Dosya Finans ve Bankacılık 18 ŞUBAT 2013 / 08:36

Bankaların öncelikli var oluş amacı: Güvenlik

Sayısallaşan dünyanın içinde yepyeni fırsatlar kapılarını aralarken, bankacılık ve finans sektörü ince eleyip sık dokumak zorunda kalıyor.

Sayısallaşan dünyanın bir parçası olmayı başaran bankaların önlerinde “Asıl zorluk şimdi başlıyor” dedirten bir sorun yer alıyor. Bu sorun bankaların asli görevleri olan “Mevduatı koruma” yükümlülüğünü yerine getirmenin önüne geçebilecek, kurumu itibarsızlaştırabilecek durumlar yaşanmasının yolunu açabilecek en önemli aşamayı temsil ediyor: Güvenlik.
Hizmet kalitesi ve standartları her geçen gün artarken sayısal alana taşınan sektörler güvenlik endişesiyle doğrudan karşılaşıyor. Günümüz saldırganları kişisel verilere ulaşarak dolaylı yoldan para çalmayı hedeflerken, bankalar üzerinden yapılan saldırılar yolu bir adım daha kısaltarak “doğrudan para” seçeneğini ortaya çıkartıyor. Bu konuda neler yapılması gerektiğini sektöre hizmet veren kurumlara sorduk.
Kural bazlı analitik sistemlerin kullanılması riski azaltabilir
Uluslararası standartları izlemenin ve tecrübe birikimine sahip olmanın bankaların en yüksek güvenlik standartlarında işlem yapmasını sağlayan tedbirlerin önünü açtığını belirten IBM Küresel İş ve Teknoloji Danışmanlığı, Finansal Hizmetler Sektörü Lideri Ümit Altınay sözlerini şu şekilde sürdürdü:
“BDDK, bu iyi örneklerin genel olarak bankalar arasında yaygınlaşması ve standart olarak uygulanması için önemli yönlendirmeler yapıyor ve süreci takip ediyor. Bankalar; kullanıcılara görünür olan özel cihaz ile şifre kontrolü, SMS, gizli bilgi kontrolü ve gösterimi, çoklu denemeleri önleyici teknolojiler ve riskli işlemlerde ek bilgi gereksinimleri gibi pratiklerin yanı sıra işlem güvenliği için pek çok kontroller yapıyorlar. Fakat, güvenlik konusu kötü niyetli saldırganlarla sistemi korumaya çalışan müşteri ve kurum arasında devamlılığı olan bir savaş. Bankalar bu savaşta kötü niyetlilerden bir adım önde olmak için sürekli ve çözüm odaklı olma çabası içindeler.”
Altınay’a göre, bankaların işlem güvenliği yöntemi ile kontrol edemeyecekleri konu; “sosyal” taraf olarak karşımıza çıkıyor. Kullanıcılar, bütün uyarılara rağmen bazı bilgilerini değişik nedenlerden dolayı kötü niyetli web siteleriyle ya da şahıslarla paylaşıyor. Dolayısıyla bu bilgiler korunamıyor ve müşteriler sosyal kandırmalara maruz kalarak üçüncü şahıslara doğrudan para aktarabiliyor. Bundan ötürü bankaların bütün kanallarla bütünleşik çalışabilen, sadece işlem güvenliğini değil müşterilerin alışkanlıkları, yaptıkları diğer işlemler, işlem kanalları ile ilgili ek bilgiler, işlemlerin frekansı, miktarı, tutarı ve daha pek çok bilgiyi derleyerek değerlendirmeleri gerekiyor.
