Yerli yazılım için yeni test altyapısı

ANKARA (AA) - STM Savunma Teknolojileri Mühendislik ve Ticaret AŞ tarafından kurulan ITSEF (Information Technology Security Evaluation Facility) Laboratuvarı, Türk Standardları Enstitüsünden (TSE) alınan lisans belgesi ile beraber Türkiye’deki 4’üncü, dünyada ise 64’üncü Ortak Kriterler Değerlendirme Laboratuvarı olarak hizmet vermeye başladı.

Laboratuvarda bilişim teknolojileri ürünlerine yönelik güvenlik değerlendirmeleri ve testleri yapılacak, değerlendirme sonucunda ürünlerin güvenlik sertifikasyonları sağlanacak. Yazılım ürünleri için test ve değerlendirme hizmeti verilen laboratuvarda, ilerleyen dönemde donanım ürünlerinin test edilmesi de planlanıyor.

Halen 30 ülkede kabul gören Ortak Kriterler Standardı'nın geçerliliği ve tanınırlığı artıyor. NATO ve Avrupa Birliği tarafından kabul edilen standart, ISO (International Standard Organisation) tarafından da destekleniyor.

Yeni nesil çipli T.C. kimlik kartlarının entegre devreleri ve işletim sistemleri, yeni nesil çipli pasaportların entegre devreleri ve işletim sistemleri, bu sistemlerin uyumlu olduğu kart okuyucular, e-imza altyapısında kullanılan anahtarların yönetimi için elektronik sertifikasyon altyapısı, yazar kasa pos cihazları, sağlık yazılımları ve medikal cihazlar, bilgisayarlardaki işletim sistemleri, veri tabanları, ofis uygulamaları, kripto yazılımları, biyometrik sistemler, güvenlik yazılım ve donanımları gibi birçok ürün için Ortak Kriterler değerlendirmesi yapılıyor.

Türkiye’de toplam Ortak Kriterler Belgesi verilen ürün sayısı (süresi dolanlarla birlikte) 70'e, bu ürünlerin sahibi firma sayısı ise 35'e karşılık geliyor. Türkiye’de verilen belge sayısı dünya ile karşılaştırıldığında oldukça düşük seviyede kaldığı değerlendiriliyor. Almanya ve Fransa’nın verdiği Ortak Kriterler Belgesi sayıları 700 civarında bulunuyor. Bu sayılara bakılınca Türkiye’de oldukça yüksek bir potansiyel olduğu belirtiliyor.

Ortak Kriterler Standardı değerlendirmeleri EAL 1 ve EAL 7 arasında değişiyor. EAL 1 minimum anlamda güvenlik önlemleri, EAL 7 ise azami güvenlik önlemlerinin alındığı ürünler anlamına geliyor. EAL 1’de kara kutu testleri ve daha az dokümantasyon, daha az açıklama, daha az detayda ve daha az testle inceleme yapılırken, EAL 7 seviyesine doğru gidildikçe kaynak kodların, üretim süreçlerinin, testlerin, mimari yapının daha fazla ayrıntı ile incelenmesi yapılıyor. EAL 1’den EAL7 ‘ye doğru gidildikçe güvenlik kalitesi ve inceleme maliyetleri de artıyor. EAL 1 güvenlik garanti seviyesi, daha basit ve umuma açık kullanımdaki ürünlere, EAL 7 seviyesi ise göreve özel daha kritik ürünlere yönelik bulunuyor.

STM Genel Müdür Yardımcısı Ömer Korkut, AA muhabirine yaptığı açıklamada, şirketin siber güvenlik alanında hizmet üretme, ürün geliştirme, proje yapma konularında inisiyatif aldığını söyledi.

Bunlara ITSEF Laboratuvarı ile sertifikasyon hizmetini eklediklerini ifade eden Korkut, bu konuda 2 yıllık bir çalışma yürüttüklerini dile getirdi. Korkut, TSE'nin onayıyla Türkiye'de bu hizmeti veren 4 merkezden biri haline geldiklerini belirtti.

Merkezin EAL 4 seviyesinde Ortak Kriter testi yapma konusunda akreditasyon aldığını anlatan Korkut, "Mevcut durum itibarıyla yazılım ürünlerinin sertifikasyonunu yapabilir durumdayız. Dolayısıyla belli süreçlerden geçerek yazılım üretmeye ihtiyacı olan, belli güvenlik seviyelerini yakalama ihtiyacı olan yazılımların, özellikle siber güvenlik yazılımlarının bu sertifikasyon sürecine başvurmaları ve merkezimizden sertifika almalarını bekliyoruz." dedi.

Korkut, bu sertifika ile yazılım ürünlerinin belli süreçlere uygun olarak geliştirildiğinin teyit edildiğini, bunların içerisinde güvenlik süreçleri ve yazılım geliştirme standartlarının bulunduğunu söyledi. Ömer Korkut, şöyle konuştu:

"Ürünlerin hem güvenlik hem standart geliştirme açısından belli bir olgunluk seviyesinde olduğunun kanıtı olacak bu sertifikasyon. Türkiye'de özellikle siber güvenlik alanında hep şikayet ettiğimiz bir konu var. Türkiye'de kullanılan siber güvenlik ürünlerinin yüzde 95-97'si yabancı menşeli diyoruz. Neden yabancı menşeli ürün tercih ediliyor çünkü bunlar referanslı, dünyada kullanılıyor.

Yerli ürünlerin iç ve dış pazarda yer alması için ürünlerimizin belli olgunluk seviyesinde, güvenli, standartlara uygun olması, yeteneğinin de diğer ürünlere göre bir parça daha yukarıda olması gerekiyor. Bu sertifikasyon yerli ve milli ürünlere yer açacak bir fırsat yaratıyor. EAL 1'den EAL 4'e kadar vereceğimiz sertifikalardan biri alınırsa bu ürünlerin belirli olgunluk seviyesinde olduğunun kanıtı olacak ve ürünlerin yurt içi ve yurt dışı pazarda yer bulmaları için bir avantaj sağlanacak."

Korkut, bu konudaki yetkiyi almalarının ardından yurt içinde geliştirilmiş yerli ve milli bir siber güvenlik ürünün sertifikasyon sürecine başladıklarını bildirdi.

Bu süreçlerin ürünlerin karmaşıklık durumuna göre değiştiğini dile getiren Korkut, "Bu niyeti olan firmalar başvurularını önceden yapıyorlar. Çünkü Türkiye'de sadece 4 laboratuvar var. Buralardan takvim alıyorlar ki pazara çıkma sürelerini bu sertifikasyonu alma durumlarına göre ayarlayabilsinler. Pazardaki ürünler de sertifikasyon alabilir. Bu süreci başlattığımız ürün, kullanılan, pazarda olan bir ürün. Üretici bu sertifikayı da alarak ürününü bir basamak daha yukarıya çıkarma gayreti içerisinde." dedi.

Ömer Korkut, böyle bir laboratuvar için güvenli bir tesis ve altyapı, uzman personel ve bunlarla ilgili yazılımların etkin kullanım kabiliyetlerine sahip olunması gerektiğini söyledi.

Ürün geliştiricisiyle koordineli şekilde yürütülen süreç sonunda sertifikanın verildiğini ve son olarak TSE onayı alındığını anlatan Korkut, "Sertifikasyon sürecini yürüttüğümüz ürün yurt içi ve yurt dışı pazarda kullanılan bir ürün. Bu karmaşıklık seviyesini dikkate aldığımızda yaklaşık 10 aylık bir takvim sonunda ürünü sertifiye etmeyi planlıyoruz." şeklinde konuştu.