Geride bıraktığımız 2016 yılında Türk bankalarını hedef alan siber saldırılar ve 2017 yılında bu saldırıların daha da artarak devam edeceğinin öngörülmesi toplumda tedirginlik yaratıyor. Bankadaki varlığımızın bilgisayardaki birler ve sıfırlardan oluşan veriden ibaret olduğu, her sabah yeni bir dolandırıcılık haberi ile uyandığımız bu dönemde, herkes bankalarımızın ne kadar güvenli olduğunu sorguluyor.
Bilişim teknolojileri hayatımızın her alanına girerek kolaylıkları da beraberinde getirdi. Başta zaman tasarrufu sağlamasının yanı sıra ürün ve hizmetlerin de çeşitlenmesini sağladı. Bu sayede eskiden evden çıkarak yapmak zorunda olduğumuz bankacılık işlemlerini, bugün bilgisayarlarımızdan ve akıllı telefonlarımızdan yapabiliyoruz. Teknoloji, bankacılık işlemlerinde hız, zaman, maliyet, konfor ve güvenlik gibi birçok kalemde hizmet kalitesinin ve bağlantılı olarak kullanıcı memnuniyetinin artmasını sağladı. Aynı zamanda yine gelişen bu teknoloji kötü niyetli kişilerin eline geçtiğinde çok tehlikeli bir silah olarak insanların ekonomik ve sosyal yaşamını tehdit eder hale geldi. Klasik manada dolandırıcılık dediğimizde, dolandırıcı ile mağdur aynı mekânda bulunurken, işin içine bilişim teknolojisi girdiğinde farklı mekânlardan hatta farklı ülkelerden bile dolandırıcılık gerçekleştirilebiliniyor. Bu bağlamda teknoloji adeta suç işlemeyi kolaylaştırdı. Ve siber suç ve siber suçlular kavramları ortaya çıktı.
Siber Suç, herhangi bir bilişim sisteminin güvenliğini tehlikeye düşürecek faaliyetlerde bulunmak ve kişi veya kişilerin haklarına karşı bilişim sistemlerinin kullanılarak gerçekleştirildiği suçların tümüdür. Yasalarla cezası sabit olan siber suçların, normal bir suçtan hiçbir farkı bulunmamakla birlikte birçoğu para veya hapis cezası olarak infaz edilebilmektedir.
Siber suçluların çok önemli bir bölümü parayla motive olduğu için, bankalar siber suçlular için en cazip hedef haline gelmiş durumda. Bankacılıkta, kısa zaman aralığında yüklü miktarda paranın el değiştirebilmesi kolaylığından faydalanan siber saldırganlar, bu alanda yeni dolandırıcılık yöntemleri geliştirerek kullanmaktalar.
Türkiye en çok siber saldırıya uğrayan ülkeler arasında son yıllarda hep ilk beş arasında yer alıyor. Online bankacılık saldırılarında da Türkiye Avrupa’da ilk sırada. Türkiye’de bankaların en fazla maruz kaldığı başlıca siber saldırı çeşitleri aşağıdaki gibi :
DDOS SALDIRILARI
2016 yılında Türkiye’de bankaların en fazla maruz kaldığı ve gündemi meşgul eden yoğun bir saldırı dalgasında kullanılan DDoS yöntemi aslında basit bir siber saldırı biçimi. DDoS (Distributed Denial of Service Attack) saldırıları genellikle bant genişliğini istilaya uğratarak sistemleri ve sunucuları hizmet veremez hale getiren bir saldırı çeşididir. Yani ağ üzerinde çok yoğun bir trafik yaratarak sistemleri kilitler. Ddos veriye ulaşmadan yapılan bir saldırı türüdür. Amaç veriye ulaşmayı değil sadece saldırı anında yayın yapmasına engel olmayı hedefler. Özellikle bankacılık sektörüne yönelik 2017 yılında bir önceki yıla göre artan oranlarla hizmet kesintisi ile sonuçlanan DDoS saldırılarının olması öngörülmektedir.
FİDYE YAZILIMLARI
2017 yılında DDos saldırıları ile birlikte, bankalar için diğer artan bir tehdit de fidye yazılımları olacak gibi duruyor. 2016’da yüzde 400 artan fidye yazılımlarının 2017’de de devam edeceği belirtiliyor. Trend Micro’nun tahminlerine göre bu yıl fidye yazılımları çeşitliliğindeki artış yüzde 25 olacak. 2017’de fidye yazılımların POS cihazları ve ATM’lere de yayılması bekleniyor.
