Elektronik Finansta Riskler ve Çözüm Yolları

ZÜHRE AYDIN, GAZİÜNİVERSİTESİ YBS, DOKTORA, 2016

Finans Sektöründe Yeni Teknoloji Kullanımını Gerektiren Koşullar

• Rekabet

• Hizmet maliyetinin düşürülmesi

• Değişime uyum

• Operasyonel risk

• Yükün azaltılması

E-FİNANS ÖDEME SİSTEMLERİ

Kapıda Nakit, Debit Kart, Kredi Kartı

Havale/EFT

Online Debit, Kredi Kartı, Sanal Kredi Kartı

Online Kredi

Kartı -3D Secure

Online Mail

Order

PayPal

Mobil Ödeme PayU

Türkiye’de Kullanıcılara Sunulan İnternet Bankacılığı İşlemleri

Bilgi teknolojisi araçlarının kullanımı ve yaygınlaşması bankacılık ve finans hizmetlerinin büyük oranının internet ve mobil teknolojiler vasıtasıyla yerine getirilme imkânını sunmaktadır. Bu imkân ise operasyonel yükü hafifletirken buna bağlı olarak çalışan işlemlerinden doğabilecek hata risklerini azaltmaktadır.

Elektronik bankacılığın iki temel özelliği; faaliyetlerinin yürütüldüğü teslim kanallarının yapısı ve müşterilerin bu kanallara erişme yollarıdır.

Elektronik ticaret, e-finans ve bankacılık uygulamalarının gelişim sürecini tehdit eden ve bu yeniliklerin kullanımından uzak duran kişilerin temel kaygıları arasında

• konu hakkında bilgi sahibi olmama, • değişime direnç ve • işlem güvenliği konuları yer almaktadır.

Ödeme Sistemlerinde RiskÖdeme sistemlerinde oluşabilecek riskler BIS ''Bank of International Settlements'' tarafından 2001 yılında şu şekilde sınıflandırılmıştır:

a) Kredi Riski :Katılımcılardan herhangi birinin sistem içerisindeki finansal yükümlülüklerini hiçbir zaman karşılayamadığı zaman oluşacak risktir.

b) Piyasa Riski: Bankaların sahip oldukları bir ya da birden fazla ticari varlığın işleme tabi tutulabileceği süre dahilinde, piyasada meydana gelen beklenmeyen olumsuz dalgalanmaların sebep olduğu kayıp veya beklenenden düşük seviyedeki kar halini ifade eder.

c) Likidite Riski: Katılımcılardan herhangi birinin sistem içerisindeki finansal yükümlülüklerini beklendiği zamanda karşılayamaması fakat ileriki bir zamanda karşılayabilecek olması durumda oluşan risktir.

d) Yasal Risk : Zayıf hukuki çerçeve ya da hukuki belirsizlik durumları kredi ya da likidite riskine yol açabilir.

e) Operasyonel Risk: Operasyonel risk ödeme sistemlerinin bilgi sistemlerinde, işletim ve yönetiminde yapılan hatalarla oluşabilecek risktir.

f) Sistematik Risk: Sistemdeki katılımcılardan birinin yükümlülüklerini yerine getirememesi ya da sistemin kendisinde oluşabilecek bir sorun nedeniyle diğer katılımcıların da yükümlülüklerini yerine getirememesi durumudur.

g) İtibar Riski: İtibar riski, bir kurumun faaliyetlerindeki başarısızlıklar ya da mevcut yasal düzenlemelere uygun davranılmaması sonucunda o kuruma duyulan güvenin azalması veya kurumun itibarının zedelenmesi ile ortaya çıkabilecek kaybı ifade eder.

h) Stratejik Risk: Bir firmanın finansal yapısının devalüasyon, faizler, pariteler, gibi piyasa değişkenlerine olan hassasiyeti ve süreçleridir.