Bankaların, bunlara ek olarak sadece müşterilerin başlattıkları işlemleri değil, kuruluş içinde yapılan işlemleri de değerlendirmesi gerektiğini ifade eden Altınay, kural bazlı analitik sistemlerin kullanılmasıyla gerçek-zamanlı çok boyutlu kontrollerin sağlanarak, bu tip risklerin ciddi oranda azaltılabileceğine işaret etti.
İki aşamalı kimlik doğrulama gerekiyor
Bankacılık sektöründe güvenlik endişelerini gidermek için alınacak ilk önlemin iki aşamalı kimlik doğrulama yönteminin hayata geçirilmesi olduğunu belirten Pozitron Kurucu CEO Fatih İşbecer, 2009 yılından itibaren zorunlu hale geldiği için ülkemizde bütün bankacılık hizmetlerinde şu anda bu yöntemin kullanıldığını ifade etti. Buradaki önemli noktanın bu yöntemi hayata geçirirken kullanılan MSISDN doğrulama, SMS OTP, Soft OTP, ‘hardware token’, ‘hardware smart card’, mobil imza ve benzeri yöntemler arasındaki kullanıcı deneyimi ve güvenlik açısından farkları iyi değerlendirmek olduğunu belirten İşbecer, uygun risk analizinin yapılarak bu çözümlerin kullanıcılara sunulması gerektğini kaydetti.  İşbecer sözlerini şöyle sürdürdü:
“İkinci nokta ise, iki aşamalı kimlik doğrulama olmasına rağmen farklı yöntemler ile bahsettiğiniz saldırıların yapılabiliyor olduğu gerçeğidir. Bunun için kullanıcıların temel güvenlik problemleri konusunda eğitilmesi yanında yeni nesil güvenlik önlemlerinin de hayata geçirilmesi önemlidir. Yeni nesil güvenlik önlemleri hem yeni algoritmik yöntemler hem de teknolojik gelişmelerden dolayı var olan yöntemlerdeki ilerlemeler olabilir. Pozitron olarak bir yandan 2009 yılından itibaren geleneksel iki aşamalı kimlik doğrulama konusunda birçok bankaya hizmet verirken diğer yandan yeni yöntemler arasındaki Zero Knowledge Password Proof, Password Authenticated Key Exchange ve Intel Identity Protection Technology (IPT) konularında araştırma ve ürünleştirme faaliyetlerimizi sürdürüyoruz.”
E-kimlik çözümleri Almanya’da zorunlu hale geldi
Son aylarda basına düşen haberlerde sık sık SMS şifrelerinin yetersiz olduğu gündemdeki yerini aldığını hatırlatan Kobil Türkiye Ülke Müdürü Ümit Yaşar Usta, “Müşterilerin bilgilenmesi ve bu konuda hassas, seçici davranması zaman alacaktır. Bankaların uzman ekipleri tüm güvenlik risklerinin farkında, ancak müşterilere kolaylık sunmak adına SMS şifreleri bir seçenek olarak halen sunmayı sürdürüyorlar. Müşteriler ise daha kolay buldukları ancak güvenlik risklerini bilmedikleri bu yöntemi tercih etmiyor” dedi. Örnek veren Usta, “İki büyük Alman bankacılık grubu 2011 yılında SMS şifreleri bıraktığını müşterilerine duyurdu, daha sonra müşterilerini bilinçlendiren ücretsiz eğitimler verdiler, yeni teknolojileri tanıttılar ve yüksek güvenlik sağlayan e-kimlik çözümlerini mecburi hale getirdiler” açıklamasında bulundu.

