Mastercard Siber Güvenlik Danışmanlığı Direktörü Yaşar Yüzer ile Fintechtime Mayıs Haziran sayısı için özel bir röportaj gerçekleştirdik.

Mastercard, şirket ve bireyler için daha güçlü ve daha güvenilir bir dijital ekosistem yaratmada önemli bir rol oynuyor. Siber güvenlik riskleri, tehditler ve öne çıkan başlıklara dair sorularımızı Mastercard Siber Güvenlik Danışmanlığı Direktörü Yaşar Yüzer’e ilettik.

 

Pandemiyle giderek dijitalleşen dünyada pazar dinamiklerinde yaşanan değişimi ve güvenlik ihtiyaçlarını değerlendirebilir misiniz?

Pandemiyle gelen hızlı dijitalleşme sürecinde büyük ölçekli siber güvenlik ihlalleri neredeyse sıradan hale geldi. Kurumların ve bireylerin maruz kalabilecekleri siber saldırılar, ödemeleri direkt ilgilendirmesi bakımından, Mastercard olarak işimizin temelini oluşturuyor.

Siber güvenlik, şirketlerin ölçeği ve yer aldığı sektörden bağımsız olarak, ilgi ve yatırım gerektiren bir alan. Şirketler, siber güvenlik yatırımını teknoloji yatırımı olarak nitelendiriyor ama aslında bu, müşterileri, iş süreçlerini ve üçüncü tarafları da içeren çok daha geniş kapsamlı bir alan. Gartner araştırma şirketinin güvenlik harcamaları üzerine yaptığı ankete göre, siber güvenlik pazarı son birkaç yıldır sürekli büyüyerek, 2020’de yaklaşık 123 milyar ABD Dolarına ulaştı. Tahminler, 2024 yılına kadar 300 milyar ABD Dolarına ulaşacağını öngörüyor.

Kuruluşlar, işletmeleri dijitalleştirip operasyonları otomatize ederken, siber güvenliğe yatırım yapmayı tek seferlik bir karar olarak görmemeli, yılda en az bir kez gözden geçirmeliler.

Genel olarak siber güvenlik yatırımlarını 3 ana dalda özetleyebiliriz: Altyapı, danışmanlık ve yönetilen hizmet yatırımları. Türk şirketleri altyapı yatırımlarına ağırlık verirken, Avrupa ve Kuzey Amerika’da yatırım dağılımının daha dengeli olduğunu söylemek mümkün.

 

Mastercard’ın geliştirdiği güvenlik çözümlerinin temelinde nasıl bir vizyon yatıyor? Böylesi hızlı değişen ve gelişen bir sektörde nasıl güncel ve güvende kalınabilir?

Mastercard olarak, geliştirdiğimiz her çözüm tüketici ihtiyaçlarına destek olmak ve güvenlik açıklarından korunmak için tasarlanıyor. Şunu unutmamak gerekiyor, siber güvenlik eşittir insan güvenliği. Yarım asırlık deneyimimizle geliştirdiğimiz ürün ve hizmetleri, tüketicilere, devlet kurumlarına, finans ve finans dışı kurumlara ve e-ticaret şirketlerine sunuyoruz.

Müşterilerimizin olgunluk seviyelerini, mevcut siber risklerini ve bunların maliyetini anlamasına yardımcı oluyoruz. Siber güvenlik stratejilerini, detaylı yol haritalarını, gerekli bütçelerini beraber planlayarak uygulama konusunda destek veriyoruz. Uygulamada, kimlik ve erişim yönetimi, üçüncü parti risk yönetimi, tehdit istihbaratı, dolandırıcılık ve güvenlik farkındalığı yönetimi, siber saldırı simülasyonu gibi çözümlerimiz mevcut.

Bu konuda gerçekten çok gurur duyduğumuz bir iş birliğimiz var. Siber güvenlik simülasyonunda dünya lideri olan bir Türk şirketi ile çalışıyoruz. Halihazırda Türk pazarında yoğun olarak kullanılan teknolojilerini yurt dışındaki Mastercard müşterilerine sunmaları adına bir çalışma yürütüyoruz. Aynı zamanda, bu simülasyonların sonuçlarını tüm Mastercard siber güvenlik ürünlerine entegre etmeye başladık. Sonuçlar oldukça başarılı. Bir Türk yönetici olarak böyle bir teknolojinin ülkemizden çıkmış olması bana gurur veriyor.

