Harun ESUR | Türk Bankaları ve Siber Güvenlik

Bir sabah uyandınız ve banka hesabınızın boşalmış olduğunu gördünüz. Hayır, herhangi bir kredi kartı dolandırıcılığından ya da benzeri bir kişisel saldırıdan bahsetmiyoruz. Bankanızın esaslı bir siber saldırıya maruz kaldığını farzedin. Aslında yapabilecekleriniz çok sınırlı olsa da eğer bankanız ekonomik bir darboğazdan geçiyor (ya da geçmeyi bekliyor) ise çalınan paralarınızı artık geri alabilmeniz eskisinden çok daha zor olacaktır. Çünkü siber güvenlik zararlarını karşılamak için bankaların oluşturduğu bütçeler artık yavaş yavaş tükenmek üzere ve zararınızı karşılamamak için de elleri son derece güçlü.

Harun ESUR
@marcusfrex
harun.esur@kuzgunportal.com

Bankacılık ve finans sektöründe aktif olarak rol almış her siber güvenlik uzmanının bildiği bir şeyi sizlerle paylaşmak isteriz; Türk bankalarının neredeyse her ay en az biri hacklenmekte ve bu durum mütemadiyen sümen altı edilmektedir.  Ta ki ayyuka çıkan büyük operasyonlar oluncaya ve bu medyaya yansıyıncaya kadar. Şüphesiz ki bu sahaya ciddi yatırım yapıp siber güvenlik işinin hakkını veren azınlıktaki Türk bankaları konumuzun dışındadır. Ancak bankaların bu tür durumlarda uyguladıkları belirli stratejiler vardır ve öncelikle bular hakında bilgi vermek gerekir.

  • Saldırıyı sonuna kadar inkar etme   

Bir bankanın siber saldırıya karşı zafiyet göstermesi ve bunun kamuoyuna yansıması şüphesiz ki  uzun vadede maliyeti öngörülemez zararlara neden olmaktadır. Bu sebeple hem bilişim güvenliğinden sorumlu birimler  hem de yönetici kadrolar bu tür saldırıları mümkün olduğu sürece birebir olarak çözmeyi, mağdurların zararlarını gidermeyi ve yollarına hiçbir şey olmamış gibi devam etmeyi tercih ederler. Hem medya kanalına hem de kamuoyunu bilgilendirme kanallarına saldırılar ya inkar edilerek ya da saptırılarak aktarılır.

  • Zemin değiştirme

Eğer zararlar karşılanamayacak kadar büyük ise o zaman saldırıyı, zemini değiştirerek inkar etme yoluna giderler. Bu yöntem, “Hayır bir siber saldırı değil, şu veya bu nedenden dolayı zarar meydana geldi.” yöntemidir. Bu yöntemlerin en başında “Hayır bir siber saldırıya maruz kalmadık, X firmasının yaptığı yanlış işlemden dolayı böyle bir sorun söz konusu oldu.” şeklinde bir beyanat gelir. Eğer X firması çıkar da “Bizden kaynaklanmadı.” der ve bir de buna dair kanıt sunar ya da bankanın zemini değiştirebileceği bir firma sahneye çıkartılamazsa o zaman da “insan hatası” argümanı öne sürülür. “Kalın parmaklı bir çalışanımız bir sıfır fazla (veya az) eklemiş ya da SWIFT servisindeki çalışanımızın eli kaymış, dikkati dağılmış.” denir. Böylelikle kamuoyunun zafiyet algısı, hata algısına dönüşür ki bu da toplum olarak kolay bir şekilde tolere edebildiğimiz bir durumdur.

Kabahati müşteriye atma

Birçok bankacılık hizmeti alan vatandaşımız maalesef siber güvenlik alanında yeteri kadar bilgilendirilmemektedir. Bu durum vatandaşın bankaya karşı kendini savunabilmesi noktasında  bankaların ellerine ciddi avantajlar vermektedir. Örneğin bir banka müşteriye “Bu tamamen sizin hatanız, şifrenizi çalmışlar ve SIM kartınızı kopyalamışlar bizim yapabileceğimiz hiçbir şey yok.” dediği zaman çok az sayıda müşteri bu argümana karşı koyabilir. Çünkü bu tür durumlarda hem aksini kanıtlamak güçtür hem de bankaların bu durumlar karşısında zırhlarını delmek neredeyse imkansızdır. Eğer müşteri böyle bir durumda kaderine boyun eğerse banka kolaylıkla saldırının/saldırıların üstünü örter.

