E-ticaret ve dijital ekonomi: Online ortamda güvende miyiz?
E-ticaret içinde bulunduğumuz dönemde başat bir rol kazanıp, geleneksel ticaret metotlarını saf dışı bırakmaya başladı bile.Bu çerçevede, e-ticaret ve güvenlik konusunu, Türkiye’de doğup küresel bir marka haline gelmiş Netsparker markasının kurucusu Ferruh Mavituna ile konuştuk.Ekonomi ve ticaret hızla dijitalleşiyor. Hal böyle olunca e-ticaret içinde bulunduğumuz dönemde başat bir rol kazanıp, geleneksel ticaret metotlarını saf dışı bırakmaya başladı bile. Örneğin, Statista’nın verilerine göre, internet kullanıcılarının %40’ı e-ticaret hizmetlerinden faydalanıyor.Öte yandan veriler, 2015 yılında küresel ölçekte perakende e-ticaret hacminin 1,55 trilyon ABD Doları olduğunu gösterirken, 2019’da bu rakamın 3,4 trilyon ABD Dolarını bulması bekleniyor.(1) Ülkemizde de e-ticaretin hızlı yükseliş trendi dünyadan çok da farklı değil. Nitekim TUBİSAD verilerine göre, 2015 yılında Türkiye’nin e-ticaret hacmi 2014 yılına göre %31 oranında bir artışla 24,7 milyar TL’yi buldu.(2)Bütün bu veriler göz önünde tutulduğunda, e-ticaretin çok yakın bir zamanda küresel ekonominin ayrılmaz bir parçası olacağı yorumunda bulunmak çok da zor değil. Öte yandan, ekonomi ve ticaret dijital ortama taşınınca en büyük risklerden birisi “güvenlik” olarak karşımıza çıkıyor.Bu çerçevede, ticaretin kesintisiz şekilde sürdürülmesi, müşteri ve kart/hesap bilgilerinin gerektiği gibi saklanması oldukça kritik hale geldi. Önümüzdeki yıllarda dijitalleşme arttıkça şirketlerin “güvenlik” yatırımlarına daha ağırlık vereceğini öngörmek mümkün.Bu çerçevede, e-ticaret ve güvenlik konusunu, Türkiye’de doğup küresel bir marka haline gelmiş Netsparker markasının kurucusu Ferruh Mavituna ile konuştuk. Mavituna bir yandan Netsparker’ı küresel devlerle yarışabilen bir Türk markası haline getiren ekibi yaratırken, diğer yandan da aslında başarılı bir start-up’ın nasıl ilerlemesi gerektiğinin sırlarını bizimle paylaştı.Webgüvenliği dediğimizde ne anlamalıyız? Sizce bu konunun şirketler ve genel anlamda ekonomi açısından önemi nedir?Web güvenliği çok basit şekilde web sitelerinin güvenliği anlamına geliyor. Konunun hassasiyeti ise sektörden sektöre göre değişiyor. Örneğin, e-bankacılıktan bahsediyorsak bu konu oldukça kritik. Bu sistemde doğabilecek herhangi bir güvenlik zafiyetinin neticesinde sadece kişilerin bilgileri çalınmakla kalmaz, para çalınması gibi devasa maddi sonuçlar da doğabilir.E-ticaret için güvenlik konusu ise çok farklı anlamlara geliyor. Örneğin, web sitenizin çalışmamasının maliyeti büyük bir şirket için 1 milyon dolara kadar çıkabilir ve böyle bir vaka neticesinde çok büyük bir operasyon ve para kaybı doğabilir. Öte yandan, bir web sitenin güvenliği tamamen organizasyona bağlı.Eğer siz küçük bir dükkân ya da işletmeyseniz, bu sitenin hacklenmesini kimse fark etmeyebilir ya da bu vaka şirket için herhangi bir sonuç doğurmayabilir. Yine de, bugün ekonominin çok büyük bir bölümünün dijital ortamda unutmamak gerekiyor.Müşteriler ya direk webden geliyor ya da ticaretin gelişmesi için web önemli bir araç olarak görülüyor. Örneğin, İngiltere’de geçtiğimiz haftalarda hava alanına yapılan saldırı ya da British Airways’in sistemlerinin hacklenmesi web sitesi güvenliği ile ilişkili değil ama operasyonların kısa bir süre olsa da durması şirket için ciddi bir kayıp yarattı.E-ticaret sektörü Türkiye’de ve küresel ölçekte ne durumda, güvenlik konusu şirketlerin öncelikleri arasında yer alıyor mu?Bizim piyasada gördüğümüz kadarıyla güvenlik ilk kaygı değil. İlk kaygı iş yapmak ve para kazanmak ve ilk amaç para kazanma döngüsüne ulaşmak. Bu çerçevede, güvenliğin öncelik döngüsünde olmadığı görülüyor.Ancak, süreç ilerledikten sonra siz ne zaman büyük bir firma oluyorsunuz, güvenlik de o zaman gündeme geliyor. Ancak büyük firma olduğunda işin rengi değişiyor. Örneğin büyük firma olduğunuzda sistemlerinizin çalışmaması size ciddi bir maliyet yaratabilecekken uzun vadede sitenizin karlılığının da yüzdelerle ölçülecek şekilde düşebileceğini akılda tutmak gerekiyor. Böyle bir durumda, örneğin müşterilerinizi rakiplere kaptırabilirsiniz. Bunun yanı sıra, hizmetlerinizi kullanan son kullanıcıda oluşturduğunuz algı da çok önemli.