyor, yerel insan kaynağı daha nitelikli yetişiyor ve sayı olarak da güçleniyor. Bugün baktığımızda bu ülkelerde bu yapıyı net biçimde görüyoruz. Dolayısıyla ülkemizin yapması gereken en önemli şey, siber güvenlik alanında yetkin firma sayısını artırmak olmalı. Firma adedi nasıl artırırsınız? Firmaları yaşatarak. Girişimler çıkıyor; girişimcilik Türkiye’de sanılanın aksine çok güçlü. Her ne kadar olumsuzluklar konuşulsa da Türk insanı gerçekten girişimci. Ancak bunun için bir ortam oluşturmanız gerekiyor. Bu ortamın en temel unsuru da şu: Üretilen ürünü ve hizmeti gerçekten kullanmak. Bu noktada yapılacak en önemli şey bence bu.
Murat PEHLİVAN: Alıp rafa koymamak lazım.
Oğuz YILMAZ: Kesinlikle. Kamuda, bilgi işlem daire başkanlarının ürünleri altı ay boyunca demo olarak kullanıp sonra başka bir ürüne geçen ve bunu “hiç para harcamadan ürün kullanıyorum” diye övünerek anlatan örneklerini maalesef gördüm. Bu bir marifet değil; tam tersine ülkeye çok büyük zarar. Biz üreticiler kazanmalıyız ki sürdürülebilir olalım. Sürdürülebilirliği ve ürünün niteliğini ölçmenin pek çok yolu var. Ürüne bir yol haritası çizebilirsiniz, belli sertifikasyonları şart koşabilirsiniz, hedefler belirleyebilirsiniz. Şartnamelerin de buna imkân tanıyacak şekilde hazırlanması gerekiyor. Sonuçta yapılması gereken şey, KOBİ tabanının güçlenmesi. Aslında bu her sektör için geçerli. Bir ülkede KOBİ tabanı güçlü olan sektörlerde başarı geliyor. Siber güvenlik de ancak bu şekilde gelişebilir.
Savunma sanayii bunun en net örneği. Bugün ana yüklenicilerle birlikte, onlara iş yapan çok güçlü bir KOBİ ağırlığı var. Örneğin Saha İstanbul’a baktığınızda on binin üzerinde üye görüyorsunuz. Ben de aynı zamanda Saha İstanbul’da yazılım, dijital dönüşüm ve otomasyon komitesinin başkanlığını yürütüyorum. Bu çok ciddi bir rakam ve savunma sanayiinin gücünün temel nedenlerinden biri. Siber güvenlik de bu modeli örnek almalı. Kamu ve özel sektörün nasıl iş birliği yapacağı meselesine gelince; öncelikle bir güven tesis edilmesi gerekiyor. Bu güven, ülkemizin yakın dönemde karşılaştığı riskler de gözetilerek oluşturulmalı. Şirketlerin akredite edilmesi, yetkilendirilmesi, personelin yetkilendirilmesi ve bu çerçevede bir mevzuat oluşturulması şart. Ardından bu güven ortamıyla, ortak hedef doğrultusunda kamu ve özel sektör birlikte çalışmalı.
Kamu, özel sektörle yapılabilecek işleri kendi yapmaya çalışmamalı. Özel sektör bu işleri üstlenebildiğinde güçlenir. Bu durum ülkenin toplam maliyetini de artırmaz. Çünkü işi yapan insan aynı insan, maaş aynı maaş, yapılan iş aynı iştir. Burada ülkenin toplamda ne kazandığına ve ne kaybettiğine bakmak gerekir. Bu sayede firmalar büyür, yurt dışından iş alır ve çok uluslu hale gelebilir. Önümüzdeki dönemde Türkiye açısından kritik olan da budur. Özellikle kültür havzası dediğimiz, aslında geleceğin ittifaklarını ifade eden bölgelerde Türkiye unsurlarıyla var olmalı ve bu ülkelerin güvenliğini de sağlayabilmelidir.
