İLKER KURUÖZ: Son 20 yıldır dijital dönüşümün önemli açılımlar yaşadığı dönemlerden geçtik. 90’lı yıllar hem finans ve bankacılık sektörünün açılım yaptığı hem de teknoloji adaptasyonunda hız kazandığı dönemlerdi. O yıllarda geçmişten kalan büyük sistemlerimiz yoktu. Ancak o günden bugüne gelindiğinde sektörde ciddi büyük bir teknoloji yatırımı oluştu. Bugüne bakarsak geçmişten gelen geleneksel sistemlerimiz var; bizim çerçevemizi belirleyen regülasyonlar var ve teknoloji de doğal değişimini sürdürüyor. İlk soruyu Hakan Aran’a sormak istiyorum; geleneksel sistemlerin (legacy) dönüşümünde nasıl bir strateji ile hareket ediyorsunuz? Yasal çerçeve sizi nasıl şekillendiriyor?

HAKAN ARAN: İş Bankası olarak ders niteliğinde, hatta geçen yıl Gartner etkinliklerinde de anlatılan bir altyapı dönüşüm öykümüz var. 12 Haziran 2013 tarihinde 16 saat boyunca hizmet veremediğimiz önemli bir olay yaşamıştık. Yönetim Kurulumuza 'pazar riski, kur riski, faiz riski  gibi konuları konuşuyoruz ama en büyük riskimiz teknoloji riskimizmiş' dedirten çok talihsiz bir olay, teknoloji dönüşüm hikayemizin başlangıcı oldu. Hızla bir değerlendirme yapıldı, sorunlara neden olan süreç, yönetişim, yazılım ve altyapı bileşenleri belirlendi. Sorunların ağırlıklı olarak karmaşıklaşmış geleneksel yapılardan kaynaklandığı, modernizasyonla birlikte bir basitleştirme gerektiği ortaya çıktı. ‘Karınca’ adını verdiğimiz bir teknoloji dönüşüm programı başlatıldı. 4 yıl boyunca gece-gündüz yeni yapıyı hayata geçirmek için çalıştık. Bir danışmanlık şirketiyle birlikte çalışıldı. Zayıf noktalar nasıl güçlendirilecek, yenilikler nasıl uygulanacak, altyapı nasıl modernize edilecek, dijitalleşme süreci nasıl desteklenecek başlıklarını içeren yol haritası, hedef mimari ve proje planı oluşturuldu. Karınca programını ancak 2019 sonunda bitirebildik.

Bu zaman zarfında TIER-4 standartlarında çok özel bir veri merkezinin inşası, mevcut veri merkezimizin taşınması, tüm geleneksel kodların modernizasyonu, süreçlerin ve yönetişim modellerinin güncellenmesi tamamlanmış oldu. Uygulamaların mümkün olan en modüler hale getirildiği ama hepsinden önemlisi, yazılımcıların kendisinden yıllarca önce yazılmış, dokunmaya korktukları, bir yere ekleme yaptıklarında ellerinde patlayan kodlar yerine kendilerinin değiştirdiği ve uçtan uca hakim oldukları ürün ve platformlara sahip olduk. 

BT modernizasyonunda gittiğimiz yolun doğru olduğunu görmek için birtakım metrikler belirlemiştik. Yapılan değişiklikler hangi sonucu doğuruyor,  sistem ne kadar iyileşti, hatalar ne kadar azaldı, hangi sıklıkla sorun yaşıyoruz vb. tüm bunlarla ilgili kritik performans göstergeleri çıkarmıştık. Orada sağlanan değerlerin hepsi gerçekten ilk yıldan başlayarak artan bir trend izledi. Her yıl azar azar bunları artırıp en son sistemde yıl boyu yüzde 99,96‘lık bir kullanılabilirlik seviyesine ulaştık. Yanlış anlaşılmasın, bu değer bir veri merkezinin servis verebilirlik düzeyi değil, onun çok daha ilerisinde işlemlerin uçtan uca hatasız sonuçlanma değeri. Yoksa veri merkezimiz yüzde 100 ayakta kalma oranına ulaştı, son iki yıldır veri merkezimizden kaynaklı hiçbir sorun yaşamadık. Yazılım değişiklikleri anlamında da hızlı değiştirilebilir bir platforma ve sistemlerdeki aksamanın bir kesintiye neden olmadığı yedeklenmiş bir mimariye kavuştuk. Bugün bankamızda geleneksel yapı en aza inmiş durumdadır, kart ve muhasebe sistemlerimiz dahil tüm temel bankacılık yazılımlarımız ve veri tabanlarımız modernize edilmiştir. Yapay zeka temelli uygulamalarda kullanılan büyük bir veri havuzumuz ve bununla entegre uygulamalarımız çalışmaktadır.   

