Engin Bora Şahin, GlobalTrust Şirket Ortağı

COVID-19 salgını, FinTech şirketleri için büyük fırsatların önünü açtı. Herkesin bir parçası olmak istediği dijital dönüşüm dalgasına ayak uydurmak için müşteri penetrasyonu rekor seviyelere yükseldi. Bunun yanında Covid-19 sürecinin fintech ekosistemi için siber güvenlik riskini arttırdığı yadsınamaz bir gerçek. Finansal düzenleyicilerin çoğuna göre, siber tehditler pandemi sırasında artan en büyük riskler arasında yer alıyor.

2019 yılının sonunda Çin’de ortaya çıkan Covid-19 salgını çok hızlı bir şekilde dünyaya yayılarak pandemiye dönüştü ve birçok ülkede iş yerlerinin kapatılmasına, sokağa çıkma kısıtlamaları gibi önlemlerin alınmasına yol açtı. Deneyimlediğimiz pandemi koşulları uzaktan çalışma anlayışını kökten değiştirdi. Aynı dönem artan risk iştahı ve fintech sektörünün hızlı büyümeye devam etmesi karlılığın ve büyümenin yanında tehlikelerin de arttığını bir sürece girmemize neden oldu. Bu yasaklar neticesinde hem bireysel hem de kurumsal ihtiyaçların karşılaması için internet kullanımı arttı, dolaylı olarak fintech ürünlerinin kullanımının da hiç olmadığı kadar yaygınlaştığına tanık ettik.

Ülkemizde ve dünyada köklü bir geçmişe sahip olan, çeşitli krizlerle yüzleşmiş ve bunlardan ders çıkararak yoluna devam eden bankacılık sektörünün, risklerin yönetilmesi hususunda sağlıklı bir süreç geçirdiklerini söyleyebiliriz. Bunun yanında sektörün yeni oyuncularının riskler yerine fırsatlara odaklandığını söylemek yanlış olmaz. Fiziksel etkileşim azaldıkça evden çalışma düzenlemelerine hızlı geçiş, üçüncü taraf hizmet sağlayıcılarla artan ilişkiler siber tehditlerin kapsamını ve üçüncü taraf hizmet sağlayıcılara bağımlılıkları artırdı. Aynı dönemde toplumun tüm kesimlerinin hızla dijitalleşmeye başlaması güvenlik risklerini farklı bir boyuta getirdi.

Hızlı hareket eden ve hızla yenilik yapan şirketler büyümeye başlar başlamaz siber suçlular için uygun hedefler haline gelirler. Sonuçta, büyümeye odaklanan ve riskleri ikincil planda değerlendiren şirketlerin siber saldırılar için iyi birer hedef olmaları doğal bir sonuçtur.

Mevcut durumu özetledikten sonra riskleri ve onları azaltmak için yapabileceklerimize bakalım.

Kötü Amaçlı Yazılım Saldırıları

Belki de son dönemde karşılaştığımız saldırılar arasında en belirgin örnek, çoğu bankanın ve diğer finansal kurumların güvendiği protokol olan SWIFT’e yönelik saldırılar olmuştur. Bu bize bir kez daha ne kadar savunmasız yakalanabileceğimizi hatırlattı.

Sektörün yeni oyuncuları FinTech’ler için kötü amaçlı yazılım saldırıları önemli bir risk teşkil ediyor. Diğer saldırı türlerinin aksine, kötü amaçlı yazılım saldırıları çeşitli kaynaklardan olmak üzere birden çok giriş noktası kullanabilir; sosyal mühendislik saldırıları, SMS saldırıları, kötü amaçlı web siteleri ile üçüncü taraf yazılımlar bu giriş noktalarından sadece bir kısmıdır. Hem kullanıcı hem de firma için çok fazla saldırı noktası olan bu saldırılar oldukça tehlikeli durumlar yaratabilir.

Ağ yapısının güvenli bir şekilde kurgulanması, periyodik sızma ile tarama testlerinin gerçekleştirilmesi ve son kullanıcılara yapılacak farkındalık eğitimleri bu saldırıları kesmek adına önemli bir savunma hattı oluşturacaktır.