 

2020 yılında hangi tehditler öne çıktı? Yoğun saldırılardan en fazla hangi sektörler etkilendi? Neleri doğru veya eksik yaptılar?

Bu dönem, genel olarak çeşitli siber saldırı yöntemlerinin kullanımını önemli ölçüde artırdı. Özellikle, mevcut Covid-19 salgınının ortasında hayatımıza giren “evden ve uzaktan çalışma”, çalışanların daha az güvenli ve denetimsiz ortamlarda şirket sistem ve verilerine erişimini sağladı. Maalesef bu durum siber saldırganlar için de yepyeni olasılıklar yarattı.

Veri artık yeni neslin petrolü diyebiliriz. Dijitalleşen dünyada verinin değeri her geçen gün artıyor. Kişisel veri ihlallerinin şirketlere maliyetinin veri tipine bağlı olarak, veri başına 200 ila 400 avro arasında olduğunu düşünürsek siber güvenliğin önemini kavramış oluruz. Yine yaptığımız araştırmalar gösteriyor ki dünya üzerindeki tüketicilerin %60’ı alışveriş yaptığı kurumda bir siber ihlal olduğunda oradan bir daha alışveriş yapmayacağını belirtiyor. Yani tüketiciler, verilerinin nasıl toplandığına, kullanıldığına ve korunduğuna çok dikkat ediyor.

Tüketici güveni, hiçbir işletmenin kaybetmeyi göze alamayacağı, değerli bir varlık. Küçük ya da büyük ölçekli fark etmeksizin her kurum siber risklerin farkında olmalı.

 

Tüketici güveni, hiçbir işletmenin kaybetmeyi göze alamayacağı, değerli bir varlık. Küçük ya da büyük ölçekli fark etmeksizin her kurum siber risklerin farkında olmalı.

 

Avrupa Siber Dayanıklılık Merkezi çalışmalarınızdan bahsedebilir misiniz? Merkeniz güncel iş birlikleri ve çalışmaları eşliğinde, son dönemde hangi sonuçlar elde edildi?

Şirketlerin siber dayanıklılığını desteklemek amacıyla kamu, özel sektör ve düzenleyici kurumlar arasındaki iş birliğini artırmak için 2020 yılında, Belçika’da yalnızca siber güvenlik üzerine çalışan bir “Siber Dayanıklılık Merkezi” kurduk. Ülkemiz de dahil olmak üzere tüm Avrupa’nın siber güvenlik çalışmalarını bu merkezden yürüteceğiz.

Global ekibimizden siber ve fiziksel güvenlik çalışanlarımızın; müşteriler, ortaklar ve paydaşlarla olan iletişimini kolaylaştıracak bir alan yaratmayı hedefledik. Günümüzde yaşanan siber tehditlerin çözümlerini değerlendirirken bir yandan da   henüz oluşmamış fakat ileride oluşabilecek olası güvenlik açıklarına dair bilgi alışverişinin yapılabileceği bir ortam kurguladık. Türkiye, çözüm önerileri geliştirme sürecinde merkezimize büyük katkılar sağlayacak.

 

Dijital trendlerin hızlanması, fintech çözümlerine olduğu kadar dolandırıcılık önleme çözümlerine olan ilgi ve ihtiyacı da artırdı. Sizin bu konudaki tespit ve izlenimlerinizi öğrenebilir miyiz? AML ve Fraud öngörüleriniz neler?

KOBİ’ler hakkında yapmış olduğumuz son araştırmalar gösteriyor ki, her 2 KOBİ’den biri, siber saldırıya maruz kalıyor. Maalesef KOBİ’lerin sadece %14’ü siber güvenlik risklerine karşı hazırlıklı oluğunu düşünüyor. Ülkelerin gayrı safi milli hasılasının yarısını üreten KOBİ’lere destek olmak adına, Avrupa’da çeşitli ülkelerde, yerel yönetim, belediyeler ve bazı finans kuruluşları ile siber güvenlik konusunda iş birlikleri yürütüyoruz.

Mastercard tehdit istihbaratı bilgisini kullanarak, bir siber güvenlik olgunluk raporu hazırlıyoruz. Raporlarımızın kolayca anlaşılabilir dili sayesinde, kuruluşlar, siber güvenlik olgunluk seviyelerini nasıl yükseltebileceklerini görebiliyorlar. 

Artık ödeme sistemleri ve diğer dijital altyapılar öyle bir bütünleşti ki, birinin güvenliğini sağlamadan diğerlerini korumak mümkün değil.

