Procenne CEO’su Resul Yeşilyurt ile Fintechtime Dergisi Mart & Nisan 2022 sayısı için özel bir röportaj yaptık.
Dijital Güvenlik alanında Mobil Uygulama Güvenliği, E-Posta Güvenliği, Veri tabanı ve Dosya Güvenliği, KVKK(GDPR) Altyapı Güvenliği, SSL Sonlandırma ve Dijital Dönüşüm Projeleri’nde ürün ve çözümler üreten Procenne’in CEO’su Resul Yeşilyurt ile bir araya gelerek sorularımızı ilettik.
Dijital Güvenlik pazarında kritik önem taşıyan yüksek teknoloji ürünler üretiyorsunuz. Procenne’in kuruluş hikayesini sizden dinleyebilir miyiz? Ürün ve çözümlerinizin arkasında nasıl bir vizyon var?
Procenne ödeme sistemleri ve dijital güvenlik alanında hizmet vermek üzere 2013 yılında kuruldu. Kurucularımız, geçmiş iş tecrübelerinde deneyimledikleri, kullanılan ürün ve teknolojilerde dışa bağımlılığı çözmek için ne yapabiliriz sorusuna cevap arayarak bu yola çıktılar. Bu noktada da başlangıç noktası özellikle dijital güvenlik denince akla gelen HSM (donanımsal güvenlik modülü) kullanımında yerli bir alternatif üretmek oldu. Tabi bu işin bir nevi görünen yüzü oldu. Çünkü günümüze kadar HSM üretimine odaklanmanın yanı sıra ödeme sistemleri alanında çeşitli ürün ve çözümler de ürettik. Bunlardan birkaçını şöyle sıralayabiliriz; TROY (Türkiye’nin Ödeme Yöntemi), Rupay (Hindistan Milli Ödeme Sistemi) ve Waricard (Senegal Milli Ödeme Sistemi). HSM Ar-Ge sürecinde, bu örnekler başta olmak üzere pek çok ürün ve çözüm geliştirerek hem Türkiye’de hem de dünyada ödeme sistemlerine yönelik çalışmalar yaptık. 2018 yılına geldiğimizde ise HSM Ar-Ge süreci tamamlanarak ProCrypt ailesinin ilk üyesi piyasaya sürüldü. Bundan sonra günümüze kadar olan süreçte de hem mevcut HSM’in uluslararası sertifikasyon süreçleri adım adım tamamlandı hem de ProCrypt ailesinin yeni üyesi Yeni Nesil HSM Ar-Ge çalışmalarında sona gelindi.
Donanımsal Güvenlik Modülü anlamına gelen HSM (Hardware Security Module) teknolojisi ile bizi yakınlaştırabilir misiniz? Fazla gündeme gelmiyor ama artan veri güvenliği ihtiyacı karşısında nasıl bir rol üstleniyor? Modüller nasıl tasarlanıyor ve işliyor? Sektör büyüklüğü, sektördeki oyuncular konusunda da bilgi almak isterim.
Aslında HSM’ler arkada güvenlik yönetim ofisi gibi çalışıyorlar. Belki son 10-15 yıldır her gün artan bir dijitalleşme ve dijital dönüşüme şahit oluyoruz. Bu süreçler ilerledikçe de dijital güvenliğin ne derece önemli olduğunu maalesef bazen acı tecrübelerle görüyoruz. Özellikle salgın sürecinde dijitalleşme ve dijital dönüşüm daha da hız kazandı ve güvenlik konusuna da daha büyük önem verilmesi gerektiği bir kez daha gözler önüne serildi. Tam da bu noktada hem HSM’ler hem de mobil uygulama güvenliğinin dikkat çekmesi gerekiyor. Çünkü dijitalleşme özellikle mobil cihaz kullanımının yaygınlaşmasıyla ciddi bir hız kazandı ve burada bütün sorumluluğu HSM’lere yüklemek acımasızlık olur. O yüzden mobil uygulama güvenliğine de değinmekte fayda var.
HSM’ler dijital güvenliği donanımsal olarak sağlayan cihazlar. Çeşitli şifreleme algoritmalarının çalıştığı, dışarıdan müdahaleye kapalı, olası bir tehlike anında içindeki verilere erişimi tamamen kısıtlayan bir yapıya sahip. Yetkili kişiler dışında içindeki verilere ulaşmak mümkün değil. Dolayısıyla olası bir yetki dışı erişim çabası, fiziksel kurcalama gibi durumlarda da içindeki veriler tehlikeli kişilerin eline geçmesini engelliyor. Bunun yanı sıra işlemler donanımsal olarak gerçekleştirildiği için performans da daha yüksek oluyor.