Uygulama Kontrolü

FinTech şirketleri, son kullanıcıların hassas verileri doldurmasına ve tek bir ekran dokunuşuyla para transfer etmesine olanak tanıyan uygulamalara büyük ölçüde güveniyor. Fakat bu uygulamalar da son dönemdeki popüler saldırı hedeflerinden biriydi. Geçtiğimiz sene Amerika’da önemli bir ticaret sitesinin ödeme ekranındaki faks ikonuna saldırganlar tarafından gönülmüş bir iframe üzerinden binlerce kullanıcının kişisel verileri ile kredi kartı bilgileri çalındı.

Kredi kartı bilgilerine ulaşmak saldırganlar için çok çekici olduğundan dolayı saldırganlar özellikle finansal işlemlerinin yapıldığı uygulamalar üzerinde düzenli inceleme yapmaktadır. Özellikle hesap açma işlemlerinin kolay olduğu uygulamalar üzerine yönelim mevcuttur. Uygulamada mevcut etkili zafiyetler sonucu sunucuya ve tüm firma altyapısına erişim sağlanabilir.

Herhangi bir mobil veya web uygulaması için penetrasyon testi ile birlikte firmanın düzenli güvenlik açığı taraması gerçekleştirmesi önem teşkil etmektedir. Kullanılan yazılımın yaygın piyasa standartlarına uyması önem teşkil eder.(ISO/IEC 27034, Microsoft SDL, OWASP SAMM, OWASP ASVS, CWE Top-10 vb..)

Kimlik Hırsızlığı

Çoğu finans kuruluşu, her işlemin güvenliğini sağlamak ve hesabı açan kişinin kimliğini doğrulamak için çeşitli bilgiler ve kimlik görselleri almaktadır. Her ne kadar güvenlik amaçlı da olsa bu yöntemin önemli bir dezavantajı vardır: Kullanıcı manipüle edilebilir. Manipüle edilmiş bir kullanıcının bilgileri istenebilir, verilen bilgiler ile hesabına el konulabilir.

Bu riski azaltmak için kullanıcı farkındalığını arttırma çalışmaları yapılmalı, birden fazla hesap kurtarma önlemi kullanılmalıdır.

Uyum Gereksinimlerinin Karşılanması

Yönettiğiniz finansal kurum türlerine bağlı olarak (Banka, Elektronik Para Kuruluşu, Ödeme Kuruluşu), güvenlik ve veri gizliliği ile ilgili GDPR, KVKK, PSD2, PCI DSS vb. gibi farklı standartlara uymanız gerekebilir.

Uyumluluk gereksinimlerinin karşılanmaması, ağır para cezalarına, ancak daha da önemlisi büyük güvenlik kusurlarına neden olabilir. Bu kapsamda danışmanlık alınması ve gereksinimlerin yerine getirilmesi sürdürülebilir bir iş modeli için önemlidir.

Ölçeklenebilirlik Sorunları

“Büyüme sancıları”, özellikle FinTech endüstrisinde, yeni başlayanların doğasında var. Çünkü büyümek, altyapınızı sürekli olarak ölçeklendirmek demektir.

İdeal olarak, en başından itibaren yüksek düzeyde ölçeklenebilir bir altyapınız olmalıdır ancak maliyetler ve başlangıçta beklenen işlem hacmi, girişimcileri daha basit altyapılar kurmaya zorlamaktadır.  Ancak durum böyle olsa bile, bu alanda hızla gelişen siber güvenlik sorunları, altyapınızda ek değişiklikler gerektirecektir. Periyodik sızma testleri ve yapılacak stres testleri ile hem açıkları bulmak hem de kapasite kontrolü yapmak mümkün olur.

Finansal Zorluklar

FinTech altyapısının güvenliğini sağlamak çok pahalıya mal olabilir. Mimariniz ne kadar ölçeklenebilir olursa olsun, altyapınızı sürekli olarak değiştirmeniz veya iyileştirmeniz gerekecektir.

Bununla birlikte, saldırıların yoğun olduğu bu sektörde temel siber güvenlik önlemlerine ve testlerine yapılan yatırım, beraberinde müşteriye sağladığı güven ile uzun vadede büyük kazanç sağlayacaktır.

Kolaylık mı Güvenlik mi?

Müşteriler finansal ürünlere hızlı erişim istiyor. FinTech şirketleri, çoğu zaman kolaylık ile güvenlik arasında seçim yapmak zorunda olduklarını biliyorlar.

Bununla birlikte, FinTech’teki düzenleyici kurumlar ve uyumluluk gereksinimlerindeki artış, sektörü yeni bir ürün piyasaya sürmeden önce kolaylık ve güvenlik arasında sağlam bir denge kurmaya zorlayacaktır.