Bilgi Teknolojilerinde RiskleriBilgiyi toplama, işleme ve dağıtma görevini üstlenen teknolojiler, Bilgi Teknolojileri olarak adlandırılmaktadır. Güvenilir bilgi teknolojileri, çok fazla birbirine bağlanmış sistem ve fonksiyonel bilgi teknolojileri işleyişine ihtiyaç duyulması nedeniyle önemlidir.

Ödeme sistemleri için bilgi teknolojileri risklerine göz attığımızda risklerin iki farklı niyetle oluşabileceğini görmekteyiz:

• Bilinçli olarak, planlanarak yaratılmış aksaklıklara yol açmaya, para çalmaya, sistemi darboğaza sokmaya, firmanın itibarını zedelemeye yönelik yasadışı eylemler

• Bilinçsiz olarak iş süreçlerinde aksaklıklar sonucunda oluşmuş sorunlar

Bilgi Teknolojilerinde Güvenlik Açığı Sonuçları

• Veri ve işlemlerde gizlilik, bütünlük ve erişilebilirlik konularının zedelenmesi

• Ödeme sistemlerinin amaçlarının gerçekleşememesi• Yanlış ve eksik veri üretilmesi• Merkez ve katılımcı sistemlerde mesaj akışlarının yavaşlaması• Transferlerin geri dönüşlerinin olmaması• Likidite riskinin oluşması• Sistemik riskin oluşması• Yetkisiz giriş• Bilgi ve ağ kaynaklarına zarar verilmesi• Bilgi ve kaynak kodların çalınması

Çözüm Yolları

1. Gizlilik Politikaları 2. Standartlar3. Kimlik Doğrulama4. Ödeme Sistemleri Güvenliği

Nerelerde Güvenlik?

AĞ GÜVENLİĞİ VERİ İLETİŞİM GÜVENLİĞİ SİSTEM

KAMUSAL VE HUKUKSAL ALANDA

GÜVENLİK-POLİTİKALAR-STANDARTLAR

FARKINDALIK

Çözüm Yolları1. Bilgi Güvenliğia) Kullanılabilirlik: Bilgi sadece yetkili birimlerce erişilebilir ve

kullanılabilir olmalıdır.

b) Veri Bütünlüğü: Süreçler arasındaki veri geçişleri, veri değişikliğine yol açmayacak biçimde sağlanmalıdır. Ödeme mesajını gönderen, alıcı, tutar ve valör gibi kritik veri alanlarının değiştirilmesine izin verilmemelidir.

c) Yetki Verilmesi: Önemli ve uygun izin sadece tasarlanmış amaçlar için verilmelidir.

d) Yetkilerin Doğrulanması: Sistem kaynaklarına erişme yetkileri olan ögelerini (kullanıcıları, bilgisayarları, süreçleri ve diğer bileşenleri) tanımlayacak ve kontrol edecek nitelikte olmalıdır

e) Veri Gizliliği: Herhangi bir bilgi yetkisiz bireylere, varlık ve sürece açık olmamalıdır.

f)  Denetlenebilirlik: Güvenlik açısından tehdit oluşturabilecek tüm olaylar kayıt altına alınmalıdır.

Çözüm Yolları2. İnternet Bankacılığıa) Oltalama(phishing) saldırılarına karşı kullanıcıların uyarılmasıb) Karapara –yasaklı isimler listeleri kontrolüc) Yetki kontrolüd) Veri giriş alanlarının uygunluğue) Tarayıcı penceresinin alt kısmında "kapalı kilit" simgesif) Farkındalık

Çözüm Yolları3. Ağ Güvenliği

a) Sayısal sunucu ve istemci sertifikaları ile veri güvenliği sağlanması

b) Güvenli veri iletişimi için Public Key Infrastructure (PKI) ile kullanıcılarına ağlar üzerinde güvenilir otoritelerce sağlanan özel şifreli anahtar çifti sağlanması

c) Yetki kontrolü ile veri aktarımının sağlanması

d) Transfer edilen verinin şifrelenerek yetkisiz kişilerce görünmesinin engellenmesi ve transferi sırasında bozulmadığının garanti edilmesini sağlayan bütünlük algoritmaları kullanılması

Veri akışında kullanılan şifreleme yönteminin gücü kullanılan anahtar uzunluğuna bağlıdır. Anahtar uzunluğu şifre çözme olasılığını azaltır.

