Bankalar, Siber Güvenlik ile ilgili tedbirlerinin yeterli olduğunu iddia ediyor ama, çoğu dolandırıcılıkların merkezinde hala Bankalar var. Kredi Kart, POS, ATM/BTM dolandırıcılığı, Hesapların boşaltılması, Kişisel Verilerin sızdırılması, para karşılığı banka içi Müşteri Bilgi sızdırılması her tedbir sonrası dolandırıcıların bir hamlesi geliyor. İşin içinden çıkılmaz bir hal alıyor ta ki Bilgi Güvenlik Mühendislerin işin içine girene kadar. Dolandırıcıların korkulu rüyası bu grup. Sibel Saldırıları ilk fark edip ilk harekete geçen, karşı hamle planlayan grup yine bunlar. Peki Bankacılık sektörü ne kadar güvenli?

Telefon dolandırıcılığı, POS dolandırıcılığı, Kredi Kartı dolandırıcılığı, hesapların boşaltılması, ATM dolandırıcılığı, kişisel bilgi hırsızlığı dikkat edin çoğunda bankalar boş rol oyuncusu.
Dijital dönüşüm her sene daha da hızlanarak devam ediyor. 2010’dan sonra internetin yaygınlaşması, akıllı telefon kullanım oranının katlanarak artması bunun sonucunda da mobil uygulamaların neredeyse tüm ihtiyaçları karşılamaya yönelik yaklaşımları artık dünyada tüm alışkanlıkları değiştirmiş durumda.
 Son 10 yıla baktığımızda değişimin ne kadar büyük olduğunu görmek pek de zor değil. İletişimden, pazarlamaya, finanstan, reklama tüm sektorlerde tanımlar, tekrardan oluşturulmuş durumda. Artık devasa sosyal networklere dahiliz. Bir tarafta aile ve arkadaş havuzumuz var diğer tarafta fotoğraf havuzumuz var. Diğer bir uygulamada gittiğimiz yerleri işaretleyebiliyoruz.
Bütün hizmet alabileceğimiz noktalardan daha ürünü almadan bütün yorumları okuyabiliyoruz. Yemeğimizi bile 2 tuşla eve söyleyip restaurant hakkında yorum yapabiliyoruz.
Ne kadar yol gidip ne kadar tutacağını ya da nerden alırsan ürünü daha indirimli olduğunu anında görebiliyoruz. Market alışverişi, özel araç, bankacılık işlemleri artık telefonumuzun içinde. Devlet kurumlarına yapacağınız işlemlerden tutun, havale, eft, fatura ödeme işlemlerini bile telefonla hallettiğimiz bir dönemdeyiz. Dolayısıyla böyle devasa bir ağın içinde devasa tehditler barınıyor.
Dibi görünmeyen çukur: İnternet
Biraz da bu devasa ağı şöyle verilerle biraz daha şekillendirelim. 1 dakikada  180 milyon mailin gönderildiği, 400 saatlik youtube videosunun ve 300 bin instagram fotoğrafının yüklendiği, 38 milyon whatsapp mesajının gönderildiği bir ağdan bahsediyoruz. Bunların yanısıra milyar dolarlık parayı yöneten bankalar da bu networkte hizmet veriyorlar.