Dijitalleşmedeki en büyük paylardan biri de bahsettiğimiz gibi mobil cihazlar ile yürüyen sürece ait. Bu süreçte hem mobil cihaz kullanımı her saniye arttı hem de mobil cihazlarda kullanılan uygulamaların kullanımı yaygınlaştı. Bankacılıktan e-devlet uygulamalarına kadar o kadar çok unsur var ki mobil cihazlardan erişim sağladığımız, burada ilgili uygulamaların alt yapıları her ne kadar HSM’ler ile korunsa da ilgili uygulamanın güvenliği de ayrıca sağlanmalı. Bu noktada in-app protection dediğimiz, uygulama için güvenlik kütüphanesi büyük önem arz ediyor.
Dijital güvenlik sektörü büyük bir okyanus. Gerek ödeme sistemleri üzerine faaliyet gösteren gerekse genel veri koruma ihtiyacı duyan her ölçekteki kurum ve kuruluş aslında dijital güvenlik sektörünün hedef kitlesine dahil oluyor. Sektörü bu nedenle bir okyanus olarak nitelendiriyoruz. Bu okyanusta her saniye bir veri ortaya çıkıyor ve bu verinin güvenliği de bizim de dahil olduğumuz sektör oyuncularının ürün ve çözümleri ile sağlanıyor. Küresel ölçekte baktığımızda hem HSM hem de uygulama içi güvenlik yazılımı üreten 50 civarında şirketten bahsetmek mümkün. Bu şirketlerin bir kısmı Türkiye’de de satış faaliyeti yürütüyor ve pazarı domine ediyor. Biz de Procenne olarak bu sektörde farklılaşmak için ilk günkü değerlerimize bağlı kalarak çalışmaya devam ediyoruz.
Bulunduğunuz pazar konusunda bizi bilgilendirebilir misiniz? Global oyuncuların yoğun olduğu bu alanda nasıl bir rekabet ortamı var, tekelleşen bu ortamda Procenne nasıl ayrışıyor ve neleri farklı yapıyor?
Dijital güvenlik pazarı dijitalleşme ve dijital dönüşüm devam ettiği sürece büyüyen bir pazar olacak. Yapılan bazı araştırmalara göre özellikle HSM pazarının 2027 yılına kadar 6 milyar doları geçmesi ve sektörün yüzde 11,4 oranında büyümesi bekleniyor. Tabi bu oranlar mobil uygulama güvenliği cephesinde çok daha yüksek. Yine 2020 yılında yayınlanan başka bir rapora göre 2025 yılında dünya üzerinde 75 milyar cihazın çevrimiçi bağlantıya sahip olacağı öngörülüyor. Bu durum 5G teknolojisinin faaliyet geçmesi ile daha da artacaktır.
Dediğiniz gibi sektörde global oyuncular yer alıyor. Özellikle bazı oyuncuların ciddi bir yayılımından söz edebiliriz. Ancak bu bizi korkutmaktan ziyade daha çok çalışmaya sevk ediyor. Genç bir ekibiz ve bu ekiple global oyuncularla rekabet etmek bizi daha da dinamik tutuyor. Procenne olarak kendimizi bu global oyuncular arasında görüyoruz. Yaptıklarımızın yanında yapacağımız ihracatlar ile de global oyuncular arasındaki yerimizi sağlama almak için şevkle çalışıyoruz. Ürünler karşılaştırıldığında ilk bakışta birbirinin çok benzeri olarak görünebilir. Ancak işin detayına indiğinizde farklılıklarımızla ayrışmak yönünde ciddi bir çabamız var. Bunu Procenne olarak 2 ayrı noktada net bir şekilde gösterebiliyoruz. Öncelikle biz hem genel amaçlı hem de ödeme sistemlerine yönelik HSM ihtiyacını tek platformda karşılayabiliyoruz. Rakiplerin HSM’leri ya sadece genel amaçlı kullanım için ya da sadece ödeme sistemlerine yönelik modül şeklinde. Biz bu noktada her iki ihtiyaca tek platformda cevap verebiliyoruz. Bu da HSM kullanan kurum ve kuruluşların ilk alım maliyetinde ciddi bir avantaj sağlıyor.
