Dijital Bankacılık ve Güvenlik

Fraud, Chargeback ve Ödeme Sistemleri Uzmanı

İbrahim Kudret Elçiboğa

Fraud, Chargeback ve Ödeme Sistemleri Uzmanı İbrahim Kudret Elçiboğa, Fintechtime okurları için kaleme aldı, “Dijital Bankacılık ve Güvenlik”.

12 Mart 2021 tarihinde açıklanan Ekonomi Reform Paketi ile ülkemizde dijital bankacılık lisansı verilmeye başlayacağı belirtildi. Bu yenilik Hazine ve Maliye Bakanlığı’nın hazırladığı kitapçıkta, “Dijital (Şubesiz) Bankacılık lisanslamalarına (uygulamalarına) imkan sağlanacaktır.” cümlesiyle duyuruldu. Dijital bankacılık lisansı, şubesiz olarak faaliyet alanı belirleniyor ve bu lisansı almak için, Bankacılık Düzenleme ve Denetleme Kurumu tarafından belirlenen kuralları karşılamak gerekecek. Gerekli teknolojik ve finansal şartların belirlenmesi adına BDDK Bilgi Sistemleri Uyum Daire ve BDDK Düzenleme Daire Başkanlıkları çalışmalarını sürdürüyor. Türkiye’deki dijital bankacılık lisanslarının mevcut bankacılık lisanslarından farklı şartlar ve gereksinimlerde olması doğal olarak bekleniyor.

Bu konuda şöyle bir kafa karışıklığı var, Enpara (QNB Finansbank) ve CEPTETEB (Türk Ekonomi Bankası) gibi dijital bankalar mevcut durumda zaten var, yeniden bir düzenlemeye neden ihtiyaç var sorusu akla geliyor. Bu örnekler, mevcut bankaların lisanslarıyla ve bankalarının altında faaliyet gösteriyor. Bu dijital bankacılık lisansıyla birlikte, bu uygulamaların ayrı bir şirket olarak ayrışıp  dijital bankacılık lisansıyla, iştirakler olarak hayatlarına devam etme imkanları doğdu. Ama asıl bu lisans en çok elektronik para lisansı bulunan fintech girişimlerini etkileyecek. Hatta Telekom operatörleri ile birlikte büyük perakende zincirleri de bu lisansa ilgi gösteren diğer büyük kuruluşlar arasında yer alıyor. Bunun yanında  bazı yerli fintech girişimlerin yurt dışında banka kurma konusunda lisans çalışmaları var. Şimdi bu dijital banka lisansı ile bu girişimler de yerel pazarda kalacak. Yabancı bankaların, Türkiye’den dijital bankacılık lisansı alarak pazara girmesi de ayrıca beklentiler arasında.

Yakın geçmişte krizler ile boğuşan ülkemiz bankacılık sektörü, bugün güçlü ve dünyada takdir gören ileri seviyede bankacılık hizmeti veren durumda. Bu gücü ve ileri seviye bankacılık hizmet kalitesini dijital bankacılık olarak da sürdürebilmek için güvenin en üst düzeyde tutulduğu bir lisanslama süreci olması gerekiyor. Bankacılık sistemi bir ülkenin ekonomisinin can damarıdır ve ulusal siber savaşlarda ilk hedef alınacak ve saldırılacak yerdir. Bu noktadan hareketle dijital bankacılık lisanslarının kolay alınabilir olmayacağı ve güven unsurunun kalıcılığının sağlanabileceği güçlü bir regülasyon olacağını tahmin etmek zor değil.

Dijital bankacılık için gerçek zorluk, güvenlik duvarlarını siber saldırılardan korunmak için örerken aynı zamanda müşteriler ve tüketiciler içinde online bankacılık hizmetine kolay erişim sağlamak için doğru uygulamayı geliştirmeniz gerekiyor. Burada en önemli ikilem bankanın bilgilerini saldırıdan korumaya çalışırken, müşterilerine gereksinim duydukları bilgilere erişim kolaylığı sağlamak. Bu konuda geçmiş tecrübelerimiz hem yurtiçi hem yurtdışı örneklerde, hedef alınarak bir siber saldırı gerçekleştirildiğinde kaygı verici sonuçlar olduğu ve bankaların bununla başa çıkmakta oldukça zorlandığı yönündedir.

İç tehdit de aynı derecede kaygı verici durumdadır Değişikliklere rağmen, güvenliğin en zayıf halkası olarak kabul edilen insan hataları göz ardı edilemiyor. Bir çalışanı kötü niyetli bir bağlantıya yönlendirerek bankanın güvenlik duvarı bir şekilde aşılabiliniyor. Genel olarak çalışanların oltalama e-postaları açmaya ve tanımadıkları kişilerden gelen e-posta eklerini indirmeye yatkın oldukları görülüyor. Bankaların çalışanlarını siber güvenlik konusunda eğitmesi bile çoğu zaman insan hatalarının tamamen önlenmesi için yeterli olmuyor. Güvenlik duvarında bir çatlak oluştuğunda kısa bir zaman içinde bu çatlak yama tutmaz büyük bir deliğe dönüşebilir.

Çalışanların banka verilerini satması veya sızdırması zaafiyeti de başa çıkılması gereken önemli bir diğer sorundur. İş istihbaratı akışlarının gerçek zamanlı uyarılarla olay izlemesinin yapılması önemli bir detaydır. Gerçek zamanlı olarak yapılan takipler, hem iç hem de dış tehditlere karşı korumada en etkili yoldur. Güvenlik ihlali sorunun sadece tespiti değil, aynı zamanda tespit edildikten sonra tekrarının olmaması için izlenecek iş akışlarının da doğru uygulanması temel güvenlik kriteridir.

Güvenli dijital bankacılık için, bilişim güvenliği sistemleri, altyapılarının sürekli yenilenmesi ve bankanın müşteri verilerinin güvenliğini sağlama konusunda en iyi uygulamaları takip etmesinin sağlanması gerekir. Müşterilerine güvenli bir veri yedekleme çatısı sunabiliyor olmasının sağlanması gerekir. Chris Skinner’in Dijital Bankacılık kitabında belirttiği gibi; Dijital Bankaların sağlaması ve garanti etmesi gereken üç şey var;

GÜVENLİK.KESİNLİK.GİZLİLİK.