Röportajlar

Youssef El Maddarsi, Naoris Protocol Kurucu Ortağı ve İş Başkanı – Röportaj Serisi

mm
Published

Youssef El Maddarsi, Naoris Protocol‘un Kurucu Ortağı ve İş Başkanı, şirketin siber güvenlik girişiminden daha geniş bir post-kuantum altyapı platformuna evrilirken küresel iş geliştirme stratejisini şekillendirmede yıllar harcadı. Blockchain, AI, girişim geliştirme ve uluslararası iş stratejisi alanlarında bir geçmişe sahip olan El Maddarsi, merkezi olmayan güvenlik teknolojileri etrafında ortaklıklar kurmaya ve ticari benimsemeyi artırmaya odaklandı. Naoris Protocol’taki rolünün ötesinde, Naoris Consulting ve Naoris Ventures aracılığıyla danışmanlık ve girişim girişimlerine de genişledi; her ikisi de finans, savunma, robotik ve akıllı şehirler dahil olmak üzere sektörlerde merkezi olmayan altyapıyı, AI destekli sistemleri ve kuantum dirençli teknolojileri ilerletmeye odaklanıyor.

Naoris Protocol, dünyada ilk merkezi olmayan post-kuantum siber güvenlik ağı olarak tanımladığı bir çözüm geliştirmektedir; bu ağ, Web2 ve Web3 sistemlerini ortaya çıkan siber tehditlere ve gelecekteki kuantum bilgisayar risklerine karşı korumak için tasarlanmıştır. Platform, mevcut blokzincir ve dijital altyapının altında bir “Sub-Zero Katmanı” olarak çalışır ve merkezi olmayan güvenlik kanıtı (dPoSec) mutabakat mekanizması, Swarm AI ve post-kuantum kriptografisini kullanarak cihazların, uygulamaların, doğrulayıcıların ve ağların bütünlüğünü gerçek zamanlı olarak sürekli doğrular. Merkezi güvenlik modellerine dayanmak yerine, Naoris cihazları doğrulayıcı düğümlere dönüştürerek ağ güvenini topluca izler ve güçlendirir; uygulama alanları DeFi, AI altyapısı, IoT, akıllı şehirler, kurumsal sistemler ve kritik altyapı güvenliğini kapsar.

Naoris’u temelden inşa etmeye yedi yıldan fazla süredir yardımcı oldunuz, küresel iş geliştirmeden Kurucu Ortak ve İş Başkanına evrildiniz. Merkezi olmayan siber güvenlik ve post-kuantum altyapısının kaçınılmaz olacağına sizi ilk olarak ne ikna etti ve kuantum tehditleri teorik aşamadan kanıtlanabilir hâle geldikçe bu tez nasıl evrildi?

Beni ikna eden, aynı güvenlik modelinin piyasalar arasında tekrarlanmasını görmemdi: organizasyonlar daha fazla araca yatırım yapıyordu, ancak model kendisi merkezi, tepkisel ve yalnızca başarısızlık sonrası ortaya çıkan güven varsayımlarına bağımlı kalıyordu.

Sorun siber güvenlik ürünlerinin eksikliği değildi. Sorun mimariydi. Çoğu sistem hâlâ merkezi kontrol noktalarına, gecikmeli tespitlere ve parçalanmış görünürlüğe dayanıyor. Bu, özellikle dijital altyapı cihazlar, bulut ortamları, tedarik zincirleri ve makine‑makine sistemleri arasında daha dağıtık hâle geldikçe kör noktalar yaratıyor.

Bu yüzden merkezi olmayan siber güvenliğe odaklandık: güvenliği bir çevre modeli yerine sürekli doğrulama modeline taşıyarak, her katılımcı cihazın ağın güvenlik durumunu gerçek zamanlı olarak doğrulamasına olanak tanıdık.

