KRONT - Kron Telekomünikasyon

[ahmet.kain]

Bugün de 3’ledik


Sent from my iPhone using Tapatalk

[Usta]

Merhaba arkadaþlar,

Dün KuppingerCole moderatörlüðünde; Kron Teknoloji A.Þ. ve Turkcell'in birlikte gerçekleþtirdiði, "NHIM (Ýnsan Dýþý Kimlik Yönetimi) ve Otomatik Kimlikler için PAM" konulu webineri izledim.

https://www.kuppingercole.com/watch/...vileged-access

Bu konu siber güvenliðin son dönemde en çok öne çýkan baþlýklarýndan biri. Sunumun daha çok pazarlama odaklý mý yoksa teknik açýdan anlamlý mý olacaðýný merak ederek bir saatimi ayýrdým.

Benim temel çýkarýmým; bu alandaki çalýþmalarýn henüz olgunlaþma aþamasýnda olduðu yönünde. Ne Turkcell tarafý ne de Kron yetkilileri "tamamlanmýþ bir çözüm" iddiasýnda bulunmadý; daha çok sürecin devam ettiðini vurguladýlar.

Sistemde Yapay Zeka (AI) bileþenleri olduðu ifade edildi, ancak tamamen otonom, kendi baþýna karar veren "Agentic AI" yapýlarýnýn henüz tam anlamýyla devrede olmadýðý anlaþýlýyor. Bu durum aslýnda global tabloyla da uyumlu; dünya genelinde de bu alan henüz tam olarak netleþmiþ deðil.

Sunumda dikkat çekici bulduðum ve meselenin özünü anlamamýzý saðlayan soru þuydu:

"Ýnsan dýþý kimlik (NHI) ajanlarýnýn yönetiþimi nasýl saðlanacak? Bu süreç tamamen otonom yapay zeka ajanlarýna mý devredilecek, yoksa insan müdahalesi veya hibrit bir model mi devam edecek?"

Kron'dan Erhan Bey'in verdiði cevap, pazarlama soslu bir anlatýdan ziyade, sektörün en büyük sancýsý olan "Agentic AI" güvenliðine dair ayaklarý yere basan bir yol haritasý sundu. Yaklaþýmý üç ana baþlýkta özetleyebiliriz:

Secret Manager (Kasa): Bu ajanlarýn kullandýðý kimlikler, týpký insanlarýnki gibi "Secret Manager" (þifre kasasý) ürünü tarafýndan yönetiliyor. (Eðer ajan þifresini kendi kodunda taþýrsa, hacklendiði an tüm sistem gider; Kron burada anahtarý kasanýn içinde tutarak güvenliði saðlýyor.)

Session Management (Oturum Yönetimi): AI ajanlarý ile sunucular arasýnda bir oturum gerçekleþiyor (ve bunun yönetilmesi þart). Þu an, týpký insanlarda yaptýðýmýz gibi, AI ajanlarýnýn hedef sistemlerle kurduðu bu oturumlarý yönetecek bir çözüm üzerinde çalýþýyoruz.

Anomaly Detection (Anomali Tespiti): AI tabanlý anomali tespit sistemleri, insan dýþý kimliklerin ve AI ajanlarýnýn davranýþlarýný analiz edecek þekilde adapte ediyoruz.

Webinar'da sunucunun verdiði iki bilgi dikkatimi çekti: Biri, KuppingerCole'un bu yýla ait NHIM Raporu'nun önümüzdeki ay yayýnlanacaðý bilgisiydi. Bir önceki raporda "Liderler" kategorisinde son sýralardaydýk; buradan bir basamak bile yukarý çýkmak global algý için çok kritik.

Kendi çýkarýmýmý da ekleyeyim: KuppingerCole gibi kurumlar, rapor sonuçlarý olumsuz olacak bir þirketle rapor lansmaný öncesi böyle bir webinar yapmazlardý herhalde. Bu zamanlama, Kron'un rapordaki yerini koruduðuna, hatta yukarý yönlü olabileceðine dair bir iþaret veriyor (bence).

ikincisi, küçük ve orta ölçekli þirketlerin, hala eski usul non-AI PAM baktýklarýný, o detaylara ihtiyaçlarý olmadýklarýný söylüyorlar gibi bir þeyler söyledi. Þimdi böyle bir þeyi, baþlýðý bu olan toplantýda neden söyler laf arasýnda söylemiþ gibi yaparak. Acaba diyorum, bizim hedef kitlemize oradan geçiþ olsun mi istedi, sonuçta Kron'un müþterileri genelde az sayýda çok büyük þirketlerden oluþuyor.

