Finans alanında yaşanan hızlı dijital dönüşümün acı reçetesi bankacılık sektöründe görülüyor. Her gün yeni bir dolandırıcılık yönteminin ortaya çıktığı dijital bankacılık alanında sorumluluğu müşterilere yüklemek ne kadar gerçekçi? SMS gönderince Bankanın sorumluluğu bitiyor mu? İki faktörlü koruma sistemi gerçekten ikili bir koruma sağlıyor mu? Birçok soru geliyor insanın aklına.
Finans alanında hukuksal bir bakış yaptığımızda en güncel yasal düzenlemelerin bu alanda yapıldığını ve yapılmaya devam ettiğini görüyoruz. Bu kadar güncel yasal düzenlemelerin yapıldığı bir alan nasıl oluyor da siber saldırıların en gözde hedefi oluyor. Bu sorunun cevabı tabi ki ; Para. Suç aleminin öncelikli amacı daima ekonomik kazanç sağlamak olmuştur. Bir de bu alanda kolay para kazancı olduğu fark edildiğinde tüm gözler bu alan odaklanmaktadır. Bankalar, ilk dijital dönüşümü yaşayan kurumların başında gelmektedir. İnternet bankacılığı ile başlayan süreç akıllı telefonların yaygınlaşmasıyla mobil bankacılığa dönüşmüş ve neredeyse fiziksel bankacılığın sonunu getirmiştir. Hala fiziksel banka şubelerinin mevcudiyeti devam ediyor olsa da hem sayıları azalmış hem de müşteri potansiyelleri düşmüştür.
Peki bu dijital dönüşümde bankacılık sektörü ne kadar başarılı oldu? Son yüzyılın en büyük teknolojik buluşu olarak sayılan yapay zekâ bankaların güvenliğini sağlayacak ürünlerde çoktan yerini almış durumda. Birçok güvenlik yazılımı yapay zekadan faydalanıyor. Gelişen teknolojiye paralel olarak yasal düzenlemelerde yapılmış durumda. 15 Mart 2020 tarihli ve 31069 sayılı Resmi gazetede yayımlanan “Bankaların Bilgi Sistemleri Ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik” bu konunun en güzel örneğidir. Özelikle yönetmeliğin “Bilgi Güvenliği Yönetimi” bölümünde bankaların müşterilerinin işlemleri ile ilgili hangi güvenlik önlemlerini almaları gerektiği ayrıntılı olarak açıklanmaktadır. Yönetmeliğin aşağıdaki maddeleri bankanın sorumluluk alanının çerçevesini çizen maddelerden birisidir.
İnkâr edilemezlik ve sorumluluk atama
MADDE 35 – (1) Banka, sunmakta olduğu elektronik bankacılık hizmetleri kapsamında gerçekleştirilen işlemlerde hem banka hem de müşteri için inkâr edilemezliği ve sorumluluk atamayı mümkün kılacak teknikler kullanır. Kullanılan tekniğin oluşturduğu iz kayıtlarının güvenilir delillerin elde edilmesini sağlayacak ve sorumluluk atayacak nitelikte olması sağlanır.
İşlemlerin takibi
MADDE 36 – (1) Banka, elektronik bankacılık hizmetleri kapsamında gerçekleşen olağan dışı, sahtekârlık amaçlı veya dolandırıcılık riski bulunan işlemleri tespit etmeye ve bunları önlemeye yönelik işlem takip mekanizmaları kurar. İşlem takip mekanizması kapsamında uygun olan durumlarda asgari olarak aşağıdaki risk unsurları takip edilir:
a) Finansal sonuç doğuran işlemlere yönelik bilinen dolandırıcılık yöntemleri,
b) Gerçekleştirilen her bir bankacılık işleminin tutarı ve bu tutarlara göre müşterinin konum bilgisi de kullanılarak normal dışı bir ödeme, fon transferi ya da davranış deseni gösterip göstermediği,
c) Kaybolmuş, çalınmış ya da yetkisiz kişilerce ele geçirilmiş kimlik doğrulama unsurlarının listesi,
ç) Her bir kimlik doğrulama oturumuna yönelik olarak zararlı yazılımların bulaşmış olabileceğini gösteren belirtiler.
(2) Banka, riskli işlemleri filtreleyerek değerlendirir ve bu filtrelere takılan müşterileri daha yakından takip eder. Riskli işlemlerin gerçekleştirildiğinin tespit edilmesi halinde banka, telefon ya da kısa mesaj gibi uygun yöntemlerle müşterilerin en kısa sürede uyarılmasını sağlar.
