Elektronik finansta riskler ve çözüm yolları
-
Upload
zuehre-aydin -
Category
Engineering
-
view
143 -
download
2
Transcript of Elektronik finansta riskler ve çözüm yolları
Elektronik Finansta Riskler ve Çözüm Yolları
ZÜHRE AYDIN, GAZİÜNİVERSİTESİ YBS, DOKTORA, 2016
Finans Sektöründe Yeni Teknoloji Kullanımını Gerektiren Koşullar
• Rekabet
• Hizmet maliyetinin düşürülmesi
• Değişime uyum
• Operasyonel risk
• Yükün azaltılması
E-FİNANS ÖDEME SİSTEMLERİ
Kapıda Nakit, Debit Kart, Kredi Kartı
Havale/EFT
Online Debit, Kredi Kartı, Sanal Kredi Kartı
Online Kredi
Kartı -3D Secure
Online Mail
Order
PayPal
Mobil Ödeme PayU
Türkiye’de Kullanıcılara Sunulan İnternet Bankacılığı İşlemleri
Bilgi teknolojisi araçlarının kullanımı ve yaygınlaşması bankacılık ve finans hizmetlerinin büyük oranının internet ve mobil teknolojiler vasıtasıyla yerine getirilme imkânını sunmaktadır. Bu imkân ise operasyonel yükü hafifletirken buna bağlı olarak çalışan işlemlerinden doğabilecek hata risklerini azaltmaktadır.
Elektronik bankacılığın iki temel özelliği; faaliyetlerinin yürütüldüğü teslim kanallarının yapısı ve müşterilerin bu kanallara erişme yollarıdır.
Elektronik ticaret, e-finans ve bankacılık uygulamalarının gelişim sürecini tehdit eden ve bu yeniliklerin kullanımından uzak duran kişilerin temel kaygıları arasında
• konu hakkında bilgi sahibi olmama, • değişime direnç ve • işlem güvenliği konuları yer almaktadır.
Ödeme Sistemlerinde RiskÖdeme sistemlerinde oluşabilecek riskler BIS ''Bank of International Settlements'' tarafından 2001 yılında şu şekilde sınıflandırılmıştır:
a) Kredi Riski :Katılımcılardan herhangi birinin sistem içerisindeki finansal yükümlülüklerini hiçbir zaman karşılayamadığı zaman oluşacak risktir.
b) Piyasa Riski: Bankaların sahip oldukları bir ya da birden fazla ticari varlığın işleme tabi tutulabileceği süre dahilinde, piyasada meydana gelen beklenmeyen olumsuz dalgalanmaların sebep olduğu kayıp veya beklenenden düşük seviyedeki kar halini ifade eder.
c) Likidite Riski: Katılımcılardan herhangi birinin sistem içerisindeki finansal yükümlülüklerini beklendiği zamanda karşılayamaması fakat ileriki bir zamanda karşılayabilecek olması durumda oluşan risktir.
d) Yasal Risk : Zayıf hukuki çerçeve ya da hukuki belirsizlik durumları kredi ya da likidite riskine yol açabilir.
e) Operasyonel Risk: Operasyonel risk ödeme sistemlerinin bilgi sistemlerinde, işletim ve yönetiminde yapılan hatalarla oluşabilecek risktir.
f) Sistematik Risk: Sistemdeki katılımcılardan birinin yükümlülüklerini yerine getirememesi ya da sistemin kendisinde oluşabilecek bir sorun nedeniyle diğer katılımcıların da yükümlülüklerini yerine getirememesi durumudur.
g) İtibar Riski: İtibar riski, bir kurumun faaliyetlerindeki başarısızlıklar ya da mevcut yasal düzenlemelere uygun davranılmaması sonucunda o kuruma duyulan güvenin azalması veya kurumun itibarının zedelenmesi ile ortaya çıkabilecek kaybı ifade eder.
h) Stratejik Risk: Bir firmanın finansal yapısının devalüasyon, faizler, pariteler, gibi piyasa değişkenlerine olan hassasiyeti ve süreçleridir.