ATM ZARARLI YAZILIMLARI
ATM’lere karşı zararlı yazılım saldırıları çok sayıda güvenlik sorunu nedeniyle mümkün olabilmektedir. Dünyadaki hemen her ATM’ye bir zararlı yazılımın yardımıyla veya yardımı olmadan yasadışı erişim sağlanabilir ve para çalınabilir. Zararlı yazılım bir ATM’ye başarılı bir şekilde bulaşırsa, ATM’nin kontrolü açısından neredeyse sınırsız bir güç elde edebilir, bilgisayar korsanının komutu üzerine ATM’deki tüm parayı verebilir. Bu da ATM’leri siber saldırılar için açık hedef haline getirmektedir.
MOBİL TEHDİTLER
Mobil cihazların artışıyla iletişim, dolayısıyla veri miktarı sürekli artıyor. Bundan dolayı mobil tehditler giderek daha tehlikeli hale geliyor. Özellikle Android platformundaki güvenlik problemlerinden dolayı birçok zararlı yazılım mobil cihazlara indiriliyor. Türkiye’deki bankaların mobil uygulamalarını hedef alan ve bankaların SMS onay mesajlarını etkisiz hale getiren zararlı yazılımlar, kullanıcıların banka ve kredi kartı bilgilerinin yanı sıra sosyal medya hesaplarının giriş bilgilerini de ele geçiriyor. Bankadan gelen SMS onayını da etkisiz hale getirebilen zararlı yazılımlar, çift faktörlü SMS kimlik doğrulama adımını da geçebiliyor.
Türkiye’de bankalar ne kadar güvenli?
Türk bankaları hatta bankacılık sistemi dünya üzerinde her zaman söz sahibi ve takdir görüyor. Konunun uzmanlarının genel olarak ortak görüşü, Türkiye’de bankalar dünya ortalamasının üstünde diyebileceğimiz bir seviyede güvenli. Bilgi güvenliği ve etkin kimlik yönetimi günümüzde Türk bankalarının stratejik planlamalarının önemli bir parçası niteliğinde. Bilgi güvenliği en basit anlatımıyla, korunması gereken bilgi varlıklarının gizlilik, bütünlük ve erişilebilirlik açılarından insan, süreç ve teknoloji boyutları ile korunmasıdır. Türk bankaları, bilgi güvenliği için gerekli teknolojik her türlü ürüne ve sertifikasyonlara sahip durumdalar. Doğrudan bilgi güvenliğini adresleyen bu sertifikasyonların gerekliliklerini yerine getirmek bankalarımıza hem uyumluluk, hem de güvenlik açısından büyük bir katkı sağlıyor. Ayrıca bankalarımız kimlik yönetimi alanında yüksek olgunluğa sahip olduğu için artan güvenlik, azalan risk düzeyinden bahsedebiliriz.
Türkiye’deki en önemli eksikliğin güvenlik alanındaki kalifiye eleman eksikliği olduğu hep vurgulanır. Bankalarımızın Bilgi Teknolojileri birimleri genel olarak güvenlik alanındaki kalifiye personelleri bünyesinde bulunduruyorlar, sistemlerine ve personellerine eğitim ve donanım konusunda yatırım yapıyorlar.
Bankalarımızın iş birimlerinin çalışmaları ve müşterilerin sistemleri ne kadar kolay kullanabildiği gibi kriterler de bazı güvenlik tedbirlerinin alınmasını zorlaştırabiliyor. Güvenlik; işlerin kolay ve hızlı yürütülmesiyle, güvenli bir şekilde yürütülmesi arasında kurulması gereken bir denge olarak tanımlanır. Bankalarımızda bazı durumlarda bu dengenin bozulduğu, müşterinin kullanım kolaylığının güvenliğe göre daha ağır bastığı, özellikle bazı internet ve mobil bankacılık ürünlerinde güvenlik zafiyetlerinin ortaya çıktığı görülmektedir. Bu duruma örnek olarak, 2016 yılında internet ve mobil bankacılığı üzerinden müşterilere tanımlanan hızlı kredi olarak adlandırılan ürün ile ilgili yaşanan sayısız mağduriyet ve dolandırıcılık olayını gösterebiliriz.
Yapılan bunca güvenlik yatırımına ve alınan o kadar tedbire rağmen bankalarımızın hacklenmesi çok sıradışı bir olay değil. Çünkü dünyada bulunan bütün kurumlar sistemler hacklenebilir. Yapılan yatırımların hiç biri sistemlerin “hacklenemez” hale gelmesini sağlayamaz. Ancak genel olarak Türkiye’de bankalar dünya ortalamasının üstünde bir seviyede güvenli diyebiliriz.