SSL protokollü 128 bit’lik kripto algoritmalı bir şifrenin çözülebilmesi 1 milyon dolarlık yatırım ve 67 yıl

SET protokollü 1024 bit’lik kripto algoritmalı bir şifrenin çözülebilmesi bir bilgisayarın saniyede 10 milyon komut işleme kapasitesi ile toplamda 100 bilgisayarın yaklaşık 2.800.000.000.000 yıl çalışma gerektirir.

Çözüm Yolları

Çözüm Yolları4. Yazılım ve Donanım

a) Güçlü teknik ekip

b) Güncel yazılım

c) Web servis güvenliği ve kontrolü

d) Güvenlik duvarı

e) İşletim sistemi, uygulama, veritabanı sistemleri güncelliği ve güvenliği

f) Elektronik ödeme, veri şifreleme, elektronik imza, kriptografik rutinler, kimlik doğrulama unsurlarının uygulama da güvenlik çerçevesinde yer alması

g) Parola politikası

h) Güncel antivirüs yazılımı

i) Kurumsal bir Yönetim Bilgi Sistemi

Çözüm Yolları5. Standartlar

BT K Denetimi• ISO/IEC 27031:2011

Information Technology Security

• BS 10012:2009 Data Protection

• ISO/IEC 27001:2005 Information Security

• ISO 22301:2012 Bussiness Contunuity Management

• ETSI TS 102 640 Electronic Signatures and Infrastructures

• ISO 20000-1:2011 IT Service Management

Güvenlik• ISO/ IEC TR 13335

Bilişim teknolojilerinin güvenlik yönetim kılavuzu

• ISO TR 13569 Bankacılık ve ilişkili finansal hizmetler . Bilgi güvenliği kılavuzu

• BSI 7799: 1999 Bilgi güvenliği yönetimi

• ISO/ IEC 15408 Bilişim teknolojileri güvenliği değerlendirme kriterleri

• ISO/IEC PDTR 15446 Koruma profilleri ve güvenlik hedefleri üretim kılavuzu

Kalite• ISO 9000 Kalite

yönetimi standartı• ISO 9364 Bankacılık

telekominikasyon mesajları . Banka Tanımlama Kodu(BIC)

• ISO 13616 Uluslararası Banka Hesap Numarası (IBAN)

SALDIRILARI ÖNLEME VE BİLGİYİ KORUMA YÖNTEMLERİAçık

Anahtar ve Gizli Anahtar

Şifreleme

Onay Kurumu

Güvenlik Duvarları

(Firewalls)-Fiziksel Güvenlik

Virüs Koruma

Programları

SET, SSL, TLS

Sayısal Şifreleme,

Sayısal İmza,

Parmak İzi

Elektronik Kimlik

Belgesi-https

Güvenli HTTP

Protokolü

IDS-IPS

Sistem Yöneticisin

e Güven

PCI-DSS-Kart

Bilgisi Güvenliği

ISO 27001, COBIT, ITIL, SOX

3D Ödeme Sistemi-Güvenli Ödeme Sistemi

RAID-5

Hukuki Gereklilikle

r

SALDIRGAN ÇEŞİTLERİ• Korsanlar-Hacker, Cracker, Cyberpunk, Phreaker• Eğlenmek isteyenler-Joy Riders• Tahrip ediciler-Vandallar• Casuslar-Spies• Skor için zarar verenler-Score Keepers• Kullanıcılar-Users• Sosyal Mühendisler-Social Engineers

Bilgi Teknolojileri TehditleriZararlı Yazılımlar (Virüs, Solucan, Truva Atı, Casus

Yazılım, Tuş Kaydedici)

IP Adresi Gizleme

(Spoofing)

Korsanlık (Sniffing)

