Modern Bankacılık Güvenliğindeki Temel Zorluklar Nelerdir?

Bilgi ve iletişim teknolojilerindeki inanılmaz değişim tüm faaliyetleri dijital ortamlara taşımaktadır. Gelişen teknolojiye ayak uydurarak farkındalık kazanan bireyler gizliliğe önem veriyor. Para piyasasında önemli olan bankalar, içinde bulunduğu dijital çağa ayak uydurarak modern bankacılık anlayışını benimsiyorlar.

Bu süreç, bankaların müşterilerine daha hızlı hizmet vermesini gerektirirken, diğer taraftan veri hacminin ve çeşitliliğinin artması ortaya hukuki anlamda sorunların da çıkmasını tetikliyor. Kişilere ait verilerin korunması ve kötüyü kullanımının engellenmesi amacıyla getirilen mevzuat, bankaların müşterilerine ait verileri koruma adına güvence sistemini zorunlu kılıyor. İlgili mevzuatın kabul edilmesi ile bankalar, kişisel veri işleme sürecinde uyum içerisinde çalışmasını zorunlu hale getirmiştir. 

Siber Saldırılar Bankacılık Güvenliğini Nasıl Tehdit Ediyor?

modern bankacılık güvenliği

Günümüz dünyasında iç içe geçen kavramlar, birbirinin yerine de kullanılıyor. Modern dünyamızda siber kavramı, karmaşık bir yapıya sahip olabilir. Bilişim ve iletişim ağlarında uzayı tanımlamak amacı ile kullanılan kavram, insan ihtiyaçları arasında ikinci sırada yer alan güvenlik ihtiyacını öne çıkarıyor. Günümüzde gerek siyasi gerekse hobi amaçlı olduğuna inanan kişilerin ve kurumların zayıf yönlerini keşfederek istihbarat toplama, fikir mülkiyetine tecavüz gibi farklı nedenler ile siber güvenlik olayları yaşanıyor.

Uluslararası Telekomünikasyon Birliği verilerinden elde edilen bilgilere göre dünya nüfusunun yaklaşık %60’a yakın kısmının siber dünyada, kişi, kurum, devlet ve siber güvenlik uzmanları da dâhil olmak üzere kendi bilgi işlem servislerini korumaları gerektiği biliniyor. Korunma konusunda birçok yol ve yöntem bulunmaktadır. Modern bankacılık sisteminde siber saldırılarda ortaya çıkan tehditler:

Oltalama Saldırılar

Sahte e-posta ya da kopya web siteleri ile güvenilir ve tanınmış bir kurum taklit edilerek sistemi kullanan kişilerin bilgilerini ele geçirme faaliyetidir. Hassas bilgi olarak değerlendirilen bu bilgiler, suç unsuru teşkil eden aldatıcı faaliyetlerdir. 

Kötü Yazılımlar

Bilgisayar kullanıcılarının haberi olmadan, bilgisayarların sızmak ve bu bilgisayarlara zarar verme amacı ile kodlanmış yazılımlardır. 

Truva Atı 

Bilgisayar kullanıcılarını kullanım dışı bırakarak bilgisayarları yönetmek ve bilgisayarlara dışarıdan erişim sağlama adına arka kapı açan programlardır. 

Virüsler

En eski ve en tehlikeli kötü yazılım olarak kabul edilen yazılımlardır. Bilgisayar belleğine ulaşarak kullanılan programlara zarar verir. Programlar üzerinde değişiklik yaparak sistemi ele geçirir. 

Solucan

Truva atı ve virüslere nazaran daha fazla komplike zararlı olan yazılımlardır. Daha ziyade e-posta yolu ile gönderilen mail eklerinde, sahte internet sitelerinde ya da bağlı bulunan ağ ile paylaşılan dosyalar ile bulaşır. Sisteme bulaşarak sistemdeki veriler ulaşır. Söz konusu olan veriler izinsiz olarak kullanılır. 

Reklam İçeren Casus Yazılımlar

Adware (reklam içerikli) ve spyware (casus yazılım) bilgisayar kullanıcıları tarafından fark edilmeden bilgisayara sızarak bilgilerin ele geçirilmesini sağlar. 

Hizmeti Engelleyen Saldırılar

Hizmeti engelleyen saldırılardaki amaç, resmi kurumu veya şirketin bilgi iletişim ağlarını kilitleyerek hizmeti engellemektir.  

Bankalar Müşteri Verilerini Korumak İçin Hangi Önlemleri Alıyor?

Kişisel verilerin yoğun biçiminde işlendiği ve sürekli olarak regülasyona tutulan modern bankacılık son dönemlerde veri koruma hukuka alanında önemli gelişmeleri yakından takip ediyor. Müşteri verilerini koruma noktasında birçok değişiklikler yapılmış ve bu değişiklikler yayımlanmıştır.

Mevzuat gelişmelerine bakıldığında, KVKK tarafından öne sürülen veri koruma rejimi, veri aktarımı ve kullanımı konusunda sektör bazında farklı uygulamaların benimsendiği öne çıkmıştır. Bankalar faaliyetlerini yerine getirirken kullanmış oldukları bilgi sistemlerinin yönetiminde, kimlik doğrulama, ağ güvenliği sağlama ve işlem doğrulama konusunda kişisel verilerin korunmasına dair teknik açıdan tedbir alma zorunluluğu getirmiştir.

Bu anlamda bankalara, bünyelerinde siber olayları yönetme ve siber olaylar ile müdahale etme amacıyla teknik ve operasyonel becerilere sahip müdahale ekibinin kurulmasını yükümlülük haline getirmiştir. Banka bünyesinde oluşturulacak müdahale ekibi, siber olayları hem bankanın ilgili birimlerine hem de BDDK’ya raporlayacaktır. 

