Bilgi Teknolojileri Yöneticisi
Dr. Yasin Taha Celiloğlu
Bilgi Teknolojileri Yöneticisi Dr. Yasin Taha Celiloğlu, Fintechtime okurları için kaleme aldı, “FinTech Endüstrisi ve Bilgi Güvenliği”.
Bilgi teknolojileri ve dijital çözümlerin yeniliklere açık olması, modern dünya ekonomisinin gelişimi içerisinde bir trend olarak dikkat çekmektedir. Bu eğilim finansal alanda en belirgin şekilde kendini göstererek, çağdaş finansal teknolojiler içerisinde sayılan bankacılık, yatırım, ödeme ve sigorta gibi alanlarda işlemlerin uygulanmasına yönelik geleneksel yaklaşımları değiştirmektedir.
Finansal teknoloji endüstrisinin temel başarıları aşağıdaki gibi gösterilebilir.[*]
Tablo 1. Yenilikçi Dijital Çözümler
Yenilikçi Araç | Kısa Açıklaması |
Bulut Sistemleri | İnternet üzerinden hizmet sunmaya yönelik bir bilişim biçimi olan yenilikçi, ölçeklenebilir elastik teknolojidir. |
Robotizasyon | Kuruluşların, kullanıcı arabirimi düzeyinde mekanik işlemleri gerçekleştirmek için yazılımı (yazılım robotları) yapılandırmasına olanak sağlayan bir teknoloji ile tekrarlayan görevler ve süreç otomasyonudur. |
Görselleştirme | Büyük, yüksek yoğunluklu veri kümelerini incelemek için görüntülerin ve etkileşimli teknolojilerin yenilikçi kullanımı için bir yöntem şeklidir. Görselleştirme, zengin grafiklere sahip, kullanımı kolay, etkileşimli içerikler sunarak işletmelerin ve iş alanlarının akıllı kaynaklarını tamamlamasını sağlar. |
Gelişmiş Analitik | Tahmine ve modellemeye dayalı finansal performansı iyileştirmenin yollarından biridir. |
Bilişsel Bilişim | Makine öğrenimi, konuşma tanıma, otantik metin işleme, makine görüşü, yapay zekâ konularını içeren teknolojidir. |
Bellek İçi Bilişim (In-Memory Computing) | Hızlı yanıt almak için verileri taşınabilir depolama aygıtında depolamayı sağlayan teknolojidir. Bu yöntemle veriler sıkıştırılır, depolama gereksinimleri azalır. Elde edilen sonuçla yüksek işlem hızı ve çok sayıda veriye erişim sağlanmış olur. |
Blok Zinciri Teknolojisi (Blockchain) | Bir merkezi otorite olmaksızın işlemlerin doğrulandığı, dağıtılmış ve bağlantılı düğümler ağı üzerinden güvenli bir şekilde saklandığı bir dijital defter teknolojisidir. |
Tablo 1’de yer alan verilere göre, gelişen yenilikçi finansal teknolojilerin varlığı sistematik olarak güncellenmektedir. Bunun bir bütün olarak ekonomi ve medeniyet sisteminin evrimsel gelişimi olduğuna inanmaktayız. Doğal bir süreç olarak, fintech endüstrisinin toplumun yaşamı üzerinde hem olumlu hem de olumsuz etkileri olmaktadır.
Fintech’in olumlu sonuçları arasında finansal ürün ve hizmetlere erişimi kolaylaştırması, bankacılık ve kurumsal sektörlerde rekabet ortamı yaratması, istikrarlı bir finansal sistemin sağlanmasına katkı sağlayan dijital projelerin hayata geçirilmesi, işlem maliyetlerinin düşürülmesi ile hem ulusal hem de uluslararası düzeyde işlemleri hızlı ve verimli hale getirilmesi gibi faktörler vardır.
Diğer taraftan, finansal teknoloji endüstrisinin başarıyla uygulanması en önemli risklerden biri olan siber riski beraberinde getirmektedir. Siber risk, bilgi güvenliği ve bilgi teknolojisi risklerini eşzamanlı olarak birleştiren kümülatif risklerin bir alt kümesidir. Bunlara, dijital varlıkların yetkisiz bir şekilde ifşa edilmesine, değiştirilmesine veya tahrip edilmesine yönelik kasıtlı, kötü niyetli eylemlerin uygulanmasının sonucu olan riskler dahildir. Bu bağlamda siber güvenlik sorunu özellikle önem kazanmaktadır.