Kuantum bu tezi daha acil hâle getirdi. Post-kuantum kriptografi bir zamanlar gelecekteki bir araştırma konusu olarak görülüyordu. Bugün standartlar tamamlanıyor, göç planları hükümetler ve büyük teknoloji şirketleri tarafından tartışılıyor ve gösterimler zaman çizelgesinin teorik aşamadan pratik hâle geçtiğini gösteriyor. Benim için tez, “bu sonunda önemli olacak”tan “dayanıklı altyapının şimdi hazırlanması gerekiyor”a evrildi.

Birçok sektör danışma grubu, kuantum‑güvenli kriptografiye geçiş penceresinin zaten daraldığını uyardı. Sizce bu tehdit pratik açıdan ne kadar acil ve kurumlar hâlâ zaman çizelgesini düşük fiyatla mı değerlendiriyor?

Risk acildir çünkü geçiş bir anahtar gibi değildir. Kriptografik açıdan ilgili bir kuantum bilgisayar bugün mevcut olmayabilir, ancak geçiş yapması gereken sistemler büyük, karmaşık ve derinlemesine gömülüdür.

Kamu anahtarlı kriptografi kimlik sistemleri, güvenli iletişim, ödeme altyapısı, finansal platformlar, kimlik doğrulama akışları, yazılım tedarik zincirleri, donanım cihazları ve kurumsal sistemler içinde yer alır. Bu temelleri değiştirmek veya yükseltmek envanter, test, satıcı koordinasyonu, düzenleyici uyum ve operasyonel planlama gerektirir.

Kurumlar hâlâ zaman çizelgesini düşük fiyatla değerlendiriyor çünkü kuantum tehdidinin ne zaman gerçek olacağına odaklanıyorlar, geçişin ne kadar süreceğine değil. Daha ilgili soru şudur: bir organizasyonun kriptografik açıdan çevik hâle gelmesi, hibrit yaklaşımları test etmesi ve kritik sistemleri kuantum‑savunmasız algoritmalardan uzaklaştırması kaç yıl alır?

Ayrıca ‘şimdi topla, sonra çöz’ sorunu da var. Bugün toplanan hassas veriler yıllarca değerli kalabilir. Bu, finans, sağlık, savunma, hükümet, enerji, telekom ve kritik altyapı gibi sektörler için tehdidi anlık hâle getirir. Göçe başlamadan önce bir kamu atılımı beklemek yanlış bir strateji olur.

Bağımsız bir araştırmacı, halka açık donanım kullanarak küçük bir eliptik eğri anahtarına başarılı bir kuantum saldırısı gerçekleştirdi. Bu gerçek bir dönüm noktası mı yoksa hâlâ acil bir sistemik riskten çok bir uyarı atışı mı?

Bu bir uyarı atışı, ancak önemli bir atış. Modern üretim sistemlerinin aniden kırıldığı anlamına gelmez. Günümüzde yaygın olarak kullanılan kriptografik anahtarlar, mevcut halka açık kuantum makinelerinin kapasitesinin çok ötesindedir.

Önemli olan yönüdür. Bu tür gösterimler kuantum riskini tamamen teorik kategoriden pratik deneyim alanına taşır. Hedef küçük olsa bile, sektörün tekniklerin, donanım erişiminin ve kaynak tahminlerinin ne kadar hızlı evrilebileceğini anlamasına yardımcı olur.

Dolayısıyla doğru yanıt paniklemek değil, hazırlıktır. Organizasyonlar bu gösterimleri, kriptografik çevikliği inşa etmek, açık kriptografik bağımlılıkları tespit etmek ve baskı operasyonel hâle gelmeden önce geçiş yolları oluşturmak için bir tetikleyici olarak kullanmalıdır.

Sektör genellikle post-kuantum kriptografisini teknik bir yükseltme olarak çerçevelendirir. Gerçek sorunun sadece kriptografik uygulama değil, yönetişim olduğunu savunmanızın nedeni nedir?

Çünkü algoritmalar sorunun sadece bir parçası. NIST, post-kuantum standartlarını tamamladı; bu da pazara çok daha net bir teknik temel sağlıyor. Ancak standartların olması bir ekosistemin otomatik olarak geçiş yapmasını sağlamaz.