Bilgi Teknolojilerinde RiskleriBilgiyi toplama, işleme ve dağıtma görevini üstlenen teknolojiler, Bilgi Teknolojileri olarak adlandırılmaktadır. Güvenilir bilgi teknolojileri, çok fazla birbirine bağlanmış sistem ve fonksiyonel bilgi teknolojileri işleyişine ihtiyaç duyulması nedeniyle önemlidir.
Ödeme sistemleri için bilgi teknolojileri risklerine göz attığımızda risklerin iki farklı niyetle oluşabileceğini görmekteyiz:
• Bilinçli olarak, planlanarak yaratılmış aksaklıklara yol açmaya, para çalmaya, sistemi darboğaza sokmaya, firmanın itibarını zedelemeye yönelik yasadışı eylemler
• Bilinçsiz olarak iş süreçlerinde aksaklıklar sonucunda oluşmuş sorunlar
Bilgi Teknolojilerinde Güvenlik Açığı Sonuçları
• Veri ve işlemlerde gizlilik, bütünlük ve erişilebilirlik konularının zedelenmesi
• Ödeme sistemlerinin amaçlarının gerçekleşememesi• Yanlış ve eksik veri üretilmesi• Merkez ve katılımcı sistemlerde mesaj akışlarının yavaşlaması• Transferlerin geri dönüşlerinin olmaması• Likidite riskinin oluşması• Sistemik riskin oluşması• Yetkisiz giriş• Bilgi ve ağ kaynaklarına zarar verilmesi• Bilgi ve kaynak kodların çalınması
Çözüm Yolları
1. Gizlilik Politikaları 2. Standartlar3. Kimlik Doğrulama4. Ödeme Sistemleri Güvenliği
Nerelerde Güvenlik?
AĞ GÜVENLİĞİ VERİ İLETİŞİM GÜVENLİĞİ SİSTEM
KAMUSAL VE HUKUKSAL ALANDA
GÜVENLİK-POLİTİKALAR-STANDARTLAR
FARKINDALIK
Çözüm Yolları1. Bilgi Güvenliğia) Kullanılabilirlik: Bilgi sadece yetkili birimlerce erişilebilir ve
kullanılabilir olmalıdır.
b) Veri Bütünlüğü: Süreçler arasındaki veri geçişleri, veri değişikliğine yol açmayacak biçimde sağlanmalıdır. Ödeme mesajını gönderen, alıcı, tutar ve valör gibi kritik veri alanlarının değiştirilmesine izin verilmemelidir.
c) Yetki Verilmesi: Önemli ve uygun izin sadece tasarlanmış amaçlar için verilmelidir.
d) Yetkilerin Doğrulanması: Sistem kaynaklarına erişme yetkileri olan ögelerini (kullanıcıları, bilgisayarları, süreçleri ve diğer bileşenleri) tanımlayacak ve kontrol edecek nitelikte olmalıdır
e) Veri Gizliliği: Herhangi bir bilgi yetkisiz bireylere, varlık ve sürece açık olmamalıdır.
f) Denetlenebilirlik: Güvenlik açısından tehdit oluşturabilecek tüm olaylar kayıt altına alınmalıdır.
Çözüm Yolları2. İnternet Bankacılığıa) Oltalama(phishing) saldırılarına karşı kullanıcıların uyarılmasıb) Karapara –yasaklı isimler listeleri kontrolüc) Yetki kontrolüd) Veri giriş alanlarının uygunluğue) Tarayıcı penceresinin alt kısmında "kapalı kilit" simgesif) Farkındalık
Çözüm Yolları3. Ağ Güvenliği
a) Sayısal sunucu ve istemci sertifikaları ile veri güvenliği sağlanması
b) Güvenli veri iletişimi için Public Key Infrastructure (PKI) ile kullanıcılarına ağlar üzerinde güvenilir otoritelerce sağlanan özel şifreli anahtar çifti sağlanması
c) Yetki kontrolü ile veri aktarımının sağlanması
d) Transfer edilen verinin şifrelenerek yetkisiz kişilerce görünmesinin engellenmesi ve transferi sırasında bozulmadığının garanti edilmesini sağlayan bütünlük algoritmaları kullanılması
Veri akışında kullanılan şifreleme yönteminin gücü kullanılan anahtar uzunluğuna bağlıdır. Anahtar uzunluğu şifre çözme olasılığını azaltır.
