Bankalar ve finans kuruluşları Bilgi Sistemleri ve Elektronik Bankacılık alanında 2021 yılında yürürlüğe girecek olan BDDK yönetmeliğine uyum sağlamak için adımlarını hızlandırırken, Innovera’nın düzenlediği etkinlikte konu farklı boyutlarıyla ele alındı.
Uzmanlar siber risklerin etkisiz bırakılması için yönetmelikle kapsamlı düzenlemeler yapıldığına dikkat çekerken, çok değerli panelistler tartışmaya açık birkaç konu olsa da yönetmeliğin büyük fayda sağlayacağı ve özellikle Bilgi Güvenliği Sorumlusunun direkt Yönetim Kuruluna veya Genel Müdüre bağlanmasının, güvenliğe verilen önemi artıracağı konularında birleşti. Öte yandan güvenlik seviyelerini bankalarla aynı seviyede tutmaları zorunlu hale getirilen dış kaynak sağlayıcıların yeni düzenlemeye uyum sağlaması için zamana ihtiyaç duyacakları vurgulandı.
Bankacılık Düzenleme ve Denetleme Kurumu’nun (BDDK), Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliğinin, 1 Temmuz 2020 olarak belirlenen yürürlük tarihi, Kovid-19 salgını sebebiyle oluşan şartlar göz önüne alınarak 6 ay ertelendi. Ancak bankalar, bilgi sistemleri ve elektronik bankacılık hizmetlerini, müşteri güvenliği ve hizmet kalitesini ön planda tutarak, BDDK’nın mevcut düzenlemelerine uyumlu hale getirmek için adımlarını hızlandırdı.
Bu konudaki gelişmeler ve gelinen son nokta, Türkiye’nin lider siber güvenlik sağlayıcılarından Innovera tarafından düzenlenen Siber Güvenlik Süreç ve Teknolojilerinin Yeni BDDK Yönetmeliğine Entegrasyonu başlıklı sanal toplantıda, bankalar ve Big4 Üst Düzey Yöneticileri ve dünyaca ünlü siber güvenlik uzmanlarının katılımıyla ele alındı.
Konferansın moderatörlüğünü gerçekleştiren Innovera CEO’su Gökhan Say VShield The New World’ün hemen ardından bir ay sonra VShield The New Regulation’ı düzenlemek oldukça zorlu oldu, ancak Yeni yönetmeliğin büyük fayda sağlayacağı konusunda hepimiz hem fikir olsak da yoruma açık bazı hususların ve uygulamalarının netleştirilmesinin çok faydalı olacağını düşünüyorduk ve bu kritik konuyu bu kadar kapsamlı bir şekilde çok önemli konuşmacılarla masaya yatırarak yine bir ilke imza attık.’’ diye görüşlerini ifade etti.
Etkinlikte, konuşmacılar, yeni düzenlemeye uyum konusunda görüşlerini dile getirirken, uyumluluk açısından ihtiyaç duyulan Siber Güvenlik Teknolojilerine yönelik düşüncelerini de açıkladılar.
Müşteri daha özenli korunacak
DenizBank Intertech Altyapı ve Sistem Yönetim Genel Müdür Yardımcısı Ali Rıza Aydın, bankaların ekonomi ve devlet yönetiminde çok önemli bileşen olarak görüldüğünü belirterek, “Vatandaşın parasını biriktiren, bunları düzenleyen bankaları, senkronizasyon içerisinde hareket etmesini sağlayan yapılar haline getirmek gerekiyor” dedi.
Bir bankanın özellikle siber riskle karşı karşıya kalmasının, sektörün tamamını etkilediğini ifade eden Aydın, “Bu nedenle yönetmelikte müşterinin varlıklarını korunması çok öne çıkarılmış. Özellikle risk yönetimi ile siber risklerin nasıl bertaraf edileceğiyle ilgili çok güzel noktalara değinilmiş. Regülasyonun ruhunda bunu çok net bir şekilde gördüm. Bizim de banka içerisinde uyumla ilgili dikkat ettiğimiz konulardan biri de müşteriye nasıl değeceğiz? Değerken ve bir hizmet sunarken hangi konularda dikkatli olmalıyız ki, müşteri istese de bazı risklerle karşı karşıya kalmasın. Bundan sonra müşteri istese de istemese de onun korunmasına daha fazla özen göstereceğiz. Bu regülasyon bizi bu yöne doğru sevk etti. Yönetmelikte bulut sistemleri ile ilgili bir açılım var. Bu öneriyi kaynak kullanımı açısından çok etkin bulmuyorum” diye konuştu.
Bilgi Güvenliği Komitesi etkin rol alacak
Yapı Kredi Bankası Bilgi Güvenliği Yöneticisi Gökhan Yalçın ise yeni yönetmelikte güvenlik yapılarının IT ekiplerinin dışına çıkarılmasına vurgu yapıldığını belirterek, “Bu düzenlemeyi çok olumlu bir adım olarak görüyorum. Örneğin; kurulması öngörülen Bilgi Güvenliği Komitesi, bankanın güvenlik politikaları ve stratejilerinin yönetim kurulu adına yürütülmesinde ve tesis edilmesinde etkin rol alacak bir yapı olacak” dedi. Yönetmelikle dış hizmet sağlayıcıların da güvenlik seviyelerinin bankalarla aynı seviyede olmasının zorunlu hale getirildiğinin altını çizen Yalçın, “Dış hizmet sağlayıcıları için bunun zorlayıcı bir nokta olduğunu, personellerinin de aynı bilgi güvenliği farkındalık programına tabi tutulması gerektiğini düşünüyorum. Ayrıca dolandırıcılıkla ilgili maddeleri de çok değerli buluyorum” diye konuştu.