Saldırıların amacı ne ?
Bir saldırganın amacı, sistemlere girip buradan elde ettiği bilgilerle ya da kullanabileceği yöntemlerle kazanç elde etmeye çalışmaktır. Bu girişimler basit sosyal mühendislik çalışmalarıyla olabileceği gibi, uygulama açıklarını kollayan ve kod analizi yapan sistematik saldırılar da olabilir.
Türkiye’de durum ne?
Tüm dünyada olduğu gibi Türkiye’de de en çok hedeflenen kuruluşların başında bankacılık ve finans kuruluşları geliyor. Bankalar, yüksek düzeyde güvenlik önlemleriyle kendilerini ve müşterilerini her zaman güvende tutmayı hedefliyor. Ancak yine de bankacılık sisteminin büyük oranda dijitalleşmesi, siber saldırganların iştahını kabartıyor. Paraya ulaşmak için yeni yollar, yöntemler denemekten çekinmiyorlar. Bankalarda diğer firmalara göre risk, kayıp, itibar zedelenmesi çok fazla olacağı için yıllardır bu alanda biraz daha tetikte olmak  durumundalar. Özellikle son 5 yılda global ölçekte bankacılık sektöründe siber güvenliğe ciddi yatırımlar yapıldı. Aynı zamanda 2014-2015’den sonra özellikle dijital bankacılık sektöründe yasal uyumluluk, denetim çalışmaları daha da sıkılaştırıldı. Danışmanlık şirketi EY firmasının her sene üst düzey risk yönetimi uzmanlarının katılımıyla hazırladığı Global Bankacılık Risk Yönetimi Araştırmasına* göre  bankaların risk yönetimi birimleri için en büyük endişe kaynağını siber güvenlik ve veri ilişkili riskler oluşturuyor. Araştırmaya katılan risk yönetimi liderleri, artan siber güvenlik tehditleri ve dijital dönüşümün etkisiyle risk birimlerinin ve standartlara uygunluğu denetleyen departmanların önceliklerini yeniden belirlediklerini dile getiriyor.
Öte yandan araştırma sonuçları, risk yönetimi ve güvenlik birimlerinin yeni teknolojileri kullanarak bankayı farklı alanlarda destekleyebileceğine işaret ediyor. Katılımcıların yüzde 72’si yeni teknolojilerin usulsüzlük denetiminde, yüzde 68’i mali suçların tespitinde, yüzde 57’si ise kredi analizi ve bankaların müşterilerini tanıma amaçlı faaliyetlerinde kullanılabileceğini belirtiyor. Özellikle makine öğrenmesi ve kimlik yönetimindeki gelişmeler, güvenlik olay yönetiminin kullanılması biraz daha görünürlüğü arttırıcı önlemler olarak göze çarpıyor.

Neler yapılmalı?
2019 yılında siber saldırıların  dünya genelinde şirketlere toplam zararı 2 trilyon USD’den fazla olacağı öngörülüyor. Peki teknolojinin yıldan yıla bu kadar gelişmesine ragmen, saldırıların yarattığı zararların katlanarak artması neden kaynaklanıyor? 
Bankacılık özelinde şöyle cevaplayabiliriz.
1-İnsan hatası %95’lik oranla hala en büyük güvenlik sorunu kaynağı olarak gösterilmektedir.
Bankalarda denetim ve kontrol birimleri diğer firmalardan daha fazla olmasına rağmen yine insandan kaynaklı yaşanan hatalar en üst sırada yeralmaktadır. Sızma ve veri kayıplarının yaşanmasının en büyük nedeninin şirket çalışanlarının güvenlik ihlalleri olduğu gözlenmektedir. Bununla ilgili risk prosedürlerinin oluşturulması, departmanların ve çalışanların bilgilendirilmesi ve artı önlem olarak da özelleştirilmiş veri sızıntısı önleme (DLP) ve analiz uygulamaları kullanılması gerekmektedir. Kişisel verilerin korunmasına yönelik kanunların ve çalışmaların oturmaya başladığı bir dönemde mutlaka dikkat edilmesi gereken noktalardan biridir. Banka ve müşteri bilgilerinin bir banka çalışanı tarafından dışarıya çıkarılma ihtimali de göz önünde bulundurulması gereken bir durumdur. (*Bkz: ING Bank) Sadece banka özelinde değil her firmada olabilecek bir durum olduğu için mutlaka denetleyici bir mekanizma kullanılması gereklidir.

