Banka Müşteri  Bilgi Güvenliği , her sektörde olduğu gibi bankacılık sektöründe de ilk sıralarda yer alır. Her zaman gündemdedir. Bazı Bankalar “Veriden Sorumlu GMY”, “Bilgi Teknolojileri GMY” “Teknoloji ve Operasyon GMY”, “Dijital Bankacılık GMY”, “Bilişim Teknolojiler GMY”  diye hizmeti GMY-Genel Müdür Yardımcısı  düzeyine çıkardı.  Günümüzde bilgi güç demektir. Buna rağmen yakından takip edenler “bu kadar da olmaz” denilen bilgi – data hırsızlıklarının nasıl olduğunu hayret ile izler oldu.
Rekabet Kurumu baskınları
Çok değil 2020 Ocak ayında Rekabet Kurumu 20’ye yakın bankaya soruşturma açtığı, bankaların CEO ve GMY gibi üst yöneticilere ait bilgisayarlarının backup ( yedeklerinin ) alınarak gerekli inceleme başlattığı haberleri basın ve medyada yer almıştı. Sonucu merakla bekliyorum, ilginç şeyler çıkacağına eminim.

Rekabet Kurumu bunu zaman zaman yapıyor.    2013 yılında da 12 Bankaya ciddi cezalar kesmiş Danıştay 09.05.2017 tarihinde karara bağlamıştı. Benzer süreçler hiç kuşkusuz bundan sonra da olacaktır. Merak edenler Rekabet Kurumunun halen arşiv  sayfasında yer alan kararı okuyabilirler. Hoş sektörde olanlar,  çalışanları tanıdığı için o gözlerinde büyüttükleri, her fırsatta  “iş etik kurallarından” bahseden  insanların arka planda neler çevirdiğini okurken üzüntü, şaşkınlık, gülme krizi içinde değişik duyguları yaşayacaklarına eminim.
https://www.rekabet.gov.tr/Karar?kararId=30851aa5-2cf3-4c54-b284-e192ed6ed71b
Huylu huyundan vaz geçer mi?
Bankalar “cezalar yediler, uyarılar aldılar” diye “her şey  düzeldi, derslerini aldılar” sanıyorsanız çok safsınız derim. Halen bankaların arka bahçesinde data savaşları devam ediyor. Sahneler aksiyon filmlerini aratmıyor. Bankalar karşılıklı olarak elinde data bulunduran personellerin transferinden tut da, karı – koca – sevgili ilişkisinden yararlanıp data elde etmeye kadar inanılmaz bir trafik var. “Biz Profesyoneliz yapmayız, bizim ülkede olmaz böyle şeyler” diyorsanız kafanızın kum içinde kalmasına devam edin, bence sorun değil. Benim ilgilendiğim konunun ülke milli güvenlik sorunu kadar önemli olması. Artı Şirketlerin güvenliği. Bu iş o kadar vahim ki düşünsenize ülkenizdeki bütün vatandaşların, esnafın, sanayicinin bilgilerini elde etmeye çalışan ve ciddi emek, zaman, para harcayan sistematik çalışan birileri var. Olacaktır da. Bu iş sadece Rekabet Kurumu ve BDDK’ya bırakılacak kadar basit değil inanın. Güncek gelişmelere göre devletin içinde sadece bu konuyu takip eden birimler kurulmalı. Emniyetin Mali Suçlar birimi, MASAK’ta bu konuda ayrı yapılanma içinde değerlendirilmeli. Cezalar daha ağırlaştırılmalı.
Bozulma ne zaman oldu?
Daha önce Wells Fargo Bank özelinde benzer  durumların Türkiye’de de olduğunu defalarca yazdım.  McKinseyciler ,  “eski bankacılar” diye küçümsediği ve tepeden baktıkları yerleşmiş kadroları bilinçli ve sistematik bir şekilde tasfiye edilerek kendileri bu koltuklara oturdu. Her bankada olan ve birbirleri ile irtibatlı bu grubu küçümsemeyin “amaca ulaşmak için her araç meşrudur” diyen bir grup. Bazıları “Kariyer için” farkında olmadan yapıyor bu tip data hırsızlığını bazıları “para için” bilemeyiz arkadaki pazarlıkları. Eski bankacılar banka ile ilgili işleri aileleri ile bile konuşmazdı. Çok ketumdular.  Özellikle McKinseyci diye isimlendirdiğim sektöre paraşütleme inen, kartvizit bankacı gruplarda bu bilgiler rakı – viski sofralarında meze yapıldı. Banka Üst Yönetimlerine atamalar BDDK onayından geçiyor. BDDK bazen o kadar hassas davranıyor ki “vay be” diyorsunuz. Bazen de “yuh” diyorsunuz. Örneğin,  “karı-koca” olan çiftlerin farklı bankalarda GMY olmasına ses çıkarmazken yıllarını bankaya vermiş insanların görev yapmasını onaylamıyor. Şaşkınlıkla izliyorum.