> İlker Kuruöz: Yapı Kredi’de gelişim nasıl oldu? Geleneksel sistemlerin dijitale dönüşümünde nasıl bir strateji ile hareket ediyorsunuz? Sizin de benzer bir deneyiminiz oldu mu?

CAHİT ERDOĞAN: Yapı Kredi olarak bundan önce derin geleneksel yapılarımız vardı.2011-2015 yılları arasında çok önemli bir yenileme sürecine girdik. Bankalarda yenileme planları genellikle 3 yıllık aralarla yapılıyor. BT modernizasyonumuzun oluşum nedeni de farklı bir noktaydı. Bu yıllarda bünyemizde bulunan 20'nin üzerinde farklı platform yapısının tekilleşme ihtiyacı oluştu ve kapsamlı bir dönüşüm yoluna girdik. 2011 yılında yazılım geliştirme odaklı yenileme çalışmalarına başladık. Günümüzde bulut yapılarının konuşulduğu noktada hizmetlerin hızla ürünleştirildiği ve bu ürünlerin de hızla tüketildiği ancak arkasındaki teknolojinin duruma yetişmekte zorlanabildiği bir dönemden geçiyoruz. Artık veri merkezlerinin ölçeklenebilir olması amacıyla, içerisinde güç ünitelerinden network'e, kapalı kutularına kadar her cihazı tasarlanarak konteyner bazlı olarak geliştirilmeye başlandı. 

Bugüne geldiğimizde 20’nin üzerindeki teknoloji platformu 3’e kadar indi. Toplam uygulama mimarimizin yüzde 86’sını yeniledik. Şimdilerde ise bir sonraki modernizasyon programımızı kapsamlı olarak başlattık. Bu noktada artık ürünleşmiş olduğuna inandığımız her türlü altyapı hizmetinin tüketilir hale getirildiği bir banka olarak yazılım ve ürün geliştirmeye odaklandık. Tüm bunların yanı sıra yeni standartlara ve yeni mimarilere doğru yeni bir dönüşümün ev ödevini de tamamladık. 

Elektrik altyapısı, donanım, donanımın bir network bileşeniyle konuşması, versiyon yükseltme, yedeklilik gibi konuları minimize etmek hedefindeyiz. 

Bankayı belirli bir tarihte altyapıdan ne kadar izole edip ana odağımızı yazılım ve ürün geliştirmeye odaklayabilirsek o derece başarılı olacağımızı gördüğümüz bir yenilenme turunun başındayız. 

> İlker Kuruöz: Biraz da kısıtlarımızdan söz edelim. Teknoloji bize buluta gidin derken regülasyon bize belirli bir çerçeve tanıyor ve bunun dışına çıkmakta zorlanıyoruz. Bu noktada stratejik iş ortaklarına ihtiyacımız var. Genel bulut yapısını regülasyon kuralları belli ölçüde kullanma hakkı tanısa da bulutu özel bulutta kendimiz için kurmaya başlayıp yeni dönüşümle birlikte hayata geçirmemiz gerekiyor. Bu noktada Nutanix’e söz vermek isterim. Ne gibi fırsatlar sunuyorsunuz?

