Biznet Bilişim, “PCI DAY 2019”da, PCI, E-Ticaret güvenliği ve yeni nesil ödeme sistemleri için gelişen teknolojileri masaya yatırdı.
Biznet Bilişim; Bankalararası Kart Merkezi (BKM) ve Foregenix işbirliğiyle, Cyberark, Checkpoint, Gemalto ve GroundLabs firmalarının sponsorluğunda düzenlenen, “kartlı ödeme sistemleri ve e-ticaret güvenliğinin” konuşulduğu “2. PCI DAY” etkinliğini gerçekleştirdi.
BKM Genel Müdür Yardımcısı Onur Demirtaş ve Biznet Bilişim Genel Müdürü Serdar Yokuş’un açılış konuşmalarını yaptığı ve Türkiye’nin önde gelen e-ticaret siteleri Gittigidiyor, Hepsiburada, ve N11’den bilgi güvenliği uzmanlarının konuşmaları ile yer aldıkları etkinlikte; global siber güvenlik danışmanlık ve çözüm firması Foregenix’in Avrupa Bölge Yöneticisi David Jenkins ise, dünyadaki e-ticaret siber güvenliğinin son durumuna dair bir sunum gerçekleştirdi.
Biznet Genel Müdürü Serdar Yokuş açılış konuşmasında, içinde bulunduğumuz dönem itibariyle, dünya geneline bakıldığında, artan internet kullanımının online alışverişe etkilerinin görüldüğünü vurgulayarak;. “E-ticaret platformları sadece sayıca değil ödeme çeşitliliklerindeki artışla da gündemde önemini korumakta. Apple, Samsung, Tencent, Ali Baba ve Google gibi teknoloji devi firmaların ve platformların da hazırladıkları ürünlerle ödeme sistemlerine dahil olması, önümüzdeki yıllarda “güvenlik ve mahremiyet algısı odaklı ödeme sistemleri”nden sıkça bahsetmemizi sağlayacak bir zemin oluşturuyor.” dedi. “Ödeme sisteminin güvenliğinin”; sadece ödemenin yöntemini değil; iş yapış biçimini tümden değiştireceğini belirten Yokuş, özellikle genç neslin yeni teknolojilere adaptasyonunun yüksek olduğuna dikkat çekti.
Başarıda esas olan, siber güvenlik dayanıklılığımızı arttırmak
Biznet Genel Müdürü Serdar Yokuş, siber güvenlik ve PCI ilişkisine de kısaca değinerek, “Olgunluk seviyemizi doğru şekilde ölçümleyip sürekli iyileştirme yaptığımızda, tespit etme-yanıt verme süresini her seferinde daha azalttığımızda, attack surfacelerin azaltılmasını günlük operasyonel iş haline getirdiğimizde ve dayanıklılığı her gün arttırdığımızda siber güvenlikte başarılı oluruz” şeklinde sözlerini tamamladı.
Kart adetlerinde Avrupa’da lider ülkeyiz.
BKM Genel Müdür Yardımcısı Onur Demirtaş ise, 2019 Mart ayı sonu itibariyle 67 milyon adedi kredi kartı olmak üzere 218 milyon adetlik bir kart pazarı ile Avrupa’da lider olduğumuzu belirtti. Yine mart ayı sonu itibariyle yıllık bazda kredi kartı ile yapılan işlem sayısının 3,9 milyona, cirosunun 750 milyar TL’ye ulaştığını belirterek bu işlemlerin yüzde %17’sinin internet üzerinden yapılan alışverişleri kapsadığını aktardı.
“Bilgi Güvende”
Onur Demirtaş sözlerinin devamında, bu bilgiler ışığında kart güvenliğinin ne kadar önemli olduğunu vurgulayarak, şunları söyledi: “2013 yılından beri kart verilerinin korunması için, PCI DSS konusunda; yerinde denetimden eğitime, standartların Türkçe’ye çevrilmesinden dış zafiyet taramasına kadar değişik kapsamlarda çalışmaları destekliyoruz. Bu çalışmalarla birlikte bilgi güvenliğinin arttırılması için özellikle son kullanıcıları bilinçlendirmemiz ve farkındalığı artırmamız gerekiyor.”
Onur Demirtaş sözlerini, son kullanıcıları bilinçlendirmek amacıyla BKM tarafından desteklenen “Bilgi Güvende” platformunun (www.bilgiguvende.com) müjdesini vererek tamamladı.
Dünyada lider e-cüzdan
Biznet Denetim ve Danışmanlık Hizmetleri Yöneticisi Sefa Karabulut etkinliğin ilk bölümünün sonunda yaptığı, “Yeni Nesil Ödeme Sistemleri İçin Gelişen Teknolojiler ve PCI DSS” sunumunda, dünyada e-ticaret ödeme şekillerinin istatistiki dağılımıyla ilgili önemli bilgiler vererek, şunları paylaştı: “2018 yılı verilerine göre, e-ticaret alışveriş ödemelerinin yüzde 36’sı e-cüzdan, yüzde 23’ü kredi kartı, yüzde 12’si teknik olarak ‘debit’ olarak tanımlanan banka kartı ile yapılıyor. Kripto paranın payı henüz çok ufak. E-cüzdan ödeme oranının 2022’de yüzde 47’ye çıkması bekleniyor. Asya ülkeleri, başta Çin ve Rusya gibi ülkelerde e-cüzdan kullanım oranı yüzde 45’lere kadar çıkmakta ve bu oran ülkemizde de artmalı. Mobil ödemeler tarafında da dijital cüzdanın kullanımının Türkiye’de yavaş yavaş arttığını görüyoruz. Türk insanın dijital cüzdan konusunda çekimser davranmasının en büyük sebebi ise yeterince güvenli olduğuna inanmaması.”