Başka amereler de mi var?
Bankaların İK-İnsan Kaynakları tarafında 2020’de de hızlı bir trafik var. Bazı bankalar İK ismini değiştirdi. “İnsan ve Kültür” diyenler de oldu; “Yetenek ve Kültür” diyenler de oldu. “Kültür” kelimesi hiçbir dönemde bu kadar anlamı dışında kullanılmamıştı. Yerli büyük Banka özellikle “KOBİ’de Analizler yapan” bir üst yöneticiyi büyük yabancı sermayeli bankadan transfer diyor. “Maaşı sorgulamayın” derim. Tabi bu transferin personelin yakışıklı olmasından kaynaklandığını düşünecek kadar da saf değiliz. Buna karşılık aynı yabancı sermayeli banka ( karşı hamle de olabilir ) geçen hafta aynı yerli bankanın bütün data bilgilerini elinde tutan bu yönde Türkiye genelinde program yazıp satış yaptıran daha sonra bölge müdürü olarak atanıp kızağa çekilen personeli de geri transfer ediyor. Geri diyorum zaten bu personel o bankadan uzun yıllar önce bu yeteneğinden dolayı transfer edilmişti. Bitmedi. Yerli bankada uzun yıllar çalışan bu personelin McKinsey kökenli ( ne tesadüf değil mi ) eşi de yeni transfer olan bankada zaten Pazarlama Direktörü. Kısaca kimin bilgisi kimde belli değil. Ortada “banka  – müşteri sırrı” diye bir şey kalmamış. Tabi bu arkadaşlar “biz profesyoneliz evde, rakı sofralarında iş konuşmayız” diyebilirler. O zaman şu 2013’deki Rekabet Kurulu soruşturmasına takılan mail ve mesaj trafiğini tekrar okumanızı tavsiye ederim. İlgili kurumlar bu tip konularda en gibi davranış sergileyecek ilerleyen günlerde göreceğiz.
Bilgi güvenliği için ne olmalı ?
Dijital güvenlikte iki unsur var. Birincisi Teknolojik zaaflar, ikincisi Personel kaynaklı. Bizde her ikisi de yaşandı maalesef, hala da yaşanmaya devam ediyor.  Dijital Teknik tarafı “yazılım güncelleme, güvenlik duvarlarını güçlendirme” gibi yöntemler ile bir şekilde sağlarsınız, yapmanız gereken de bu zaten. Bunu başka bir yazıya bırakalım. Bu yazının konusu İnsan kaynaklı Data hırsızlıkları. Cezalar ağır aslında. Cesaret edenin ciddi gözü “kariyer ya da para” ile karartılmış olması lazım. Yoksa yapılan işler akıllı insanların yapacağı şeyler değil, akıl tutulması; cahil cesareti derim. Aslında bu durum engellenmese de caydırıcı olması açısından alınacak yöntemler var. Örneğin bankalar arasında personel transferinde belli bir süre iş hayatını durdurmak bu yöntemlerden biri olabilir. BDDK ve Rekabet Kurumu bir araya gelip makul süreler belirlemeli. Örneğin Şube müdürleri bankadan ayrıldıktan sonra 6 ay başka bankada çalışamaz ise bölge müdürleri 1 yıl; Grup Müdürleri (Direktörler)  2 yıl; GMY’ler 3 yıl, Genel Müdürler 5 yıl gibi süreler belirlenir ise kısmen bu işin önü alınmış olur. Yoksa Cuma istifa et Pazartesi başka bankada başla; karı – koca başka bankalarda üst yönetimde yer al; gizli gizli viski – rakı sofralarında buluş gibi yöntemler ortalığa saçılmışken Data hırsızlığının önünü kesemezsiniz. Tabi öncelikle bu tip ailevi ilişkileri olan insanların sektörde tespiti ve bir elden geçirme zamanı geldi de geçiyor.
Müşteri Bilgisi sızdı paniği   
Banka, Borsa ve Sigorta şirketlerindeki müşteri bilgilerinin sızdığı hatta internet ortamında satışa çıkarıldığı bilgilerini sık okur olduk.  İşin komiği gerekli güvenlik tedbirlerini almak için çaba göstermeyen kurumlar bu tür “haberler yayılmasın” diye seferber oluyorlar. Neymiş, “kurumun imajı sarsılırmış”. Yemişim senin imajını, “müşteri bilgileri” gibi en mahrem, namusuna sahip çıkamamışsın neyin imajı. Müşteri bilgileri o kurumun namusudur. Buna sahip çıkmamak, başka kurumlara servis yapmak da en büyük namussuzluktur.   
Ne diyordu Dede Korkut : “Hain içerde olunca, kapı kilit tutmaz oğul”.

Erol TAŞDELEN

Ekonomist