Alper Kuray

Finans Dünyasına Siber Tehdit

2020’li yıllarda giydiğimiz kıyafetler, kullandığımız saatler ya da mutfaktaki buzdolabı ile fatura ödemeye, yatırım yapmaya, para göndermeye hazır mıyız?

Şu an ki haberlerden ve de bilgilerden yola çıkarak zihin olarak hazırız. Hayat kolaylaştıkça bunların önünde giden güvenlik açıklarına hazır mıyız?

Internet ve benzeri ağ yapılarının gelişmesi ile birlikte gerek özel sektör gerekse de kamu sektöründeki şirketler dijitalleşme sürecine girmiştir. Uber uygulamasının sahibi şirketin envanterinde hiçbir araç yoktur ya da Airbnb şirketinde herhangi gayrimenkul yer almamaktadır. Ancak bu ve benzeri şirketler internet sayesinde kullanıcılara kolaylık sağlamakta ve yine internet aracılığı ile iş yapışlarını düşük maliyet ve hızlı olarak yerine getirebilmektedirler. İnternetin sağladığı bu kolaylıklar ve bunların şirketlere getireceği maddi/manevi avantajlar nedeni ile yukarıda belirttiğim tarihteki yıllarda networke bağlanan şirket sayısının; ABD merkezli ağ firması Cisco tarafından açıklanan tahminlere göre şimdiki rakamın 2 katına çıkarak 50 milyar cihaz olması beklenmektedir. Bu da bir kişiye yaklaşık 7 adet cihaz düşeceği anlamına gelmektedir.

Bu gelişmeler beraberinde güvenlik ve gizlilik sorunlarını da getirmektedir. Özellikle son zamanlarda banka, büyük şirketler ve kamu kuruluşlarına yapılan siber ataklar güvenliğin önemli bir konu olduğunu göstermektedir. Siber suçların dünya ekonomisine yaklaşık yıllık 450 milyar ile 1 trilyon dolar civarı zarar verdiği tahmin edilmektedir. Finansal hizmetlerin dünya ekonomisindeki yeri ve diğer sektörler ile bağlantılar ile düşünüldüğünde bu rakamın dünya ekonomisi için ciddi bir tehdit olduğu aşikâr.

I – Siber güvenlik ve siber suç

 Firma ve kamu kurumlarının son yıllarda hızla çevrimiçi hizmetlere yönelmeleri cihazları, birbirine bağlı devasa bir uzay haline getirmiştir. Bilişim teknolojilerindeki bu gelişim hızı ile düzenlemelerdeki gelişim hızı benzer olmadığı için siber suçlar açık olarak karşımıza çıkmaktadır.

Siber kelimesi tanım olarak günlük internet ile eş olarak kullanılmaktadır. Aslında siber uzay bu tanımdan daha geniş bir alanı ifade etmektedir. Zira şirketlerin kendi içlerinde kullandıkları intranet de siber uzayın içerisinde yer almaktadır.  Dolayısıyla hem internet hem de kurumlar içi intranet siber güvenliğin konusuna girmektedir.

Birleşmiş Milletler çatısı altında yer alan Uluslararası Telekomünikasyon Birliği’ne göre siber güvenliğin temel öğeleri aşağıdaki gibidir:

  • Erişilebilirlik: Verilere sadece ilgili kişilerin erişimini ifade etmektedir.
  • Bütünlük: Verilerin değiştirilmemiş, silinmemiş, yok edilmemiş olmasıdır.
  • Gizlilik: Elektronik ortamdaki bilgilerin sadece ilgili kişiler tarafından haberdar olmasıdır.

Siber suç teknikleri;

Geçtiğimiz yıllar içerisinde belli başlı siber suç teknikleri aşağıdaki gibidir:

  1. Gelişmiş sürekli tehdit (Advanced Persistent Threat – APT) – Değerli bilgileri çalma amacıyla sürekli ve donanım merkezli siber casusluk işlemleridir.
  2. DDos saldırıları – Bir firmanın web sitesine olağandışı veri trafiği sonrasında ulaşımın engellenmesi ve hizmet verememesi
  3. Parola kırmak (Cracking) – Kullanıcı şifrelerinin kırılarak başka bilgisayar sistemine izinsiz girme saldırısıdır.
  4. Yanlış bilgi yayımı (Dezenformasyon) – Sosyal medya araçları kullanılarak internet üzerinden yanlış bilgi yayılması ve panik yaratılmasıdır.
  5. Tuş kaydedici (Key logging) – Tuş kaydediciler klavyede basılan her tuşun basıldığı anda kaydını tutan casus programlardır. Bu programlar kişilerin internette gezdikleri esnada girdikleri parolalar ve kişisel bilgileri bir metin dosyasına kaydederek yetkilendirilmiş kullanıcıya ulaştırma işlemidir.
  6. Yemleme – Eposta veya sms aracılığı ile resmi bir kurum gibi tanıtılan sahte internet sitesine yönlendirilmesi işlemidir.
  7. Site trafiği yönlendirme – Kullanıcı bilgisayarına Truva atı gibi zararlı yazılım yüklemek amacıyla internet sitesinin trafiğini sahte siteye yönlendirme saldırısıdır.
  8. Sosyal mühendislik – İnsanlar arasındaki iletişim ve insan davranışlarındaki açıklardan yararlanarak güvenlik açıklarını tespit etme ve müdahalede bulunma yöntemidir.
  9. Zararlı yazılımlar – Kötü amaçla hazırlanmış bilgisayar programları (Virüs, solucan, casus programları gibi)

Yukarıda belirtilen siber suç teknikleri üzerinden Türkiye’de faaliyet gösteren 250 kurumun katılımı ile gerçekleştirilen siber güvenlik araştırmasına göre, son beş yıllık dönemde siber saldırıların sayısında artış yaşandığı ve bu bağlamda Türkiye ekonomisine yönelik saldırıların arttığı ifade ediliyor. Ortaya çıkan tabloya göre:

– Ticari kuruluşların %47’si, 2011 yılından bu yana maruz kaldıkları siber saldırıların sayısında artış olduğu görüşünde birleşiyor.

– Sadece zararlı yazılımlar ve bilgisayar korsanları değil, çalışanlar da farkında olmadan şirketlerinin siber güvenliklerini tehdit ediyor.

– Türkiye’deki şirketlerin dörtte üçünün halen uygulamakta olduğu bir siber güvenlik politikası bulunuyor. Bu kurumların %43’ü siber güvenlik politikalarını günlük, haftalık ve aylık bazda gözden geçiriyor ve revize ediyor.

– Kurumların %23’ü siber güvenlik harcamaları için bütçe ayırmazken, toplam BT bütçesinin %11’i ile 30’u arasında bir kısmını siber güvenliğe ayıranların oranı %50’yi buluyor. %10’luk bir kesim ise toplam BT bütçesinin %31’inden fazlasını siber güvenlik için harcadığını ifade ediyor.

II – Finans dünyasındaki siber suçlar 

Finans sektörü siber saldırılar karşısında en fazla zarara uğrayan sektörlerden birisidir. Bu piyasada gerçekleşen işlem hacmi ve teknoloji ile bağlantılı işlemler göz önünde bulundurulduğunda bu durumun normal olduğu anlaşılabilir.  IBM tarafından yapılan bir araştırmada finans hizmeti sağlayan firmaların siber suçlar karşısında en fazla müşteri kaybeden ikinci sektör olduğu göze çarpmaktadır.

Siber suçlar yukarıda belirtilen farklı şekillerde yapılsa da temel amaç, müşteri bilgilerini ya da finansal kuruluşun bilgilerini ele geçirerek para hırsızlığı yapılmasıdır. Bu şekilde yapılan siber ataklar ilgili kuruluşa sadece maddi kayıp oluşturmakla kalmayıp; itibar kaybı, müşteri kaybı, altyapıda yaşanan hasarlar gibi kayıplar da oluşturmaktadır.

Finansal hizmet veren kuruluşlara yönelik en çok karşılaşılan suçlar;

A-APT saldırıları: Finansal hizmet sağlayıcının erişimine zarar vermeden finansal piyasaların bütünlüğüne ve güvenilirliğini etkileyen saldırı türüdür. En önemli saldırı örneği 2010 yılında NASDAQ’ta şirketlerin yönetim kurullarından gelen gizli bilgilerin bulunduğu bilgisayarlara saldırı yapılmış ve sonrasında şirketlere ait bilgiler sürekli olarak yetkisiniz kişilere sızdırılmıştır. Görünürde finansal kayıp oluşturacak bir durum söz konusu olmasa da firma gizli bilgilerinde sızma yaşanmıştır.