TARIK ERTUĞRUL: IDC’nin yaptığı araştırmaya göre dünya üzerindeki şirketlerin yüzde 70’i dijital dönüşümü şu an faaliyete geçirdi ya da dijital dönüşüm planları yapıyor. Şirket çalışanlarının yüzde 71’i dijital dönüşümün çalıştıkları kurumlar için hayati olduğunu düşünüyor. Çalışanların yüzde 68'i çok yakın gelecekte yapay zeka ile insanların bir arada çalışacağını düşünüyor. Geçen yıl BT yatırımlarının yüzde 40'ı (2 trilyon doların üzerinde) sadece dijital dönüşüme ayrıldı. 

IDC Financial Insights VP Jerry Silva dijital dönüşümle birlikte önümüzdeki yıllarda finans sektöründe sanallaştırmanın, özel bulutun, genel bulutun ve hiper bütünleşik altyapıların çok daha fazla kullanılmasının söz konusu olduğunu belirtiyor.

Günümüzde BT yöneticilerinin işi gerçekten çok zor çünkü onlardan ciddi beklentiler var. BT yöneticilerinden şirketlerinin dijital dönüşüm yolculuğunu tamamlamaları beklenirken aynı zamanda yatırım maliyetlerini azaltmaları, verimliliği artırmaları ve daha çevik bir BT yapısı kurmaları bekleniyor. 

IDC bu konuda yakın zamanda yaptığı araştırmada (Digital Transformation and Cloud Computing Drive IT Transformation: Are You Ready?) Dijital dönüşümün BT altyapısının modernizasyonu ile başladığı belirtiliyor. Ancak finans sektöründe de kurumların BT altyapısını incelediğinizde çoğunlukla uygulamalarını çalıştırmak için sunucu, veri depolama ürünleri ve SAN anahtarlarından oluşan 3 katmanlı geleneksel mimarinin kullanıldığını görürüz. Ağırlıklı olarak belirli amaca yönelik sistemlerden oluşan bu yapı hem yüksek maliyetli hem de farklı katmanların farklı kişiler tarafından yönetildiği, yönetilmesi zor bir yapı. Aynı zamanda yükseltme (upgrade) maliyetleri ve bakım yenileme maliyetlerinden dolayı kurumlar 3 ya da 5 yıl sonra kullanacakları kapasiteyi de ilk günden alarak maliyetlerini daha da artırıyor. 

2000’li yıllarda hayatımıza daha fazla giren genel bulut çoğumuza bu karmaşayı sona erdirecek bir çözüm gibi geldi. Genel bulutta çalışmak çok kolay, herhangi bir uzmanlığa gerek duymadan bulut operatörünün kullanıcı dostu ara yüzü üzerinden her şey kolaylıkla yapılabiliyor. Burada bulut operatörlerini kullananlar için altyapı görünmez durumda; üstelik çalışanlar altyapı ile ilgilenmiyorlar. Ancak genel bulutun sanıldığı kadar ucuz olmaması, KVKK (Kişisel Verilerin Korunması Kanunu) ve benzeri regülasyonlar ile SLA seviyeleri aslında gerçek bir çözüm olmadığını ortaya koydu.

Nutanix, hiper bütünleşik konsepti ile ‘veri merkezindeki bu karmaşık yapıyı nasıl basitleştirip kurumların maliyetlerini azaltabiliriz’ düşüncesiyle yola çıktı. Hiper bütünleşik konseptiyle daha önce 3 katmanlı olan karmaşık yapı yerini X86 tabanlı ve düşük maliyetli node olarak adlandırdığımız sunuculara bırakıyor. Üzerinde çalışan Nutanix yazılım katmanı da yazılım tanımlı (software defined) olarak sistemin sanallaştırılarak çalışmasını sağlıyor.

Nutanix olarak amacımız, kurumlar için düşük maliyetli kolay yönetilebilen, sınırsız ve limitsiz olarak büyüyebilen, Day-1 ve Day-2 operasyonlarını adresleyen bir işletim platformu sunmak. Bunun ötesinde Nutanix Enterprise Hybrid Cloud platform olarak buluttaki çalışma kolaylığını genel bulut olarak kurumların veri merkezine getiriyor. Ayrıca Nutanix kurumların veri merkezinde kurduğu özel bulut ile genel bulut arasındaki entegrasyonu sağlayarak kurumların verilerini Nutanix özel bulut ile genel bulut arasında istedikleri gibi taşıyabilmelerini sağlıyor. Aslında biz Nutanix olarak müşterilerimize hiper bütünleşik bulut mimarisini oluşturuyoruz.

