Türkiye’de 1990’lı yılların başında kullanılmaya başlanan internet, zaman içerisinde hayatımızın vazgeçilmez bir parçası hâline geldi.
Gelişen teknoloji paralelinde de internete bağlanılan her yerden şubeye gitmeye gerek kalmadan, günün her saati güvenli bir şekilde işlem yapabilmeye olanak sağlayan internet bankacılığı ortaya çıktı. İnternet bankacılığı, tüm dünyada olduğu gibi Türkiye’de de hızla yaygınlaştı. Finans sektöründe teknolojinin yaygınlaşması ve internet bankacılığı kullanıcılarının sayısında da artış yaşanmasıyla birlikte bu durumu kötüye kullanan siber saldırılar meydana gelmeye başladı. Bu durumda finans sektörünün ülke ekonomisinde lokomotif görevi görmesi de etkili oldu.
Bankalar için bilginin önemi tartışılmaz bir konumdayken bu bilgilerin korunması da ayrı bir önem kazandı. Bankalar, internet bankacılığının güvenilirliği için sürekli olarak çalışmalar yapmaya bu minvalde de AR-GE projeleri hayata geçirmeye başladı. Bankalar uluslararası standartlarda internet altyapıları ile müşterilerine güvenli hizmet vermek adına çalışmalar yürütür hâle geldi. Malum eskiden sadece bilgisayar kullanan kişiler bu saldırının hedefiyken artık akıllı telefona sahip herkes, bu tehditlerle karşı karşıya kalıyor.
Bankalar, Siber Güvenliği Sağlamak Adına Neler Yapabilir?
Öncelikli olarak bankaların siber güvenliği sağlayabilmek adına bir dizi önlem alması gerekiyor. Bankalar, gelişen teknoloji ile birlikte aldıkları bu önlemleri artırmalı ya da kullandıkları teknikleri geliştirmeliler. Burada da güvenlik önlemleri konusunda Türkiye’deki ve dünyadaki gelişmeleri yakinen takip etmeleri faydalı olabilir. Bankalar öncelikle söz konusu risklerle ilgili bir değerlendirme yapıp, siber güvenliğe yatırım yaparak herhangi bir saldırının önüne geçebilirler. Bankalar, belirli aralıklarla çeşitli güvenlik testleri gerçekleştirmeliler. Teknik anlamda bir güvenlik açığı tespit edilmesi noktasında da çeşitli testler uygulamalılar; akabinde de ortaya çıkabilecek herhangi bir güvenlik açığında farklı bir önlem alma yoluna gitmeliler. Özetle bankaların güçlü teknolojik altyapıları ile her türlü güvenlik zafiyetinin ve ihlalinin önüne geçmeleri gerekir.
Müşteri Farkındalığı Önemli
Siber güvenlikte, müşteri farkındalığının sağlanması da en az bankaların siber saldırılara karşı aldıkları önlemler kadar kritik rol oynuyor. Siber saldırı gerçekleştirecek kişiler, teknik anlamda gerekli uygulamalarla uğraşmak yerine kimi zaman banka müşterilerini kandırma yoluna da gidebiliyorlar. Sonuçta kişilerin şifrelerini kırmak için kaybedecekleri zamana karşı onların bir anlık dalgınlıklarından faydalanmak onlar için daha cazip bir seçenek. Dolayısıyla da müşterilerin, kendi gizli bilgilerini üçüncü şahıslardan saklayamaması da güvenlik sorununu beraberinde getiriyor. Bu bağlamda sosyal mühendislik yöntemini kullanarak kişilerin, banka müşterilerinin şifre ya da güvenlik sorularının yanıtlarını öğrenme ihtimali göz önünde bulundurulmalı. Bu konuda iş, banka müşterilerine düşüyor. Müşterilerin gizli bilgilerini banka temsilcileri de dâhil kimseyle paylaşmaması gerekiyor. Ayrıca