2013’te ODTÜ Teknokent’te dört kişinin kurduğu Picus Security, siber güvenliğin Gartner tarafından 2017’de tanımlanan bir alanında dünyadaki beş şirketten biri. Bu, başarılı bir startup hikayesi anlamına geliyor.
Siber güvenlik şu anda en sıcak konulardan biri ancak tehditler o kadar çeşitlenmiş durumda ki, güvenlik sistemlerinin entegrasyonu bu sıcak konunun merkezinde yer alıyor. Ancak daha sıcak bir nokta var: gelecekteki tehditlerin nerden geleceğini hayal edebilmek ve buna göre bir kurgu oluşturmak. Güvenliğin bu değerli alanı, Gartner tarafından 2017’de Güvenlik İhlali ve Saldırı Simülasyonu (Breach and Attack Simulation-BAS) olarak tanımlanırken Picus Security iki ABD’li ve iki İsrailli şirketle birlikte bu alanda ismi anılan beş şirket arasında yer aldı.
Görece yeni bir güvenlik yaklaşımı olan güvenlik ihlali ve saldırı simülasyonu,alanı, organizasyonun güvenlik sistemindeki kırılgan noktaların sürekli otomatize edilmiş sızma testlerinden geçirilmesi gibi yöntemlerle tespit edilmesini ve çözümlerin sağlanmasını kapsıyor. Bu alandaki en iyi çözümler, siber güvenlik çalışanlarının zamanını azami verimlilikte kullanmayı ve siber riskleri asgariye indirecek şekilde çözümler önerebiliyor ve önceliklendirebiliyor.
Bu işi yapan şirketler listesi bazı yerlerde daha fazla uzatılsa da, Gartner’ın 2019’un ikinci yarısı için hazırladığı Güvenlik ve Risk Yönetimi (Security and Risk Management, 2H19) raporunda Picus dünya çapında bu yıl içinde inovasyon gerçekleştiren en havalı beş üretici (Cool Vendor) arasında gösterildi. Daha öncePwC tarafından en yenilikçi 10 siber güvenlik firması arasında gösterilirken, Endeavor tarafından yüzlerce firma içinden küresel etki yapabilecek girişimcilerden biri olarak nitelendirildi. Şirket, Cyber Defense Magazine tarafından da 2019 yılının en inovatif startup’ı seçildi.
Picus Security’nin bu başarıyı elde etmesinde kategorinin tanımlanmasının çok öncesinde kendisini bu alana odaklayarak geliştirmesinin payı büyük. Oluşan kadro da hiç azımsanacak gibi değil. Picus Security Kurucu Ortağı ve CTO’su Volkan Ertürk, “Picus’u 2013’te ODTÜ Teknokent’te dört kurucu ortak olarak kurduk. Bu, zaten benim doktora tezi konum. Süleyman Özarslan bu alanda Türkiye’de tanınan en iyi beyaz şapkalı hackerlardandır. Diğer kuruculardan H. Alper Memiş şirkete finans ve satış alanında, Aycan İrican da yazılım geliştirme alanındaki tecrübelerini kattı. Aynı yıl ODTÜ’nün hızlandırma programıyla ABD’de 4 hafta pazarı tanıma ve iş geliştirme faaliyetlerinde bulunduk. TÜBİTAK 1512 (Teknogirişim Sermayesi Desteği) ve KOSGEB desteklerinden faydalanarak 2014 başında ürünümüzün ilk versiyonunu çıkarttık. İlk müşterilerimiz Ankara merkezli TOBB, TMO, BDDK gibi kurumlar oldu. 2015 yılında İstanbul pazarındaki ilk satışlarımızı gerçekleştirdik. Bu önemli referans isimler, Türkiye’de bizi bilinen ve güvenilir bir siber güvenlik firması haline getirdi” diyor.
Siber güvenlik alanında ayrışabilmek kadar, bu alanın kendi cazibesi de amiyane tabirle iyi yere tezgah açmayı sağlamış durumda. Dünya Ekonomik Forumu Küresel Riskler raporunda belirtilen ve dünyanın karşı karşıya olduğu ilk beş tehditten üçü iklimle diğer ikisi ise siber suçlar ile ilgili. Siber suçların küresel ekonomiye olan maliyetinin 2021 yılında 6 trilyon dolara ulaşması bekleniyor. Bu kadar ciddi bir risk karşısında da tüm şirketler kendilerine yönelebilecek potansiyel saldırıların önüne geçmek amacıyla güvenlik teknolojilerine önemli miktarlarda yatırım yapıyorlar. Ancak siber dünyada saldırının nereden ve nasıl geleceğini bilmek kadar saldırıya hedef olan şirketlerin ellerinde bulunan teknolojiyi ne kadar etkin kullandıklarını öngörmek oldukça güç.
