Türkiye'deki Bankacılık ve Finans Sektörünün Siber Uzaydaki Durumu

Bankacılık ve finans sektörü çerçevesinde ABD ve AB ile Türkiye’nin karşılaştırılması ve Türkiye’nin bu anlamda artı ve eksilerinin ortaya konulması, bu sektörün siber güvenlik durumunun değerlendirilmesi sürecinde önemli bir rol oynayacak, ülkemizin bankacılık ve finans sektörünün evrensel boyuttaki, bir başka deyişle siber uzaydaki konumunu görmemize yardımcı olacaktır. Karşılaştırma sonuçları alt başlıklar halinde aşağıda sunulmuştur.

Bankacılık ve Finans Sektörlerinin Bağımlılıkları

Analiz edilen ilk husus, ABD ve Türkiye için bankacılık ve finans sektörü bağımlılıklarıdır. ABD’de Şekil-1’de belirtildiği üzere bankacılık ve finans sektörü enerji, ulaştırma, BT ve haberleşme sektörlerine bağımlılık göstermektedir.

Şekil-1: ABD için bankacılık ve finans sektörü bağımlılıkları

Türkiye’deki bankacılık ve finans sektörünün bağımlılık analizi ise Şekil-2’de belirtilmiştir. Şekil analiz edildiğinde, ABD’deki yapıdan farklı olarak temel kamu hizmetlerine bağımlılık gözükmektedir. Bunun haricinde su sektörünün bankacılık ve finans sektörüne zayıf da olsa bağımlılığı olmaktadır. Yine ABD’deki yapıdan farklı olarak bu çalışmada, kuvvetli ve zayıf bağımlılık kavramı ortaya konulmuş ve bazı kritik altyapı sektörleri için bankacılık ve finans sektörünün bu sektörlere zayıf da olsa bağımlılığı olduğu sonucuna varılmıştır. Kendisi de dahil olmak üzere, enerji, temel kamu hizmetleri ve iletişim sektörlerine kuvvetli bağımlılık söz konusuyken, ulaştırma sektörüne zayıf bir bağımlılık olduğu tespit edilmiştir. Ayrıca iletişim, ulaştırma, enerji ve su sektörlerinin bankacılık ve finans sektörüne zayıf derecede bağlı olduğu ortaya çıkmıştır.

Şekil-2: Türkiye’de bankacılık ve finans sektörünün diğer kritik altyapı sektörleriyle ilişkisi

İşbirliği ve Koordinasyon

İkinci husus olarak karşımıza işbirliği konusu çıkmaktadır. AB’de “Kritik Altyapıların Korunması için Bir Avrupa Programı” çerçevesi CIKR koruması için işbirliği ve koordinasyonu sağlamayı hedeflemektedir [1]. ABD’de ise 2012 tarihli henüz yasalaşmamış Siber Güvenlik Yasa Taslağındaki tanımlara göre aralarında Savunma Bakanlığı, Adalet Bakanlığı, Ticaret Bakanlığı, istihbarat camiası, sektörlere özel federal kurumlar ve korunması gereken kritik altyapıların güvenliğini düzenlemekten sorumlu federal kurumlar olmak üzere çok sayıda kurumun katılacağı ve başkanlığını DHS’nin yürüteceği bir Koordinasyon Kurulu, belirlenen önlemlerin sistemleri saldırıdan korumak için yeterli olduğunu güvence altına almak amacıyla kurulacaktır.

Türkiye’de ise 20.10.2012 tarihli Resmi Gazetede yayımlanan “Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna İlişkin Karar” çerçevesinde aralarında Ulaştırma, Denizcilik ve Haberleşme Bakanı, BTK Başkanı, TİB Başkanı, TÜBİTAK Başkanı ve Genelkurmay Muhabere Elektronik ve Bilgi Sistemleri Başkanının da bulunduğu Siber Güvenlik Kurulu kurulmuştur. Aynı kararın beşinci maddesi Ulaştırma, Denizcilik ve Haberleşme Bakanlığının bu kapsamdaki görev ve yetkilerini ifade etmekte; aynı maddenin birinci fıkrasının (ç) bendi kritik altyapıları aşağıdaki gibi işaret etmektedir [2]:

“ç) Ulusal bilgi teknolojileri ve iletişim alt yapısı ve sistemleri ile veri tabanlarının güvenliğini sağlamaya, kritik alt yapıları belirleyerek bunlara yönelik siber tehdit ve saldırı izleme, müdahale ve önleme sistemlerini oluşturmaya, ilgili merkezleri kurmaya, kurdurmaya, bu sistemlerin denetimi, işletimi ve sürekli güçlendirilmesine yönelik çalışmaları yapmak”.

Bu kapsamda, bankacılık ve finans sektörü de dahil olmak üzere, tüm kritik altyapı sektörleri için siber tehditleri engellemeye yönelik çalışmalara ülke bazında başlanacaktır.