müşteriler, farklı uygulamalarda aynı şifreleri kullanmamalılar. Tabii ki müşterilerin şahsi bilgilerini, dijital ortamda herhangi bir yerde bulundurmamaları da gerekli. Mobil bankacılık uygulaması kullananların, bu işlemleri gerçekleştirirken kullandıkları bilgisayarlarda anti virüs yazılımı kullanmaları kendi güvenlikleri için önem arz ediyor. Müşteriler, tüm bu durumları göz önünde bulundurmalı. Tabii ki müşterilerin bilinçlendirilmesi ve farkındalıklarının oluşmasının sağlanabilmesi adına bankalara da görevler düşüyor. Bankalar gerekli bilgilendirmeleri müşterilerine periyodik olarak yapmalılar. Ayrıca müşteriler, bankaların müşteri bilgileri ile ilgili değişiklikleri telefon ya da dijital ortamda gerçekleştirmedikleri konusunu atlamamalı. Böyle bir durumda karşılaşan müşteri, bilgilerini paylaşmamalı. Ayrıca bankaların adını kullanarak gelen aramalar, SMS’ler ya da mailler olabilir. Bu durumda müşteriler, telefon dolandırıcılığı, virüs yazılımları içeren e-postalar, zararlı eklentiler gibi pek çok durumda dikkatli davranmalı.
Özetlemek gerekirse söz konusu güvenliği sağlamak için bankaların aldığı önlemler yeterli olmuyor. Kişilerin şifre ve güvenlik bilgilerini kimseyle paylaşmaması da önemli.
Türkiye Bankaları Daha İyi Korunuyor
CSC tarafından geçtiğimiz günlerde Türkiye’de faaliyet gösteren 250 kurumun katılımı ile siber güvenlik araştırması gerçekleştirildi. CSC’nin “Türkiye’deki şirketlerin siber güvenlik yaklaşımı” konulu araştırmasına göre son beş yıllık dönemde siber saldırıların sayısında artış yaşandı. CSC Türkiye Genel Müdürü Alev Alp Esen yaptığı açıklamada, “Türkiye’de bankaların internet şubelerinin müşteri arayüzleri Avrupa ülkelerine kıyasla daha fazla dijitalleşmiş durumda. Bu da daha yüksek güvenlik gereksinimini beraberinde getiriyor. Türkiye’deki bankaların yurt dışındakilere göre siber güvenlik tehditlerine karşı daha iyi korunduğunu söyleyebiliyoruz.” diye konuştu.
Android Truva Atı’na Dikkat
Anti virüs yazılım kuruluşu ESET, 48 ülkede mobil bankacılık müşterilerini hedef alan bir Android Truva Atı tespit etti. En çok hedef alınan ülke olarak Türkiye’den 22 Türk bankası hedef alındı. Bu truva atı, aslında iyi bilinen bir hava durumu uygulaması olan Good Weather’ın zararlı hâle dönüşmüş şekli olarak öne çıkıyor. Zararlı yazılım, uygulamanın orijinal hâlinden edindiği hava durumu tahmini özelliklerini koruyor; fakat bununla birlikte, bulaştığı cihazları uzaktan kilitleyebiliyor, SMS mesajlarına erişebiliyor ve cep telefonu üzerinden kullanılan mobil bankacılık bilgilerini çalmaya odaklanıyor. ESET analistleri tarafından yapılan inceleme, bu bankacılık Truva Atı’nın, online sunulan bir kaynak kodunun değiştirilmiş sürümleri olduğunu ortaya koydu. Söz konusu kaynak kodunun, online ortamda herkese açık ve ulaşılabilir hâlde sunulduğuna dikkat çeken ESET Güvenlik Uzmanı Lukas Stefanko, “Android bankacılık zararlısını yaratmak için kullanılan araçların günümüzde çok kolay ve ücretsiz erişilebilir olması, kullanıcıların daha dikkatli olmaları ve önlem almaları gerektiğini ortaya koyuyor.” uyarısında bulundu.
