Bilişim güvenliğine finansal yatırım
"Yüzü Olmayan Tehdit" başlıklı 2010 güvenlik araştırması raporuna göre bilişim suçları giderek karmaşıklaşıyor
HABERTURK.COM
EKONOMİ SERVİSİ
Deloitte küresel finans sektörü için hazırladığı, “Yüzü Olmayan Tehdit” başlıklı 2010 güvenlik araştırması raporunu açıkladı. Aralarında Türkiye’nin önde gelen 13 finans kuruluşunun yöneticilerinin de yer aldığı dünya çapında 350’den fazla kuruluştan yöneticilerin katılımı ile hazırlanan rapor finans kuruluşlarının algıladıkları güvenlik tehdidinin arttığını ortaya koydu. Bilişim sahtekarlıklarının yoğunlaşması ve daha karmaşık hale gelmesi nedeni ile finansal kuruluşlar başta kimlik tespiti ve bilgilere erişim alanları olmak üzere bilgi güvenliğine daha fazla yatırım yapıyorlar.
23 Haziran 2010, İstanbul; Deloitte’un hazırladığı “Yüzü Olmayan Tehdit” başlıklı “2010 Küresel Finans Sektörü Güvenlik Araştırması” raporu, küresel finans sektörünün veri ve bilgiyi güvenli olarak koruyabilmek için yatırımlarını artırdığını ortaya koydu. Bilişim sahtekarlıklarında yaşanan büyük artış nedeni ile güvenlik sorununu ciddi bir tehdit olarak algılayan finans kuruluşları, kimlik ve erişim yönetimi alanları başta olmak üzere bilişim teknolojileri güvenliğine daha fazla yatırım yapıyorlar. Bilinçli olarak veya istemeden veri kaybına neden olan faaliyetleri önlemek de bu kuruluşlar için öncelikli bir alan haline geliyor.
Deloitte’un “Yüzü Olmayan Tehdit” 2010 Küresel Finans Sektörü Güvenlik Araştırması raporu Türkiye’nin de aralarında bulunduğu 45 ülkeden, dünyanın önde gelen 350’den fazla finans kurumu, banka ve sigorta kuruluşlarının yöneticileriyle yapılan konuşmalarla oluşturuldu. Çalışmada en büyük 100 bankanın %26’sı, en büyük 50 sigorta şirketinin %28’i, 100 büyük finans kuruluşunun %27’si yer aldı. Araştırmaya Türkiye’nin önde gelen 13 finans kuruluşu katıldı.
Deloitte Türkiye Kurumsal Risk Hizmetleri Ortağı Cüneyt Kırlar raporu şöyle değerlendirdi:
“Bilgi güvenliğini sağlamak her geçen gün biraz daha zorlaşıyor. En yoğun şekilde veri ve bilgiyi saklamak zorunda olan finans sektörü bu baskıyı diğer sektörlerden daha fazla hissediyor. Bu rapor, küresel finans sektörünün güvenlik konusunda hangi kaygıları taşıdığını ve hangi alanlara öncelik verdiğini ortaya koyuyor. “Yüzü Olmayan Tehdit, 2010 Küresel Finans Sektörü Güvenlik Araştırması”nın ülkemiz finans sektörü için de yararlı olacağına inanıyorum. Deloitte güvenlik alanındaki uzmanlığını ve bilgi birikimini her zaman olduğu gibi ülkemizin kuruluşlarının hizmetine sunmaya devam edecek.”
TÜRKİYE'DE BİLGİ GÜVENLİĞİNİN ÖLÇÜLÜP RAPORLANABİLMESİ EN ÖNEMLİ HEDEF
Cüneyt Kırlar, araştırmanın Türkiye ile ilgili sonuçlarını şöyle değerlendirdi:
“Araştırma sonuçları gösteriyor ki, ülkemizdeki finans kuruluşlarının 2010 yılı için bilgi güvenliği temel öncelikleri “bilgi güvenliğinin ölçülmesi ve raporlanması”, “bilgi güvenliği uyum iyileştirmeleri” ve “veri koruma programları”dır. Güvenlik için ayrılan bütçelerin önemli bir kısmı yazılım ve donanıma ayrılırken, bilgi güvenliği uzmanlarından danışmanlık alınması da bütçe içerisinde 2. büyük kalemi oluşturuyor. Ayrıca BT denetimleri sırasında öne çıkan konuların “denetim izlerinin oluşturulması ve saklanmasıyla ilgili eksiklikler”, “yazılımcıların üretim ortamına erişimleri”, “görevler ayrılığına ilişkin eksiklikler”, “üretim ortamı verilerinin test ortamında kullanılması” olduğunu görüyoruz. BDDK’nın 2006 yılı itibariyle başlattığı Bilgi Sistemleri Denetimleri’nin kurumlarda önemli değişimleri tetiklediğini gözlemlemekle beraber halen bilgi güvenliği alanında katedilmesi gereken önemli bir yolun olduğunu görüyoruz.