Mobil cihaz yönetimi odak noktası
Mobil cihaz kullanımı ve bu cihazlardan yapılan bankacılık işlemlerinin artmasının beraberinde getirdiği risklere dikkat çeken KoçSistem Finansal Müşteri İlişkileri Grup Yöneticisi Hatice Kartal, bu tehditlerin iki yönüyle ele alınabileceğini belirtti. Kartal, sözlerini şöyle sürdürdü:
“İlki, banka çalışanlarının kullandığı mobil cihazlar ve bu cihazlarda çalışan kurumsal uygulamalar ve raporlar; ikincisi ise müşterilerin kullandığı cihazlar. Her iki durumda da güvenlik boyutu gözetilerek cihazların yönetimi gerekir ki bu noktada ilk olarak odaklanılan alan mobil cihaz yönetimi çözümleridir. Bu alandaki projeler, bankaların 2013 gündemindeki öncelikli işleri arasında yerini almıştır.”
Kartal’a göre telekom operatörlerinin de bireysel kullanıcılara yönelik mobil cihaz yönetimi hizmetleri sağlamaları güvenlik açısından son derece yararlı olacaktır. Bu konuda operatörlerin çalıştıklarını aktaran  KoçSistem Finansal Müşteri İlişkileri Grup Yöneticisi, “Finans sektörü oyuncuları adına altı çizilmesi gereken bir diğer önlem ise sahteciliği önlemeye yönelik akıllı uygulamaların kullanımı ve yaygınlaştırılmasıdır. Müşteri alışkanlıklarının ve davranışlarının proaktif bir şekilde izlenmesi ve farklılık gösteren işlemlerin gerçekleşmeden uzmanlara aktarımı ile olası bir sahteciliğin önüne geçmek artık çok daha mümkün” şeklinde konuştu.
Anadolu Bilişim Satış Müdürü Sibel Bilgin, gelişen iletişim teknolojileri ve yaygınlaşan uygulamalarla siber saldırıların artık sadece kişisel bilgisayarlarımıza yönelik olmadığına dikkat çekti. Bilgin’e göre mobil ve sosyal medya uygulamalarında olduğu gibi günlük hayatta kullandığımız birçok uygulama aracılığıyla da güvenliğimiz tehdit ediliyor. Bilgin, bu tehditleri ortadan kaldırmak için şirketlerin ihtiyaçlarını karşılayan ve kapsamlı güvenlik çözümleri sağlayan üreticilerle çalışmasını önerdi.
Hızlı ve kaliteli hizmetin temelinde teknoloji yatıyor
Bankacılık sektöründe yaşanan yoğun rekabete dikkat çeken Mirsis Genel Müdürü ve Kurucu Ortağı Gül Dizgider, bu nedenle hız, esneklik, maliyet gibi faktörlerin önem kazandığını vurguladı. “Bankaların kendi stratejik hedeflerine uygun olarak,  hızlı, kaliteli çözümler üretmek istemeleri nedeniyle teknolojiyi de kendi iç kaynaklarında yürütmesi sektörde görülen çözümler arasındadır. Bankaların bu yükünü üstlenebilmek ve kendi yetkinliklerine odaklanmalarını sağlamak için stratejik ortak olarak yanlarında yer almak gerektiği inancındayız” diyen Dizgider, Mirsis olarak müşteri ilişkilerini stratejik bir yaklaşımla ele alarak dünya kalite normlarında bilişim teknoloji çözümleri üretmeyi hedeflediklerini söyledi.
Rekabetin artmasının aynı zamanda sektörde sunulan hizmetlerde kalite yükseltici etki gösterdiğini belirten Dizgider, bu durumun kurum  ve kuruluşların gelişimini de sağlayacağını söyledi. Bankacılık teknolojileri için ihracat hedefi koymanın küresel standartlara yükselmek ve ulusal katma değer açısından önemli olduğunu kaydeden Dizgider, “Ülkemizin bu konuda iyi bir konumda olduğunu, bu konuda ihracatın yaygınlaştığını görmekteyiz. Devlet teşvikleri de bunu destekleyici yönde şekillenmekte ve katkı sağlamaktadır” dedi.
Güvenlik zekâsı öne çıkıyor
Güvenlik de artık bir büyük veri çözümüne ihtiyaç duyulduğunu belirten Obase Genel Müdürü Bülent Dal, güvenlik sistemlerinin yanı sıra harici verilerin de işin içerisine katılması gerektiğini vurguladı. Dal sözlerin şöyle sürdürdü: “Log verileri, aktivitelerle oluşan veriler, şebeke verileri, kimlik eşleştirme sürecinde sağlanan verilerin tamamının bir bütün halinde ele alınması gerekiyor. Bu çerçevede güvenlik zekası (security intelligence) gibi yeni bir iş zekâsı konusu ortaya çıkıyor. Gerçek zamanlı veri toplama, kullanıcılar, uygulamalar ve altyapı tarafından üretilen verilerin normalize edilmesi işlevini üstlenen güvenlik bilgisi ve aktivite yönetimi çözümlerine ihtiyaç duyuluyor. Finansal kuruluşların gerçek zamanlı ve geçmiş tarihçe verileri işlenerek anormal kullanıcı aktiviteleri, davranışları, alışılagelmemiş uygulama kısayolları ve şüpheli hareketleri tesbit etme imkanı artıyor. Semantik analiz yapılarak e-posta ve sosyal ağlar üzerinde bırakılan verilerden organize bir şüpheli hareketin önceden tespit edilmesi mümkün olabiliyor. Kimlik tespitinin sağlıklı yapılması ile merkezi kimlik yönetim uygulamalarının (Identity Management) üzerinde çalıştığı akıllı telefon ve mobil  uygulamalar önem kazanacaktır.”
Güvenlik yoksa müşteri  de yok
Bankacılık sektöründe  güvenliğin yadsınamaz bir yeri var. Software AG Türkiye Başkan Yardımcısı Gökhan Arıksoy, konuyla ilgili yaptığı açıklamada kişilerin maddi kayıplar konusundakikaygılarına dikkat çekerek şunları söyledi:
“Bir insan parasının tehlikede olduğunu düşünürse o ortamdan kaçar. Bankaların bu konuda önlem almaları ve daha yüksek teknoloji kullanmaları hem etik olarak gerekli, hem de e-banka, m-banka uygulamalarının yaygınlaşması için zorunlu. Çalıştığı bankadan e-bankacılık, m-bankacılık hizmeti alırken telefonuna gelen tek kullanımlık şifre için her zaman kullandığı akıllı telefonun yanında bir de eski tip telefon taşıyan kişiler tanıyorum. Eski tip telefonlara virüs bulaşmaz, gelen şifre çalınmaz diye düşünüyor. Buradan çıkaracağımız sonuç şudur: Demek ki sektör bu kişiye yeterli güveni verememiş. Bir de bu güven verilmediği için sistemden uzak kalan kişileri düşünün. Bankacılık sektörü için büyük kayıp.”