Dünya genelindeki finansal kuruluş ve şirketlerin yaşadıkları başlıca siber olaylar aşağıdaki tabloda şu şekilde gösterilebilir.
Tablo 2. Dünya Genelinde Siber Saldırılar
Yıl | Siber Olay | Açıklaması | Finansal Kayıp |
1988 | Morris Solucanı | Cornell Üniversitesi’nde yüksek lisans öğrencisi olan R. T. Morris tarafından yazılan, İnternet üzerinden yayılan ilk ağ solucanlarından biridir. Massachusetts Teknoloji Enstitüsü’nde başlatıldı. | 96,5 Milyon Dolar |
1998 | Çernobil | Bilgisayarın donanımına zarar verebilecek ilk kötü amaçlı yazılım Flash BIOS çipidir. | 100 Milyon Dolar |
1999 | Melissa | E-posta yoluyla yayılan ve birçok ülkedeki büyük şirketlerin posta sunucularını bozan ilk kötü amaçlı kod olarak kullanılmıştır. | 80 Milyon Dolar |
2000 | Mafiaboy | Büyük şirketlerin internet sunucuları üzerinden yapılan ilk tam ölçekli DDoS (Dağıtılmış Hizmet Reddi) saldırılarından biridir. Yahoo, Fifa, Amazon, Dell, eBay ve CNN dahil olmak üzere birçok önemli kuruluşların sitleri, Kanadalı bir lise öğrencisi tarafından saldırıya uğradı. | 1,2 Milyar Dolar |
2004 | Cabir | İlk mobil virüs, cep telefonlarına bulaşan tam teşekküllü bir bilgisayar solucanıdır. | 1 Milyar Dolardan fazla |
2007 | ZeuS | Bu Truva atı, sosyal ağlar aracılığıyla yayılan ilk kötü amaçlı yazılım vakasıdır. Programın içine yerleştirilmiş truva atı, kullanıcının kayıt verilerini ele geçirilmesine ve Avrupa bankalarının müşterilerinin hesaplarından para çalınmasına yol açmıştır. Virüs saldırısı İspanya, İtalya, Almanya ve Hollanda gibi ülkeleri etkiledi. Saldırılar sadece kurbanın kişisel bilgisayarını değil, aynı zamanda mobil cihazlarını da hedef aldı. | 1 milyar dolardan fazla |
2010 | StuxNet | İlk askeri virüs ve gerçek anlamda kullanılan ilk siber silahtır. İran’ın nükleer tesislerini etkisiz hale getirdi, altyapıyı fiziksel olarak yok etti. İran’ın nükleer santrifüjlerinin %20’sine kadar zarar verdi. | Belirsiz |
2014 | Lazarus | Virüs, Sony Pictures çalışanlarının kişisel verilerinin, e-postalarının ve film stüdyosunun yayınlanmamış filmlerinin büyük miktarda sızmasına neden oldu. | 100 Milyon Dolar |
2016 | Industroyer | Enerji şirketlerine yönelik saldırılar için özel olarak tasarlanmış bir virüstür. Enerji, ulaşım yönetimi, su temini vb. alanlarda yaygın olarak kullanılan dört meşru iletişim protokolünü kullanır. Bilgisayar korsanlarının ağlardaki güvenlik açıklarını taratmasını gerektirmez. | Belirsiz |
2017 | WannaCry | Fidye yazılımı virüsü, dünya çapında 150 ülkede 200.000 bilgisayara saldırdı. Virüs, hiçbir güncelleme yüklenmeyen Windows işletim sistemine sahip bilgisayarlara sızdı, sabit disklerin içeriğini şifreledi ve şifrenin çözülmesi için kullanıcılardan 300 dolar talep etti. | 1 Milyar Dolar |
Bilgi kaynaklarına yönelik bilgisayar korsan saldırılarının her geçen gün artması şirketler açısından önemli kayıplara ve zararlara yol açmaktadır. Bu tür saldırıların küresel zararı, dünya GSYİH’nın %0,4-5’i kadar olabilmektedir.