Daha zor soru yönetişimdir: geçişi kim karar verir, geçişin maliyetini kim karşılar, hangi sistemler önce taşınır, eski altyapı ne olur ve organizasyonlar yükseltme sırasında yeni riskler yaratmaktan nasıl kaçınır?

Bu, özellikle paylaşılan altyapı için önemlidir. Şirketler, bulut sağlayıcıları, kimlik sistemleri, finans kurumları, satıcılar, düzenleyiciler ve müşteriler koordineli bir şekilde hareket etmelidir. Ekosistemin bir bölümü hazırken diğeri hazır değilse, genel risk devam eder.

Bu yüzden post-kuantum hazırlığı sadece bir kriptografi projesi değildir; bir altyapı yönetişimi projesidir. En iyi performans gösteren kurumlar, kriptografik çevikliği erken inşa eden, net sorumluluk belirleyen ve geçişi son dakikada bir yazılım yaması yerine uzun vadeli bir dayanıklılık programı olarak görenler olacaktır.

Birçok dijital sistem açık kamu anahtarlarına veya eski kamu anahtarlı kriptografiye dayanır. Geçiş küresel olarak koordine edilmezse, bu varlıklar ve sistemler post-kuantum senaryosunda gerçekte ne olur?

Koordinasyon olmadan, maruziyet düzensiz ve yönetmesi zor hâle gelir. Bazı organizasyonlar erken geçiş yapacak, bazıları yavaş ilerleyecek ve bazı eski sistemler, pasif, yükseltmesi zor veya eksik envanterli oldukları için yıllarca savunmasız kalabilir.

Bu, uzun bir risk kuyruğu oluşturur. Açık veya uzun ömürlü kamu anahtarlarına sahip herhangi bir sistem, kuantum yeteneği olgunlaştığında öncelikli hedef haline gelebilir. Zorluk sadece teknik bir uzlaşma değil; aynı zamanda güven kaybıdır. Kullanıcılar, müşteriler, karşı taraflar ve düzenleyiciler, dijital sistemlerin arkasındaki güven katmanının aktif olarak korunduğuna dair güvenceye ihtiyaç duyar.

Koordine edilmemiş bir geçişin gerçekçi sonucu parçalanmadır. Bazı platformlar eski formatları kısıtlayabilir, bazıları yükseltme zorunluluğu getirebilir, bazıları hibrit korumalara dayanabilir ve diğerleri eski riski yerinde bırakabilir. Bunların hiçbiri baskı altında gerçekleşirse ideal değildir.

Daha iyi yol, kriz noktasından önce geçişi planlamaktır: savunmasız sistemleri belirlemek, geçiş kuralları oluşturmak, zaman çizelgelerini iletişim kurmak ve kullanıcılara ve kurumlara güvenli bir şekilde geçmek için yeterli zaman tanımaktır.

Kriptografik güven altyapısına dayanan hangi sektörler bugün en çok maruz ve bir kuantum atılımı en acil ekonomik bozulmaya nerede yol açabilir?

Finans hizmetleri, kriptografinin kimlik, kimlik doğrulama, uzlaşma, saklama, mesajlaşma ve işlem yetkilendirmesini temel alması nedeniyle en çok maruz kalanlar arasındadır. Güven katmanı zayıflarsa, etki anlık ve sistemik olabilir.

Ancak maruziyet finans piyasalarından çok daha geniştir. Sağlık sektörü uzun ömürlü gizliliğe dayanır. Enerji ve telekom, dayanıklı operasyonel sistemlere ihtiyaç duyar. Tedarik zincirleri bütünlük ve kökene dayanır. Hükümetler ve savunma örgütleri güvenli iletişim ve kimliğe bağımlıdır. Daha fazla altyapı yazılım tanımlı ve makine‑makine hâle geldikçe, kriptografik güven günlük operasyonların temeli haline gelir.