Yukarıdaki yönetmelik maddeleri bankaların müşterilerinin işlem güvenliğini sağlayacak yöntemleri örnekleme usulüyle belirtmektedir. Tüm müşteri işlemlerinin iz kayıtlarının alınması gerektiğinden bahisle birçok yöntemin birlikte kullanılması gerektiğini anlatmaktadır. Müşterinin bankacılık işlemine bağlantı yaptığı konum bilgisi ile yapılan işlemlerin müşteri tarafından yapılıp yapılmadığının kontrolünün yapılması gerektiğinden bahsetmektedir. İnternet bankacılığı ilişkili yaşanan dolandırıcılık olaylarının büyük bir çoğunluğu saldırganın farklı bir konumdan bağlantı yapması sonucunda gerçekleşmektedir. Bu saldırılar esnasında konum bilgisi kontrolü yapılıp yapılmadığı konusu ise meçhul bir bilgi olarak kalmaktadır. Mahkemeler tarafından istenen iz kayıtlarında bu hususlar yer almasına rağmen çoğu zaman bilirkişi raporlarında yer almamaktadır.
Günümüzde hemen hemen tüm alanlarda yapay zekâ teknolojisi kullanılırken bankaların bu teknolojilerden faydalanmaması mümkün değildir. Ancak her alanda olduğu gibi yazılımlar ne kadar iyi olursa olsun ne kadar gelişmiş olursa olsun son kararı insan vermektedir. Eğer tüm bu gelişmiş güvenlik sistemleri insan kara vericiler tarafından takip edilmezse, incelenmezse ve zamanında reaksiyon gösterilmezse işlevsiz kalmaktadır. Söz konusu yönetmeliğin hazırlanmış olması uygulanma sürecinin kontrolü yapılmadığında yetersiz kalmaktadır. Bankalarda SMS gönderimlerinin arkasına sığınarak sorumluluğu müşteriye yüklemeye çalışmaktadırlar. Eğer bankacılık alanında dolandırıcılıklar engellenecekse bunun ilk adımı bu alanda yapılmış olan yasal düzenlemelere tam olarak uymak olacaktır. Tüm bu saldırı tekniklerinin test edileceği sızma testleri ile bankaların güvenlik yeterlilikleri kontrol edilmelidir. Yapay zekâ içeren güvenlik yazılımları ile her bir müşterinin bankacılık işlem profilleri çıkarılarak farklı desen gösteren işlemler şüpheli işlem kategorisine alınmalı ve müşteri banka şubesine davet edilmelidir. Aksi taktirde dijital okur yazarlık konusunda yeterli seviyede olmayan müşterilerin zarara uğraması kaçınılmaz olacaktır. İnternet bankacılığı alanında yaşanan dolandırıcılıklar sonrasındaki dava süreçlerinde bilirkişi incelemelerinin bankaların bilişim sistemlerini de kapsayacak şekilde genişletilmesi bu sürece katkı sağlayacaktır.
06.07.2019 tarih ve 30823 sayılı Resmî Gazete’ de Bilgi ve İletişim Güvenliği Tedbirleri konulu 2019/12 sayılı Cumhurbaşkanlığı Genelgesi yayımlanmıştır. Söz konusu Genelgede “ Güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla ulusal ve uluslararası standartlar ve bilgi güvenliği kriterleri çerçevesinde, kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerde uygulanmak üzere farklı güvenlik seviyeleri içeren “Bilgi ve İletişim Güvenliği Rehberi” Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda, ilgili kamu kurum ve kuruluşları tarafından gereken katkı sağlanarak hazırlanacak ve www.cbddo.gov.tr adresinde yayımlanacaktır. Rehber ihtiyaçlar, gelişen teknoloji, değişen şartlar ile Ulusal Siber Güvenlik Stratejisi ve eylem planlarında yapılacak değişiklikler göz önünde bulundurularak güncellenecektir.” ibaresi yer almakta ve Bilgi ve İletişim Güvenliği Rehberi’ne dayanak teşkil etmektedir. Bilgi ve İletişim Güvenliği Rehberi’nde bahsi geçen Kritik altyapı sektörleri 2020 – 2023 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı’nda “Elektronik Haberleşme”, “Enerji”, “Su Yönetimi”, “Kritik Kamu Hizmetleri”, “Ulaştırma”, “Bankacılık ve Finans” olarak yer almaktadır.” Görüldüğü üzere Bankacılık ve Finans sektörü kritik altyapı sektörleri arasındadır. Yapılacak Bilgi ve İletişim Güvenliği Uyum denetimlerinde ek olarak Bankacılık sektörüne ait yapılmış yasal düzenlemelere uyumun da denetlenmesi bu alanda meydana gelen siber suçların önlenmesi kapsamında büyük önem taşımaktadır.
Banka Kredilerinde Siber Güvenlik Sigortası Zorunlu Olmalı
Dolandırıcılıklarda Youtube Etkisi