Tedarikçi uyum sürecine ihtiyaç var
Türkiye Ekonomi Bankası Bilgi Güvenliği Yöneticisi Gülden Yüncüoğlu, söz konusu yönetmelikte ‘dış hizmet’ konusunun çok kapsamlı şekilde ele alındığını vurgulayarak, “Burada dikkat edilmesi gereken konu, sadece bilgi teknolojilerine yönelik hizmet alımları denmiyor. Bilgi sistemlerine ilişkin ve bu kriterlere uyan bankacılık hizmetleri de kapsama giriyor. Kapsam hayli geniş ve beklentiler de yüksek. Benim bu konuda kaygılarım var. Tüm bankalarda tedarikçi uyumu başlı başına bir konu haline gelmişti. Kapsamın genişlemesiyle birlikte bankaların bu konuya daha fazla kaynak aktarması verimlilik açısından mümkün gözükmüyor. Aslında tedarikçi akreditasyon sürecine ihtiyacımız olduğunu düşünüyorum. Ayrıca varlık envanteri de son derece bütünleşik ve kapsamlı bir hale dönüştürülmüş” ifadelerini kullandı.
Müşterinin canının yanmayacağı sistem oluşturuluyor
Halkbank Bilgi Teknolojileri Daire Başkanı Hakan Tercan, 2007 yılında bankaların bilgi sistemlerinde esas alınacak konulara ilişkin bir tebliğ yayınlandığını, bugünkü düzenlemeyle tebliğin yönetmeliğe dönüştürüldüğünü vurgulayarak, “Buradaki amaç, müşterilerin canının yanmayacağı bir sistemi oluşturmak. Ayrıca bu yönetmeliğe dayanarak denetim yapılabilecek. Bu yönetmeliğin elektronik bankacılığın can yakıcı risklerini ortadan kaldıracağını düşünüyorum. Ayrıca dış tedarikçilerin yazılım tarafından sağladıkları hizmetlerin büyük bir risk taşıdığını düşünüyorum. Geçmişte bunun sıkıntısı çektik” dedi.
İyi bir yönetişim çerçevesi çiziliyor
Akbank Bilgi Güvenliği Yöneticisi Semih Dilmen, 2007 yılında çıkarılan tebliğin bugüne kadar bankaları belli bir olgunluk düzeyine taşıdığını belirterek, şunları kaydetti: “Bu tür yönergeler zaten yapılması gereken minimumu belirler. Bütün bankalar da kendi ihtiyaçları üzerine bir şeyler katarak bu olgunluğu daha da artırdılar. Tebliğ, çok büyük değişikliklere uğramadan bankacılık sektörünün işini gördü. Görevini yerine getirdi. Bir yandan da dünya değişiyor; teknoloji gelişiyor, dijitalleşme devam ediyor. Açık bankacılık servisleri her yerde konuşulmaya ve hayata geçmeye başladı. Bulut bilişim çok önemli teknolojik gelişme. Kişisel verilerin gizliliği dünyanın olduğu gibi Türkiye’nin de gündeminde. Sadece bizim sektöre değil bütün sektörlere hitap eden Kişisel Verileri Koruma Kanunumuz var. Dolayısıyla bütün bunları toparladığımızda BDDK, ilkelerine ekleyerek yeni bir yönetmelik olarak hayatımıza soktu. Yeni olarak neler var baktığımda, bilgi güvenlik yönetişimini komple bir çatı halinde belirlemiş olduğunu görüyorum. Sıkı bir yönetişim çerçevesi çizmiş durumda. Bunun dışında hayatımıza bir bilgi varlık envanteri giriyor. Hepimiz için çok önemli bir konu olduğunu düşünüyorum. Bilgi güvenliği farkındalığıyla ilgili çeşitli konular var. Tebliğde olan destek hizmetler konusu dış hizmetler servisine dönüştürülmüş. Sektöre özel bulut bilişim yapılması teşvik ediliyor. Sektörün dijitalleşmesi anlamında sektörün önünü açacaktır. Organizasyon ve uyum anlamında bu yönetmeliğe doğru yerde olduğumuzu düşünüyorum.”
Veri keşfi, sınıflandırma ve şifreleme çok önemli hale geldi
Innovera Siber Güvenlik Danışmanı Osman Karan da konuşmasında yönetmeliğin ‘varlık envanteri ile veri envanterini eşleştirme’ zorunluluğu getirdiğini vurgulayarak, şunları ifade etti: “Bu bize veri keşfinin ne kadar kritik olduğunu anlatmakla beraber, madde 6’da sınıflandırmanın da çok önemli olduğunu, bunu yanında madde 9 ile güncel algoritmalar kullanarak şifreleme tekniklerini uygulamamız gerektiğini belirtiyor. Ayrıca burada şifreleme anahtarlarının da yaşam döngüsünün çok önemli bir nokta olduğunu, adreslemelerde çok rahat bir şekilde görebiliyoruz. Madde 10’da KVKK yönetmeliğine atıf var. Yönetmeliğin bunu bir düzen çerçevesinde oturttuğunu görüyoruz. Kısaca saydığımız bu teknikleri uyarlayabilmemiz için veri keşfinin, veri sınıflandırmanın, veri şifrelemenin çok önemli olduğunu söyleyebiliriz. Siber olay yönetimi, sızma testi, siber istihbarat paylaşımı adı altında yönetmelikte madde 18’de düzenlemeler olduğunu görüyoruz. Siber tatbikat dediğimiz konuların, müdahale planlarının test edilmesi konusunda ciddi bir tehdit içerisinde çalıştığını görmekteyiz. Güvenlik konsültasyon yönetiminin yönetmeliğin en sıkı maddesi olduğunu da söyleyebilirim.”
