Categories
Online Banking Security

ONLINE BANKING SECURITY 2014

Online Banking Security 2014

Online Banking Security Semineri Sektörü Buluşturdu:

Bankacılık ve e ticaret sektörünün önde gelenlerini buluşturan Online Banking Security Semineri 19 Kasım 2014 Çarşamba günü İstanbul’da Point Hotel Barbaros ’da yapıldı. Turk Elektronik Para ve Ödeme Sistemleri A.Ş.’nin ana sponsor olduğu yoğun ilgi gören etkinlikte mevzuattaki yeni gelişmeler ile güvenlik sistemlerinin teknik boyutu ele alındı.

Uyumayan Hackerlara 7/24 Operasyon Gerek

Etkinliği düzenleyen Semor A.Ş. Yönetim Kurulu Başkanı Nezih Kuleyin,  Online Banking Security etkinliğinin düzenledikleri 532. Etkinlik olduğunu, 20 yıl önce bilişim seminerlerinde her konunun birarada ele alındığını, ancak gelinen noktada konuların bölünmesi gerektiğinin ortaya çıktığını, söyledi. Dünyadaki hızlı değişimin sonucunda hem veri üreticisi hem de veri tüketicisi olduğumuzu belirten Kuleyin, bu durumun beraberinde bazı sorunları da getirdiğini bu nedenle de özel olarak Online Banking Security konusuna dikkat çekmek için bu etkinliği düzenlediklerini söyledi.

Etkinlik içerik danışmanı Eralp Ltd Şti’nden Avukat Özgür Eralp, açılış konuşmasında bu etkinlikte konunun uzmanlarından ve sektörün içinden katılımcıları hedeflediklerini ve konuşmacıları da buna göre seçtiklerini söyledi. Özellikle elektronik para kanunun uyum sürecinin 2015 haziranında tamamlanması gerektiğini hatırlatan Eralp, bu konuda eksiklik olduğundan etkinlikte yer verdiklerini belirtti. Eralp, İkinci oturumda internet bankacılığından örnek dava tecrübelerini paylaştı ve elektronik para kanununun e-para şirketlerine neredeyse bankalar kadar ağır şartlar getirdiğini, mevzuat kapsamına giren sunucuların da Türkiye’de tutulması gerektiğini söyledi.

“Siber Güvenlik ve Siber Suçlar” konulu sunumu ile Bilgi Güvenlik Derneği Başkanı Ahmet Hamdi Atalay, Türkiye’de siber güvenlik konusunun bir sahibi olması gerektiğine dikkat çekti. Atalay istatistiki bilgiler vererek, Facebook’un Dünyanın en büyük ülkesi haline geldiğini, Çin’in nüfusunu dahi aştığını, Dünya’da 1 dakika içerisinde 200.000 mobil uygulama indirildiğini söyledi. Bilgisayarlarımız ve cep telefonlarımızın çoğunun başkaları tarafından ele geçirilmiş durumda olduğunu belirten Atalay, bot.net ve benzeri araçlar ile ele geçirilen cihazlarımızın başka cihazlara saldırı için kullanıldığını söyledi.

Etkinliğin ana sponsoru Turk Para ve Ödeme Sistemleri A.Ş. adına konuşan Genel Müdür Betül Özer, nakit paranın dijital versiyonu olan elektronik para için kısa süre öncesine kadar yasal düzenleme olmadığını,  27.06.2013 tarihinde yürürlüğe giren 6493 sayılı Kanun ile bu boşluğun dolduğunu, söyledi. Düzenleme ile e-para şirketi olabilmek için BDDK’dan lisans almak, sızma testi yapmak gibi şartlar ciddi şartlar arandığını belirten Özer, Turk Para ve Ödeme Sistemleri A.Ş.’nin ilk e-para şirketi olarak kurulduğuna değindi.

KPMG Bilgi Sistemleri Rİsk Yönetimi Bölüm Başkanı Sinem Cantürk, “elektronik para uygulamaları”nı anlattığı konuşmasında, internette yapılan alışverişlerde %78 kredi kartı, %8 kapıda kredi kartı, %7 kapıda diğer yöntemler, %4 sanal kart, %2 havale ve %1 banka kartı kullanıldığını söyledi. Cantürk, E ticaret şirketlerinin kendi ödeme sistemlerini yaratarak büyümeye başladığına, hayatımıza giren ödeme sistemlerinde eksik kalan aracın ön ödemeli kartlar olduğunu ve bunun da artık regüle edilmeye başladığını belirtti.