SSL protokollü 128 bit’lik kripto algoritmalı bir şifrenin çözülebilmesi 1 milyon dolarlık yatırım ve 67 yıl
SET protokollü 1024 bit’lik kripto algoritmalı bir şifrenin çözülebilmesi bir bilgisayarın saniyede 10 milyon komut işleme kapasitesi ile toplamda 100 bilgisayarın yaklaşık 2.800.000.000.000 yıl çalışma gerektirir.
Çözüm Yolları
Çözüm Yolları4. Yazılım ve Donanım
a) Güçlü teknik ekip
b) Güncel yazılım
c) Web servis güvenliği ve kontrolü
d) Güvenlik duvarı
e) İşletim sistemi, uygulama, veritabanı sistemleri güncelliği ve güvenliği
f) Elektronik ödeme, veri şifreleme, elektronik imza, kriptografik rutinler, kimlik doğrulama unsurlarının uygulama da güvenlik çerçevesinde yer alması
g) Parola politikası
h) Güncel antivirüs yazılımı
i) Kurumsal bir Yönetim Bilgi Sistemi
Çözüm Yolları5. Standartlar
BT K Denetimi• ISO/IEC 27031:2011
Information Technology Security
• BS 10012:2009 Data Protection
• ISO/IEC 27001:2005 Information Security
• ISO 22301:2012 Bussiness Contunuity Management
• ETSI TS 102 640 Electronic Signatures and Infrastructures
• ISO 20000-1:2011 IT Service Management
Güvenlik• ISO/ IEC TR 13335
Bilişim teknolojilerinin güvenlik yönetim kılavuzu
• ISO TR 13569 Bankacılık ve ilişkili finansal hizmetler . Bilgi güvenliği kılavuzu
• BSI 7799: 1999 Bilgi güvenliği yönetimi
• ISO/ IEC 15408 Bilişim teknolojileri güvenliği değerlendirme kriterleri
• ISO/IEC PDTR 15446 Koruma profilleri ve güvenlik hedefleri üretim kılavuzu
Kalite• ISO 9000 Kalite
yönetimi standartı• ISO 9364 Bankacılık
telekominikasyon mesajları . Banka Tanımlama Kodu(BIC)
• ISO 13616 Uluslararası Banka Hesap Numarası (IBAN)
SALDIRILARI ÖNLEME VE BİLGİYİ KORUMA YÖNTEMLERİAçık
Anahtar ve Gizli Anahtar
Şifreleme
Onay Kurumu
Güvenlik Duvarları
(Firewalls)-Fiziksel Güvenlik
Virüs Koruma
Programları
SET, SSL, TLS
Sayısal Şifreleme,
Sayısal İmza,
Parmak İzi
Elektronik Kimlik
Belgesi-https
Güvenli HTTP
Protokolü
IDS-IPS
Sistem Yöneticisin
e Güven
PCI-DSS-Kart
Bilgisi Güvenliği
ISO 27001, COBIT, ITIL, SOX
3D Ödeme Sistemi-Güvenli Ödeme Sistemi
RAID-5
Hukuki Gereklilikle
r
SALDIRGAN ÇEŞİTLERİ• Korsanlar-Hacker, Cracker, Cyberpunk, Phreaker• Eğlenmek isteyenler-Joy Riders• Tahrip ediciler-Vandallar• Casuslar-Spies• Skor için zarar verenler-Score Keepers• Kullanıcılar-Users• Sosyal Mühendisler-Social Engineers
Bilgi Teknolojileri TehditleriZararlı Yazılımlar (Virüs, Solucan, Truva Atı, Casus
Yazılım, Tuş Kaydedici)
IP Adresi Gizleme
(Spoofing)
Korsanlık (Sniffing)
Sisteme girmek –DOS-DDOS (Break Ins)
İşletme içindeki tehditler
Kasıtlı olmayan veri kayıpları,
güvenlik açıkları
Güvenlik unsurlarına yapılan saldırılar, kullanılan yaklaşımlar ve bu saldırılara önerilen çözümler(Sağıroğlu-Canbek)