Biyometrik Kimlik Doğrulama Bankacılık Güvenliğinin Cevabı Mı?

KYC, müşteriyi uzaktan tanıma anlamına gelir. Bu süreçte müşteri her açıdan tanınmış olur. Müşterinin kişisel bilgileri tespit edilerek uyumluluğu noktasında denetleme yapılır. Ayrıca bu süreçte müşterini tüm risk durumu gözden geçirilmiş olur.

Bu uygulama daha ziyade finansal ve düzenleme ile ilgili yapılar, kurumlar, kişiler ve işletmeler tarafından kullanılır. Bankacılık sektörü adına önemli adım olan KYC, yatırımda bulunmak isteyen müşteriyi kurum yakından tanır. Bu süreçte kimlik bilgileri, biyometrik veriler ve ikametgâh işlenerek bir sonraki adımda güvenlik sağlanmış olur. 

Yetkisiz kişilerin, gerçek kişiler adına işlem yapılması, kimlik doğrulama yöntemi ile önlenmiş olur. Önceki süreçte sisteme girilen veriler, bir sonraki süreçte girilen bilgiler ile örtüşmez ise işlem gerçekleşmez. Böylelikle kişi korunmuş olur. Modern bankacılık açısından bakılırsa, Biyometrik Kimlik Doğrulama ile kara para aklama, dolandırıcılık gibi faaliyetler tespit edilmiş olur. Kurum da bu açıdan korunma altına alınmış olur. 

Bankacılıkta İçeriden Gelen Tehditlerin Riskleri Nelerdir?

 

 

 

modern bankacilik ve guvenlik jpg
Bankalarda gerçekleşen dijital dönüşüm, bankacılık işlemlerini kolaylaştırırken, sürdürebilir çevre avantajlarını da sunuyor. Teknolojinin gelişimi, saldırı tekniklerini de karmaşık hale getirmiştir. Dijital bankacılık üzerine ortaya çıkabilecek riskler hakkında bilgi sahibi olunmalı. Modern Bankacılık güvenliği açısından içeriden gelebilecek tehditler ve oluşturacağı riskleri şu şekilde sıralayabiliriz:

Zararlı Yazılımlar

Gizli bir şekilde cihazları yönetmek için kontrol altına almak, özel bilgilere ulaşmak veya finansal uygulamalardaki kimlik doğrulama verilerini elde etmek amacı ile kötü amaçlı yazılımlardır. Bu tür uygulamalar SMS mesajları yada iki faktörlü kimlik doğrulama kodlarını okuyarak saldırganlara iletir. 

SIM Kart Hırsızlığı

Telefon numarasını hedefleyen kimlik hırsızlığıdır. Saldırganlar, çeşitli kanallar ile kullanıcılarla iletişime geçerek kişisel bilgileri isteyerek, kullanıcının telefon numarasını ve PIN bilgilerini talep eder. Bu tür bilgileri toplayan saldırganlar, kendilerine yeni bir SIM kart alarak kullanıcının hesabını devir alırlar. 

E-Posta Hırsızlığı

Saldırganlar kişisel bilgileri ele geçirmek adına kullanmış oldukları bir tür yöntemdir. Kişinin e-posta hesabına ulaşarak online ödeme hizmetlerine erişirler. Kullanıcı adına işlem yapabilir hatta şirket sırlarını ele geçirerek gizli bilgileri ifşa edebilirler. Bu tür saldırılardan korunmak için koruma yöntemlerini bilmek gerekir. 

Sahte Reklamlar

Markaların logo, kurumsal kimlik bilgileri, marka ünvanları taklit edilerek sahte kampanyalar düzenleyerek sosyal medya reklamlarındaki linklere tıklanarak kart bilgilerinin ve kişiye ait verilerin ele geçirilmesini sağlar. Bu tür sorunlarla karşı karşıya kalmamak için SMS işlem onay şifresi hiç kimseyle paylaşılmaması önerilir. 

Dolandırıcılık Aramaları

Banka adına güvenlik ekibi tarafından arandığını dile getiren, kendilerine devlet görevlisi imajı veren, masraf, kart iadesi ve sigorta gibi nedenler ile bankadan arandığını dile getiren kişiler tarafından gerçekleşen dolandırıcılık aramalarıdır. Bu gibi durumlarda şifre ve kart bilgilerinizi paylaşmamanız önerilir. 

Düzenleyici Değişiklikler Bankacılık Güvenliğini Nasıl Etkiler?

Bankalar tarafından müşterilere gönderilecek her türlü sır niteliğindeki veriler ( dekont, hesap özeti, ekstre vb. bilgiler) müşteri tarafından belirlenen şifre ile işlem yapılması, elektronik bankacılık sistemindeki kanallar ile gönderilmesi esastır. Bu tür bilgilerin sunulmasında elektronik dağıtım kanalları kullanılır. Bu kanalları kullanan müşterilerine gerekli yönlendirmeleri yapmak ile bankalar yükümlü sayılır. 

Modern bankacılık, ilgili yasal mevzuatları baz alarak müşteri bilgilerinin gizliliğini ve güvenliğini en üst seviyede tutması açısından gerekli tedbirleri almak zorundadır. Bu doğrultuda bankalar, internet şubesinde, web adresinde ve mobil uygulamalarında etkin güvenlik çözümlerini uygulamak zorundadır. Gerekli güvenlik hassasiyetini devreye alarak güvenlik önlemlerini ve müşterilerin bu konuda dikkat etmesi gereken noktaları belirmesi gerekir. 

Bir sonraki yazıda görüşmek üzere,

Anıl UZUN