Bir Türk siber güvenlik ürünü; Türk Devletleri Teşkilatı’ndaki bir ülkenin, Libya’nın ya da Malezya’nın siber güvenliğini sağlayabilecek seviyeye gelmeli. Bu da ancak buradaki firmaların güçlenip o ülkelerde çalışmaya başlamasıyla mümkün olur. Kaynağı burada yaratacaksınız, firmalar oraya gidecek, kendilerini gösterecekler. Yapabileceklerini biliyoruz; zaten biz de bunu sahada görüyoruz. Bu sayede Türkiye’nin etki alanı güçlenir. Bu, son derece stratejik ve üst düzeyde ele alınması gereken bir konudur.
Murat PEHLİVAN: Aslında burada en kritik noktalardan biri de şu. Kamudaki yöneticiler, bilgi teknolojileri genel müdürleri, daire başkanları ve benzeri yapılar çoğu zaman şu yolu tercih ediyor: Yazılımcı ekipler kurup kendi ihtiyaçlarını kendi bünyelerinde karşılamaya çalışıyorlar. Ben bunun sektörün gelişmesi açısından çok ciddi bir handikap olduğunu düşünüyorum.
Oğuz YILMAZ: Evet, bu yaklaşım kurum açısından da doğru değil. Yazılım işi özünde “bir kere yap, yüzlerce hatta binlerce kez sat” mantığıyla yürür. Bir kere yapıp sadece bir kurumda kullanılan yazılım, yüksek maliyetli ve düşük verimli bir iştir. Bunu çok net söylemek gerekiyor. Eğer bu işi bir yazılım firmasıyla yaparsanız, o firma geliştirilen yazılımın tamamını olmasa bile belli bileşenlerini farklı projelerde de kullanabilir. Böylece “bir kere yap, yüz kere, bin kere sat” mantığı devreye girer ve gerçek verimlilik sağlanır. Kurum içinde yapılan yazılım ise baştan itibaren verimsizdir. Öte yandan kurum, kişilere aşırı bağımlı hâle gelir. Yazılımdan sorumlu kilit bir kişi kurumdan ayrıldığında sistem kilitlenir, yazılım ilerleyemez. Kamuda bunun gibi onlarca proje örneği var. Siz benden daha iyi biliyorsunuz.
Murat PEHLİVAN: Çok yanlış bir uygulama.
Oğuz YILMAZ: Kesinlikle. Bu noktada bence en önemli şey, özel sektöre gerçekten güvenmek. Ben her şeyden önce insana değer veririm. Karşınızda Türkiye Cumhuriyeti vatandaşı bir insan varsa, ona güvenmeniz gerekir. Onu sadece parasını almaya gelmiş bir tüccar gibi görmemek lazım. O kişi bu ülke için çalışıyor.
Murat PEHLİVAN: Sonuçta ortaya çıkan ürün bu ülkenin değeri. Bu ürün yurt dışına satıldığında ya da başka kamu kurumlarında kullanıldığında, firma ekstra bir şey yapmış olmayacak; daha iyisini yapmak için çalışmış olacak. Burada yöneticilere düşen görev; standartları yukarı çekmek, firmalar için olduğu kadar kurumlar için de anlamlı kriterler belirlemek ve firmaları daha iyisini yapmaya zorlamak. Bu yaklaşım hem kurumlar hem de ülke için faydalı bir süreç olur. Peki siz Türkiye’de siber güvenlik farkındalığını nasıl gözlemliyorsunuz? Özellikle yönetim kurulu üyeleri, CEO’lar, genel müdürler gibi üst yönetim seviyesinde bu farkındalığı artırmak için neler yapılmalı? Malum bir söz vardır: Balık baştan kokar.
Oğuz YILMAZ: Evet, bir de şu söz var: “Bir musibet, bin nasihatten iyidir.” Maalesef siber güvenlik alanında farkındalık biraz da bu şekilde oluştu. Gerek özel sektörde gerek kamuda, sadece Türkiye’de değil tüm dünyada yaşanan olaylar siber güvenliğin önemini ister istemez görünür hâle getirdi. Bugün siber güvenlik, artık yalnızca bilgi işlem birimlerinin konusu olmaktan çıktı. Hatta birçok kurumda genel müdüre bile değil, doğrudan yönetim kuruluna bağlı risk yöneticileri tarafından ele alınan bir başlık hâline geldi. Bu da yöneticilerin siber güvenliği yalnızca teknik bir mesele olarak değil, kurumsal risk ve sürdürülebilirlik başlığı altında değerlendirmeye başladığını gösteriyor.