Finansal Risk Yönetimi
1. Tespit: Şirket hangi finansal risklere maruz kalıyor?
2. Planlama: Hangi riskler üstlenilmeli, hangileri aktif olarak azaltılmalı? Şirketin risk iştahı ve risk alma kapasitesi ne kadar? Hedef risk bütçesinin oluşturulması
3. Tedavi:Riskli pozisyonların kapatılması Risk çeşitlendirilmesi Riskin hedge edilmesi
E-FİNANS SALDIRILARI ÖRNEK OLAYLARHırsızlar çalınan verileri kendi kredi kartlarını
yaratmada kullanmıştır
Olay 1• İlgili kurum: Dünya çapında elektronik işlem hizmetleri sunan
büyük bir finansal hizmetler firması.• Saldırganlar bir yılda 70 milyon kredi kartına ait manyetik şerit
bilgilerini çalmıştır. • Teknik: Ödeme bilgisi altyapısına yetkisiz erişim• Sonuç: Şirket 30 milyon dolar zarara uğramıştır. • Etki: Piyasada sahte kredi kartları türemiş, itibar ve müşteri
güveni kaybı oluşmuştur.
E-FİNANS SALDIRILARI ÖRNEK OLAYLARHacktivistler misilleme yapmıştır
Olay 2• İlgili kurum: Ana faaliyet alanı kredi kartı işlemlerini işlemek olan
büyük ve global bir finansal hizmet firması.• Saldırganlar siyasi sebeplerle protesto amaçlı binlerce atakta
bulunarak sitenin ağını hizmet dışı bırakmışlardır• Teknik: Hackerlara gönüllü desteği ile zombi PC ağı oluşturan özel
bir saldırı yazılımı oluşturulmuş, DDoS• Sonuç: 3 milyon dolardan fazla maliyet • Etki: Firma hizmet kesintisine uğramıştır.
E-FİNANS SALDIRILARI ÖRNEK OLAYLARATM’leri etkileyerek doğrudan manipülasyon yoluyla bankamatikleri boşaltıp
milyonlarca dolar çalmasını sağlayan kötü amaçlı bir yazılım parçası keşfedildiOlay 3• Hedef: Dünya genelinde çok sayıda ATM• Herhangi bir kredi kartı kullanmadan ATM’nin klavyesini kullanarak bir parolayı
tuşlayan saldırganlar, bir operatörden diğer talimatları almak için bir arama gerçekleştiriyor ve bir dizi başka sayıyı tuşladıktan sonra ATM bir sürü nakit para vermeye başlıyor
• Teknik: ATM lere fiziksel olarak erişip kötü amaçlı yazılım yüklemek, Tyupkin Zararlı Yazılımı
• Sonuç: Dolandırıcılığın tespit edilmesini zorlaştırmak amacıyla Tyupkin kod adlı kötü amaçlı yazılım, komutları yalnızca Pazar ve Pazartesi geceleri belli saatlerde kabul ediyor. Yalnızca o saatlerde saldırganlar etkilenen makineden para çalabiliyor. Parola doğru girildiğinde ATM, her bir para kutusunda toplam ne kadar nakit olduğunu gösteriyor ve saldırgan bu bilgiye göre hangi kaseti soyacağına karar veriyor. Bundan sonra ATM, seçilen kutudan tek seferde 40 adet banknot veriyor.
Bankaların riski azaltmak için yapabilecekleri
• ATM’lerinin fiziksel güvenliğini gözden geçirmek ve kaliteli güvenlik çözümlerine yatırım yapmak.