  • Kabahati çalışanına atma

“Bizim bir kabahatimiz yok, X çalışanımız müşterinin hesabını boşaltmış, derhal iş akdine son verdik ve yasal işlem başlattık.” gibi bir argüman her ne kadar bankacılık deneyimi sağlam olanlar için “gülünç” bir argüman da olsa maalesef kamuoyunun böyle bir savunmaya karşı direnci son derece zayıftır. Siber güvenlik kurallarının en başında gelen maddelerden birisi dışarıdan değil, bilakis içeriden gerçekleşebilecek saldırılara  karşı önlem almak; kurumsal yetkilendirme ve denetim hiyerarşilerini de bunun üzerine kurmaktır. Bir bankanın siber güvenlik zafiyeti karşısında kabahati herhangi bir çalışanına atması, o bankanın dijital dğnyada tepeden tırnağa kadar çelimsiz ve aciz bir banka olduğunu gösterir. Oysa dediğimiz gibi hata toleransı yüksek olan bizim gibi toplumlarda bu tür durumlar normal karşılanmaktadır.

  • Sessiz kalma veya çok az açıklama yapma

“Fazla bir reaksiyon göstermez isek kısa zamanda unutulur gider.” stratejisi de yine son derece etkili bir tutumdur. Zira bilimsel araştırmalarla da ortaya konulan 14-21 gün arası kamuoyu hafızasının silinebilmesi durumu da bankaların lehlerine kullandıkları bir adımdır. (1) Ayrıca yapılan açıklamaların çok az olması, kısa tutulmaları, saldırıların yarattıkları etkilerin kamuoyu tarafından daha düşük algılanması durumunu yaratabilmektedir.

  • İlgili haberlerin önüne geçme

Saldırılarla ilgili haberleri bloke edebilmek, dikkatleri başka yöne çevirebilmek amacıyla örneğin bankanın sponsor olduğu bir etkinliğin ya da genel müdürünün yaptığı herhangi bir açıklamanın medyada ısrarla ön plana çıkarılması, ilgili saldırının kısa sürede dikkatlerden uzaklaşmasını sağlama yoludur ve genelde son derece başarılı olmaktadır.

  • Tehdit etme

Eğer saldırıyla ilgili teknik detay bildirerek kamuoyunu aydınlatma yönünde adım atan herhangi bir güvenlik uzmanı ya da medya mensubu söz konusu olursa, Türk bankaları maalesef genelde ‘yargı yoluyla tehdit etme’ adımını ilk olarak kullanmayı tercih etmektedirler. Oysa ki ideal mantalite çerçevesinde bankaların yargılanmaktan imtina etmeye yönelik hareket etmesi gerekir. Hatta bazı durumlarda sırf bütçeleri yetersiz olduğu,ya da yeterli kapasiteleri, kaynakları olmadığı için çeşitli güvenlik açıklarını kapatamayan bankaların ‘bağcıyı dövme’ teşebbüsleri de gözlemlenebilmektedir. Oysa ki siber güvenlik kültürü yerleşmiş ülkelerde güvenlik uzmanları bizzat bankalar tarafından teşvik edilmekte, teknik detaylara ve açık bilgilerine ulaşabilen kimseler bankalar tarafından ödüllendirilmektedirler.

Zannederiz ki bu makaleyi okuyanlar buraya kadar  “Bu işler bu kadar da kolay olmasa gerek!” diye düşünmüş olabilirler. O yüzden konuyu az da olsa derinleştirelim:

Öncelikle bankaların siber güvenlik mevzuatı olarak da tanımlanan “Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ” adı altında resmi gazetede 14 Eylül 2007’de yayınlanan hükümleri ele almak gerekir (2). Buradaki hükümler son derece teorik ve farklı yorumlara açık olabilmekle beraber aslında bankaların elini güçlendirmektedirler. Çünkü eğer okunacak olunursa bu tebliğ -başlığından da anlaşılacağı gibi- tamamen ilkesel tanımlar yapmakta, herhangi bir teknik detaya girmekten ve “nasıl”lığı açıklamaktan imtina etmekted İşte böyle bir durum, bankaların ilkeleri kendi kafalarına göre çekip çevirebileceği anlamına gelir. Mesela “İnkar edilemezlik ve sorumluluk atama” (Madde 28) başlığı altındaki 1. Ilkeye bakalım: “Banka, sunmakta olduğu internet bankacılığı faaliyetleri kapsamında gerçekleştirilen işlemler için inkâr edilemezliği ve sorumluluk atamayı mümkün kılacak teknikleri kullanır ve kontrolleri tesis eder.”  Şimdi ilkesel olarak BDDK’nın bankaların uymasını beklediği bu madde aslında bilişim sistemlerinin doğası gereği imkansızdır. Teorik olarak kimlik doğrulama olarak tanımlanan ve ilgili makalede de sıklıkla kullanılan tanım, aslında işlemi gerçekleştiren tarafın esas olarak yetkili taraf olduğunu değil, yetkili olunduğunu gösterir verilere sahip olan taraf olduğunu gösterir. Kafanızı karıştırmamak adına daha da basit hale getirelim; bankaya girerken kullanılan şifre nasıl ki bankaya girenin siz olduğunu kanıtlamıyor ise, sayısal kimlik doğrulama mekanizmaları da aynı şekilde giriş yapanın siz olduğunu kanıtlamaz. Sadece giriş yapanın yeterli sayısal verilere sahip olduğunu doğrular. Dolayısıyla kimlik doğrulama, inkar edilemezlik ve sorumluluk atama gibi yöntemler ilkesel olarak bir beklenti yaratsa da sayısal ortamda mümkün değildir. İşte örneğin sırf bu yüzden bütün bankalar kimlik doğrulama süreci ile ilgili herhangi bir modeli benimseyip BDDK tarafından onay alabilir ancak pratikte bu kimlik doğrulama süreci asla ilgili ilkedeki beklentiyi sağlamaz.

