Şirketlerin güvenlik açıklarını bulma ihtiyacını hızlı ve güvenilir bir şekilde gidermek için yola çıkan BugBounter, şirketler ile bağımsız siber güvenlik uzmanlarından oluşan ekosistemini platform üzerinde bir araya getiriyor. BugBounter Kurucu Ortağı Arif Gürdenli ile yaptığımız keyifli röportajı aşağıda bulabilirsiniz…
Bugbounter macerasından bizlere bahsedebilir misiniz?
Murat Lostar ve Ozan Vakar ile birlikte kurduğumuz BugBounter üzerinden bağımsız siber güvenlik araştırmacılarının (beyaz şapkalı etik hackerların) niteliksel ve niceliksel gücünü doğrulama süreçlerinden geçirerek şirketler ile buluşturuyoruz. Hacklenmeyen bir dünya vizyonuyla serbest çalışan siber güvenlik uzmanlarından güç alan bir ekosistem kurmayı hedefliyoruz. Şirketlerin siber saldırılara karşı aldıkları önlemlerin doğrulamasını yapacak bu test sürecini demokratik bir biçimde yürüten tek platformuz. Platformdaki paydaşlarımız, kurumlar, bağımsız araştırmacılar ve doğrulayıcılardan oluşuyor.
Yazılım ekibimizde 3 kişi yer alıyor. Dışarıdan düzenli hizmet aldığımız yarı zamanlı uzmanları da dahil edersek, toplam 9 kişilik bir ekibiz.
Pazar araştırmaları ve fikir geliştirme süreci başlangıçta 3 ay sürdü. Tüm geliştirmelerimizi tasarım odaklı düşünce metodolojisi ile gerçekleştiriyoruz. Ürünün kurgusal tasarımlarını devamındaki 3 ayda tamamladık. 12 ayda da yazılımı geliştirdik ve testlerimizi gerçekleştirdik. Böylece hizmete açabilir hale getirdik. Platformda ilk teste açtığımız program kendimizinki oldu.
Girişim konusunda zorluklar yaşadınız mı? Bu konuda yaptığınız yatırımlar neler?
Girişim dünyası ekosistemini çok işbirlikçi ve destekçi buldum. Daha ilk günden itibaren harika dostluklar ve networkler geliştirdik. BugBounter olarak dahil olduğumuz iki hızlandırılmış kuluçka programı İTÜ Çekirdek ve Cube Incubation’dan çok yararlandık. Hem mentorluklar ve eğitimler hem de ilişki ağı açısından bize değer kattılar. Yaşadığımız en büyük zorluk, yenilikçi iş modelini potansiyel müşterilere kabul ettirmek oluyor. Diğer bir deyişle, güçlü referansları kazanmak ve tekerleğin dönmesini sağlamak. Bunun sadece bizim için değil, pek çok girişimci için geçerli bir zorluk olduğunu düşünüyorum.
Şu ana kadar tüm yatırımı kendimiz finanse ettik. Ürünümüz pazara çıktı. Şimdi de yatırım gücümüzü pazarlama ve büyümeye kaydıracağız.
Bizlere hizmetlerinizden bahsedebilir misiniz?
Şimdilik Ödül Avcılığı Programları ve Güvenlik Açığı Bildirimi Programları olmak üzere iki ürünümüz aktif olarak çalışıyor. Ödül avcılığı programlarında şirketler tanımlanmış kapsam dahilinde elde ettikleri geçerli zafiyet raporlarının karşılığında parasal ödüller vadediyorlar. Doğrulama sürecinin tamamlanmasının ardından ödüller ilgili araştırmacılara tarafımızca ulaştırılıyor.
BugBounter’da sistem nasıl işliyor? Kurumlar ve araştırmacılar sisteme dahil olmak için nasıl bir yol izlemeli?
Her şirketin henüz keşfedilmemiş güvenlik açıklarından ötürü siber saldırganlar karşısında bir zafiyeti bulunuyor. Şirketlerin güvenlik ekipleri, çeşitli nedenlerden ötürü yeterince kapsamlı testler için gerekli zamanı ve kaynağı yaratamıyor. Yapılan testler de sıra dışı açıkların keşfedilmesi tarafında yetersiz kalabiliyor. Öte yandan dünya genelinde yüz binlerce kötü niyetli hacker, olası zafiyetleri sömürmek için saldırılarını durmadan güçlü ve sofistike yollarla daha da geliştiriyor.