Finans ve finans teknolojileri şirketleri, güvenlik stratejilerine, sahip oldukları ekosistemi de dâhil etmeliler. Değişen dünyada, kuruluşlara destek sağlayan tedarikçiler, ürünlerini sunan işletmeler ve hatta müşterileri güvende olmadığı sürece kuruluşlar da güvende olmaz. Örneğin bir banka POS cihazı kullanan işletmeler, güvenlik açıklarından dolayı bağlantı sorunu yaşıyorsa, burada oluşacak satış kaybı dolaylı olarak bankayı da etkiler ya da kuruluşlara veri merkezi gibi hizmetleri sağlayan tedarikçilere yapılan siber saldırılar, kuruluşları da etkiler. 

 

Siber güvenlik riskler, tehditler, trendler açısından hemen tüm sektörlerden daha dinamik ve sürekli yeni yaklaşımlara gebe. 2021 yılında şirketleri bekleyen öncelikli riskler neler? Daha güvenli yönetim için nasıl bir yol izlenmeli?

Kuruluşların öncelikli olarak siber güvenliğin gerçek maliyetini ve kendilerine etkisini çok iyi anlamaları gerekiyor. Geleneksel olarak siber güvenlik maliyetlerinin çoğu, ağ bağlantıları, veri koruma ve uç nokta koruma teknolojileri gibi BT altyapı bütçelerinde gizlidir. Hiç beklemediğimiz işlerde siber güvenlik maliyetleri saklı olabilir. İnsan kaynakları veya eğitim birimlerinin güvenlik farkındalığı eğitimlerini planlaması ve bu eğitimleri almak için her çalışanın harcadığı zamanı bu maliyetlere örnek olarak gösterebiliriz.

İkinci olarak, kurumlar kendi kapasite ve mevcut siber güvenlik kontrollerinin olgunlukları hakkında detaylı bilgiye ve şeffaflığa sahip olmalıdır. Siber güvenlik kontrolleri yalnızca teknoloji odaklı değil; her teknolojinin onu yönetmek için insanlara ve süreçlere ihtiyacı var. ISO27001, NIST ve CIS kontrolleri gibi endüstri tarafından tanınan standartlar, genel siber güvenlik olgunluğunun değerlendirilmesine yardımcı olabilir. Bazı kuruluşlar için bu değerlendirmeyi harici destek alarak yapmak faydalı oluyor. Dışarıdan görüş almak, bazı durumlarda daha tarafsız ve aydınlatıcıdır.

Nasıl ki gerçek hayatta altın ve mücevherleri kasaya koymak mantıklı ise siber ortamda da öncelikli hedef en önemli varlıkları korumak olmalıdır. Kritik varlıkları tanımlarken iş birimlerini dâhil etmek, riskleri daha iyi anlamalarına ve aynı zamanda daha net bir tanıma ulaşmaya yardımcı olur. Bu ortak çalışmalar, pek sağlıklı olmayan siber güvenlik ve iş fonksiyonları arasındaki iletişimi de destekliyor.

İlk değerlendirmelerin ardından, kuruluşun iş önceliklerine ve risklerin ciddiyetine dayanan bir planlama yapmak gerekiyor. Planlamanın, her bir projenin ayrıntılı tanımını, beklenen sonucunu ve üst yönetim dâhil tüm paydaşlara yönelik iletişim stratejisini içermesi gerekiyor. Ayrıca, hedeflenen yapıya ulaşmak için gerçekçi bir bütçe tanımlanmalı. Tanımlanan bütçe, proje sonrası operasyon maliyetlerini de içermeli.

Siber güvenlik yatırımlarının diğer tüm yatırımlarda olduğu gibi ölçülebilir kârlı bir getirisi olmalıdır. İtibar kaybı, mevcut ve yeni iş kaybı, gelir kaybı, yasal para cezaları, hisse dalgalanmalarının etkisi ve felaket kurtarma gereksinimleri ihlallerin genel maliyetini etkileyebilir. Kuruluşlar dijitalleştikçe ve operasyonları otomatikleştikçe, siber güvenlik riskleri de eş zamanlı olarak değişmeye ve artmaya devam eder. Siber güvenliğe yatırım yapmak tek seferlik bir karar değildir ve en az yılda bir kez gözden geçirilmesini gerektirir. Başlamak için en iyi zaman ise şimdi!