Sisteme girmek –DOS-DDOS (Break Ins)

İşletme içindeki tehditler

Kasıtlı olmayan veri kayıpları,

güvenlik açıkları

Güvenlik unsurlarına yapılan saldırılar, kullanılan yaklaşımlar ve bu saldırılara önerilen çözümler(Sağıroğlu-Canbek)

Finansal Risk Yönetimi

1. Tespit: Şirket hangi finansal risklere maruz kalıyor?

2. Planlama: Hangi riskler üstlenilmeli, hangileri aktif olarak azaltılmalı? Şirketin risk iştahı ve risk alma kapasitesi ne kadar? Hedef risk bütçesinin oluşturulması

3. Tedavi:Riskli pozisyonların kapatılması Risk çeşitlendirilmesi Riskin hedge edilmesi

E-FİNANS SALDIRILARI ÖRNEK OLAYLARHırsızlar çalınan verileri kendi kredi kartlarını

yaratmada kullanmıştır

Olay 1• İlgili kurum: Dünya çapında elektronik işlem hizmetleri sunan

büyük bir finansal hizmetler firması.• Saldırganlar bir yılda 70 milyon kredi kartına ait manyetik şerit

bilgilerini çalmıştır. • Teknik: Ödeme bilgisi altyapısına yetkisiz erişim• Sonuç: Şirket 30 milyon dolar zarara uğramıştır. • Etki: Piyasada sahte kredi kartları türemiş, itibar ve müşteri

güveni kaybı oluşmuştur.

E-FİNANS SALDIRILARI ÖRNEK OLAYLARHacktivistler misilleme yapmıştır

Olay 2• İlgili kurum: Ana faaliyet alanı kredi kartı işlemlerini işlemek olan

büyük ve global bir finansal hizmet firması.• Saldırganlar siyasi sebeplerle protesto amaçlı binlerce atakta

bulunarak sitenin ağını hizmet dışı bırakmışlardır• Teknik: Hackerlara gönüllü desteği ile zombi PC ağı oluşturan özel

bir saldırı yazılımı oluşturulmuş, DDoS• Sonuç: 3 milyon dolardan fazla maliyet • Etki: Firma hizmet kesintisine uğramıştır.

E-FİNANS SALDIRILARI ÖRNEK OLAYLARATM’leri etkileyerek doğrudan manipülasyon yoluyla bankamatikleri boşaltıp

milyonlarca dolar çalmasını sağlayan kötü amaçlı bir yazılım parçası keşfedildiOlay 3• Hedef: Dünya genelinde çok sayıda ATM• Herhangi bir kredi kartı kullanmadan ATM’nin klavyesini kullanarak bir parolayı

tuşlayan saldırganlar, bir operatörden diğer talimatları almak için bir arama gerçekleştiriyor ve bir dizi başka sayıyı tuşladıktan sonra ATM bir sürü nakit para vermeye başlıyor

• Teknik: ATM lere fiziksel olarak erişip kötü amaçlı yazılım yüklemek, Tyupkin Zararlı Yazılımı

• Sonuç: Dolandırıcılığın tespit edilmesini zorlaştırmak amacıyla Tyupkin kod adlı kötü amaçlı yazılım, komutları yalnızca Pazar ve Pazartesi geceleri belli saatlerde kabul ediyor. Yalnızca o saatlerde saldırganlar etkilenen makineden para çalabiliyor. Parola doğru girildiğinde ATM, her bir para kutusunda toplam ne kadar nakit olduğunu gösteriyor ve saldırgan bu bilgiye göre hangi kaseti soyacağına karar veriyor. Bundan sonra ATM, seçilen kutudan tek seferde 40 adet banknot veriyor.

Bankaların riski azaltmak için yapabilecekleri

• ATM’lerinin fiziksel güvenliğini gözden geçirmek ve kaliteli güvenlik çözümlerine yatırım yapmak.

• ATM makinelerinin üst kapağında bulunan tüm kilitleri, ana anahtarları ve üretici tarafından sağlanan varsayılan ayarları değiştirmek.