Aynı sorun “Kimlik Doğrulama” başlığı altındaki madde 27de de “Banka, sunmakta olduğu internet bankacılığı hizmetleri için, bu hizmetlerin arz ettiği risk seviyelerine uygun ve güvenilir bir kimlik doğrulama mekanizması tesis eder.”  söz konusudur ki “kimlik doğrulama” kavramı bankaların siber güvenlik önlemlerinin bel kemiklerinden birisidir (İlgili tebliğ ile alakalı söylenecek birçok unsur olmasına rağmen makalemizi uzatmamak adına onlara değinmiyoruz.).

Peki usta bir saldırganın direkt bankanın ana bilgisayarına sızarak kafasına göre işlem yapabildiği bir senaryoyu göz önüne alalım (Evet bu tür saldırılar mümkünden de ötede, yapılmıştır, yapılmaktadır. ). İlgili tebliğe göre hareket etmiş hiçbir bankaya bu senaryo karşısında hiçbir yaptırım uygulanamaz. Çünkü ilkelere teorik uyum ile teknik yeterlilik ve pratik adaptasyon asla bir değildir ki bahsi geçen bir durumda bankanın tabi olacağı teftişler tamamen teorik uyum çerçevesinde olagelir ve her halükarda bankalar bu tür saldırılardan herhangi bir ceza almadan kurtulurlar. İlgili tebliğ bu tür yüksek önem arzeden konuların bürokrat kadrolara devredilmemesi gerektiğinin kanıtıdır. Eğer söz konusu finans sektörü gibi bir sektörün devlet eliyle teftişi ise bunun için yine özel sektöre, akademik kurumlara başvurulmalı, bütün bu konular ince elenip sık dokunmalıdır.

BDDK’nın “B.02.1.BDK.0.77.00.00/010.06.02-1” sayılı “Bilgi Sistemlerine İlişkin Sızma Testleri” başlıklı genelgesi de bankaların senede en az bir sefer sızma testi gerçekleştirmesini zorunlu kılar. Oysa ki herhangi bir bankanın senede bir sefer sızma testi yapması asla kabul edilemez bir güvenlik zafiyetidir. Çünkü siber güvenlik sahası saldırganlar ile savunanlar arasında geçen devamlı bir yarıştır ve para ile verinin bu kadar birbirine bağlı olduğu bir kurumda senede bir yapılan sızma testi, aslında hiçbir işe yaramaz. Oysa ki içerisinde yaşadığımız çağa göre BDDK’nın bankalara her ay farklı bir firmadan sızma testleri hizmeti alması yönünde yaptırım uygulaması gerekir. Sızma testlerinin de ötesinde günümüz bankaları özellikle siber güvenlik araştırmalarına yoğunlaşmak durumundadır ki BDDK bu konuda hiçbir yaptırımda bulunmamaktadır.

Haliyle genelde Türk bankaları senede bir defa sızma testi yaptırmakta, ayağı yere basmayan BDDK ilkeleriyle siber güvenlik alanında müşterilerine karşı kendi pozisyonlarını sağlamlaştırmaktadırlar.  

Makalemizin başında da belirttiğimiz gibi bütün Türk bankaları bahsettiğimiz noktada değildir. Her ay dünyanın çeşitli ülkelerinden siber güvenlik uzmanlarını ağırlayan ve BDDK’nın beklentilerinin çok ötesinde ve tamamen müşteri memnuniyeti ve emniyetine kanalize olmuş bankalar da vardır ancak yine dediğimiz gibi bu bankalar son derece azınlıktadırlar. Mali güvenlikleri noktasında hassasiyet gösteren yatırımcılara önerimiz; birden çok banka ile çalışmaları, eğer mümkünse de sermayelerinin büyük kısmını yüksek güvenlikli fiziksel kasalarda tutmaları, Türkiye’deki sayısal sistemlere asla güvenmemeleri, ‘bir hata olmuş’ lafına da pek inanmamalarıdır.

 

[1] – https://www.jstor.org/stable/10.3366/j.ctt1r25r9

[2] – http://www.resmigazete.gov.tr/eskiler/2007/09/20070914-1.htm

[3] – http://www.bddk.org.tr/ContentBddk/dokuman/mevzuat_0064.pdf