Sonuç:
Kron bu alanda henüz tamamlanmýþ bir ürün sunmuyor (Turkcell ile olan anlaþmasýna raðmen, konu üzerinde hâlâ çalýþýlýyor),

--Sunum "bitmiþ ürün" deðil, devam eden bir geliþtirme sürecini yansýtýyor.
--Söylenenler sektör trendleriyle uyumlu ama henüz kanýt (proof) aþamasýnda.
--Potansiyel var, ancak süreç hâlâ erken aþamada.

Geçenlerde, Picus kurucularýndan birisini izliyorum bir panelde. Bu AI 3-5 sene daha sonra gelseydi diyor. (çýkýþ (exit) yapma planlarýndan dolayý öyle söylüyor sanýrým). AI ile, þirketler 1 milyardan 200 milyon dolarlýk deðere de düþebilir, 50 milar dolarlýk seviyeye de çýkabilir dedi.

Ýçimden, o kadar büyük giriþimci bile böyle korkuyorsa diye içimden geçti. Belki de fazla þey bilmediðimizden cesaretimiz.

Yatýrým tavsiyesi deðildir

Not: Bu yazýda AI'dan faydalanýlmýþtýr

[Usta]

Merhabalar,

Geçen hafta, 5 Mayýs'ta, önemi kamuoyunda yeterince dillendirilmeyen ancak sektörümüz için kritik bir dönüm noktasý olabilecek bir toplantý gerçekleþti.

En üst seviyede temsil edilen Siber Güvenlik Kurulu, aslýnda piyasanýn bir süredir konuþtuðu ancak henüz tam anlamýyla resmileþmemiþ olan büyük dönüþümün sinyalini verdi: Kritik altyapý kapsamýnýn ciddi þekilde geniþletilmesi.

19 Mart 2025'te Resmî Gazete'de yayýmlanan Siber Güvenlik Kanunu sonrasý ikincil düzenlemelerin ve yönetmeliklerin çýkmasýný uzun süredir bekliyorduk. 5 Mayýs'taki kurul toplantýsý, belirsizliklerin azalmaya baþladýðýný ve sürecin artýk uygulama fazýna yaklaþtýðýný gösteriyor.

Daha önce yýllar içinde þekillenen kritik altyapý yaklaþýmý; Elektronik Haberleþme, Enerji, Finans, Su Yönetimi, Ulaþtýrma ve Kritik Kamu Hizmetleri gibi temel alanlara odaklanýyordu.

https://hgm.uab.gov.tr/uploads/pages...e-ekipleri.pdf

Yeni yaklaþýmda ise kapsamýn önemli ölçüde geniþlediði görülüyor. Öne çýkan yeni alanlar arasýnda þunlar yer alýyor:

- Dijital Altyapýlar ve Dijital Hizmetler
- Gýda ve Tarým
- Ýmalat Sanayi
- Medya ve Kriz Ýletiþimi
- Posta ve Kargo
- Saðlýk
- Savunma Sanayii
- Uzay

https://www.iletisim.gov.tr/turkce/h...landi-05-05-26

Ayrýca "Kritik Kamu Hizmetleri" yaklaþýmýnýn daha geniþ bir "Kamu Hizmetleri" perspektifine evrilmesi de dikkat çekici.

Artýk gözler yönetmeliklerde. Bu yönetmeliklerle birlikte:

- hangi büyüklükteki þirketlerin yeni siber güvenlik yükümlülüklerine tabi olacaðý,
- hangi güvenlik standartlarýnýn zorunlu hale geleceði,
- kritik altyapýlarda yerlilik kriterlerinin nasýl uygulanacaðý

daha net anlaþýlacak.

Ancak mevcut irade oldukça net görünüyor: Özellikle kritik altyapýlarda yerli çözümlerin stratejik olarak daha fazla öncelik kazanmasý bekleniyor.