Murat PEHLİVAN: Ama çoğu zaman hâlâ bilgisayar işi olarak görülüyor.
Oğuz YILMAZ: Evet. Oysa burada rolün ve sorumluluğun net biçimde ayrılması çok önemli. Siber güvenliğe, “üzerine düşeni yaptı mı?” sorusunun düzenli olarak sorulduğu, denetlenen bir regülasyon alanı olarak bakılmalı. Bu hem kamu hem özel sektör için geçerli.
Öte yandan teknoloji hızla gelişiyor. Yapay zekânın siber güvenliğe büyük etkisi var; veri trafiği büyüyor, şifreli trafik artıyor, ağ topolojileri giderek merkezileşiyor. Biz Labris olarak ürünlerimizi bu eğilimlere uygun şekilde geliştiriyoruz. Teknik olarak ortaya konan ürün, kurumun güncel siber güvenlik ihtiyaçlarını ve tehdit ekosistemini karşılamalı. Bu nedenle doğru satın alma, yalnızca “yerli ürün” olduğu için yapılan bir satın alma değildir. Ürün yerli olabilir ama aynı zamanda gerekli siber güvenlik prensiplerini ve fonksiyonlarını sağlamalı, kuruma net bir yol haritası sunmalıdır. Şirket, geleceği doğru okuduğunu ve ürünlerini zaman içinde buna göre geliştireceğini de ortaya koyabilmelidir. Başlangıçta çekinceler varsa, bunları gidermek için uygulanabilir bir yöntem var: Örneğin sınır güvenliğinde bir katman yerli, bir katman daha önce kullanılan yabancı ürün olabilir. Güven oluştukça yerli ürünün fonksiyonları artırılır. Yabancı ürünlerde sorun yaşandığında ise tüm altyapı zaten hazır olur. Bu son derece uygulanabilir bir model. Askerî kurumlarda bunun başarılı örneklerini görüyoruz.
Murat PEHLİVAN: Türkiye’nin siber güvenlik alanında ciddi bir potansiyeli var. Bölgesel bir merkez olma hedefi açısından hangi politika adımları atılmalı?
Oğuz YILMAZ: Türkiye, Avrupa Birliği sürecinin ardından Türk Devletleri Teşkilatı ekseninde yeni bir yönelim içinde. Çevresindeki ülkelerle karşılıklı saygı ve güven temelinde ilişkiler kurmaya çalışıyor. Türkiye, tarihsel olarak çok daha geniş bir coğrafyanın mirasçısı ve bu herkes tarafından biliniyor. Etki alanı çok büyük. Bir birlik oluşacaksa, Avrupa Birliği örneğinde olduğu gibi lokomotif ülke Türkiye olur. Bu coğrafyada sanayisi en gelişmiş ülke Türkiye. Dolayısıyla altyapıyı, sanayiyi ve kritik sistemleri Türkiye kurar. Siber güvenlik de bundan farklı değil. Hatta daha kolay; fiziksel mal taşımıyorsunuz, yazılım ve hizmet sunuyorsunuz. Bu nedenle Türkiye, siber güvenlikte bölgesel bir güç olma hedefini rahatlıkla taşıyabilir.
Murat PEHLİVAN: Bu hedefe ulaşmak da aslında çok zor değil. Potansiyel var, kültürel bir havza da mevcut.
Oğuz YILMAZ: Bunun en somut örneklerinden biri SİHA’lar. Savunma sanayisinde, coğrafyanın birçok ülkesinde ürünlerimiz kullanılıyor. Bu çok daha fazla mevzuata tabi bir alan. Siber güvenlik ise görece daha esnek. Yeter ki şirketlerin hareket edebilmesi için alan açılsın ve kullanıcı olunsun. Kümelenmeler, hızlandırıcı programlar, yatırım ekosisteminin güçlenmesi bu alanda çok önemli. Son çıkan siber güvenlik kanununda yatırım ekosistemini zorlayabilecek bazı maddeler olsa da bunların zamanla düzeltileceğine inanıyorum. Çünkü yatırım olmadan bu alan gelişmez. Diğer ülkeler fikri olan girişimciye çekirdek fon sağlıyor, ölçeklenme aşamasında önüne müşteriler koyuyor ve küresel liderler ortaya çıkıyor. Türkiye’nin de bunu yapması gerekiyor. Biz şirketler olarak organik büyümeye çalışıyoruz ama yatırımın rolü tartışmasız şekilde çok kritik.
