Prof. Dr. Bilgin Metin: “Bankacılıkta daha güçlü denetim ve orantılı dış kaynak kullanımı şart"

Boğaziçi Üniversitesi Yönetim Bilişim Sistemleri Bölümü Öğretim Üyesi Prof. Dr. Bilgin Metin, yakın zamanda özel bir bankanın çevrimiçi bankacılık sistemlerinin yaşadığı sorunu değerlendirdi. Prof. Dr. Bilgin Metin böyle sorunların ortaya çıkmasının ardında üç sebep olabileceğini söylüyor: Bilgi teknolojilerinde (BT) orantısız dış kaynak kullanımı, denetimlere hak ettiği önemin verilmemesi ve BT altyapılarında özgür platformlar yerine marka güvencesiyle altyapı kurgulanması.  

Prof. Dr. Bilgin Metin

Geçen haftalarda özel bir bankanın çevrimiçi bankacılıkta yaşadığı sorun akıllarda Türkiye’de bu sistemlerin güvenliği hakkında soru işaretlerinin doğmasına neden oldu. Türkiye’de online bankacılıkta hangi sistemler kullanılıyor? Denetimler nasıl yapılıyor? Özel bankada yaşanan sorunun nedeni neydi? Türkiye’nin siber güvenlik alanında önde gelen isimlerinden Boğaziçi Üniversitesi Yönetim Bilişim Sistemleri Bölümü Öğretim Üyesi ve BÜSİBER Yöneticisi Prof. Dr. Bilgin Metin yanıtladı. Prof. Dr. Metin’e göre Türkiye’de bilgi teknolojilerinde kullanılan orantısız dış kaynaklar müdahale hızını yavaşlatırken, bankaların üst yönetimleri bu alandaki düzenleme ve denetlemelere yeterince önem vermeyebiliyor.

“BİLGİ TEKNOLOJİLERİ SORUNLARI SADECE BT EKİPLERİNİN ÜZERİNE YIKILAMAZ”
Bankanın yaşadığı problem neydi? Bu gibi durumlar güvenlik açısından zaaf oluşmasına neden olur mu?

Bankacılık sistemleri “IBM Mainframe” tabanlı. Banka, “IBM db2” veritabanına yapılan bir güncelleme sonrası önceden öngörülemeyen bir kesintinin meydana geldiği açıklamasını yaptı. Bilgi güvenliği; veriyle bilgi güvenliği sistemlerinin gizlilik, bütünlük ve erişilebilirliğinin sağlanmasıdır. Yani doğal felaketler sonucu altyapı hasarları, sistem arızaları hepsi bilgi güvenliği sorunu. Bu olayda bütünlük ve erişilebilirlik problemi olduğunu görüyoruz. Bilgi teknolojileri sistemlerindeki iş sürekliliği sorunları da bilgi güvenliği problemlerinin içinde yer alıyor. Öncelikle ilgili banka bilgi teknolojileri (BT) ekiplerine geçmiş olsun diyorum. BT ekiplerinin nasıl bir yük altında çalıştığı bir kez daha anlaşıldı. BT problemleri sadece bu ekiplerin üzerine yıkılamaz.

“SORUN ÇIKTIĞINDA DESTEK BEKLİYORSUNUZ”
Bankaların uygulamalarında işlem kapasitesi ve kullanıcı sayısı artarken yeni ne gibi önlemler alınıyor? Salgın koşullarının da etkisi düşünüldüğünde benzer tablolarda karşılaşma riski artıyor mu?

“IBM Mainframe” tabanlı olan bankacılık sistemleri yıllardır kendini ispat etti. Kullanıcı sayısı ve işlem kapasitesi arttığında bile hizmet veren bir platform bu. Bankacılık bilgi sistemleri bir aşamada IBM sistemlerine bağımlı durumda. Bir sorun çıktığında kendiniz müdahale edemiyor ve destek bekliyorsunuz. Bu da olaylara müdahale edilmesini geciktiriyor. Bankalar, IBM gibi güçlü firmalardan sistemlerin çalışacağının garantisini alır. Sorun çözülmezse büyük cezalar masaya gelir. Bunun alternatifi ne olabilir? Yabancı bir şirket yerine açık kaynak kodlu “x86” mimarisinde “Kubernetes” gibi sistemler üzerine BT alt yapınızı kurgulayarak kendi IT ekiplerinizle olaylara daha hızlı müdahale edebilirsiniz. Bu durumda tüm yapıya hâkim olduğunuz için hem kapasiteyi artırma hem de olaylara müdahale konusunda daha esnek olursunuz. Bununla birlikte büyük bir ekonomik avantaj da elde edilebilir. IBM Mainframe'den açık kaynaklı mimariye sahip sisteme geçmek yıllarca süreceği için titiz bir planlama gerektirir.