Mobil ve sosyal uygulamalar da tehdit ediyor

Gelişen iletişim teknolojileri ve yaygınlaşan uygulamalar ile siber saldırılar artık sadece masamızdaki kişisel bilgisayarlarımıza yönelik olmadığına dikkat çeken Anadolu Bilişim Satış Müdürü Sibel Bilgin, mobil ve sosyal medya uygulamalarında olduğu gibi günlük hayatta kullandığımız birçok uygulama aracılığıyla da güvenliğimizin tehdit edildiğini kaydetti. Bu tehditleri ortadan kaldırmak için şirketlerin ihtiyaçlarını karşılayan ve kapsamlı güvenlik çözümleri sağlayan şirketlerle çalışmalıdır.

Her yıl daha fazla finans kuruluşu gücünü ARTronic’Ten alıyor
Finans ve bankacılık sektöründen birçok şirket ARTronic ürünleri kullanıyor. ARTon Platinium ve Platinium Combo 3.1 Serisi 0.9 güç faktörü  ve sınıfındakilere göre çok yüksek verim değeri ile ön plana çıkıyor. Bu ürün grubu ile yeni nesil bilgi işlem ekipmanlarının desteklenmesi söz konusu olacak. Rakiplerine göre emsal güçte yüzde  28 daha fazla çıkış gücüne sahip Platinium ve Platinium Combo serileri 4 adede kadar paralellenebilme, dahili akü bulundurma, düşük giriş akımı bozulması,  yüksek giriş güç faktörü, çevre dostu “yeşil enerji” tasarımı ile çok güçlü. 0,7 çıkış güç faktörüne sahip ürünlere göre yüzde  28,5 ve 08 çıkış güç faktörüne göre yüzde  12,5 daha fazla güç verebiliyor. Hem 1 faz hem de 3 faz ile beslenmeye izin veren 3 faz girişli 1 faz çıkışlı ürünler şebekenin 3 fazlı olmadığı durumlar için kullanıcıya büyük kolaylık sağlıyor.
Kısıtlı yere sahip uygulamalarda dikili tip kullanılabildiği gibi, mevcut rack tipi kabinlere takılabilme özelliği ile yerden tasarruf olanağı sağlayan ARTronic RT serileri ile yeni bir açılım getiriyor. Hem Rack hem de Tower olarak kullanılabilen yeni seriler küçük ve orta ölçekli Data Center çözümlerinde büyük bir esneklik sağlamaktadır.
ETİKETLER : Sayı:909