Siber güvenlik pazarý zaten güçlü büyüyen bir alandý. Regülasyonlarýn geniþlemesiyle birlikte, denetim ve uyumluluk baskýsýndan doðrudan veya dolaylý etkilenmesi muhtemel örnek kurumlar arasýnda þunlar sayýlabilir:

Ýmalat Sanayisi (20 Örnek):
Tüpraþ, Ford Otosan, Erdemir, Arçelik, Tofaþ, Þiþecam, Petkim, Kardemir, Sasa Polyester, Vestel, Oyak Renault, Ýçdaþ, Mercedes-Benz Türk, Sarkuysan, Borçelik, Kastamonu Entegre, Türk Traktör, Kordsa, Ýskenderun Demir Çelik, Aselsan.

Gýda ve Tarým (20 Örnek):
Ülker (Yýldýz Holding), Eti, Sütaþ, Þenpiliç, Coca-Cola Ýçecek, Konya Þeker, Banvit, Unilever Türkiye, Anadolu Efes, Tarým Kredi Kooperatifleri, Tat Gýda, Pýnar Süt, Abalýoðlu Lezita, Erpiliç, Doðuþ Çay, Cargill Türkiye, Tayaþ Gýda, Namet, Agrotech, Ferrero Türkiye.

Medya ve Kriz Ýletiþimi (10 Örnek):
TRT, Anadolu Ajansý, Türk Telekom (altyapý saðlayýcýsý olarak), BTK, Basýn Ýlan Kurumu, Demirören Medya, Turkuvaz Medya, Ciner Yayýn Holding, Ýhlas Haber Ajansý.

Saðlýk (10 Örnek):
Þehir Hastaneleri (Ankara Bilkent, Ýstanbul Baþakþehir vb.), Medical Park, Liv Hospital, Acýbadem Saðlýk Grubu, Türk Kýzýlayý, USHAÞ, Abdi Ýbrahim, Bayer Türkiye, Nobel Ýlaç, SGK altyapýlarý.

Pazarýn büyümesi otomatik olarak Kron'un da ayný oranda büyüyeceði anlamýna elbette gelmez. Ancak yerlilik kriterlerinin güçlenmesiyle birlikte, yerli üreticilerin pazar payýnýn sektör ortalamasýnýn üzerinde artma ihtimali oluþabilir.

Özellikle orta ölçekli þirketlerden gelebilecek geniþ talep düþünüldüðünde, kurulum, entegrasyon ve bakým süreçlerinin tek baþýna yönetilmesi zorlaþabilir. Bu nedenle son yýllarda Türkiye'de partner ekosisteminin büyütülmesi stratejik açýdan önemli bir hazýrlýk olarak görülebilir.

Diðer kritik unsur ise OT (Operasyonel Teknoloji) güvenliði. Özellikle gýda ve imalat sanayisinde konu yalnýzca klasik IT güvenliði deðil; üretim hatlarýný yöneten endüstriyel OT sistemlerindeki ayrýcalýklý eriþimlerin ve vendor eriþimlerinin güvenli þekilde yönetilmesi giderek daha kritik hale geliyor.

Geçtiðimiz yýl KuppingerCole radarlarýnda OT/NHIM (Non-Human Identity Management) ile iliþkili alanlarda "liderler" arasýnda gösterilmemiz de bu açýdan dikkat çekiciydi. Bu durum, yükselen OT ve non-human identity ihtiyacýna yönelik erken konumlanmanýn ileride avantaj saðlayabileceðini düþündürüyor.

OT tarafýndaki projelerin klasik "tak-çalýþtýr" yapýsýndan daha farklý olmasý, entegrasyon ve uzmanlýk ihtiyacýný artýrýrken; ayný zamanda daha yüksek katma deðerli ve daha yüksek marjlý projeler oluþmasýna da zemin hazýrlayabilir.

Yurt içindeki regülasyonlar, Zeynep Haným'ýn dediði gibi, Kron için önemli itici güçlerden biri olmuþtu. Ancak bu seferki dönüþümün ölçeði daha büyük olabilir. Eðer yönetmelikler beklendiði ölçüde kapsamlý çýkarsa, Türkiye siber güvenlik pazarýnda özellikle eriþim güvenliði, OT güvenliði ve non-human identity alanlarýnda çok ciddi bir büyüme dalgasý oluþabilir.

Umuyorum ki hem yurt içinde hem de yurt dýþýnda bu teknik yetkinliðimizi daha görünür hale getirmeye devam ederiz.

Yatýrým tavsiyesi deðildir. Yazýdaki bazý veriler, örnekler ve yorumlar yapay zekâ desteðiyle hazýrlanmýþtýr. Hatalar veya eksikler olabilir; lütfen kendi araþtýrmanýzý yaparak karar veriniz.