“ÇOK ZORLU BİR SORUNU EKİPLER FEDAKARCA ÇÖZDÜ”
Bu krizde felaket kurtarma merkezleri devreye girmedi mi?

Sistemde kesin arıza varsa Felaket Kurtarma Merkezlerine (FKM) geçiş yapılır ama bu istenmeyen bir durum. Çünkü Felaket Kurtarma Merkezinden geri dönüş yine büyük emek ister. Bir sistem arada sırada sorunlar çıkarıyorsa durumun ne olduğundan emin olmadan FKM'ye geçilmez. Sorunun kök nedenini bulmadan FKM'ye geçmek sadece sorunu erteler ve daha büyük felaketlere kapı açar. Şu an Akbank’ın başına gelen bu yüzden en zorlu sorundu ve ekipler fedakârca çalışarak sorunu çözdü.

“ROMA ORDUSU PROBLEMİ YAŞANABİLİR”
Krizin arka planında ne var?

Bankacılık sektöründeki önemli sorunlardan biri aşırı dış-kaynak kaynak kullanımı. Maliyetleri azaltmak için bu şekilde hareket edilir. Kadrolu çalışanlar alt yapılarda uzun vadeli kalıcı çözümleri tercih ederken, dış-kaynak çalışanlar, çalıştığı süre boyunca sorun çıkmamasına yönelik çalışmalara öncelik verebilir. Bu şekilde uzun vadede sistemin faydasına olabilecek güncelleme işlemleri de ertelenerek, sistem daha kırılgan hale gelebilir. Ayrıca dış-kaynak çalışanların sayısı kadrolu kişi sayısından fazla ise kurumda tecrübe birikimi konusunda da eksiklik yaşanır. Bu, Roma İmparatorluğu ordusu problemi olarak bilinir. İlk başlarda Roma ordusu sadece kendi vatandaşlarından oluşurdu. Sonra topraklar büyüdükçe farklı coğrafyalardan yetenekli paralı askerler orduya alınmaya başladı. Dış kaynak askerler azınlıktayken, Roma en güçlü dönemini yaşadı. Ne zaman dış kaynak askerlerin sayısı Romalıların sayısını geçti, orduyu özel yapan strateji ve taktikleri uygulanamaz hale geldi, disiplin ve iletişim azaldı, çöküş başladı. Aynı şekilde bankalarda dış kaynak kullanmadan BT hizmetlerini yönetmek bugün mümkün değil ama dış kaynak çalışan sayısı dikkatlice seçilmeli.

“DENETİMLERİN NE KADAR CİDDİYE ALINDIĞI DAHA ÇOK SORGULANACAK”
Türkiye’deki bankaları düşündüğümüzde siber güvenlik açısından uluslararası alanda ne durumdalar?

Bankacılık, düzenlemelerin olduğu sıkı denetlenen bir sektör.  Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) kapsamında denetlemeler var. Bu krizin ardından denetimlerin üst yönetimlerce ne kadar ciddiye alındığı artık daha çok sorgulanacak. Üst yönetimler BT denetimine önem veriyor mu? Ne kadar kaynak ayırıyor? BT ekipleri sayıca az, denetim yapılacak kapsam geniş olunca, bunlar gerekli tedbirlere yönelik “var-yok” kontrol listesi sorularına mı dönüşüyor? Denetçilerin bir birime gidince oradaki işleyişi izleyip inceleyecek gerekli zamana sahip olması lazım. Bu krize dönecek olursak BT destek ve denetim ekiplerini sorgulamak en büyük hata olur. Hatta böyle bir sorunu çözdükleri için şu an en yetkin ekip haline geldiler. Tecrübe yaşanan felaketlerden ders çıkarma becerisidir. Burada daha önce saydığımız büyük resmi görecek bir bakış açısıyla konuyu ele almak gerekir.

“HİÇ ARIZA YAPMAYAN BİLGİ SİSTEMİ DİYE BİR ŞEY YOK”
Bilgi teknolojileri denetimlerine daha çok kaynak ayrılmalı mı?