2- Bankacılıkta kullanılan sistemlerin, servislerin zamanında güncellenmemesi yine önemli bir güvenlik sorunu. Bir işletim sisteminde ya da uygulamada çıkan bir açık genelde saldırganların başlangıç noktası olabiliyor. Buradan faydalanarak sistemlere daha kısa sürede erişebiliyorlar. Kullanılan tüm altyapı için öncelikle güvenlik güncellemeleri bekletilmeden yapılmalıdır. Türkiye’deki bazı banklardaki POS kaynaklı dolandırıcılıklar bu nedenle olmaktadır.
3-Mevcut sistemlerin ve servislerin konfigürasyonunun düzgün yapılmaması. Bunlar da yine saldırganların sevdiği konuların başında geliyor. Default olarak açık bırakılan portlar, kullanıcılar, tanımlar . vs
4-En çok dikkat edilmesi gereken noktalardan biri de Kod. Kullanılan iç yazılımlar ya da hazır yazılımlar yine önemli güvenlik sorunlarına yol açabilecek zafiyetler barındırabilir. Kodlama kısmında da artık güvenlik esaslarının dikkate alınması bir standart haline gelmesi gerekiyor. Bankacılık sektöründe eskisine göre birçok gözle testler, taramalar yapıldığı için bu zafiyetler azalmış olsa da, “Çalışan sisteme dokunulmaz” diye bırakılan eski yazılımların elden geçirilmesi gerekiyor. “Dijitalleşiyoruz, Robotlaşıyoruz” diye bilgisizce açıklama yapan Banka CEO’larının yumuşak karnı burası.
5-Yetersiz bilgi ve bundan dolayı güvenlik cihazlarının yeterince efektif bir şekilde kullanılamamasını yine sorunlardan biri olarak söyleyebiliriz. Mevcut altyapı ve tüm trafiğin uçtan uca analiz ve takip edilmesi gerekiyor ki herhangi bir anomalide aksiyon alınabilsin. Burada yine güvenlik çalışanlarının sürekli güncellenmeleri ve sürekli eğitimle daha yetkin hale getirilmelidir.
6-Yılda bir kere sistemlerin o anki fotoğrafını çekebilmek için içerden ve dışardan sızma testlerinin yapılması gerekmektedir. Bu raporlar sonucunda mevcut güvenlik puanınızı görebileceğiniz gibi yapılması gereken ve karanlıkta kalmış, zafiyet barındırabilecek noktalarında görünmesini sağlayacaktır.
7-Bankacılık sektörünün özellikle bu dijital dönüşümde daha titiz davranarak olabilecek tüm saldırıları göz önünde bulundurarak doğru ve yerinde güvenlik yatırımları yapmaları gerekiyor.
8-Banka çalışanlarının ve müşterilerinin karşılaşabileceği sorunlara karşı farkındalık çalışmaları yapılması gerekmektedir. Özellikle çalışanlara periyodik olarak farkındalık eğitimi düzenleyerek, güvenlik bilincini daha da arttırmak gerekmektedir.
9-Bu maddeler ışığında bir risk yönetimi ve güvenlik standardının oluşturulması ve beklenmedik senaryolara göre alınabilecek aksiyonların belirlenmesi gerekmektedir.
Türkiye kötücül yazılım kaynaklı siber güvenlik tehditlerine maruz kalma açısından dünyada en üst sıralarında yer almaktadır. Ayrıca botnet (zombi ağı) ağlarında yine üst sıralarda yer bulunmakta. Ayrıca çalışan bilinci ve farkındalık konularında henüz istenen seviyede değiliz. Bu yüzden dijital dönüşümde bu kirli networkte güvenli bir biçimde var olabilmek için eskisine göre çok daha detaycı yaklaşımlar ve aksiyonlar gerekmektedir.

Not : Kıymetli bilgilerini paylaşarak yazının oluşumuna destek veren, bu konuda Türkiye’de yetişmiş önemli insanlardan biri olan  Bilgi Güvenliği Mühendisi SEZGİN K.’a teşekkür ederim.
Erol TAŞDELEN
[email protected]

*: https://www.ey.com/tr/tr/newsroom/news-releases/2018-bankalar-risk-yonetimi-birimlerini-yeniden-yapilandiriyor
*:  https://www.kvkk.gov.tr/Icerik/5375/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-ING-Bank-A-S-