• Bir alarm sistemi kurmak ve iyi bir şekilde çalışır olduğundan emin olmak. Tyupkin yazılımını kullanan siber suçlular, yalnızca güvenlik alarmı olmayan ATM’leri etkileyebilmiştir.

• Varsayılan BIOS parolasını değiştirmek.• Makinelerin güncel bir antivirüs programı tarafından korunduğundan

emin olmak

Türk Kullanıcılar Online Alışverişte Kendilerini Güvende Hissetmiyorlar-2014

İnternet kullanıcılarının yüzde 49’u Türkiye’de ise yüzde 61’i online alışveriş yaparken ya da para transferi gerçekleştirirken kendilerini güvende hissetmediklerini söyledi.

FİNANASAL VERİLERİN KORUNMASI İÇİN TEDBİR YOK KORKUSU

Türkiye %60 Dünya %68

MOBİL UYGULAMA FİNANSAL GÜVENLİK KORKUSUTürkiye %54 Avrupa %34

SİBER DOLANDIRICILIK-ÇEVRİMİÇİ ÖDEME KORKUSUTürkiye %56 Avrupa %62

Ankara/Türkiye ve Salzburg/Avusturya örnek alanında kadın tüketicilerin E-ticaret satın alma davranışları arasındaki benzerlikleri ve farklılıkları-2015

Bitcoin’lerinizi Nasıl Güvenle Saklarsınız?

• Online bankalarda veya borsa servislerinde tutmayın• Cüzdan servisler ile diskinizde yüksek kriptolama altında saklamayı

tercih edin• Bu servisleri kullanırken güçlü ve karmaşık şifreler kullanın• Ultra güvenlik için bu cüzdanları bilgisayarınız dışında bir sabit disk

üzerinde ve Internete bağlı olmayacak şekilde saklayın. • Bu sabit diski sadece online bir alışveriş yapmanız gerektiğinde

Internete bağlayın ve işiniz bittiğinde tekrar bağlantıyı kesin.

Borsalarda siber saldırı tehditiDünya Borsalar Federasyonu (WEF) ve Uluslararası Menkul Kıymetler Komisyonları Örgütü'nün 2013 yılında yayınladığı rapora göre 2012 yılında 46'dan fazla borsa siber saldırıya uğradı. Amerikan borsaları ise yüzde 67 siber saldırı tehdidiyle karşı karşıya.

Borsalarda siber saldırı tehditiSon 25 yıldır küresel piyasalarda kullanılan bilgisayarların güvenlik sistemleri ciddi tehdit oluşturuyor.

Borsalarda siber saldırı tehditi

KULLANICI BİLİNÇLİ Mİ?Kaspersky Lab tarafından 2015’te 18.000'den fazla kullanıcı için gerçekleştirilen bir testte;

• Katılımcıların % 50’si tamamen güvenli siteyi tanıdı.• %51'i bir sitenin orijinalliğini teyit ettiklerini söyledi. • %21‘i sanal klavye kullandı.• %20'si güvenlik çözümlerinin doğru çalışıp çalışmadığını kontrol etti.• %11'i bir ödemeyi korumak için gizli kullanıcı modunu kullandı, %4'ü

kimlik gizledi , %7'si "virüslerin kafasını karıştırmak için" verileri tekrar tekrar girip sildi.

• %20‘si bir restoranda ödeme yaparken kredi kartlarının görüş alanlarının dışına çıkmasına izin verdi.

TÜRKİYE’NİN 2014 SİBER GÜVENLİK ATMOSFERİ

Trend Micro, 2014 dünyada ve Türkiye’de gerçekleşen tüm siber saldırıları değerlendirdiği yıllık raporunu yayınladı.

• 2014 yılında dünyada 65 milyara yakın tehdit engellendi

• Türkiye’deki online bankacılık saldırısı mağdurları 2014’ün ilk çeyreğinde 4194, dördüncü çeyreğinde ise 7153’e ulaştı.

