80’li yılların başında yurt dışında doktora öğrencisiyim. “Sistem yönetimi” dersinde hocamız “Eğer IBM alırsanız sizi işten atmazlar.” dedi. “Hoca ders arası reklam aldı galiba, ne de olsa onların müşaviri” diye düşündüm. Sonra anladım tabi işin rengini. Şimdilerde Microsoft’un işletim sistemi ve yan ürünleri için söyleniyor muhtemelen. Tabi hocam sizlere ömür, artık ona soramam ama söylediklerinde büyük gerçek vardı. Zira kamuya mal olmuş bir şirket ver her yerde kolları vardı. Benzerini farklı ülkelerdeki tedarikçilerde gördüm, kamu çalışanını yurt dışında okumaya bile gönderiyordu özel şirket. Sonrasında da zamanı gelince kendine alıyordu.
Çalıştığımız holdingin e-posta serverını Linux yapmıştık, hiç çökmeden çalışıyor. Banka ise tedarikçisi nedeni ile Microsoft kullanıyor. Ama sistemler flip-flop devre misali, dengesiz. ATM’leri bile IBM’den almışlar. Oysa NCR bu işin o zamanlar için piri. Kimse bir şey demiyor çünkü Türkiye’nin holdinglerinden isimler yönetim kurullarında. Holdingin patronunu bile ziyarete gelmişler, bunlar çocuk işi yapıyor diye. O sırada Allah’tan Kanada ve Alman Demiryolları’ndan tut, Fransız araba fabrikasina kadar herkes kendi Linux kernelını yapmaya çalışıyor ama Türkiye’dekilerin pek haberi yok ya da duymak istemiyorlar.
Aslında sorunun cevabı basit: Ne kadar kapalı sistem yaparsan o kadar dış saldırılardan korunursun, tedarik zincirinin en zayıf halkası kadar kuvvetlisin. Apple ve Microsoft’u karşılaştırın: Dışarı açılmayan, kodunu paylaşmayan, önüne gelenle bağlantı sağlamayan butik sistemler bu işten zarar görmüyor. Ama dallanan, budaklanan, herkese açılanlar ise zarar görüyor.
Öte yandan, yazılımın yama ve sürümleri önce kendi içinde, sonra bütünde detaylı otomatik teste tabi tutulur. Nasıl oldu da bu kadar testten geçen birim ve entegrasyon testlerinde sistem “mavi ekran”a düşmedi. Bu konuda da insan şüpheleniyor doğal olarak. Hala DOS üzerinden floppy disk ile çalışan bir nükleer santral olsaydı, bunun dışarıdan saldırıya uğrayıp hareketsiz kalması neredeyse imkansız olurdu. Fakat bu kez de etrafta bulunan wintel ya da unix tabanlı çalışan API, web service vb. data paylaşımı olan sistemlerle gerçek zamanlı çalışması mümkün olamayacaktı. Yarar ve zarar hesabı hepsi.
Bir yandan da bu şirketin zamanında Çin, Ukrayna, Rusya vb. devletlerde nasıl etkinliklerde olduğunu hatırlayınca, repütasyonu nedeniyle içte bir truva atı mı var diye de düşündürüyor.
Bundan çıkarılacak dersler olabilir?
1. “Eğer XYZ alırsan, her zaman işin olur” hala geçerli. Bu yüzden tedarikçini dikkatli seç.
2. Otomatik güncelleme yerine, kontrollü ve yalıtılmış ortamda test et. Hatasız ise güncellemeleri adım adım yap. Her zaman çalışan ortama geri dönüş yolun açık olsun.
3. Acil kodu ile gelmeyen güncellemeleri beklet. Senden önceki zaman dilimindekiler yükledikten sonra eğer hata almıyorsa yükleme prosedürünü başlat.
4. Kendi içinde yama, sürüm değişikliklerinin yönetmeliklerini güncel tut.
5. Kriz durumları için “plan B”leri dönemsel çalıştır. Kurumsal iletişimin bu konuda her zaman hazırlıklı olsun.
Güvenli güncellemeler, kesintisiz zamanlar…