HSM pazarına baktığınızda HSM’lerin birbiri ile haberleşmelerinin olmadığı yönünde bir bilgiye ulaşabilirsiniz. Buna da çözüm üretmemiz gerektiğini düşündük ve uzman mühendis kadromuz bu noktada da HSM havuzu oluşturmayı sağlayan bir çözüm üretmeyi başardı. Böylece bu konuda da rakiplerimizden ayrıştığımızı söyleyebiliriz.
Bir diğer farkımız ise HSM üretirken mobil uygulama güvenliği ürünü de geliştiriyoruz. Bu noktadan baktığımızda rakiplerimiz 2 farklı sektörde faaliyet gösteriyor diyebiliriz aslında. Ya HSM üretiyorlar ya da mobil uygulama güvenliği yazılımı. Biz her iki alanda da ürünü olan tek şirketiz.
Türkiye’nin ilk ticari Donanımsal Güvenlik Modülü olan ProCrypt HSM cihazının üreticisisiniz. Yerli ve milli üretilen ticari ilk HSM olma özelliği taşıyan ürününüzün hedef kitlesi, kullanım alanları, rakiplerinden farkı ve sunduğu avantajlar neler?
Önceki sorularınıza atıf yaparak cevap vereceğim bu sorunuza. Veri güvenliği ihtiyacı olan her ölçekteki kurum ve kuruluş bizim hedef kitlemiz aslında. Bankacılık ve ödeme sistemleri, e-ticaret, sağlık, eğitim… daha birçok sektöre ürün ve çözümlerimizi ulaştırabiliyoruz.
Rakiplerimizden en büyük farkımız edinim maliyetimizin çok daha uygun olması. Bu tabir Procenne ürünleri ucuz, diğerleri pahalı gibi bir algıya sebep olmamalı tabi. Elbette ki üretim sürecinde rakiplerimizle benzer maliyetlerimiz var. Ancak işletim ve bakım sürecinde maliyetlerde farklılık yaratıyoruz. Özellikle yurtiçi kullanımda hizmet süresi avantajımız var. Ancak bu sunduğumuz avantajlardan yalnızca bir tanesi. Sık sık vurguladığımız tek platform özelliği müşterinin edinim maliyetini ciddi oranda düşürüyor. Bu hem yurtiçi hem de yurtdışı müşterilerimiz için geçerli.
Ürettiğiniz yerli ve milli HSM cihazları, PCI PTS HSM v3.0 sertifikasını almıştı. PSM AWARDS 2021’de altın ödüle de layık görüldünüz. PCI PTS HSM v3.0 ve Ortak Kriterler Sertifikasyonu (CC EAL4+) finans sektörüne nasıl bir değer katıyor, hangi sorunları ortadan kaldırıyor?
Bu sertifikaların her ikisi de uluslararası geçerliliği olan, genel amaçlı ve ödeme sistemleri alanlarındaki HSM kullanımı için gerekli olan sertifikalar. Önce 2019’da Ortak Kriterler (CC EAL4+) sertifikamızı aldık. Bu sertifika ile gerek finans sektöründe gerekse diğer sektörlerde genel amaçlı HSM kullanımına yönelik sürecimiz tamamlanmış oldu. Ortak Kriterler Sertifikasyonunun akabinde PCI sertifikasyonu için çalışmalarımızı başlattık. Tabi araya Kovid-19 salgının girmesi sürecimizi biraz uzattı. Bu süreçte ürünün gerekli laboratuvar testleri için nakliyesi konusunda da çeşitli maceralar yaşayarak 2021 yılı Ekim ayında süreci tamamladık. Bu sertifika ile de ödeme sistemleri HSM kullanımı için sürecimizi tamamlamış olduk. PCI, pek çok finansal işlem için regülasyonları ortaya koyan bir otorite. Bu otorite de finans sektöründe ödeme sistemlerine ilişkin HSM kullanımı için ilgili cihazın kendileri tarafında istenen testleri geçerek sertifikalandırılması gerektiğini belirtiyor. İşte PCI PTS HSM v3.0 sertifikası ile finans sektörünün ödeme sistemlerine ilişkin işlemlerinde ProCrypt HSM’imizi rahatlıkla kullanabilmelerinin önü açılmış oldu.
Türkiye’de bankacılık ve finans sektörüne baktığımızda ortalama 5 yıllık kullanım ömrüne sahip yaklaşık 2000 HSM olduğu değerlendiriliyor. Piyasa araştırmalarına göre de bir HSM’in 5 yıllık toplam edinim maliyetinin ortalama €50.000 olduğu değerlendiriliyor. Bu maliyetin yaklaşık yüzde 30’luk kısmı donanım, yazılım lisansları ve üretici desteği gibi kalemler şeklinde yurt dışı üreticilere gidiyor. Toplama baktığınızda her yıl ortalama €12.000.000’nun yurt dışına çıkma durumu söz konusu.
