‘Yeni dijital şubeler siber risk altında’

“Örneğin yeni nesil bankacılık denen bir uygulama var. Şubelere gidiyorsunuz şube çalışanı göremiyorsunuz. Kiosklar, el terminalleri, tabletler... Kuruma soktuğunuz her cihaz bir risk” diyen Gültekin şöyle konuştu:

“Shadow IT dediğimiz gölge bilgi işlemciler türedi bankalarda. Bankanın her biriminde bilgi işleme birtakım talepler geliyor. Bilgi işlemci kendine göre önceliklendiriyor. Geride bıraktıkları da kendi IT yatırımlarını yapıyorlar. Kendileri adam alıyorlar ve kendi uygulamalarını kullanmaya başlıyorlar.”

Veriler bulutta

Bu durumun risk oluşturduğunu vurgulayan Gültekin şöyle devam etti:

“BDDK bankalara, ‘Bulutta veri tutamazsın’ diyor. Ama biz bugün bankalara gidip baktığımızda ufak bir çalışmada farklı departmanlar tarafından en az 60-70 tane bulut uygulaması kullanıldığını görüyoruz. Bu riskleri çoğaltıyor. Bankalar kurumlara soktukları cihazlara, kullandıkları uygulamalara ve üçüncü parti uygulamalara çok dikkat etmeli.”

Gültekin sorularımızı yanıtladı.

Devlet ne yapıyor?

Devlet, çok ciddi regülasyon adımları attı. KVKK, korunmaya önem veriyor. Eskiden sadece iyi niyet kıvamındaydı. Şimdi ceza kesmeye başladılar o nedenle herkes dikkat ediyor. BDDK çok ciddi regülasyonlar yayınladı. Artık bankalar BDDK’dan bu anlamda ürküyorlar. Her an teftiş gelebilir. Banka adına özel ekipler kurdular. Ama halen atılması gereken birçok adım var. Teknoloji anlamında yapılması gerekenler var.

Bankalar ne yapmalı?

Kullandıkları bulutun güvenliğini göz önüne alacaklar. Bankalar şu anda sadece kendi iç ortamlarını, veri merkezlerini, son kullanıcıların güvenliğini ele alırken bulut uygulamanın da güvenliğini ele almak gerektiğini görecekler. Bunu engellemiyorlar. Bir şekilde bankalar bulutun güvenliğini göz ardı etmemeyi öğrenecekler. Bulutla çalıştığınızda bulut servis sağlayıcısının verdiği hizmet standartlarına tabisiniz. Bu standartlar güvenlik için yazmaz. Kredi kartı sözleşmelerinde çok ufak yazılan yazılar vardır ya güvenliği son kullanıcı üstlenir, onlar bir şey üstlenmezler. Mutlaka güvenliği de göz önüne alıp, güvenlik tarafında ne yapılabilir, bilgi doğru gidiyor mu, doğru geliyor mu? Bu bağlamda çalışmaları lazım.

Üçüncü parti uygulamalar ne kadar yaygın?

Birçok banka üçüncü parti uygulamalar kullanıyor. Hukuk yazılımını, ATM yazılımını kendi yazmıyor, dışarıdan paket olarak alıyor. Kendi yazdıklarını çok güzel kontrol edebiliyorlar ama dışarıdan aldıkları yazılımları o kadar takip edemiyorlar.

Ne kadar akıllı o kadar tehlikeli

Siber saldırılara karşı güçlü bir Japon şirketi olduklarını ve bankaları uyardıklarını ifade eden Hasan Gültekin şöyle dedi:

“Çünkü bu dönemde siber saldırılar sadece finansı, telekomu değil, basın yayın, kamu, diğer şirketler ve her yere uzanmış vaziyette. Evlerimize girmiş, çocuklarımızı tehdit eder durumda. Özellikle akıllı ürünler, telefonlarımız, evlerdeki televizyonlarımız, buzdolaplarımız, akıllı denen her yerde siber saldırı riski var. Biz de bu alanlarda nasıl koruma sağlayabildiysek dijital ortamda, bunu sağlamaya çalışıyoruz.”