Şirket büyüdüğünde güvenlik ön plana alınmaya başlanıyor. Yine de sonuç olarak burada ekonomik bir hesap var. Örneğin, güvenliğe ilişkin herhangi bir kanuni bir yaptırım olursa bir güvenlik zafiyetinin sizin için bedeli çok daha büyük olacaktır.Kişisel verilerin korunması bu çerçevede iyi bir örnek oluşturuyor. Burada kurumlar ne kadarlık yatırıma ne kadar karşılık alabileceklerini hesaplayabilmiş oluyorlar. Bu noktada, örneğin hacklenmediğinizde ekstra bir para kazanmıyorsunuz ancak hacklendiğinizde para kaybınız oluyor.“Türkiye’de henüz gelişmiş saldırı sayısı az”Dünya çapında ve Türkiye’de güvenliği e-ticaret için değerlendirirsek kendi deneyimlerimden örnekler verebilirim. Uzun zaman Türkiye’de ve küreselde büyük e ticaret firmalarıyla çalıştım. Bence Türkiye bu konuda çok kötü bir durumda değil.Dünyada e ticaret çok erken olgunlaştı, bizde ise bu süreç “patlama” şeklinde yaşandı. Güvenlik ise sonradan devreye girdi ve sonrasında başarı oranı düştü. Yine de Türkiye’de e-ticaret için şu anda çok fazla organize suç şeklinde sofistike atak görmüyoruz.Saldırgan gözüyle bakıldığında, bir siteyi hacklemek uzun zaman alıyor ve hacker “ben bu siteyi hackleyeceğim nasıl para kazanacağım”sorusunu düşünüyor. Herhangi bir bilgiyi ele geçirdiğinizde bunu paraya çevirmek için de ekstra bir organizasyon gerekiyor. Yani, birilerinin gerçekten ele geçirdiği bilgileri kullanabilmesi ve satabilmesi lazım. Bu sebeple, Türkiye’de henüz bu kadar organize atak yok.Öte yandan, Türkiye’de güvenlik daha az olsa da henüz kurumlar “daha az güvenliğin” cezasını çekmiyorlar. Ancak gelecekte bu durum değişebilir. E ticaret geliştikçe daha sofistike güvenlik açıkları görmeye başlayabiliriz.Güvenlik çok iyi değilse ve paraya çevirmek kolay değilse hacklenme olasılığı düşük. Ancak bir Bitcoin sitesinden bahsediyorsak durum değişiyor. Bitcoin siteleri hem daha çok hackleniyor hem de çok daha fazla sofistike ataklar kullanılıyor. Saldırganın yatırımlarının bir karşılığı var.Müşteri verilerinin korunması kritik…Müşteri verilerinin korunması da bu işin ayrı bir boyutunu oluşturuyor. Örneğin, CRM (Customer Relationship Management) gibi ortamlar ve sistemler de genellikle ayrı ağlarda tutulmuyor. Kurumlarda genellikle, CRM’e ulaşmak ekstra kullanıcı adı ve şifre gerektirir. Ancak web sitesinden başka altyapılara da atlamak imkânsız değil.Bazı kurumlarda muhasebe ve şirket çalışanlarının bilgileri ayrı yerlerde daha izole olabilirken bazı kurumlarda tüm sistemler online ve aynı network içinde olabilir. Daha önce yaşadığım bir deneyimden örnek verebilirim.Beraber çalıştığım bir firmada, genç bir çocuk siteyi hackledikten sonra, kendisinin istediği ürünü alıp para ödemediğini fark edebildi ve ürünü bedavaya getirip bir de ürünü kendi adresine gönderdi.E-ticaretin küresel ticarette nasıl konumlanacağını düşünüyorsunuz, sizce güvenlik bu pazarın neresinde ve nasıl konumlanacak?Bugün güvenlik ve e-ticaret de geldiğimiz noktada söyleyebilirim ki güvenlik yatırımları piyasa bunu kabul ettiği kadar büyüyecek. Örneğin, ben İngiltere’de yaşıyorum ve ticaretimin %80’i online gerçekleştiriyorum.E-ticaret ne kadar artarsa güvenlik de buna paralel bir hacimde artacak. Online servislere mecburiyet ve güven