bank.com.tr Güvenli Ağ Bölgesine Geçmek Üzeresiniz. Evet, Hayır, İptal?

“Internet bankacılığından faydalanıyor musunuz?”  Karşımıza sıkça çıkan bu anket sorusu, Internet bankacılığının gündelik yaşamımıza iyice girmiş olduğunun bir kanıtı. Sonu gelmeyecek güvenlik tartışmalarını bir kenara bırakırsak, bankacılık faaliyetlerinin Internet’e taşınması önemli bir adım. Bankacılık, tarihi boyunca hiçbir zaman yüzde yüz güvenli bir iş olmamıştır zaten. Risk yönetilebildikten sonra, bankaların faaliyetlerini Internet üzerine taşımalarından daha akıllıca pek az iş olabilir. Peki ama, acaba bankalarımız bizlere yeterince güvenli bank.com.tr’ler sunabiliyorlar mı?

Volkan Gazioğlu

Öncelikle on-line bankacılıkla, Internet bankacılığının arasındaki farkı hatırlamamız gerekiyor. Internet bankacılığı, on-line’da olduğu gibi, bankalar tarafından sağlanan özel telefon hatları, yazılım, donanım vs gerektirmiyor. Herhangi bir Internet bağlantısı ve tarayıcı (browser) yeterli oluyor. Fakat problemin nedeni burada da çözüm oluyor (“Problemlerin baş nedeni çözümlerdir - Severoid). Mudiyi Internet bulutunun içerisine çekmek, güvenlik sorununu da beraberinde getiriyor. Bulut, düşük maliyet başta olmak üzere, elde edilen tüm diğer avantajların üzerine gölge düşürüyor.

ABD’de Internet Bankacılığı

ABD Kongresi’nin bir araştırma komisyonu olan GAO (General Accounting Office), geçtiğimiz yıl Internet bankacılığı üzerine bir rapor yayınladı. Bu raporda, bazı finans kurumlarının gerekli güvenlik altyapılarını tam olarak hazırlamadan Internet bankacılığı faaliyetlerine başladığı belirtilirken, özellikle hızla bu işe giren küçük kurumların, büyüklere oranla, daha fazla risk altında olduğunun altı çiziliyordu.

Gerçekten, özellikle küçük kurumlar, gerekli güvenlik altyapılarını kurabilecek ya da “outsource” ettikleri işleri değerlendirebilecek uzmanlığa sahip olma konusunda problem yaşayabiliyorlar.

Raporda bize ışık tutabilecek çok ilginç araştırma sonuçları yer alıyor. Özellikle 81 finans kurumu üzerinde yapılan araştırmanın sonuçların çok ilginç. Bu kurumlardan;

  • Yüzde 30’u on-line bankacılık risk yönetimi mevzuatının tamamını uygulamamış.
  • Yüzde 25’i hizmet vermeye başlamadan önce tepe yönetimin müsadesini almamış.
  • Yüzde 32’si on-line bankacılık hizmetleri politika ve prosedürlerini oluşturmamış.
  • Yüzde 36’sı on-line işlemlerin kayıtlarını tamamıyla kontrol edebilir durumda değil.
  • Yüzde 18’inin hizmet aldığı şirketlerle arasında yazılı bir anlaşma yok.

Bizde durum ne, tam olarak bilemiyoruz. Yukarıdaki, ABD’de Internet bankacılığı faaliyetlerinin geçen seneki halini gösteren bir tablo.

Mahşerin Atlıları; “Authentication” ve “Encryption”

Internet bankacılığı uygulamalarında iki önemli konu göze çarpıyor;

  1. Authentication : Siz gerçekten siz olduğunuzu iddia ettiğiniz kişi misiniz.
    2.
  2. Encryption (şifreleme) : Bilgilerin, kötü niyetli kişilerin eline geçmesini engelleyebilmek için şifrelenmesi.

Authentication sorunu, bugün değişik metodlarla çözülmeye çalışıyor. Kimi banka kullanıcı şifresiyle yetinirken, kimisi bize ahiret soruları soruyor. Telefonla geri arayanlar olduğu gibi, sayısal sertifika (digital certificates) dağıtanları da var. Endüstri akıllı kartlara (smart cards) geçiş sürecini başlatıncaya kadar bu sorunun çözümü bir süre askıda kalacak gibi görünüyor.

Şifreleme de durum daha iyi. 128-bit SSL şifrelemesinin finans ve e-ticaret siteleri için ABD dışına ihraç izninin verilmesiyle sorun şimdiden çözülmüş durumda. Tabi ki çözülemeyecek şifre yoktur, fakat en iyi şifre, çözümü en uzun süre alan ve en fazla maliyet gerektirenidir ki, endüstri bugün 128-bit SSL teknolojisinin yeterli bir güvenlik sağladığı konusunda uzlaşmış durumda.

