TEKNOLOJİ

DigitalAge | 06.08.2019 - 11:00

Kimlik güvenliği bankaların birinci yükümlülüğü

Son dönemde finansal kuruluşları taklit eden oltalama saldırılarından size de gına gelmedi mi? İnternet ortamında her yerde kredi kartı aidatlarımızı geriye alma ya da kolay kredi gibi iddialarla kopya sitelerin reklamları dolaşıyor. Peki bunlara karşı şikayetten öte ne yapılabilir?

Dijital kimlik bilgilerimiz, artık neredeye tüm kişisel verilerimize erişim sağlamakta kullandığımız bir güvenlik unsuru olmuşken, finansal kuruluşların da bu verileri korumada çok büyük sorumlulukları var. Son günlerde Twitter’da, Instagram’da, çeşitli internet sitelerinde illa denk gelmişsinizdir. Merkez Bankası’na kadar uzanan bir spektrumda her bankaya isnat edilen çeşitli vaatlerle insanlar kandırılmaya çalışılıyor. Bu aşamaya gelmek de çok kolay: Bir internet sitesi kopyası, dikkat çekici bir reklam ve sosyal medya devlerinin reklam sistemi algoritmalarındaki tertemiz açık. Artık siz de oltalamaya hazırsınız!

Diğer yandan SMS mesajları ile gönderilen web bağlantıları, tuzaklı e-postalar derken, iş telefonla aranmaya kadar geldi. Buradan telefona gönderilen SMS kodunu alan kişiler banka hesaplarına erişim sağlıyor ya da kimlik bilgilerini benzer şekilde alarak suç amacıyla kullanıyor. Böyle bir durumda kalanlar için en güvenli yöntem, finansal kuruluşu kendisinin araması.

Saldırıların arkasında suç organizasyonları hatta devletler var
Konuyu dijital kimlik güvenliği uzmanı KOBİL’in kurucusu İsmet Koyun’la konuştum. Kimlik saldırılarını bir kişinin iradesi dışında, o kişiymiş gibi işlem yapılmasına olanak veren teknik ve sosyal mühendislik saldırıları olarak tanımlayan Koyun, finansal saldırıların arkasında bu işe yüksek bütçe ayıran suç organizasyonları, hatta devletler olduğunu kaydediyor.

Hâl böyleyken, işin ölçeği de büyüyor. Bazen siber saldırılarla insan gücü açısından başa çıkmak mümkün değil, çünkü her saniye dünya etrafında milyonlarca siber saldırı gerçekleşiyor ve bazen yüz binlerce sistem eş zamanlı olarak saldırı gerçekleştirebiliyor. Bu gibi durumları önlemek için de bir süredir bulut üzerindeki virüs koruma ve güvenlik altyapıları ile çeşitli algoritmalar ve makine öğrenimi ortaklığı kullanılıyor. Bu hem elle yapılacak işleri hızlandırıyor hem içgörü sağlıyor. Davranış analizi üzerinden de güvenlik sağlanabiliyor. Bu durum bazen binlerce çalışanı olabilen kurumlar için önemli. Çünkü sistem öğrenerek ilerliyor ve güvensiz durumları benzer örneklere bakarak fark edebiliyor.

İş bankalara gelince buna önemli bir kriter daha ekleniyor; o da müşteriler. Bankaların sağlam bir güvenlik altyapısına sahip olmasını bekliyoruz ama Koyun, KVKK ve banka yönetmeliklerine göre bunun banka yükümlülüğünde olmadığını söylüyor ve ekliyor: “Kimlik saldırılarının sonucunda kişisel verilere erişim sağlanacağı için sistemin genel güvenliği ve kimlik güvenliği bankaların birinci yükümlülüğüne dönüşüyor. Bankaların iş birimleri hızlı ilerlemek adına güvenliği ikinci plana atıyorlar, halbuki güvenli bir altyapıya sahip olmaları dijitalleşme konusunda onları daha hızlı bir yapıya geçirir. Altyapının sağlam olduğu bir sistemde bankalar daha çok dijital hizmeti müşterilerine sunabilirler.”

Bu konulara dikkat ederken, her bankanın müşteri verileri konusunda aynı hassasiyete sahip olmadığını ekleyelim. Bankanızın bu konudaki duruşunu ve olası senaryolarda yasal pozisyonunuzu öğrenmek için en iyisi müşteri temsilcinizle konuşmak.