B- Veri Sızıntıları: 2014 yılında banka kredi kartı sızıntısı sonucu Türkiye’de 2,7 milyon, ABD’de ise 83 milyon kişi ve kurumun kredi kartı bilgisi çalınmıştır. Finansal piyasalarda sadece banka ve borsalar değil portföy yönetim şirketleri de siber suçlara maruz kalmaktadır.

C-Dezenformasyon: Siber güvenliğin 3 temel prensiplerinden biri olan bütünlüğü ihlal eden suç tekniğidir. Burada amaç; üretilen ve yayılan yanlış bilginin kişiler arasında paylaşılarak genel panik havası oluşturulması ve piyasanın manipüle edilmesidir. Bu şekilde yanlış bilgi yayarak hem tüketicinin kararlarının etkilenmesi hem de piyasalara olan güvenin sarsılması sağlanmaktadır. Bu saldırıya en çarpıcı örnek 2013 yılında AP haber ajansının resmi Twitter hesabının hacklenmesidir. Bu örnekte AP’nin Twitter hesabından ABD başkanının Beyaz Saray’daki bir patlamada yaralandığı bilgisi, medya kanallarını otomatik olarak tarayan ve bulduğu haberlere göre alım-satım emri veren yüksek frekanslı işlemler (High Frequency Trading – HFT) yazılımları tarafından borsada satış emirleri verilerek ABD borsalarında anlık çökme olarak tanımlanan “flash crash” yaşanmasına neden olunmuştur.

D-Botnet ve Ddos saldırıları: Anlık bilgi akışının ve fiyat hareketlerinin en yoğun yaşandığı finansal piyasalarda servis sağlayıcısının hizmet verememesi sonucu işlemlerin yapılamamasıdır. Bu hizmetler; fatura ödemelerinden, para transferine ve hatta borsa alım-satım emirlerinin askıda kalmasına kadar etkilenmektedir. Finansal kuruluşların internet üzerinden hizmet verme oranlarındaki artış ve kamu şirketlerinin de bu teknolojik gelişmeye ayak uydurması nedeni ile Ddos atakları giderek önem kazanmaktadır. Şimdiye kadar çok ciddi bir saldırı olmasa da yapılan girişimlerde yıllar geçtikçe artış görülmektedir. 2011 yılında Hong Kong borsası web sitesine yapılan saldırı sonucunda borsa sitesini bir seans boyunca işleme kapatmıştır.

Müşterilere yönelik siber saldırılar;

A-Sosyal Mühendislik: İnsanların davranışlarındaki açıktan yaralanmak isteyen e-posta veya benzeri şekilde kişilere özel bilgilerin ele geçirilmesi faaliyetidir. Siber atakların üçte birinin sosyal mühendislik teknikleri kullanılarak yapıldığı tahmin edilmektedir.

B-Oltalama (Phishing) : Kurumlar kadar bireysel müşterileri de ilgilendiren diğer saldırı çeşidi zararlı yazılımlardır. İnternet sitelerine girişlerde kullanıcı bilgileri ve şifreler toplanmakta, yazışmalar izlenmektedir. Bu bilgiler belirli fiyat karşılığında satılmakta ya da finansal kazanç sağlamak amacıyla ilgili hesaplara girilerek kullanılmaktadır.  Finansal oltalama saldırıları 2016 yılında bir önceki yıla göre %13 artış göstermiş ve tüm oltalama saldırılarının %47’sini oluşturmuştur.

C- Zararlı Yazılımlar: Finansal tüketicilerin bilgisayarlarına sızılması suretiyle kişilerin hesaplarına ve kişisel bilgilerine erişilerek finansal zararlar verilmektedir. Kişisel bilgileri ele geçirmek için kullanılan sosyal mühendislik ve oltalama saldırılarına ek olarak finansal sistemi hedef alan özel virüsler de mevcuttur.