IDC tarafından yapılan araştırmaya göre Nutanix ile birlikte kurumların BT altyapı yatırım maliyeti yüzde 39 azalıyor, işletme maliyeti yüzde 60 azalıyor. Sistemlerin kurulumu ve ayağa kaldırılması için geçen süre yüzde 70 daha az, sistemlerdeki plansız kesintiler Nutanix ile birlikte yüzde 97 azalıyor. Sistem, 7 ayda kendini geri ödüyor ve 5 yılda yatırımın geri dönüşü yüzde 500 civarında.

Nutanix, 180’in üzerinde donanım platformu üzerinde çalışarak kullanıcılarına istediği donanım platformunu kullanma konusunda esneklik sağlıyor. Ayrıca Nutanix, belli başlı tüm sunucu sanallaştırma hipervizörü üzerinde çalışıyor, ancak bizim tercihimiz kurumların Nutanix Acropolis Hipervizör (AHV) kullanarak maliyetlerini daha da düşürmeleri. Çünkü Nutanix AHV, Nutanix Core lisansı ile ücretsiz olarak geliyor. Kurumların kritik uygulamaları tarafından sertifikalı olan AHV’nin desteği de Nutanix tarafından bedelsiz veriliyor.

> İlker Kuruöz: Dijital dönüşümde tüm bu altyapı ve uygulamaların dönüşümünde olmazsa olmaz unsur, güvenlik. Yeni güvenlik yaklaşımlarında nereye gidiyoruz?

MURAT KAYMAZ: Siber dünyada saldırganların belli bazı motivasyonları var. Bunların başında para geliyor. Finans sektörü de parayı yönetiyor. Dolayısıyla bu sektör, siber saldırılara karşı çok açık. Siber güvenlik dünyasında, 70'e 30 bir denge var. Siber güvenlik ürünlerinin yüzde 70’i hemen tüm kurumlar tarafından kullanılırken yüzde 30’u ‘öncü diyebileceğimiz bazı teknolojiler’ ağırlıklı olarak finans sektörü tarafından tüketiliyor. Ardından diğer sektörler tarafından kullanılıyor. Diyebiliriz ki, finans sektörü siber güvenlikte çıtayı yükseltiyor.

Siber güvenliği sürükleyen bir diğer etken de saldırganlar. Yani tehdit yapısındaki değişiklikler. Son 5 yıla baktığımızda dünyadaki siber tehdit yapısında, iki temel değişiklik oldu. Birincisi, saldırı yüzeyi genişledi; klasik ağ ve uç nokta bileşenlerinin dışında mobil teknolojiler, IoT teknolojisi ve bulut platformları yeni yüzeyler olarak karşımıza çıkıyor. Tehdit yapısındaki ikinci değişiklik biraz daha yapısal. Eskiden siber saldırgan bir zafiyet yakalardı. Onu kullanarak kurumun içine girer ve bir saldırıyı hemen gerçekleştirirdi. Güvenlik ürünleri de o saldırıyı önlemek ya da hızlıca tespit etmek üzerine kurgulanmıştı. Şimdi tehdit yapısı biraz daha ısrarcı bir yapıya dönüştü. Saldırgan zafiyeti bulduktan sonra içeri giriyor ve içeride bekliyor. Çünkü daha aşamalı, belki aylara dayanan ama sonucunda da daha etkili  bir saldırı hedefliyor. Bu tür tehditleri yakalamak çok kolay değil. Yakalamak için zaman zaman geleneksel çözümlerin dışında  yeni çözümler gerekiyor. Örneğin ağ trafiğinde davranış analizi yaparak saldırganı tespit etmeye yönelik ürünler öne çıkmaya başladı. Veya  saldırganı ‘aldatarak yakalayacak’ aldatma teknolojileri ortaya çıktı.  Bu teknolojiler tehdit istihbaratı veritabanlarından ve yapay zeka teknolojisinden faydalanarak içeride bekleyen ve birgün saldırı yapacak olan saldırganı yakalamaya çalışıyor. Siber güvenlik bu değişen tehdit yapısına yönelik teknolojilerin gelişimi doğrultusunda olgunlaşıyor. Bundan 3 veya 8 yıl sonra  siber güvenlik dünyasında neler olacağını bugünden söylemek zor. Bununla birlikte bugün gelinen noktada yakaladığımız artı şudur; 2020 itibarıyla siber güvenlik sektöründe en azından ürün geliştirilirken de çözüm uygulanırken de bazı prensipler oturdu.Hemen herkes aynı iki prensibi takip ediyor. Bunlardan bir tanesi segmentasyon. Segmentasyon, dijital varlıklarımızı çeşitli mantıklara göre (networklere,  uygulamalara vb.) daha küçük parçalara ayırarak olası tehditleri onların içine hapsetme metodolojisi. Üründen bağımsız, hemen her kurumun mutlaka uygulamasıgereken bir prensip. Bir diğeri ise ‘sıfır güvenlik’ prensibi.  Eskiden güvenlik camiası dijital varlıkları, güvenilen ve güvenilmeyen olarak ikiye bölerdi. Bu değişti, segmentler ‘sıfır güvenilen alan’ olarak tanımlanmaya başlandı. Her noktaya sıfır güven bakışıyla yaklaşmak öncelikli oldu. Bu iki prensibi uygulayarak en azından ileriye doğru her kurum bir temel oluşturabilir. 