• ATM makinelerinin üst kapağında bulunan tüm kilitleri, ana anahtarları ve üretici tarafından sağlanan varsayılan ayarları değiştirmek.
• Bir alarm sistemi kurmak ve iyi bir şekilde çalışır olduğundan emin olmak. Tyupkin yazılımını kullanan siber suçlular, yalnızca güvenlik alarmı olmayan ATM’leri etkileyebilmiştir.
• Varsayılan BIOS parolasını değiştirmek.• Makinelerin güncel bir antivirüs programı tarafından korunduğundan
emin olmak
Türk Kullanıcılar Online Alışverişte Kendilerini Güvende Hissetmiyorlar-2014
İnternet kullanıcılarının yüzde 49’u Türkiye’de ise yüzde 61’i online alışveriş yaparken ya da para transferi gerçekleştirirken kendilerini güvende hissetmediklerini söyledi.
FİNANASAL VERİLERİN KORUNMASI İÇİN TEDBİR YOK KORKUSU
Türkiye %60 Dünya %68
MOBİL UYGULAMA FİNANSAL GÜVENLİK KORKUSUTürkiye %54 Avrupa %34
SİBER DOLANDIRICILIK-ÇEVRİMİÇİ ÖDEME KORKUSUTürkiye %56 Avrupa %62
Ankara/Türkiye ve Salzburg/Avusturya örnek alanında kadın tüketicilerin E-ticaret satın alma davranışları arasındaki benzerlikleri ve farklılıkları-2015
Bitcoin’lerinizi Nasıl Güvenle Saklarsınız?
• Online bankalarda veya borsa servislerinde tutmayın• Cüzdan servisler ile diskinizde yüksek kriptolama altında saklamayı
tercih edin• Bu servisleri kullanırken güçlü ve karmaşık şifreler kullanın• Ultra güvenlik için bu cüzdanları bilgisayarınız dışında bir sabit disk
üzerinde ve Internete bağlı olmayacak şekilde saklayın. • Bu sabit diski sadece online bir alışveriş yapmanız gerektiğinde
Internete bağlayın ve işiniz bittiğinde tekrar bağlantıyı kesin.
Borsalarda siber saldırı tehditiDünya Borsalar Federasyonu (WEF) ve Uluslararası Menkul Kıymetler Komisyonları Örgütü'nün 2013 yılında yayınladığı rapora göre 2012 yılında 46'dan fazla borsa siber saldırıya uğradı. Amerikan borsaları ise yüzde 67 siber saldırı tehdidiyle karşı karşıya.
Borsalarda siber saldırı tehditiSon 25 yıldır küresel piyasalarda kullanılan bilgisayarların güvenlik sistemleri ciddi tehdit oluşturuyor.
Borsalarda siber saldırı tehditi
KULLANICI BİLİNÇLİ Mİ?Kaspersky Lab tarafından 2015’te 18.000'den fazla kullanıcı için gerçekleştirilen bir testte;
• Katılımcıların % 50’si tamamen güvenli siteyi tanıdı.• %51'i bir sitenin orijinalliğini teyit ettiklerini söyledi. • %21‘i sanal klavye kullandı.• %20'si güvenlik çözümlerinin doğru çalışıp çalışmadığını kontrol etti.• %11'i bir ödemeyi korumak için gizli kullanıcı modunu kullandı, %4'ü
kimlik gizledi , %7'si "virüslerin kafasını karıştırmak için" verileri tekrar tekrar girip sildi.
• %20‘si bir restoranda ödeme yaparken kredi kartlarının görüş alanlarının dışına çıkmasına izin verdi.
TÜRKİYE’NİN 2014 SİBER GÜVENLİK ATMOSFERİ
Trend Micro, 2014 dünyada ve Türkiye’de gerçekleşen tüm siber saldırıları değerlendirdiği yıllık raporunu yayınladı.
• 2014 yılında dünyada 65 milyara yakın tehdit engellendi
• Türkiye’deki online bankacılık saldırısı mağdurları 2014’ün ilk çeyreğinde 4194, dördüncü çeyreğinde ise 7153’e ulaştı.