Giderek artan bir hızla dijitalleşen hizmetler ve ürünler, tüketiciye ve hizmet sağlayıcıya sayısız fayda sunmakta, beraberinde ise birçok dezavantajı da getirmektedir. İnternete bağlı cihaz sayısının dünya nüfusunu geçtiği günümüzde, siber uzay hem vatandaşlar hem de yasa koyucular için daha büyük önem arz edecektir

Genel Değerlendirme; 

Finansal piyasalarda tüketiciler de hizmet sağlayıcılar da siber suçluların hedefi olmaktadır. Bu nedenle hem tüketiciler hem de firmalar siber güvenlik konusunda farkındalıklarını arttırmalıdır ve gerçekleşen saldırı teknikleri konusunda bilgili olmalıdır. Hizmetlerin büyüklüğü ve reel ekonomiye olan etkisinden ötürü finansal piyasalar ve borsalar için siber suç, sistematik bir risk olarak değerlendirilmektedir. 

Giderek bilişim teknolojisine bağlı olan finans piyasasında siber suçların oluşturduğu sistematik riski azaltmak için düzenleyicilerin, kullanıcıların ve sistem sağlayıcıların birlikte çalışması gerekmektedir. Finansal sistemdeki düzenleyici kuruluşlar, ülkeler arasında bilgi paylaşımını sağlayacak iş akışları ve bilgi paylaşım platformları kurarak şüpheli işlemlerde ulusal ve uluslararası otoriteleri bilgilendirmelidir.

Finans Sektörü Düzenleme Kurumu (Financial Industry Regulatory Authority – FINRA) aracı kurumlarda siber güvenliğin sağlanması için firmalara bir dizi prensip önermektedir. Bu prensiplerin ilki, bu makalede de bahsi geçtiği üzere, siber tehditlerin salt bir bilgi teknolojisi problemi olarak ele alınmaması gerekliliğidir. Bu farkındalığa ek olarak, yönetim kurulunun konu hakkında bilgilendirilmesi ve kurum içi yönetmeliklerin belirlenmesi ciddi önem teşkil etmektedir. Yönetimdeki ve bilgi teknolojisi departmanındaki çalışanların farkındalığına ek olarak kurumdaki her çalışanın gerekli eğitimleri alarak siber güvenliğe nasıl katkıda bulunabileceklerinin aktarılması önem teşkil etmektedir. FINRA’nın bahsettiği diğer bir prensip, siber güvenlik mevcut durum analizinin gerçekleştirilmesi ve bu analizin sonucunda kurum ve kurumların çalıştığı üçüncü taraf iş ortakları için hangi türden siber saldırıların en yüksek risk unsuru içerdiğinin belirlenmesidir. Durum değerlendirmesi sonucunda mevcut eksikliklerin belirlenmesi ve teknik kontrollerin yapılarak veri güvenliğinin tespit edilmesi gerekmektedir. Bu prensiplere ek olarak, aracı kurumların maruz olacakları siber saldırılar karşısında yapacakları bilgi paylaşımı, benzer suçların sektördeki farklı kurumlara karşı işlenmesini önleyebilmektedir.

FINRA’nın önerileri yukarıda özetlenmiş olmak ile birlikte bu prensiplerin finans kurumları için herhangi bir yaptırımı bulunmamaktadır Siber güvenliğin sağlanması hedefi doğrultusunda siber suçlara karşı yasal çalışmaların ülkelerarası bir şekilde desteklenerek birbiriyle uyumlu olması ve siber güvenliğin temini için düzenleyici kurallar ve prensiplerin belirlenmesi çalışmaları gerekmektedir. Öte yandan kurumların ve kullanıcıların farkındalığının arttırılması adına sermaye piyasası katılımcılarına yönelik bilgi kaynağının sağlanması oldukça önemlidir. Bu makale, son dönemde dünyada ve ülkemizde en sık rastlanan siber suç teknikleri ile farklı saldırı tiplerinin çeşitli durumlarda uygulanışını ve etkilerini açıklamaktadır. İlerleyen yıllarda düzenleyici kuruluşların da siber güvenlik alanında belli standartlar getireceği öngörülmektedir. Salt bir bilgi teknolojisi sorunu olarak görülmemesi gereken siber güvenlik ve siber suçlar konusunda finansal piyasalardaki tüm aktörlerin bilinçlenmesi ve gerekli önemleri alması önerilmektedir

Alper Kuray