> İlker Kuruöz: Dönüşümde iki önemli unsur var. Biri süreçlerin ve operasyon modelinin değişimi, bir de var olan ekibin dijital yeteneklere sahip olup olmadığı ya da dönüşüm yeteneği gösterip gösteremediği. Büyük organizasyonlarda insan kaynağını nasıl yönetiyorsunuz?

HAKAN ARAN: Bankamızda işe alımlar sırasında yapay zeka uzmanı, veri bilimcisi, sistem uzmanı, siber güvenlik uzmanı ve benzeri roller tanımlıyoruz. Ancak ne yazık ki bu alanlarda neredeyse hiç yetişmiş eleman bulamıyoruz. Özellikle siber güvenlik konusunda Türkiye'de yetişmiş eleman sayısı sınırlı, sadece bankalar için değil telekom sektörü için de bu geçerli. Yapay zeka ve siber güvenlik başta olmak üzere pek çok alanda kendi kaynaklarımızı kendimizin geliştirmesi gerekiyor. Bu tür yeni teknoloji alanlarında yeteneklerin geliştirilmesi, kurumların tek başına başarabileceği bir durum değil. Öte yandan biz bu alanda insan kaynağımızı eğitip yetiştirdiğimizde bir süre sonra bu çalışanımız yurt dışına gidebiliyor.

Bu noktada Türkiye’deki tüm kurumlara yetebilecek, ülkemizin 2030 dijitalleşme yolculuğuna hizmet edecek insan kaynağını yetiştirme konusunda birtakım ortaklıklara ihtiyacımız var. Üniversitelerle iş birliğine gitme ihtiyacı oluşuyor. Biz, Koç Üniversitesi ile geçtiğimiz günlerde İş Bankası – Koç Üniversitesi Yapay Zeka Araştırma Merkezi’nin açılışını duyurduk. Bu tür iş birliklerinin artması gerekiyor. Özet olarak insan kaynağı konusunu, bankacılık ve Telekom gibi büyük kurumların, kamu-üniversite iş birlikleri ile birlikte elbirliğiyle çözmeleri gerektiğini söylemek isterim. 

> İlker Kuruöz: Dijital dönüşümde bizi gelecekte en çok şekillendirecek, yönetecek ana akımlar olarak neleri görüyorsunuz?

CAHİT ERDOĞAN: Türkiye'de teknoloji profesyoneli olmak isteniyorsa bu noktada finans ve telekom sektörleri önde geliyor. Bu sektörler fabrika mantığında çalışıyor. Ancak gençler arasında bankacılığın çok da cazibe merkezi olduğunu söyleyemeyiz. Bu durumu aşmalıyız. 