ProCrypt, bu tutarın yurt içinde kalarak cari açığa katkı sağlama hatta yurtdışı kuruluşlar tarafından tercih edilmesi ile döviz getirisi sağlama noktalarında bir değer yaratıyor.
Pandemiyle birlikte artan uzaktan çalışma, mobil cihaz kullanım yoğunluğu, online bankacılık ve ödeme sistemlerine artan talep ile birlikte dijital güvenlik kritik düzeyde önem kazandı. 2020 yılından günümüze dek yaşanan bu süreçte sizin gözlemleriniz nasıldı? Müşterilerinizin talep ve ihtiyaçlarında nasıl bir değişiklik gözlemlediniz? Bu durum ürün ve çözüm üretiminize nasıl yansıdı?
Son 2 yıl içinde sizin de belirttiğiniz gibi dijital güvenliğin önemi çok daha iyi anlaşılmaya başladı. Tüm bu kullanım alışkanlıkları kritik verilerin de dijital dünyada saklanması sonucunu ve bu verilerin güvenliğinin sağlanması ihtiyacını doğuruyor. Tabi bu süreçte bazı kazaların yaşandığına da şahit olduk. Söz konusu bu kazaların tekrarının olmaması için dijital güvenlik önlemlerinin alınması, alınan önlemlerin takip edilmesi ve yaşayan dijital dünyada olası yeni tehlikelere karşı da sürekli güncellenmesi gerekiyor.
Dijital dünyadaki güvenlik sağlama çalışmalarına katkı sağlamak bizim işimizin bir parçası. Bu süreçte hem yaptığımız çalışmaların ne kadar isabetli olduğunu gördük hem de dijital güvenlik ihtiyacının bırakın her günü, her saniye arttığını gözlemledik. Bu da çalışmalarımıza kesintisiz bir şekilde devam etmemiz gerektiğini bize bir kez daha gösterdi.
Procenne, T.C. Cumhurbaşkanlığı Savunma Sanayii Başkanlığı ve T.C. Dijital Dönüşüm Ofisi öncülüğünde yerli ve milli Siber Güvenlik Ekosistemini geliştirmek amacıyla kurulan Türkiye Siber Güvenlik Kümelenmesi oluşumunda nasıl konumlanıyor? Yerli ve milli üretim yapıyor oluşunuz kamuya yönelik çalışma ve projelerde avantaj sağlıyor mu? Kamu nezdindeki projelerinizden bahseder misiniz?
Procenne olarak Türkiye Siber Güvenlik Kümelenmesinin bir üyesiyiz. Kümelenmenin kuruluş amacı milli siber güvenlik ekosisteminin geliştirilmesi. Biz de bir üye olarak bu ekosistemin gelişimine katkı sağlamaya çalışıyoruz. Yaptığımız çalışmalar, kümelenmede yer alan diğer üyelerle iş birlikleri gibi faaliyetlerle ülkemizin siber güvenlik ekosistemine gerekli dokunuşları yapabilmek adına var gücümüzle çalışıyoruz.
Kamu nezdinde yapılan çalışmalarda yerli ve milli unsurların yer alması bir zarurettir. Çünkü kamuda yer alan veriler bu ülkenin, her bir vatandaşının verileri ve bunların güvenliği de yerli ve milli ürün ve çözümlerle sağlanmalıdır. Biz de bu kapsamda kamu ile iş birliği içerisindeyiz, çeşitli kamu kurumlarında Procenne ürünleri kullanılıyor. Ülkemizin dijital güvenliğine katkı sağlamanın mutluluğunu yaşıyoruz.
Yerleşik bulut HSM hizmetinizi devreye almaya hazırlanıyorsunuz. Bu çalışmanızda son durum nedir? Nasıl bir fark yaratacak?
Öncelikle bulut HSM ve HSM farkını anlatmak daha doğru olacaktır. Bildiğiniz gibi son yıllarda kurum ve kuruluşların çoğu bulut tabanlı uygulama ve depolama ürün ve çözümlerine yöneldi. Bu durum şirketleri hem donanım maliyeti ve fiziksel yükten kurtarıyor hem de zaman ve mekân bağımsız işlem yapma özgürlüğü sağlıyor. Bulut HSM de benzer bir mantıkla çalışıyor. Kurum ve kuruluşlar ihtiyaçları kadar bulut HSM hizmetine kira öder gibi, fiziksel cihaza kıyasla çok daha uygun maliyetlerle sahip olabiliyorlar. Aynı zamanda HSM’in donanım olarak konumlandırılması, işletme ve bakım maliyetleri gibi kalemleri de düşünmelerine gerek kalmıyor. İşte bulut HSM bu noktada sektörde önemli bir fark yaratacak.