Biz de BugBounter ile şirketlerin güvenlik açıklarını bulma ve doğrulama ihtiyacını kitle kaynak kullanımıyla hızlı ve güvenilir bir şekilde gidermek için yola çıktık. Bu noktada şirketler ile bağımsız siber güvenlik uzmanlarından oluşan ekosistemimizi platform üzerinde bir araya getiriyoruz. Sistemimizde yer alan uzmanlar, ilgili şirketin taranmasını istedikleri alanlardaki güvenlik açıklarını buluyor ve bu açıkları BugBounter üzerinden raporluyor. Raporların kalite kontrol ve doğrulama süreçleri, platform üzerinde gerçekleştirildikten sonra şirkete iletiliyor. Siber güvenlik uzmanları, buldukları açıkların karşılığında derecesine bağlı olarak para ödüllerini, hediyeleri, hediye çeklerini veya özel takdir duyurularını kazanabiliyor.
Türkiye’deki şirketlerin bug bounty (ödül avcılığı) programlarına bakış açıları nasıl?
Türkiye’de ödül avcılığı programlarına dahil olmuş şirket sayısı çok yüksek değil. Öte yandan bir açık bulunduğunda kendisine haber verilmesini isteyen şirket sayısı daha fazla. Dolayısıyla Türkiye’de bu modeli uygulayan tek kuruluş olarak, Amerika’da kabul görmüş olan bu yenilikçi yöntemin yayılmasına da öncülük edeceğiz.
Bug Bounty sistemi diğer benzer çözümlerden nasıl ayrılıyor? Ne vaat ediyorsunuz?
HackerOne, Synack ve Bugcrowd bu alanda dünya çapında liderliği üstlenmiş durumdalar. Biz de BugBounter olarak yerelleşmiş yaklaşımla platformun hem müşteri hem de tedarikçi tarafındaki topluluğa butik hizmet kalitesini sunuyoruz. Ayrıca farklılaştığımız en önemli husus, tüm işleyişin blockchain teknolojisi ve özel kurguladığımız yapı ile demokratikleştirilmiş olması. Bunu uçtan uca iş akışlarına ve teknolojiye yansıttık.
BugBounter olarak yatırım aldınız mı? Bu konudaki detayları paylaşır mısınız?
Şu anda 7 kişilik bir pre-seed yatırımcı grubu ile iletişimimiz devam ediyor. Bu grup ile el sıkışmaya çok yakınız. Yatırımcıların her biri farklı alanlarda kariyere ve networke sahip olan girişimciler, iş insanları veya üst düzey yöneticilerden oluşuyor. Bu sayede sadece finansal destek değil, büyüme ve iç kontrol alanında da önemli katkılar elde edeceğiz.
Gelecek hedefleriniz ve planlarınız hakkında bilgi verebilir misiniz?
Amacımız, Türkiye’den yola çıkarak önce bölgesel sonra da küresel seviyede siber güvenlik ihtiyaçlarını kitle kaynağı, çözüm ortakları ve yapay zeka ile karşılayacak ekosistemi kurmak. Böylece ülkemizden çıkan küresel bir teknoloji başarı hikayesi yazabileceğiz. Kurucu ortaklar olarak bunu gerçekleştirecek bilgi birikimine, deneyime, ilişki ağına ve azme sahibiz.
BugBounter ile güvenlik açıklarının tespit edilmesi hizmeti ile başlayıp, iş planımızda olan diğer katma değerli hizmetleri de dahil ederek müşterilerimizin yanında olacağız. Bunu sağlarken de özellikle siber güvenlik alanına meraklı olan genç nüfusa sağlıklı bir istidam ve kariyer fırsatı yaratacağız.
İlgili haberler
>> Uzaktan çalışma şirketler için güvenlik risklerini doğurabilir
>> İşte Siber Güvenlik Alanında Gartner Raporunda Yer Alan İlk Türk Şirketi!