En önemli sayıda bilgisayar korsan saldırıları ise genel olarak bankacılık sektörü ile EFT, havale ve kurumsal ödeme hizmetlerinde görülmektedir. Saldırganlar hesap sahiplerinin kişisel verileri, ödeme kartları, sanal cüzdanlar, PIN kodları ve diğer finansal bilgilerle ilgilenmektedir.
Dolandırıcıların, başta küçük ve orta ölçekli işletmelerin temsilcileri olmak üzere şirketlere yönelik saldırılar gerçekleştirmeyi tercih ettiği görülmektedir. Siber tehditlerin teşhisi ve önlenmesi için güvenlik sistemlerine önemli yatırımlar yapan büyük işletmeler nispeten daha güvenli durumdadır. Stratejik açıdan önemli şirketlere yönelik siber saldırılar için sert cezalar uygulayan yeni yasal düzenlemeler de önem kazanmaktadır. Aynı zamanda, bireylerin hesaplarından yasa dışı fonların silinmesi ile ilgili yapılan işlemlerle ilgili sosyal mühendislik ve yeni dolandırıcılık yöntemlerinin hâkimiyetinin arttığını gözlemlenmektedir. Sunulan finansal hizmetleri sağlamak için Merkez Bankası tarafından lisansı olmayana şirketlerin sahte web siteleri dünya genelinde oldukça fazla sayıda bulunmaktadır.
Kötü niyetli yazılımlar aracılığıyla müşteri hesaplarına yapılan siber saldırılar aşağıdaki tabloda görünmektedir.
Tablo 3. Kötü Amaçlı Yazılım Türleri
Kötü Amaçlı Yazılım Türü | Uygulama Sıklığı %
|
Finansal kurumlara saldırılar | 40,2
|
Finansal kurumların müşterilerine yönelik saldırılar | 36,4
|
Fidye yazılımı
| 11,7
|
Diğerleri | 11,7
|
Tablo 3’te finansal kurumlara yönelik bilgisayar korsan saldırılarının yaygınlığını göstermektedir. Bu siber olayların amacı, ödeme altyapısı başta olmak üzere altyapılarını kontrol altına almak için bankalara saldırmaktır. Saldırıların özelliği, bir bankacılık yapısının işlem mekanizmasındaki bilgileri ikame etme ve SWIFT sistemini kullanarak fon çalma girişimlerinden oluşur.
İnsan faktörü, finansal kurumlara yönelik siber saldırıların yaygınlığının nedenlerinden bir tanesini oluşturmaktadır. Çalışanlar farkında olmadan şüpheli e-postaları açtıkları gibi yazılım güncellemesi yapmayarak basit şifreler kullanabilmektedirler. Ayrıca bazı bankalar iç güvenlik sistemine çok az dikkat etmektedir. Bunlar arasında ağ segmentasyonunun olmayışı, bilgi güvenliği olay yönetim sisteminin yanlış yapılandırılması gibi faktörler yer almaktadır.
Finansal kurumların müşterilerine karşı siber saldırılar da oldukça yaygındır. Yaygınlığının temel nedeni, fintech endüstrisinin başarıyla uygulanmasıyla birlikte geliştirilmekte olan sosyal mühendisliktir. Müşterilere her hafta binlerce sosyal mühendislik korsan saldırısı gerçekleştirilmektedir…
Günümüzde, dünyada birçok Merkez Bankası veya ülkelerin düzenleyici yetkili organları, siber saldırıları tespit etmek, önlemek ve bunlarla mücadele etmek için kararlı önlemler almaktadır.
Düzenleyici organların siber risklere olan yaklaşımı, siber olayların sürekli büyümesi, uygulanma mekanizmasının iyileştirilmesi ve artan hasar nedeniyle daha da önem kazanmıştır. Ayrıca siber saldırıların yoğun sıklığının sosyal ve politik risklerin gerçekleşmesine yol açabileceği de anlaşılmalıdır. Bu nedenle, ülkelerin para politikasından sorumlu otoriteleri için öncelikli görev, riskleri önlemek ve sonuçlarını en aza indirmektir.
Siber riskleri uygulama sorunu küreseldir. Ülkeler arasında siber saldırı sayısı bakımından liderler Amerika Birleşik Devletleri (toplam siber olay sayısının %57’si), Rusya Federasyonu, Birleşik Krallık ülkeleridir.