Maksimum Güvenlik İçin Maksimum Uzmanlık

Güvenlik, yukarıda bahsettiğim iki konudan ibaret değil tabi ki. Bankaların yeterli güvenlikte Internet bankacılığı hizmeti verebilmesi için mutlaka know-how edinmeleri gerekiyor. Konunun uzmanı şirketler işe el attıklarında, konu hakkında bilinenlerin, buz dağının sadece üst kısmını oluşturduğu daha ilk günden ortaya çıkacaktır. Örnek bir güvenlik hizmetinin aşamalarını inceleyelim;

“Güvenlik Nedir?” dersi ve mevcut durumun incelenmesi.

Önerilerin sunulması.

Önerilerin gerçekleştirilmesi.

Güvenlik testlerinin yapılması.

Mevcut güvenlik disiplininin korunması ve teknolojik gelişmelerin uygulanması.

Mevcut durum incelemesi; fiziksel güvenlik, personel güvenliği, mevcut bilgi-işlem altyapısının şemasının çıkarılması, iş-akışı şemasının çıkarılması gibi unsurları içeririr. Bu ve benzeri unsurların ortaya çıkardığı girift tablonun uzman gözlerce analizi, çözümleri de beraberinde getirecektir. Fiziksel güvenlik önlemlerinin artırılması, personel yetki düzenlemeleri, işletim sistemi yükseltmeleri (upgrade), firewall kurulumları vb gibi irili ufaklı yüzlerce iş bu çözümlere örnek olarak verilebilir. Gerekli güvenlik testlerinin yapılıp sistemin onay almasından sonra asıl önemli iş, en az bu güvenlik düzeyinde kalabilmek için gerekli önlemleri almak ve personel eğitimine önem vermektir. Kurum bazında oluşturulan toplam güvenlik politikasının uygulanabilmesi için en kritik faktör eğitim olarak göze çarpıyor.

Malını Hırsıza Emanet Et

Bu yazıya Internet bankacılığını güvenli kılabilmek için yapılması gerekenleri sığdırmak çok güç. Bilişim güvenliği, her biri ayrı ayrı uzmanlık gerektiren onlarca daldan oluşuyor. Burada vurgulamak istediğim husus, güvenlik konusunun “hacker’lara test ettirdik, sağlam çıktı” tarzındaki magazinsel boyutunun ötesinde ciddi bir kaynak ve uzmanlık gereksinimi doğurduğunun bilincine varılabilmesi. “Penetration testing” de güvenlik zincirini oluşturan halkalardan birisidir. Ama kalemizin her zaman aynı savunma gücünü gösteremeyeceği gerçeği, kurumsal güvenlik politikalarının belirlenmesi ve uygulanmasının zorunluluğunu ortaya çıkarıyor.

Plan

Görüldüğü gibi, bilişim güvenliği sadece alınabilecek birkaç teknik tedbirden ibaret değil. Bir kurumun en alt düzeydeki personelinden, tepe yönetime kadar herkesi içine alan bir plan ve prensipler topluluğu. Bir disiplin yönetimi. Oyun disiplininden kopan bir futbol takımı golleri kalesinde görmeye başlıyor. Ya da gardını düşüren bir boksör ardarda yumruk yemeye başlıyor. İşte bilgi güvenliği asla oyun disiplininden kopmaya, gard düşürmeye gelen bir uygulama değil.

Bilgi güvenliği oyun planını üç aşamada özetleyebiliriz.
  1. Tedbir
  2. Teşhis
  3. Cevap

Güvenilir bir authentication sistemi, firewall’lar, Zaafiyet Analiz Yazılımları (Vulnerability Analysis), Anti-virüs Sistemleri kuruluşu, Güvenlik Testi Uygulaması (Penetration Testing) ve kurum bazında güvenlik politikalarının belirlenmesi gibi teknik ve idari birçok önlem “Tedbir” adı altında yer alan uygulamalardır.

Saldırı Tesbit (Intrusion Detection) ve Sistem Bütünlüğünü Koruma sistemleri gibi mekanizmalar tıpkı evlerimizdeki hırsız alarmları gibi bir “Teşhis” imkanı sağlar.

Bir saldırıya uğranıldığı anda yapılması gereken işlerin neler olduğunun önceden belirlenmesi, delillerin mevcut kayıpları telafi etmek ve hukuksal haklar açısında toplanması gibi işler ise “Cevap” mekanizmasının anahtar uygulamalarıdır.

En İyi Savunma

Görüldüğü gibi, hem içerden hem de dışardan tehdit altında bulunan bir sistemin güvenliğini sadece birkaç teknik önlemle sağlamak mümkün olmuyor. Kurum bazında komple bir güvenlik bilincine ve proaktif güvenlik politikalarına ihtiyaç duyuluyor. Konu, Internet üzerinde bankacılık faaliyetleri olunca da, tüm bu güvenlik politikaları daha önemli bir hal alıyor.

Internet bankacılığını güvenli bir şekilde uygulayabilmek için yapılması gerekenleri bu yazıya sığdırabilmek elbetteki mümkün değil. Ama eğer konuya kapıdaki güvenlik görevlisini izleyerek başlayabilme tarzını elde edebiliyorsak, işe doğru başlamışız demektir. Geriye işin yarısı kaldı. Kolay gelsin.

volkang@interpro.com.tr