Karabulut, iş yapma süreçlerinde güvenliğin tetikleyici rolde olması gerektiğini vurgulayıp, siber güvenliğin temeli olan güvenlik mimarisi için PCI DSS sertifikası ve standartlarının önemine dikkat çekerek, “Biznet Bilişim olarak 10 yıldan fazla bu alanda, hem QSA hem de ASV yetkisi olan ve en geniş kadroya sahip tek firmayız.” dedi.
Dünyada siber saldırıya uğramış firmaların oranı yüzde 54
PCI DAY’19 etkinliğinin ikinci bölümü, moderatörlüğünü BKM Bilgi Güvenliği, BT Uyum ve Hizmet Yönetimi Direktörü Bülent Muşlu’nun yaptığı “E-Ticarette Güvenlik ve PCI DSS” paneli ile başladı. Gitti Gidiyor firmasından Bilgi Güvenliği Müdürü Aydoğan Ovat, N11 firmasından BT Network ve Güvenlik Müdürü Esat Yaşar Çağlayan, Hepsiburada firmasından Bilgi Güvenliği Takım Lideri Kemal Arslan ve Biznet’ten Kıdemli Güvenlik Danışmanı Caner Aşçıoğlu’nun katıldığı panelde özetle şu bilgiler paylaşıldı:
- Dünya genelinde e-ticaret firmalarının yüzde 54 gibi yüksek bir oranı siber saldırı deneyimi yaşamış durumda. Ülkemiz özelinde sağlıklı bir veri yok çünkü maalesef açıklanmıyor.
- E-ticaret iş hacmi büyüdükçe, tehditlerin artışı sonucu güvenlik de daha önemli hale geliyor.
- Veri güvenliği konusunda atılacak daha çok adım var.
- Teknoloji- süreç- insan güvenlik çevriminden bakıldığında, teknolojimizde sorun yok. Ancak süreçlere uymayı sevmiyoruz. Çalışanların ve son kullanıcıların ise, güvenlik farkındalığı konusunda, daha fazla ikna edilmesi gerekiyor.
- Bankaların otorite olduğu bir düzende, gerçekleşen işlemlerin analizi konusunda gerçekçi bir değerlendirme yapılamıyor. Tüm işlemlerin bir havuzda toplanıp değerlendirileceği bir yapı kurulması, üye işyeri seviyelerini ve dolayısıyla PCI denetimine girecek firmaları etkileyeceğinden; güvenlik konusunda ileri bir adım atılmasını sağlayacaktır.
- E-ticaret sektöründe bankalar kadar sıkı bir denetim yok. Bu yüzden PCI DSS ile bir standart oluşturularak tüketicinin güveni kazanılıyor.
- Güvenlik konusunda uyumlu olmayan firmalar büyük sorun yaşıyorlar. Üstünde durulması gereken bir diğer nokta da, düzenlemelere uyumlu olmanın güvenli anlamına gelmediğinin bilinmesi. Güvenlik, yaşayan bir organizma ve uyumluluk sağlandığı andan itibaren düzenli olarak güncellenmeli.
- Yazılım güvenliğinde ciddi eksiklikler var. PCI DSS, 2022 yılında ise, bu yıl başında bu konuda çıkartmış olduğu yeni düzenlemeleri devreye sokacak.
Etkinliğin ikinci bölümü, global siber güvenlik danışmanlık ve çözüm firması Foregenix’in Avrupa Bölge Yöneticisi David Jenkins’in, dünyadaki e-ticaret siber güvenliğinin son durumunu anlattığı konuşmasıyla sona erdi. Özellikle dünyadan siber saldırı örnekleriyle yaptığı sunumda Jenkins, Türkiye’nin de dünyanın geri kalanı gibi aynı sorunlarla karşı karşıya olduğunu ve şirketlerin eğer kendileri bir güvenlik ekibi oluşturamıyorsa, MDR (yönetilen tespit ve karşılık) konusunda yatırım yaparak, bu konuda hizmet sağlayıcılarla birlikte çalışmaları gerektiğinin üzerinde durdu.
PCI DAY’19 etkinliği, moderatörlüğünü Biznet Bilişim Genel Müdür Yardımcısı Hakan Terzioğlu’nun yaptığı ve Cyberark Kıdemli Sistem Mühendisi Serhat Erkan, Check Point Bölge Teknik Müdürü Gökhan Hasköylü ve Gemalto Bölge Satış Müdürü Okan Erözden’in katıldığı “Teknoloji Üreticileri Gözüyle PCI DSS Uyumluluğu” paneliyle sona erdi.
Şirketlerin, PCI DSS düzenlemelerine uyumlu oldukları için güvenlik konusunda herhangi bir ek çalışma yapmama gibi bir düşünce içine girmemelerinin özellikle vurgulandığı panelde, güvenliğin yaşayan bir organizma olarak değerlendirilmesini gerektiği belirtildi. Uyumluluk sağlandıktan bir dakika sonra bile güvenliğin yeni güncellemelerle güçlendirilmesi gerektiği, teknoloji üreticilerinin de sadece sistemlerin değil verilerin de güvenliğini sağlayacak ürün ve çözümlerle işletmelerin her zaman yanında olmaları gerektiği açıklandı. Güvenliği, tek bir teknoloji üreticisinden sağlamanın imkânsız olduğu bu yüzden de işletmelerin her bir güvenlik başlığında uzmanlaşmış farklı güvenlik firmalarıyla çalışmalarının en doğru çözüm olacağı vurgulandı.