Albaraka Türk Genel Müdür Yardımcısı Ali Tuğlu
BİLGİ GÜVENLİĞİ FARKINDALIK ÇALIŞMALARINI SÜRDÜRÜYORUZ
Bankanın en değerli varlıkları arasında bilgi ön sırada yer alıyor. Siber güvenlik önlemleri de bilginin korunmasında en etkili araçlar hâline geliyor. Öncelikle, alınabilecek tüm teknik önlemleri uyguluyoruz. Güvenlik ihtiyaçları zamanla değişebiliyor, buna göre yeni teknoloji ve yöntemleri değerlendiriyor, uyguluyoruz. Periyodik güvenlik testleri yapıyoruz, benzer testleri bir plana bağlı kalmadan tekrarlıyoruz ve sonuçlarına göre iyileştirme fırsatlarını değerlendiriyoruz. Sektörümüzde ve dünyada yaşanan olayları yakından takip ediyor, kontrollerimizi sürekli gözden geçiriyor ve etkinliklerini yükseltiyoruz. Son kullanıcılarımıza ve müşterilerimize yönelik bilgi güvenliği farkındalık çalışmaları ile olay tespit ve müdahale çalışmalarımızı da aralıksız sürdürüyoruz. Ayrıca müşterilerimizin öncelikle neyi, neden korumak istediğini belirleyip, nasıl koruyabileceğini düşünmesi gerekiyor. Müşterilerimiz, farklı uygulamalarda farklı parolalar kullanmalı ve sıklıkla güncellemeli, bilgi istenen ortamların gerçekliğinden veya kullanılan uygulamaların neler yapabildiğinden emin olmalı, kısaca farkındalık kazanmalıdır.
Kuveyt Türk Bankacılık Servis Grubu’ndan Sorumlu Genel Müdür Yardımcısı İrfan Yılmaz
BANKAMIZA DOĞRUDAN GELEBİLECEK SALDIRILARA KARŞI HAZIRIZ
Kuveyt Türk olarak yaptığımız periyodik risk değerlendirmesi çalışmalarında, siber saldırılara karşı mevcut önlemlerimizin etkinliğini değerlendirip, yeni tehditlere karşı var olan tedbirlerin iyileştirilmesi ve yeni önlemlerin alınması konusunda çalışmalarımızı sürdürüyoruz. Ayrıca kritik altyapı bileşenlerine düzenli olarak sızma testleri uyguluyoruz. Yeni açıkları tespit ediyor ve güvenlik açıklarını kapatmak için gerekli önemleri alıyoruz. Ayrıca bankamızda güvenlik bilincini artırmak amacıyla, bilgisayar kullanıcılarına yönelik birçok eğitim veriyoruz. Banka müşterilerinin bankalara ait internet sitelerinde işlem yapmadan önce güvenlik ile ilgili belirtilen uyarıları okumaları büyük önem taşıyor. Son dönemde bankalar adına gönderilen sahte e-posta ve SMS saldırılarında ciddi bir artış görüyoruz. Bu nedenle banka müşterilerinin bu mesajlara şüpheyle yaklaşması gerekiyor. Biz, bankamıza doğrudan gelebilecek saldırılara karşı hazırız. Geçen yıl önemli bir yatırım ile Data Center’ımızı yeniledik. Güvenlik konusunda ayrıca müşteri bilincinin artırılması en öncelikli konu olmalıdır.