Hızla artan dijitalleşme bizi teknolojiye daha bağımlı hale getirdi ve bilgi sistemlerinin erişilebilirliğinin önemi arttı. Bilgi sistemleri doğal afet ya da sistem arızası sebebiyle de erişilebilirliğini yitirebilir. Örneğin iş sürekliliğinden emin olmak için ihtiyaç duyulduğunda yedeklerin çalışabildiğinden emin olmak gerekiyor. Bu da alınan yedeklerin test edilip doğrulanmasını gerektiriyor. Aynı şekilde acil durumlarda felaket kurtarma merkezlerinin ya da yedek sistemlerin devreye girip girmediğine ilişkin tatbikatların yapılması lazım. Zaten çok yoğun olan iş temposu içerisinde bu tatbikattan etkilenecek iş birimlerini çalışanları ikna etmek zor olabiliyor. Avrupa Birliği (AB) bunun önemini kavradığı için bankacılık sistemlerinin de dahil olduğu kritik altyapılar için Haziran 2016'da “NIS Directive” (Directive on Security of Network and Information Systems) denilen ağ ve bilgi sistemleri yönetmeliğini üye ülkeler için yayınladı. Özetle “ISO 27001 Bilgi Güvenliği Yönetim Sistemi” standardının yanı sıra “ISO 22301 İş Sürekliliği Yönetim Sistemi Standardı” ilkelerinin beraber kullanımı öngörülüyor. Bu iş sürekliliğinin ne kadar önemli olduğunun bir göstergesi. Ama şunu da unutmamak lazım hiç arıza yapmayan bilgi sistemi diye bir şey de yok. 

“KORSAN BANKACILIK UYGULAMALARINA DİKKAT”
Diğer taraftan bireysel olarak güvenli bankacılık işlemleri için müşteriler ne yapabilir?

Öncelikle temel siber güvenlik önlemleri için bilgisayarlarında anti-virüs programı yüklü olmalı. Halka açık kablosuz ağlardan kesinlikle bankacılık işlemi yapılmamalı. Zorunlu durumlarda VPN kullanılmalı. Sahte korsan bankacılık uygulamalarına karşı akıllı telefonlara sadece Apple Appstore ve Google Playstore gibi resmi kütüphanelerden uygulama yüklenmeli. Bir uygulama yüklenmeden evvel aldığı puan ile yükleme sayısına dikkat edilmeli. Gerçeğine benzer korsan bankacılık uygulamaları giriş bilgilerinin çalınarak banka hesaplarının boşaltılmasına neden olabiliyor.

 “BOĞAZİÇİ BU ALANDA ÖNCÜ”
Bilgi güvenliği denetimi önemli demiştiniz. Bu konusunda üniversitemizde atılan adımlar nelerdir?

Bir kurumda bilgi güvenliğinin sorumluluğu üst yönetime ait. Boğaziçi Üniversitesi ülkemizdeki ve dünyadaki gelişmeleri daima yakından takip ediyor. "6698 sayılı Kişisel Verilerin Korunması Kanunu" çıktıktan sonra üniversitedeki gerekli veri güvenliği tedbirlerinin alınması için 2018’de ÜYK kararı ile "Güvenli Veri Yönetimi Komisyonu" kuruldu. Ardından 2020'de yine Avrupa Birliği (AB) kişisel veri koruma yasası olan "GDPR" ile uyumlu şekilde veri güvenliği denetimleri yapılabilmesi için, Bilgi İşlem Daire Başkanlığından bağımsız ama iç denetim birimi tarafından denetlenen “Bilgi Güvenliği Yönetişimi Koordinatörlüğü” yine ÜYK kararıyla hayata geçti. AB projelerinde veri paylaşımı için bu birimin kurulması GDPR açısından bir zorunluluk. Kurulan bu birim umarım en kısa sürede faaliyetine de başlar. Bu birimler başka üniversiteler için örnek olurken, Boğaziçi öncü rolünü bu alanda da sürdürüyor. Öte yandan bir kurumda bilgi güvenliğinin sorumluluğu üst yönetime aittir demiştik. Bilgi işlem altyapısının yenilenmesi için gerekli yatırımların yapılması ve bilgi işleme daha çok kaynak aktarılması risk yönetimi gereği, kaliteli öğretim yapılabilmesi için üniversite yönetiminin öncelikli konulardan biri olmalı.

Boğaziçi Üniversitesi'nde BÜSİBER olarak siber güvenlik alanında yürüttüğünüz güncel çalışmaları da kısaca özetleyebilir misiniz?