Bu konu üzerinde uzunca bir süredir çalışıyoruz. Bu hizmeti verebilmek için bir bulut sağlayıcı ihtiyacı bulunuyor. Biz de bu noktada sona yaklaştık diyebiliriz. Bulut sağlayıcı ve HSM kurulumu sürecindeyiz. Kısa bir süre içerisinde bu işlemleri ve testlerimizi tamamlanarak hizmeti devreye almayı planlıyoruz. Bu konudaki gelişmeler de bir sonraki sohbetimizin konusu olsun.
Dijital Bankacılık ile birlikte PaaS, BaaS, SaaS, WaaS ve dijital güvenlik çözümlerini daha da çok konuşacağımız bir döneme giriyoruz. Veri güvenliği, bilgi hırsızlığı, donanım tabanlı kripto tehditleri, mobil bankacılık uygulamalarına artan saldırıları daha fazla konuşuyoruz. Bu dönemin getirdiği ortak ihtiyaçlar nedir? Sizinle çalışmak isteyen şirketlere neler önerirsiniz? Hangi hazırlıkları yapmalı ve nasıl bir yol izlemeliler?
İhtiyaçlar çok net: güvenlik. Her bir uygulama ya da kavram hayatımızı kolaylaştıran konular. Ancak hayatımızı kolaylaştıran bu konular tehlikeleri de beraberinde getiriyor. Dolayısıyla hem birey olarak hem de kurum ve kuruluşlar olarak güvenlik önlemlerini ön planda tutmamız gerekiyor. İşin mahiyeti ne ise ona yönelik güvenlik tedbirleri alınmalı. Örneğin mobil uygulamalar günlük hayatımızın her anında yer alıyor. Bi uygulama geliştirilirken gerekli güvenlik önleminin alınmaması bile bile lades demekten farksızdır. O yüzden dijital dünyanın sunduğu faydalara kapılıp tedbiri elden bırakmamak lazım.
2022 yılı için ihracat hedefiniz nedir? Şimdiye dek nasıl ilerlediniz ve önümüzdeki dönemde hangi bölgelerde yer alacaksınız?
2022 yılı için ihracat hedefimizi önceki yıllara kıyasla yüzde 100 artırmaya kararlıyız. Bu kapsamda çalışmalarımız başladı ve yıl içerisinde de tüm hızıyla devam edecek.
2020 yılının sonunda Hindistan’a bir ilk ihracatımızı gerçekleştirdik. Gönderdiğimiz cihazlarımızın kurulumları tamamlandı ve kullanımda bir yılı geride bıraktılar. 2021 yılında ikinci ihracatımızı Singapur Kalkınma Bankası’na (DBS Bank Hindistan) gerçekleştirdik. Şimdi artık 2022 yılı için planlarımızı uyguluyoruz. Avrupa, Asya ve Ortadoğu’da proaktif olacağız. Öncelikli hedef pazarlarımız Hindistan ve Azerbaycan olarak belirledik. Her iki ülkede de potansiyel müşterilerimiz ile görüşmelerimizi gerçekleştiriyoruz. HSM ya da mobil uygulama güvenliği ihtiyacı olan hangi ülke, hangi kurum veya kuruluş olursa olsun biz buradayız ve ihtiyaçları karşılamaya hazırız.
Türkiye’nin dünyaya açılan Dijital Güvenlik markası olma yolunda nasıl bir yol haritası izleyeceksiniz? Önümüzdeki dönem hedefleriniz eşliğinde müşterilerinizi bekleyen yenilikler konusunda neler söylemek istersiniz?
Yaptıklarımız yapacaklarımızın teminatıdır😊 Bugüne kadar dijital güvenlik alanında belli bir noktaya geldik ama bu nokta bizim için asla yeterli değil. Ekip olarak mevcuttaki işlerimizi devam ettirirken bir yandan da yaptıklarımızın üzerine nasıl daha fazla katma değer sağlarız buna çalışıyoruz. Ar-Ge çalışmalarımız hiç durmadı, ciromuzun yüzde 50’sini Ar-Ge’ye ayırıyoruz. Bu çalışmalarımız neticesinde de dijital dünyada sınırların güvenliğini yeniliklerimizle sağlamaya devam edeceğiz.