Bir kuantum atılımı bu nedenle tek bir teknoloji kategorisiyle sınırlı kalmaz. Güvenli iletişim, dijital kimlik, veri bütünlüğü, operasyonel süreklilik ve yasal sorumluluk gibi varsayımları sarsar.

Bu yüzden bu durum, sektörler arası bir dayanıklılık sorunu olarak ele alınmalıdır. Post-kuantum hazırlığı sadece verileri korumakla ilgili değil; aynı zamanda modern organizasyonların ve ekonomilerin dayandığı dijital sistemlerdeki güveni korumakla ilgilidir.

Dağıtık, bulut tabanlı veya kriptografik olarak güvenli sistemleri zaten kullanan işletmeler, perakende kullanıcılarından farklı bir risk profiline sahiptir. ‘Bir gecede yükseltme’ yapamayan büyük kurumlar için güvenilir bir geçiş zaman çizelgesi nasıl görünür?

Büyük kurumlar için güvenilir geçiş, kriptografik çeviklikle başlar: tüm işi yeniden tasarlamadan kriptografik temel öğeleri değiştirme yeteneği.

İlk aşama keşiftir. Organizasyonların uygulamalar, sertifikalar, API’ler, kimlik sistemleri, anahtar yönetimi, donanım güvenlik modülleri, satıcı ürünleri, bulut hizmetleri ve üçüncü taraf bağımlılıkları arasında nerede savunmasız kriptografi olduğunu bilmesi gerekir. Birçok kurum henüz bu tam envantere sahip değildir.

İkinci aşama hibrit dağıtımdır. Bu, organizasyonların performans, birlikte çalışabilirlik, uyumluluk ve operasyonel riski yönetebilmeleri için post-kuantum algoritmalarını mevcut klasik sistemlerle birlikte test etmeleri anlamına gelir.

Üçüncü aşama aşamalı geçiştir. Kritik sistemler önce taşınmalı, ardından standartlar, satıcı desteği ve ekosistem uyumluluğu olgunlaştıkça daha geniş kurumsal sistemler gelmelidir.

Bu çok yıllık bir süreçtir. Bu yüzden başlamak için doğru zaman, tehdit acil hâle gelmeden önceki zamandır. Kuantum atılımı piyasada görünür hâle geldiğinde, en güvenli geçiş penceresi zaten daralmış olabilir.

Naoris, cihazları merkezi olmayan bir güven ağında doğrulama düğümlerine dönüştürmeye odaklanıyor; burada her bileşen diğerlerini gerçek zamanlı olarak sürekli doğruluyor. Bu mimari, dijital altyapıyı kuantum ve sistemik siber tehditlere karşı güvence altına alma konusundaki düşüncemizi nasıl değiştiriyor?

Geleneksel siber güvenlik önce güveni varsayar ve bu güven başarısız olduğunda tepki verir. Naoris, ters bir varsayımla başlar: güven sürekli kanıtlanmalıdır.

Mimari, katılan cihazları ve uç noktaları merkezi olmayan bir güven‑doğrulama ağına dahil eder. Sadece merkezi bir otoriteye veya statik bir çevreye güvenmek yerine, cihazlar daha geniş ortamın güvenlik duruşunu ve bütünlüğünü gerçek zamanlı olarak doğrulamaya yardımcı olabilir.

Bu, modeli pasif savunmadan aktif dayanıklılığa değiştirir. Güvenlik sürekli, dağıtık ve ölçülebilir hâle gelir. Bir bileşen kompromize olmuş veya yanlış yapılandırılmışsa, yalnızca merkezi bir izleme katmanı yerine ağ tarafından değerlendirildiği için daha hızlı tespit edilebilir.

Post-kuantum hazırlığı bu modele doğal olarak uyar. Kuantum riski, kenarda tek bir araç eklenerek çözülecek bir şey değildir. Güven mimarisine, kriptografik çevikliğe, sürekli doğrulamaya ve altyapının kendisine yerleştirilmiş post-kuantum standartlarına destek olarak entegre edilmelidir.