arttıkça (Örneği, bazı e-devlet işleri artık mecburen online ve fiziksel olarak gitsek de yapılmıyor) güvenlik pazarı da daha fazla büyüyebilir. Bunun yanı sıra verilerin ve dokümanların artık kağıt kopyası olmayacak. Yani o veri değiştiğinde o bilgiye bir kez daha ulaşamıyor olacağız.Güvenlik zafiyetlerinin e-ticaret şirketlerine mali yükümlülüğü ne boyutlarda olur?Bu hesaplarda firmanın çapı ve organizasyonu önemlidir. Örneğin bir ayda yıllık cironuzun %10’unu yapıyorsunuz. Bu hesapta sizin bir hafta çalışmamanız, cironuzun %2’sinin gitmesi demek. Öte yandan böyle bir sistem kesintisinde, müşteri hizmeti rakipten de almayı tercih edebilir.İtibar bu işte çok önemli ve e-ticaret güvene dayalı bir iş. Bir firmayla çalışabilmem için “güven” in önce gelmesi şart. Sonuç olarak bir güvenlik vakasında kaybettiğiniz para ve marka. Ancak uzun vadede kaybettiğiniz müşteri olabilir.Hacklenen firmalarda iflas oranları daha yüksekGüvenlik açıklarını kapamak kolay bir süreç değil. Bununla beraber, yeni bir yazılım geliştirirken açığı kapamak çok daha kolay ve ucuz. Ancak karmaşık bir sistemde neden hacklendiğini analiz etmek çok zor.Sistemde güvenlik açığı olabilir ya da bunu içeriden biri, örneğin bir şirket çalışanı, gerçekleştirmiş olabilir. Bütün bunları analiz etmenin bir maliyeti var. Açığın tespit edilip onarılması gerekiyor. Bu işlemin yine bir masrafı ve maliyeti var.İlginç bir noktadan bahsetmek isterim. Eğer firma halka arz edilmişse, büyük hack geçiren firmalarda, anında hisse değerleri düştüğü gözlemleniyor. Daha da ilginci, hacklenen firmaların önündeki üç sene içerisinde iflas etme oranı ve olasılığı artıyor. Müşterileri veri tabanınızın çalınması ya da internete koyulması ise yine büyük bir kayıp.Siz de bir start-up kurucusu ve bir girişimci olarak Türkiye’nin start-up ekosistemini nasıl değerlendiriyorsunuz? Sizce gençleri özellikle AR-GE ve bilişim alanında cesaretlendirmek için neler yapılmalı, hangi adımlar atılmalı?Gençler için bazı önerilerim olabilir. Ben bu işlere başlarken, ben Türkiye’deyken 2002’de kendi işimi nasıl yaparım diye düşündüğümde bir kaç proje başlatmıştık. İlk projelerimin başarılı olduğunu söyleyemem.Başarıyı yakaladıktan sonra ise dönüp geriye baktığımda diyebilirim ki Türkiye’de girişimcilik açısından vizyon çok kısıtlı. Yine de 2000’li yılların başına göre çok daha ilerideyiz. Türkiye’de ürün geliştiriliyor örneğin yazılım.Ancak, yapılan iş sadece “Türkçe” bunun küresel pazarda bir anlamı yok. Bununla beraber, teknik anlamda çok iyi şeyler yapabilecek iş gücümüz de var Bizim Türkiye’de bizim dünyaya pazarlanacak ürünler yapmamız lazım. Teknik yetersizlikten ziyade vizyon eksikliği ilerlememizin önüne geçiyor. Bu sıkıntı ise, start up ekosistemiyle aşılabilecek bir konu. Sadece internet değil IoT’de (Internet of Things) de Türkiye’den çok başarılı işler çıkıyor.Bir başka konu ise, bizde yeterli sayıda ve yetişmiş ARGE elemanı yok, biz eleman arıyoruz ve bulamıyoruz. Start up felsefesinde ise iki ana husus var. Birincisi ya çok bariz ve farklı bir şey yapılır, ikincisi ise ürün çok iyidir kendini satar. İyi ürün geliştirmek ise tamamen kalifiye elemana bakan bir olaydır. Bu zincirin, eğitim ve kültür gibi çok sayıda bileşeni var. Gençlerin “ben teknik olarak bu işi çok iyi yapabiliyor muyum sorusunu” cevaplamaları gerekiyor ve önce ustalık yakalanmalı. Ancak sonrasında ürün yapılabiliyor. O ürünü en iyi şekilde yapamadıktan sonra rakiplerinize üstünlük sağlamanız çok zor.O yetenek ve kazanım çok önemli. B2B pazarında iyi bir ürün yazmak genellikle, doğru pazarlamayla para kazandırıyor ve bu proje çalışıyor. Start up’lar için 10 firmadan 9 unun battığı doğru. Bu girişimcilerin doğru hedefleri koymaları ile de ilişkin.