• Türkiye yıl boyunca tüm dünyada en çok online bankacılık saldırısına uğrayan 6. ülke oldu.
TÜRKİYE’NİN 2014 SİBER GÜVENLİK ATMOSFERİ
Türkiye dünyada en çok fidye yazılım saldırısına uğrayan 5. ülke• Saldırıların yüzde 3.35’i Türkiye’yi hedef aldı.
DÜNYA’NIN 2014 SİBER GÜVENLİK ATMOSFERİ
ABD, POS cihazına yönelik saldırılarda birinci sırada, Kanada ikinci ve İngiltere de üçüncü sırada yer aldı.
DÜNYA’NIN 2014 SİBER GÜVENLİK ATMOSFERİ
Fidye yazılım saldırıları 2014 yılında tüm dünyada %27 arttı• ABD saldırıların yüzde 41’ine maruz kalarak birinci
sırada yer aldı.
Android’deki bankacılık uygulamalarına yönelik tehditler 4 kat arttı
2015’in İlk Çeyreğinde Siber Saldırılar 2 Kat ArttıKaspersky Güvenlik Ağı verilerine göre rakamlarla 2015’in ilk çeyreği
Web saldırılarının %40’ı, Rusya’da bulunan zararlı web kaynakları kullanılarak gerçekleştirildi. Geçtiğimiz yıl Rusya birinciliği ABD ile paylaşıyordu.
•%53’ü kötü amaçlı yazılımlar ve doğrudan hacker saldırıları sebebiyle
•%26’sı kaybedilen şirket cihazlarından,
•%17’si sistem hatalarından, •%4’ü ise şirket içinden sızdırmalardan oluşuyor.
Günümüzde güvenlik ihlallerinin
Çalınan Kullanıcı Verileri Dünyayı Dolaşıyor
Bir şirketin güvenlik ihlali gerçekleşip verilerinin sızdırıldığını anlaması ortalama 205 gün sürüyor.
Türkiye’de Şirketlerin Finansal İşlemlerde Koruma Amaçlı Yatırımları
• Kaspersky Lab ve B2B International tarafından 2014 yılında gerçekleştirilen bir ankete göre dünya genelinde kendi altyapılarında kurulu bir yazılım kullanan şirketlerin % 53’ü finansal işlemleri korumak için özel olarak tasarlanmış yazılımlara yatırım yapmaya hazır görülüyor. Türkiye’de ise bu oran yüzde 49.
• Ankette siber saldırılarda verilerini kaybeden şirketlerin dünya çapında %33’ü, Türkiye’de ise yüzde 36’sı ödeme verilerinin çalındığını itiraf etmiş. Türkiye’deki katılımcıların %42’si bunun kaybedilebilecek muhtemelen en kötü veri türü olduğunu düşünmekte.
Bankalardaki Mevcut Durumlar
• Garanti Bankası ve İş Bankası “Güvenlik Kalkanı” ya da “Güvenlik Çemberi” adlarıyla tuş kaydedici ve ekran kaydedici yazılımların müşteri bilgisayarında çalışmasını önleyen programları kullanıcılarına zorunlu olarak kullandırmaktadır.
• Yapı Kredi’nin uyguladığı, müşterilerin bankaya bağlandığı IP numaralarının kısıtlanması, kullanım zamanlarının belirlenmesi gibi önlemler alınmaktadır.
• Garanti ve İş Bankası gibi bankaların sağladığı tek kullanımlık şifreler üreten “şifrematik” ve “i-anahtar” gibi cihazlarla internet şubelerinin güvenliği arttırılmaya çalışılmaktadır.
Bankalardaki Mevcut Durumlar
• Pek çok bankanın uyguladığı, para transferlerine sınırlamaların getirilmesi,
• Müşterilerin bazı hesaplarının internette görünmemesi,• "Sanal Klavye" ve "Resim doğrulama" uygulamaları
Risk yönetiminin temelinde operasyonel risklerin kontrolü yatar.
TEŞEKKÜR EDERİM