ISSA Yönetim Kurulu Başkanı Batuhan Tosun, “kompleks siber suçlarda sinkhole analizi ve dropzone takibi” konulu sunumunda, Türkiye’de özel sektörüde yaşanan siber suç olaylarından örnekler vererek teknik hususlara değindi. 2014 yılının ilk iki çeyreğinde Türkiye’de 13 holdingin hacklendiğini, bu saldırıların çoğunun yapısal olmayan saldırı olduğunu söyleyen Tosun, 2013’ün üçüncü çeyreğinde saldırıların  yapısal hale gelmesinden dolayı Nato’nun raporlarına göre bundan sonra da bankaların saldırılara hedef olabileceğinin öngörüldüğü konusunda uyardı. Tosun, Interpol’ün  domain olarak kara listeye aldığı 4606  organizasyondan 503  tanesi Türk şirketi ve kurumu olduğuna dikkat çekerek, kurumların sosyal medyadaki  üçüncü taraf uygulamalarına karşı da önlem almaları gerektiğini söyledi.

Symantec Kıdemli Teknoloji Danışmanı Erhan Anuk, online tehditlerin artık şaka amaçlı değil, belli bir strateji dahilinde olduğunu, kurumların sahip oldukları teknolojiyi yönetecek insan kaynaklarına sahip olup olmadığını sorgulamaları gerektiğini söyledi. Genel uygulamada akşam 18:00den sonra gerçekleşen atakların çok büyük tehditler olmadığı sürece kurumlara sadece e-posta olarak bildirildiğine dikkat çeken Anuk, 7/24 operasyon için minimum 3 kişiye ihtiyaç olduğunu hatırlattı. Anuk, Symantec olarak hedeflerinin siber güvenlik merkezleri oluşturulmasına katkı sağlamak olduğunu belirtti.

Symturk adına konuşan Ümit Nedim, kurumların güvenlikle ilgili en büyük sorununun kaynak yetersizliği olduğunu söyledi. Nedim, hackerların uyumadığını hatırlatarak güvenlik için yine uyumayan insanlardan destek almak gerektiğini söyledi.

TSE Yazılım Test ve Belgelendirme Müdür Vekili Mustafa Yılmaz, TSE de yapılan çalışmalarda sektörün katılımıyla çalıştay düzenlendiğini ve standartlarla ilgili görüş ve değerlendirmelere önem verdiklerini belirtti. Ülkelerin biraraya gelerek ortak kriterler belirlediğini ve TSE’nin de bu anlaşmanın tarafı olarak güvenlik kriterleri ile ilgili olarak uluslararası standartlara uygunluğun belgelendirdiğini söyledi.

Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Daire Başkanlığından Cihangir Doğan, tüm suçların siber ortamda işlenebileceğini, ancak bu durumun onları siber suç yapmayacağına belirtti. Kredi kartı kopyalama olayların azalması için ATM kameralarının doğru konumda ve aydınlık olması, pinpad koruyucusu kullanılması, yabancı cisme uyarı verecek sistemi içermesi gerektiğini söyleyen Doğan, parmak izi ile işlem yapılması için gerekli altyapının kurulması gerekliliğine dikkat çekti. Doğan, ATM cihazının başında aykırı bir durumla karşılaşıldığından kimseden yardım alınmaması gerektiğini ve  siber suçlarla mücadele ekiplerinin 7/24 çalıştığını ve olaylara direk müdahale edildiğini hatırlattı.

Adli Bilişim Derneği YK üyesi ibrahim Saruhan Online Banking Adli Bilişim İncelemelerininin nasıl yapılması gerektiğine değindi. Saruhan, adli incelemelerden gerçek örnekler vererek özellikle dikkat edilmesi gereken teknik hususları anlattı. Bankaların online sistemlerine saldırı gerçekleştiğinde ilk yapılması gerekenin zaman çizelgesi çıkarmak olduğunu söyleyen Saruhan, inceleme yaparken veri kaybından kaçınılması gerektiğini ve eylemlerin saldırının niteliğine göre planlanması gerektiğine dikkat çekti.

BKM Güvenlik müdürü Engin Eraydın, kartlı ödeme sistemi dolandırıcılığı istatistikleri ve Türkiye-Dünya trendlerini anlattığı konuşmasında, kullanıcıların önlem alması ile bazı sahtecilik yöntemlerinin önüne geçilmesinin mümkün olduğunu söyleyerek kartlı ödeme sistemi dolandırıcılık yöntemlerinden bahsetti.Eraydın, “ortamda yalnız mıyız?” sorusunun tüm BT güvenlikçilerinin kendilerine sorması gereken en önemli soru olduğuna dikkat çekti.

www.legaltalks.com.tr