• Türkiye yıl boyunca tüm dünyada en çok online bankacılık saldırısına uğrayan 6. ülke oldu.

TÜRKİYE’NİN 2014 SİBER GÜVENLİK ATMOSFERİ

Türkiye dünyada en çok fidye yazılım saldırısına uğrayan 5. ülke• Saldırıların yüzde 3.35’i Türkiye’yi hedef aldı.

DÜNYA’NIN 2014 SİBER GÜVENLİK ATMOSFERİ

ABD, POS cihazına yönelik saldırılarda birinci sırada, Kanada ikinci ve İngiltere de üçüncü sırada yer aldı.

DÜNYA’NIN 2014 SİBER GÜVENLİK ATMOSFERİ

Fidye yazılım saldırıları 2014 yılında tüm dünyada %27 arttı• ABD saldırıların yüzde 41’ine maruz kalarak birinci

sırada yer aldı.

Android’deki bankacılık uygulamalarına yönelik tehditler 4 kat arttı

2015’in İlk Çeyreğinde Siber Saldırılar 2 Kat ArttıKaspersky Güvenlik Ağı verilerine göre rakamlarla  2015’in ilk çeyreği

Web saldırılarının %40’ı, Rusya’da bulunan zararlı web kaynakları kullanılarak gerçekleştirildi. Geçtiğimiz yıl Rusya birinciliği ABD ile paylaşıyordu.

•%53’ü kötü amaçlı yazılımlar ve doğrudan hacker saldırıları sebebiyle

•%26’sı kaybedilen şirket cihazlarından,

•%17’si sistem hatalarından, •%4’ü ise şirket içinden sızdırmalardan oluşuyor.

Günümüzde güvenlik ihlallerinin

Çalınan Kullanıcı Verileri Dünyayı Dolaşıyor

Bir şirketin güvenlik ihlali gerçekleşip verilerinin sızdırıldığını anlaması ortalama 205 gün sürüyor.

Türkiye’de Şirketlerin Finansal İşlemlerde Koruma Amaçlı Yatırımları

• Kaspersky Lab ve B2B International tarafından 2014 yılında gerçekleştirilen bir ankete göre dünya genelinde kendi altyapılarında kurulu bir yazılım kullanan şirketlerin % 53’ü finansal işlemleri korumak için özel olarak tasarlanmış yazılımlara yatırım yapmaya hazır görülüyor. Türkiye’de ise bu oran yüzde 49.

• Ankette siber saldırılarda verilerini kaybeden şirketlerin dünya çapında %33’ü, Türkiye’de ise yüzde 36’sı ödeme verilerinin çalındığını itiraf etmiş. Türkiye’deki katılımcıların %42’si bunun kaybedilebilecek muhtemelen en kötü veri türü olduğunu düşünmekte.

Bankalardaki Mevcut Durumlar

• Garanti Bankası ve İş Bankası “Güvenlik Kalkanı” ya da “Güvenlik Çemberi” adlarıyla tuş kaydedici ve ekran kaydedici yazılımların müşteri bilgisayarında çalışmasını önleyen programları kullanıcılarına zorunlu olarak kullandırmaktadır.

• Yapı Kredi’nin uyguladığı, müşterilerin bankaya bağlandığı IP numaralarının kısıtlanması, kullanım zamanlarının belirlenmesi gibi önlemler alınmaktadır.

• Garanti ve İş Bankası gibi bankaların sağladığı tek kullanımlık şifreler üreten “şifrematik” ve “i-anahtar” gibi cihazlarla internet şubelerinin güvenliği arttırılmaya çalışılmaktadır.

Bankalardaki Mevcut Durumlar

• Pek çok bankanın uyguladığı, para transferlerine sınırlamaların getirilmesi,

• Müşterilerin bazı hesaplarının internette görünmemesi,• "Sanal Klavye" ve "Resim doğrulama" uygulamaları

Risk yönetiminin temelinde operasyonel risklerin kontrolü yatar.

TEŞEKKÜR EDERİM