Ertürk’ün bu noktadaki konumlarını anlatan iki önemli hikayesi var. Bunlardan ilki şirketin adını da oluşturan Picus ile ilgili. Picus, ağaçkakan ailesinden kuşların adını oluşturuyor. Ertürk, “Ağaçkakanların ağaçları neden gagaladığını biliyor musunuz?” diye soruyor ve birikimli olduğu bu alanda yanıtını da kendisi veriyor: “Ağaçkakanlar ağaca gagalarını vurduklarında gelen titreşimlerden ağacın nerelerinde çürük olduğunu algılıyorlar. Bu çürümüş alanlar aynı zamanda onların yemeği olan kurtçuk ve böcekleri barındırdığı için bu şekilde hayatlarını sürdürmek için gereken besinleri de buluyorlar. Bizim işimiz de buna çok benzer” diyor.
Picus isminin kökeni, şirketin gerçekleştirdiği simülasyonlar ve bunun sonucunda gelir elde etmesi ile çok güzel uyuşuyor. İkinci hikaye ise, bu kadar sembolik değil ancak şirketin çalışma prensibine ışık tutuyor. Ertürk, siber saldırganların da şirketler gibi bir saldırı aracı ürettiklerinde bunu ağa yükleyip test ettiklerini söylüyor. Bunun için belirli siber alanlar bulunuyor. Picus’un otomatik çalışan araçları bu siber alanları takip ederek daha test aşamasındayken saldırı araçlarını tespit ediyor ve bunlara karşı çözüm geliştiriyor. Ertürk, “Bir keresinde bir CIO bize yeni bir tehditle ilgili bilgi aldıklarını yazarak buna karşı ne çözüm önerebileceğimizi sormuştu. Sistemimizi aradığımızda o sorunu bir hafta önce çözdüğümüzü gördük” şeklinde konuşuyor. Sıfır gün çözümlerinin bile yerlere göklere konulamadığı bir dünyada önemli bir performans…
Bu performans, şirketin daha başlangıçtan itibaren derin teknoloji fonlarının ilgisini çekmesine neden oluyor. Picus Security’nin başlangıç aşamasında 1,4 milyon dolar yatırım aldığı ACT, şirketin yatırımcı tarafında nasıl görüldüğünü anlayacak bir içgörü sağlıyor. ACT Kurucu Ortağı Okan Kara “ACT Derin Teknoloji Fonu olarak Picus Siber Güvenlik şirketini 2017 yılı ilk çeyreğinden itibaren takip etmeye başladık. Anılan dönemde problem çözüm uyumu konusunda büyüyen bir segment yakalamış, ürün pazar uyumu için farklı iş modellerini deneyimleyen ve çok iyi bir girişimci ekibe sahip, yüksek potansiyelli bir girişim olarak dikkatimizi çekmişti. 2017 yılı boyunca gelişimini yakından takip ettik. Neticesinde yurtiçi kurumsal müşteriler nezdinden genel kabul görmesi, içinde bulunduğu pazar segmentinin geleceği ve girişim ekibinin küresel pazarlarda rekabet edebilecek bir yetkinlik seviyesinde olması gibi pozitif etmenler çerçevesinde yatırım kararı aldık” diyor ve şöyle devam ediyor: “Yatırım sonrası Picus 2018 yılında özellikle Avrupa pazarına odaklandı ve yıl içerinde global bir çok kurumsal müşteri kazandı. Kısa süre önce kamuoyu ile paylaşılan Earlybird fonunun Seri A yatırımı ile de Picus un 2020 yılında global pazarlarda büyümesini sürdürmesini bekliyoruz. Siber Güvenlik 2.0. rüzgarının estiği günümüzde Picus un ülkemizden çıkacak en başarılı derin teknoloji girişimlerinden biri olacağını kanaatindeyiz.”
Son yatırım turunda Earlybird’den 5 milyon dolar yatırım alan Picus Security, Ekim 2019’da Gartner’in “Cool Vendors” listesinde yer almasının semeresini görmüşe benziyor. Earlybird’den 5 milyon dolarlık A Serisi yatırım şirketin özellikle ABD pazarında güçlenmesine yarayacak. Ertürk, “ABD pazarında etkili olabilmek için orada güçlü bir ekiple yer almanız ve yüksek kalitede servis vermeniz gerekiyor. Orada uzaktan iş yapmak mümkün değil. Buna uygun yapılanma için hazırlıklarımızı sürdürüyoruz” şeklinde konuşuyor. Siber güvenlik alanında uluslararası rekabet gücünü artırmayı hedefleyen Picus Security’nin hâlihazırda bulunduğu İngiltere, Almanya, İtalya ve Ortadoğu pazarlarına ağırlık verme planları olsa da ABD pazarının şirketinde geleceğinde ayrı bir yeri olacağı aşikar.