COBIT Süreçlerine Uyumluluk

Ülkemizdeki bankacılık sektörünü diğer ülkelerdeki bankacılık sektörlerinin bir adım önüne geçmesini sağlayan en önemi faktör, “Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ”de yer alan 22. Maddedir [3]. Bu maddeye göre bankalar, genel kontrollerin tesisi amacıyla uluslararası kabul görmüş bir standart, çerçeve veya metodolojiyi belirleyerek, buna göre kontrolleri tesis etmekle yükümlüdür. Ayrıca kullanılacak standart, çerçeve veya metodolojinin COBIT’te ele alınan kontrol hedeflerini gerçekleyebilmesi, eğer bu konuda eksiklikleri varsa buna ilişkin kontrollerin ayrıca ele alınarak tesis edilmesi gerektiği ifade edilmektedir.

Bu zorunluluk bankacılık sektörüne aşağıda listelenen faydaları sağlamıştır:

1. Bilgi sistemleri, bankaların hesap verebilirliğini garanti etmiştir.

2. İş sahiplerinin konuyu sahiplenmeleri konusunda çerçeve çizmiştir.

3. Bankalar, israf yapmaksızın sadece işlerine yarayan teknolojiyi satın almaya başlamıştır.

4. Yapılan iş ile BT arasındaki stratejik uyum (strategic alignment) sağlanmıştır.

Bankacılık ve finans sektöründe bütüncül gelişmelerin yaşanması adına benzer sürecin finans sektörü için de hayata geçirilmesi önem arz etmektedir. Bu sayede bankacılık ve finans sektörü arasında uyum sağlanmış olacaktır.

Minimum Güvenlik Önlemlerinin Belirlenmesi

“Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ”, tüm bankaları, bilgi sistemlerini kullanmalarından kaynaklanan riskleri ölçmek, izlemek, kontrol etmek ve raporlamak için gerekli önlemleri almakla yükümlü kılar [3]. Ayrıca banka üst yönetimi, bilgi sistemlerinden kaynaklanan güvenlik risklerinin yeterli düzeyde yönetildiğini ölçmek amacıyla süreç değerlendirmesi yapmakla yükümlüdür. Tebliğde bilgi güvenliğinin sağlanması için gerekli minimum güvenlik önlemleri belirlenmiş, bu durum da bankaların siber güvenlik olgunluk seviyelerini belirli bir çizgiye çekmiştir. Minimum güvenlik önlemleri aşağıda listelenmiştir:

· Risk değerlemesi yapılması

· Bilgi güvenliği politikası oluşturulması ve uygulanması

· Bilgi güvenliği testlerinin uygulanması

· Banka personelinin güvenlik konusunda farkındalık kazanmaları ve uyum konusunda yazılı taahhütlerinin alınması

· Verilerin hassasiyet derecelerine göre sınıflanması ve her bir sınıf için uygun düzeyde güvenlik kontrollerinin tesis edilmesi

· Bağımsız ekiplere düzenli aralıklarla sızma testleri yaptırılması

· Yeni açıkların takip edilmesi ve gerekli yazılım güncellemelerinin ve yamaların uygulanması

· Dış ağlardan gelen tehditleri bertaraf etmek için gerekli ağ kontrol güvenlik sistemlerinin tesis edilmesi

· Dış ağdan iç ağa yapılacak erişimlerin kontrol altına alınması

· İç ağın farklı güvenlik hassasiyetine göre uygun konfigürasyonu yapılmış ve bir veya birden fazla güvenlik duvarının kullanılması

· Bilgi sistemleri güvenliği sorumlusu atanması

Bankacılık ve finans sektöründe bütüncül gelişmelerin yaşanması adına benzer sürecin finans sektörü için de hayata geçirilmesi önem arz etmektedir. Bu sayede bankacılık ve finans sektörü arasında uyum sağlanmış olacaktır.

Sızma Testi Kapsamının Standartlaştırılması

“Bilgi Sistemlerine İlişkin Sızma Testleri Hakkında Genelge”yle bankalara periyodik olarak yapılması gereken sızma testi kapsamı başlıklar halinde standartlaştırılmıştır [4]. Genelgede ayrıca gerçekleştirilecek sızma testleri için asgari erişim noktaları internet, banka iç ağı ve şube ağı olarak belirlenmiştir. Genelgenin ek kısmında bulgu önem dereceleri tanımları yapılmış, böylece farklı bankalarda farklı denetim firmaları tarafından bulunan risklerin seviyelerinin standartlaştırılması ve sektörel analiz yapılması yönünde önemli bir adım atılmıştır.

Bankacılık ve finans sektöründe bütüncül gelişmelerin yaşanması adına benzer sürecin finans sektörü için de hayata geçirilmesi önem arz etmektedir. Bu sayede bankacılık ve finans sektörü arasında uyum sağlanmış olacaktır.

Sonuç

Sonuç olarak, hem mevzuat altyapısı hem de sektör oyuncularının bilgi güvenliği farkındalık düzeyi ve konunun önemine binaen aldıkları önlemler açısından, ülkemizin en önemli kritik altyapı sektörlerinden biri olan bankacılık ve finans sektörünün, ülkenin diğer kritik altyapıları arasında ve uluslararası platformda, siber güvenlik olgunluk seviyesi ortalamasının çok üzerinde bir düzeyde yer alacağı rahatlıkla söylenebilir.