Vakıf Katılım Bilgi Teknolojileri ve ADK Müdürü Sinan Çekerekli
WEB UYGULAMALARINA ÖZEL GÜVENLIK DUVARI
Vakıf Katılım olarak siber güvenliği sağlamak adına iç ve dış ağlarımızda güvenlik duvarı (firewall) çözümleri ve saldırı önleme sistemleri (IPS) kullanmaktayız. Güvenlik duvarı ile yetkisiz paketlerin ve cihazların ağa giriş çıkışı sürekli kontrol edilmektedir. İlave olarak internet ortamında bulunan uygulamalarımızın güvenliği için web filtreleme yazılımları kullanılıyoruz. Dışarıdan siber saldırılara karşı servisin devre dışı bırakılmasına (DDOS) karşın internet ve mobil uygulamalarımız için web uygulamalarına özel güvenlik duvarı (WAF) kullanmaktayız. Bunun yanı sıra hizmet aldığımız operatörlerden de DDOS ataklarını önlemek için hizmet almaktayız. Kurum içi kullanılan kablosuz ağlara sızmayı engellemek için ağ erişim kontrolü (NAC) sağlayan çözümler kullanıyoruz. Periyodik bir şekilde sistemlerimiz üzerinde bağımsız kuruluşlara sızma testleri yaptırarak güvenlik açıklarına karşı önlem alıyoruz. Ayrıca bankalar kendi önlemlerini alsa da müşterilerimizin de kendi kişisel verilerini korumaları gerekmektedir.
Ziraat Katılım Bilgi Teknolojileri Bölüm Başkanı Hasan Hilmi Hakyemez
ALTYAPI YATIRIMLARIMIZA DEVAM EDİYORUZ
Siber saldırganların, saldırı yapmaya yönelik teknik bilgiye kolay erişebilmesi saldırı maliyetlerinin düşük olması, birey ve kurumlarının bu konudaki farkındalıklarının hâlen yeterli seviyede olmaması nedenleri ile gün geçtikçe saldırılar ve neden olduğu finansal etki büyümekte, dünya genelinde her yıl milyarlarca liralık zarar oluşmaktadır. Ziraat Katılım olarak sunduğumuz hizmetlerin müşterilerimize ulaşmasının engellenmesine yönelik siber saldırılara karşı gerekli donanımsal ve sistemsel önlemleri almakta ve altyapımızı güçlendirmeye yönelik yatırımlara devam etmekteyiz. Önemli yatırımlarımızdan biri, banka ağına hâkim olabilmek, belirli güvenlik kriterleri ile alarmlar oluşturarak olası zafiyetleri anlık olarak fark edebilmek ve siber istihbarat servisleri ile bütünleşik bir çözüm sağlamak amacı ile modern bir log kayıt altyapısı kurulması çalışmasıdır. Altyapı çalışmalarını yaparken kullanılacak ürünlerin modern olması yanında, yerli ve millî olmasının öneminin farkındayız. Bu noktada sektörde yapılan yerli çalışmaları da desteklemekteyiz.
Türkiye Finans Bilgi Sistemleri ve Operasyon Genel Müdür Yardımcısı Fahri Öbek
BÜTÜNSEL BIR YAKLAŞIM VE ETKIN RISK YÖNETIMI
Bilgi güvenliği, bankamız hedeflerini destekleyecek şekilde bütünsel bir yaklaşım ve etkin bir risk yönetimi bakış açısıyla yönetilmektedir. Bankamız, yetkin insan kaynağı ile ileri teknoloji altyapısı ve sistemlerini kullanarak hizmetlerini güvenli olarak sunmakta, erken uyarı ve önleme mekanizmaları ile güvenlik tehditlerini ortaya çıkmadan gidermektedir. Bankamız müşterilere sunmuş olduğu hizmetlerin güvenle gerçekleştirilmesi ve gizliliğin korunabilmesi için gelişmiş önleyici ve koruyucu güvenlik sistemlerini etkin olarak işletmekle birlikte, güvenliğin en zayıf halkası olarak tanımlanan son kullanıcılar için müşterilerimize ve çalışanlarımıza yönelik bilgi güvenliğini farkındalığı arttırıcı periyodik çalışmalar uygulayarak daha güçlü ve yaygın bir güvenlik kültürünün oluşturulmasını sağlamaktadır.