İş sürekliliği açısından araştırmanın Türkiye sonuçlarını değerlendirdiğimizde finans kurumlarında operasyonel esneklik ve sürekliliğin temel hedef olduğunu görmekle birlikte, ikinci sırada yasal düzenlemelere uyumun yer aldığını görüyoruz. BDDK’nın Haziran ayının başında yürürlüğe aldığı iş sürekliliği uygulamalarını da içeren düzenlemelerle yasal uyumun daha da önemli hale geleceğini tahmin ediyoruz.”
BİLİŞİM SUÇLARI GİDEREK KARMAŞIKLAŞIYOR
Raporda bilişim alanındaki suç ve sahtekarlıkların artık sadece “akıllı çocuklar” tarafından yapılmadığı, organize suç örgütlerinin ve hükümetlerin de bu alana girdikleri hatırlatılıyor. Özellikle internette bu amaçla kullanılabilecek araç ve yazılımların bulunabilmesi, bilişim konusunda üstün bilgi ve yeteneği bulunmayanların bile bilişim sahtekarlığına adım atmasını mümkün kılıyor.
Raporda, ABD Başkanı Barack Obama’nın geçen yıl 29 Mayıs’ta yaptığı konuşma da hatırlatılıyor. Obama bu konuşmasında siber hırsızlıklar nedeni ile her yıl kaybedilen fikri mülkiyet değerinin 1 trilyon doları bulduğunu kaydetmişti.
Bankalar ve diğer finans kuruluşları hem içeriden hem de dışarıdan saldırılara hedef oluyorlar. Deloitte’un çalışmasında, içeriden kaynaklanan olası tehditlere karşı kendilerini “biraz” güvenli hissettiklerini veya güvenli hissetmediklerini söyleyen yöneticilerin oranı %60’a ulaşıyor. Olası dış tehditlerde ise güven duygusu artıyor. Dış tehditlere karşı kurumunun biraz güvende olduğunu veya güvende olmadığını düşünen yöneticilerin oranı ise %29 düzeyinde gerçekleşti.
KİMLİK TESPİTİ VE BİLGİLERE ERİŞİM GÜVENLİĞİ ÖNCELİKLİ
Küresel finans sektöründeki lider kuruluşlar hem kendilerini, hem de müşterilerini siber suçlardan korumak için yatırımlarını artırıyorlar. Deloitte’un çalışmasına katılan yöneticilerin %44’ü öncelikli olarak kimlik tespitinin ve bilgilere erişimin güvenliğini artırmak için yatırım yapıldığını belirttiler. 10.000’den fazla çalışanı bulunan kuruluşlarda ise bu konuya öncelik verildiğini belirten yöneticilerin oranı %63’ü buldu.
İçeriden veya dışarıdan, isteyerek veya istemeyerek gerçekleşen olaylar sonucunda veri ve bilgi kaybı da bir başka önemli yatırım alanını oluşturuyor. Kurum içindeki güvenlik ihlallerini önlemek konusunda “çok güvenli” olduğunu belirten yöneticilerin oranı %34’te kaldı. Buna karşılık dışarıdan kaynaklanan güvenlik ihlalleri sorulduğunda, bu konuda “çok güvenli” olduklarını söyleyenlerin oranı %56 oldu. Katılımcılar ayrıca, mevzuat ve yasalara uyumu güçlendirmek için yapılan yatırımların da ilk 5 öncelikli alan içinde yer aldığını kaydettiler.
Katılımcıların %87’si önümüzdeki 12 ay içinde bir güvenlik stratejisi oluşturma planları bulunduğunu belirtiyor. Ancak bu stratejinin iş birimlerinden yeterli katkı sağlanmadan ağırlıklı olarak güvenlik biriminin öncülüğünde hazırlandığı, bunun sonucu da iş hedefleri ile tam bir uyumun sağlanamadığı görülüyor.
SİGORTA ŞİRKETLERİNDEN GÜVENLİK HAMLESİ
Deloitte’un raporunda ilk kez finansın alt sektörleri arasında karşılaştırmalar yapıldı. Şu anda bankalar güvenlik alanında diğer finans kuruluşlarından önde görünüyor. Ancak sigorta şirketleri de bu konuda ciddi bir hamle içindeler.
2010’da kimlik tespiti ve bilgilere erişim alanında güvenliği artırmak için yatırımlara öncelik vereceklerini belirten sigorta şirketi yöneticilerinin oranı %51 olurken, bu oran banka yöneticileri arasında %44’te kaldı. Veri kaybını önleyecek teknolojilere yatırımlara öncelik vereceklerini söyleyenlerin oranı da sigortacılar arasında %32, bankacılar arasında %25 oldu.
Bunların yanı sıra kurumların önceki yıllarda güvenlik tehditleri ile mücadelede gelişen teknolojilerin olgunlaşmasını beklerken şimdi gelişen teknolojileri hızlıca kullanmak konusunda daha istekli olduklarını gözlemliyoruz.
Raporda güvenlik konusuna yaklaşımlarda görülen sektörel farklılıkların yanı sıra coğrafi farklılıklar da karşılaştırmalı olarak sunuldu.
Deloitte’un küresel finans sektörü için hazırladığı “Yüzü Olmayan Tehdit - 2010 Küresel Finans Sektörü Güvenlik Araştırması’na, www.deloitte.com.tr adresinden ulaşmak mümkün.