Murat PEHLİVAN: Yatırım anlayışının, özellikle Türkiye’de artık arsa ve otomobil mantığından çıkması gerekiyor.
Oğuz YILMAZ: Aslında halkımız buna çok açık. Savunma sanayii firmalarımızın ismi geçtiğinde toplumda büyük bir saygı oluşuyor, insanların gözünde bir güven var. Gözünde ışık yanıyor, yani güveniyor. “Buna yatırım yap” dediğinizde, doğru ortam ve fonlar oluşturulursa, halkımız cebinden parasını çıkarıp verir. Buna hazırlar.
Murat PEHLİVAN: Son dönemde çıkan kitle fonlaması modelleri bu açıdan çok kıymetli.
Oğuz YILMAZ: Kesinlikle kıymetli.
Murat PEHLİVAN: En azından yatırım kültürümüzü ve bakış açımızı değiştirmeye başlamamız gerekiyor. Dediğim gibi; arsa, daire, otomobil modundan çıkmamız şart.
Peki Oğuz Bey, son soruya geçiyorum. Labris 23–24 yıllık bir firma. Bu deneyiminiz ışığında, Türkiye’de siber güvenlik ekosistemini güçlendirmek için atılması gereken en kritik üç adımı tek cümlede özetlemenizi rica etsem.
Oğuz YILMAZ: Aslında üç değil de bir tane seçecek olsam şunu söylerim: Türkiye, kamusu, askeri ve özel sektörüyle kendi ürünlerine kullanıcı olmalı. Bunun yaratacağı etki başka hiçbir şeyle kıyaslanamaz. İkinci olarak yatırım ekosisteminin iyileştirilmesi gerekir. Üçüncü olarak da bu alanda daha korumacı bir mevzuata ihtiyaç var. Siber güvenlik, stratejik bir alan ve burada korumacı düzenlemeler kaçınılmaz.
Murat PEHLİVAN: Bence de bu ihtiyaç çok net. Çünkü siber güvenlik artık sadece bilgisayarların korunması değil; hayatın tamamının korunmasıyla ilgili bir konu hâline geldi. Bu nedenle ABD’nin Çinli firmalara uyguladığı ambargoyu da yadırgamıyorum. Türkiye’nin de benzer tedbirleri gecikmeden alması gerektiğine inanıyorum. Bu konuda mutlaka adım atılmalı ve gerekli önlemler bir an önce hayata geçirilmeli. Son olarak eklemek istediğiniz bir şey var mı?
Oğuz YILMAZ: Bugün gerçekten çok önemli başlıklara değindik. Bu tür sohbetleri ilerleyen dönemlerde de yapmak gerekir; çünkü siber güvenlik çok hızlı değişen bir alan. Bugün konuştuğumuz konular yarın farklı gerçekliklerle karşımıza çıkabiliyor. Önemli olan yöneticilerin bunun farkında olması ve özel sektörü ile sivil toplum kuruluşlarını asli paydaşlar olarak görmesi. Bunlar sağlandığında başarı kaçınılmaz olur. Türkiye Cumhuriyeti, tarih boyunca milletinin gücüyle her zorluğun üstesinden gelmiştir. Millet de biziz; devlet için çalışan herkesiz.
Murat PEHLİVAN: Aynen öyle. Oğuz Bey, çok teşekkür ediyorum. Yılın ilk sayısında bizimle birlikte oldunuz. Labris Network’ün de 2026 itibarıyla çeyrek asrı geride bırakacağını görüyoruz. Yirmi beşinci yılınızı kutlayacaksınız. 25. yılınız şimdiden kutlu olsun. Labris Network’ün ülkemiz ve milletimiz için daha nice uzun yıllar katma değer üretmesini diliyoruz.