Tablo 4. Aşağıdaki tabloda ülkelere göre siber saldırı oranları verilmiştir.*
Sigortacılık sektöründe, siber sigorta, dijital ekonomide nesnel bir zorunluluk haline gelmeye başlamıştır. Siber sigorta pazarı ABD’de 10 yıldan fazla sürede faaliyet göstermektedir. Bu pazar, PwC rakamlarına göre 2020 yılında 7,5 milyar dolara ulaşmıştır. Siber sigorta alanında pazar liderleri dünyanın en büyük sigorta şirketleridir. Bunlar arasında Allianz, Lloyd’s, AIG, Chubb gibi sigorta şirketleri yer almaktadır.
Günümüzde, ülkemizde de siber sigorta sisteminin gelişmekte olduğunu görmekteyiz. Fakat siber sigortanın gelişmesini engelleyen önemli sorunlar şunlardır:
– Siber riskleri belirlemenin ve tanımlamanın karmaşıklığı,
– Yüksek itibar risklerinin varlığı nedeniyle siber tehditlerin uygulanmasına ilişkin eksik ve zamansız bilgiler,
– Sigorta sözleşmesinde siber olayların uygulanmasından kaynaklanan hasarın tam kapsamını sağlamanın imkansızlığı,
– Yerel sigorta kuruluşlarının yetersiz sermaye tabanının olması, (Sigorta şirketleri genellikle büyük bankalarının siber risklerini sigortalama yükümlülüğünü üstlenememektedirler. Herhangi risk sonucunda bankaya verilen küçük bir önemli hasar bile sigorta firması açısından büyük sorumluluk oluşturmaktadır.)
– Siber riskin uygulanması sırasında bir kredi kuruluşuna olası zararı değerlendirmede zorluklar vardır, bu da bir sigorta poliçesinin maliyetini hesaplamanın zor olduğu anlamına gelmektedir,
– Siber saldırılara karşı sigorta masrafları vergiden muaf değildir,
– Siber sigortaları düzenleyen yasal bir çerçeve bulunmamaktadır.
Bahsedilen engellere rağmen siber sigorta sistemi finans piyasasının ayrılmaz bir parçası haline gelmesi gerekmektedir. Ülkelerin Merkez Bankaları ve düzenleyici organları bu süreçte önemli bir rol oynamalıdır. Yeterli bir yasal çerçevenin oluşturulması, sermaye için nesnel gereksinimler, rezervler, sigorta şirketlerinin finansal istikrar göstergeleri, Türk finansal sisteminin siber tehditlerden kaynaklanan kayıplarını en aza indirecektir.
İşlem mekanizması, iletişim kanalları, bilgi sistemleri ve teknolojisinin erken teşhis, test ve optimizasyon sistemlerine büyük önem verilmelidir. Suçlu düşüncenin uykuda olmadığını ve fintech endüstrisinin başarılarının, diğer şeylerin yanı sıra, hileli eylemlerde bulunmak için kullanıldığını fark ederek, öngörücü önlemler almak önemlidir. Siber risklerin zamanında tespiti, olası siber olaylarla ilgili bilgilerin güvenilir ve tam olarak alınması, sinyallerin düzenleyici makamlara iletilmesi bilgi güvenliğinin sağlanmasında etkili rol üstlenmektedir.
Bu nedenle, yenilikçi teknolojilerin ortaya çıkması ve aktif olarak uygulanmasının neden olduğu dijital devrim, topluma yeni zorluklar ve tehditler getirmektedir. Bilgi güvenliği ihlali, stratejik olarak önemli tehditlerden biridir.
Finansal işlemlere katılanların, veri güvenliğine, siber riskleri en aza indirme ve siber tehditlere karşı koruma becerisine ihtiyaçları vardır. Siber saldırıların uygulanmasından kaynaklanan artan finansal zarar ve ağ altyapısında depolanan artan bilgi verisi hacmi, bilgi güvenliğini sağlamak için yeni araçların geliştirilmesini zorunlu kılmaktadır.
[*] Bundan sonra Fintech kavramı kullanılacaktır.
* InfoWatch Analitiz Merkezi verilerinden alınmıştır.