Yıllarca en üst seviye mühendislerle çalışıp, programcılıkta deneyimlerinden faydalandık, hâlâ da böyle. 

Trendlere baktığımızda bulut, regülasyon tarafında çok ciddi ve iyi düşünülmesi gereken bir konu. Çünkü orada ‘ülke güvenliği stratejisi açısından önemlidir’  ile ‘ne kaçınılmazdır’ çizgisinin doğru çizilmesi gerekiyor. İkinci trend fintech’ler. 

Bence en önemlisi yakın gelecekte regülasyon teknolojileri olacak. Bugün fintech’ler 20-40 milyar dolar arası fonlanıyor. Finansal kurumların regülasyon riskinden dolayı yaşadığı zarar ne kadardır diye bakıldığında 160-270 milyar dolar arası tahminlemeler var. Bunun da yılda yüzde 25 arttığı düşünülüyor. Cezai hükümler girdi ve KVKK dünya genelinde kritik hale gelmeye başladı çünkü tüketici de bilinçlendi.

Bu kadar riske konu bir büyüklük varken, Fintech’lerin de en çok bu regülasyon çözümlerine, yani Reg-Tech olarak ifade edilen alana giderek odaklanıp değer üretebileceklerini görüyoruz. Bu nedenle regülasyon konusunda iş birliği imkanı sağlamalıyız. 

Üçüncüsü de bahsettiğimiz insan kaynağı. Geniş aralığa sahip ve yeni teknolojilerle ilgilenen, örneğin veri bilimci, siber güvenlikçi gibi yeni meslek dallarına insan kaynağı yetiştirmeliyiz.

> İlker Kuruöz: Siber güvenlik deyince bankacılık faaliyetlerini yavaşlatan da bir algısı var. Bu noktada güvenlik yavaşlatan değil de hızlandıran bir boyuta geçilebilir mi, herhangi bir fırsat görüyor musunuz?

MURAT KAYMAZ: Yavaşlatma kelimesi negatif bir algı yaratıyor; hızlandırma da çok kolay kullanabileceğimiz bir kelime değil.  Siber güvenliği dengeleyici bir unsur olarak görmek gerekir. BT’de geliştirilen her ürün aslında sağlıklı bir siber güvenlik filtresinden geçtikten sonra kalıcı olabilir. Örneğin bir mobil bankacılık yazılımını bir an önce sahaya sürmek isteyebiliriz. Ama güvenlikli bir ürün değilse kalıcı olmayacaktır. O yüzden denge çok önemli bir kavram. Peki dengeyi nasıl yakalayacağız? Çok kolay değil. 

Türkiye'deki bir banka ortalama 50'den fazla güvenlik teknolojisi kullanıyordur. Bu teknolojilerin her biri dengenin nasıl bir parçası haline gelecek, bu  sorunu çözmek zor.  İnsan kaynağındaki kısıtlılık da güvenliğin efektif bir şekilde dengeleyici olarak uygulanmasının önüne geçiyor.

10 yıl önce dünyada binden fazla siber güvenlik şirketi vardı ve benzer sorunları konuşuyorduk. İnsan kaynağı kısıtlı iken bu teknolojileri nasıl bir arada kullanacağız? Ürünlerin ve şirketlerin bir havuzda toplanarak konsolide olacağı öngörülüyordu ve bu bir ölçüde gerçekleşti.

Check Point, bugün 20'den fazla güvenlik teknolojisi sunuyor.  Diğer yandan şaşırtıcı bir şekilde bugün yine binden fazla güvenlik üreticisi var çünkü ihtiyaç çok hızlı artıyor. 

Gelecekte öngörülen çözüm ise şöyle: Teknolojileri konsolide etmek iyi ama onları bir otomasyona, bir orkestrasyona tabi tutabilirseniz çözüm asıl burada olabilir. 

Bir güvenlik ürününün çıktısı başka bir güvenlik ürününün girdisi olabilirse sistemi kendiliğinden işletmek mümkün olacaktır. O zaman belki insan kaynağı sorununu da bir miktar tolere edebiliriz.