Ayrı bir Layer-1 Web3 ekosistemi $NAORIS’i yardımcı token olarak kullanıyor. Okuyucular bu ekosistem ile Naoris’in siber güvenlik çalışması arasındaki ilişkiyi nasıl anlamalı?

Yapı konusunda çok net olmak önemlidir. Temsil ettiğim siber güvenlik işi Naoris, $NAORIS’in yardımcı token olarak işlev gördüğü Layer-1 Web3 ekosistemini sunan bağımsız varlıktan yasal ve operasyonel olarak ayrıdır. Bu varlık adına konuşmuyorum ve token ihraçları, token listeleri, borsa faaliyetleri, token yönetişimi veya ekosistem ekonomileriyle ilgili bir rolüm yok.

Genel olarak, $NAORIS o ayrı Web3 ekosistemine aittir. Kullanım durumları blokzincir‑yerel olup, Layer-1 ağına ve bu ortamda inşa edilen Web3 uygulamalarına katılımla ilgilidir. Token ile ilgili tüm konular o ayrı varlıkta ele alınır.

Benim odak noktam Naoris’in siber güvenlik altyapısıdır: merkezi olmayan güvenlik doğrulaması, post-kuantum hazırlığı, kurumsal dayanıklılık ve dijital güven. Bu alanlar kavramsal olarak Web3 altyapısına yakın olabilir, ancak aynı iş, yasal yapı veya operasyonel görev değildir.

Bu ayrım önemlidir. Naoris’in rolü siber güvenlik ve altyapı dayanıklılığıdır. Token ayrı bir Web3 ekosisteminin parçasıdır ve ben o ekosistemi temsil etmiyorum ya da onun adına konuşmuyorum.

İleriye baktığımızda, post-kuantum altyapısına kademeli bir geçiş bekliyor musunuz, yoksa sektör bir atılım olayıyla tetiklenen ani, tepkisel bir geçişe zorlanacak mı?

Her ikisini de bekliyorum. En hazırlıklı organizasyonlar kademeli geçiş yapacak. Kriptografilerini envantere alacak, kriptografik çeviklik inşa edecek, hibrit sistemleri test edecek ve kritik altyapıyı post-kuantum hazırlığına zorlanmadan önce taşıyacak.

Ancak pazarın büyük bir kısmı hâlâ daha görünür bir tetikleyici bekliyor. Bu riskli. Büyük bir kuantum gösterimi, donanım yeteneğinde güvenilir bir hızlanma ya da yüksek profilli bir olay, planlı bir geçişi aceleci bir acil duruma dönüştürebilir.

Tehlike sadece kuantum yeteneğinin gelmesi değil; tehlike farkındalık ile eylem arasındaki boşluktur. Organizasyonlar bu geçişin geleceğini biliyor, ancak çoğu hâlâ sorumluluk, bütçe veya zaman çizelgesi atamamıştır.

Erken hareket eden kurumlar süreci daha fazla kontrol edebilecek. Bekleyenler ise güven, zaman ve operasyonel esnekliğin en düşük olduğu anda karmaşık altyapıyı geçirmeye çalışırken kendilerini bulabilir.

Harika röportaj için teşekkür ederiz, daha fazla bilgi edinmek isteyen okuyucular Naoris Protocol. adresini ziyaret etmelidir.

mm

Antoine bir vizyoner futurist ve Securities.io'nun arkasındaki itici güçtür, yıkıcı teknolojilerde yatırım yapan bir finans teknolojisi platformu. Finansal piyasalar ve ortaya çıkan teknolojiler hakkında derin bir anlayışa sahip olan Antoine, inovasyonun küresel ekonomiyi yeniden tanımlayacağı konusunda tutkulu. Securities.io'yu kurmanın yanı sıra, Antoine Unite.AI adlı bir haber ajansı başlattı, yapay zeka ve robotikte yapılan atılımları kapsayan bir üst haber ajansı. İleri düşünceli yaklaşımıyla tanınan Antoine, inovasyonun finansın geleceğini nasıl şekillendireceğini keşfetmeye adanmış bir düşünce lideridir.