Boğaziçi Üniversitesi Yönetim Bilişim Sistemleri Siber Güvenlik Merkezi (BÜSİBER) İstanbul Kalkınma Ajansı destekli bir proje olarak Aralık 2016 başında faaliyetlerine başladı. İlk olarak siber güvenlikte yetişmiş insan gücüne destek amaçlı her yıl biri yaz biri kış olmak üzere yılda iki defa siber güvenlik kampları düzenliyoruz. Ülkemizdeki tüm üniversite öğrencilerine açık olan bu kampların her birine 1.500’den fazla başvuru oluyor. Bu zamana kadar dokuz kamp düzenledik. İkinci olarak yılda iki kez sektördeki avukat ve IT ekiplerinin, kamu ve yerli endüstrinin katılımıyla "Siber Güvenlik ve Kişisel Verilerin Korunması Kanunu" hakkında farkındalık oluşturma amaçlı zirveler düzenliyoruz. Üçüncü olarak, siber güvenlikte yerli milli çözümlerin yer aldığı ekosisteme destek olmak en önemli ilkelerimiz arasında. Bir üniversite çatısı altında ülkemizde ilk kez “Siber Güvenlikte Yerli Çözümler’’ zirvemizi 8 Mayıs 2017 tarihinde üniversitemizde gerçekleştirdik. Yani “Ulusal Siber Güvenlik Stratejisi”ndeki üniversitelere biçilen roller açısından bakınca siber güvenlik alanında Boğaziçi Üniversitesi 2017’den beri ilk sırada geliyor. Uluslararası arenada ise “Pakistan’da Siber Güvenliği Yeniden Düşünmek: İnsan Faktörünün Temel Rolü” başlıklı Avrupa Birliği Erasmus+ projesini yürütüyoruz. Proje ortakları arasında Boğaziçi Üniversitesi’nin yanı sıra, Almanya’dan Saarland Üniversitesi, Pakistan Ulusal Siber Güvenlik Merkezi ve bağlı üniversiteler yer alıyor.

Prof. Dr. Bilgin Metin kimdir?

Haydarpaşa Teknik Lisesi Elektronik Bölümünden mezun olduktan sora İstanbul Teknik Üniversitesi (İTÜ) Elektronik Haberleşme Mühendisliği programından lisans derecesini aldı. Ardından sektörde bilgisayar ağları, siber güvenlik projeleri danışmalığı tasarımı ve kurulumu konularında çalıştı. Boğaziçi Üniversitesi, Elektrik-Elektronik Mühendisliğinden yüksek lisans ve doktora derecelerini aldı. Bu dönemde özel sektörde veri haberleşmesi, LAN, WAN ve ağ güvenliği sistemlerinin tasarımı, desteği ve kurulumu konularında danışmanlıklar verdi. Antalya Uluslararası Havalimanı dış hatlar terminali LAN, WAN güvenlik altyapı tasarım ve kurulumu ile TÜBİTAK MAM Gebze Kampüsü LAN WAN tasarım ve kurulumu projelerini gerçekleştirdi. 2007’de Boğaziçi Üniversitesi Yönetim Bilişim Sistemleri Bölümünde yardımcı doçent olarak çalışmaya başladı. 2014’te doçent, 2021’de profesör unvanını aldı. Siber güvenlik, bilgi teknolojileri yönetişimi ve bilgi ve haberleşme sistemleri için devre tasarımı, konularında çalışıyor. Uluslararası konferans ve dergilerde 100’den fazla yayına sahip Prof. Dr. Metin, Boğaziçi Üniversitesi Güvenli Veri Yönetimi Komisyonu Başkanlığı ve Boğaziçi Üniversitesi TTO A.Ş. Yönetim Kurulu Üyeliği görevlerini de bulunuyor. Bilim insanı ayrıca ISACA (Information Systems Audit and Control Association) Istanbul Chapter ve Türkiye Bilişim Derneği İstanbul Şubesi Yönetim Kurullarında görev yapıyor. Prof. Dr. Bilgin Metin, CISA (Certified Information Systems Auditor), ISO 27001 Baş Denetçisi, CDPSE (Certified Data Privacy Solution Engineer), TSE Kayıtlı Sızma Testi Uzmanı sertifikalarına sahip. Ayrıca şu anda Boğaziçi Üniversitesi Yönetim Bilişim Sistemleri Siber Güvenlik Merkezi (BÜSİBER) yöneticiliği görevini de sürdürüyor.

*/
  • Prof. Dr. Bilgin Metin