Bilişimin Yeni Korkusu
Bazı haberlere arada bir rastlıyoruz. Bir bölümünü ise şirketler basından gizliyor, açıklanmasını istemiyor. Ancak, rakamlar ürkütücü mesajlar veriyor. “Kimlik bilgileri hırsızlığı” (Identy thieft)...
Bazı haberlere arada bir rastlıyoruz. Bir bölümünü ise şirketler basından gizliyor, açıklanmasını istemiyor. Ancak, rakamlar ürkütücü mesajlar veriyor. “Kimlik bilgileri hırsızlığı” (Identy thieft) olayı nedeniyle sadece finans kuruluşlarının zararı 3.4 milyar dolara ulaştı. Araştırmalar, 2003 yılında bu nedenle ortaya çıkacak zararı 221 milyar dolar olarak hesaplıyor. 2006 yılında ise 2 trilyon dolar gibi inanılmaz bir zarar rakamına ulaşılacağına dikkat çekiliyor.
Geçtiğimiz şubat ayında ABD'de Texas Üniversitesi bilgisayar ağına giren bilgisayar korsanları; öğrenci, öğretim üyesi ve idari personelden oluşan 55 bin kişinin sosyal güvenlik numaralarını çaldılar. Bu olaydan bir ay sonra New York, Connecticut ve New Jersey’de bazı eczane ve ayakkabı mağazalarında tezgahtarların binlerce müşterinin kredi kartı numaralarını çaldığı ortaya çıktı. Bu numaraları tanesi 50 dolardan satan hırsızlar, karşılığında 4 bin 500 sahte kredi kartı yapıp, bunları lüks ürünler satın almak için kullanmışlardı.
Bu tür haberlere ABD’de son yıllarda sıkça rastlanıyor. ABD’de kimlik bilgileri hırsızlığı bugün en hızlı büyüyen suçlardan biri kabul ediliyor. FTC’nin (Federal Ticaret Komisyonu) verilerine göre, kimlik bilgilerinin çalındığına ilişkin şikayetler 2000 yılında 31 bin olarak kayda geçti. 2002 yılında ise bu rakam162 bine ulaştı.
Diğer yandan sektör araştırmaları yapan Financial Insights şirketinin verilerine göre, kimlik bilgileri hırsızlığı nedeniyle finansal kuruluşların uğradığı zarar 2002 yılında 3,4 milyar dolara ulaştı. Tahminler bu rakamın 2006 yılında 8,2 milyar dolara ulaşabileceği yönünde.
Dünya genelindeki veriler de ABD’kilerle paralel seyrediyor. Kimlik bilgileri hırsızlığının tüketiciler, şirketler ve kamu kuruluşlarına vereceği zararın, 2003 yılı sonuna kadar 221 milyar doları bulması bekleniyor. Daha kötüsü kimlik bilgileri hırsızlığı dünya genelinde yılda yüzde 300 gibi inanılmaz bir oranda artış gösteriyor. 2005 yılının sonuna kadar kimlik bilgileri hırsızlığının yaratacağı zararın toplam 2 trilyon dolara ulaşacağı öngörülüyor.
Uluslararası araştırma şirketi Gartner, önümüzdeki 2 yıl içerisinde kimlik bilgileri hırsızlığının kitlesel kurbanlar yaratacağını ifade ediyor. Tüketicilerin her zamankinden çok daha dikkatli olmaları gerektiğini söyleyen Gartner danışmanları, tüm finansal işlemlerin ve açıklanamayan hesap hareketlerinin titizlikle incelenmesini öneriyor.
Tehlikenin boyutu büyük
Kimlik bilgileri hırsızlığı hemen hepimizin karşılaşabileceği potansiyel bir tehlike. Adımız soyadımızdan, annemizin kızlık soyadına, kimlik numaramızdan kredi kartı numaramıza kadar kişisel bilgilerimizin çalınması kimlik bilgileri hırsızlığı olarak adlandırılıyor. Kimlik bilgilerinin kötü niyetli kişilerce kullanılması banka hesaplarımızın boşaltılmasından adımıza harcamalar yapılmasına ya da suç işlenmesine kadar uzanan bir çok tehlikeyi beraberinde getiriyor. Kişisel bilgi hırsızlığı vakaları fiziksel ya da elektronik ortamda gerçekleşebiliyor.
Fiziksel, örneğin cüzdanımızın çalınması durumunda müdahale etmek çok daha kolay oluyor. Oysa elektronik ortamda çalınan bilgiler, fark edilmesi uzun vakit aldığından çok daha büyük kayıplara yol açabiliyor.
İnnova’nın güvenlik çözümleri danışmanı Rahşan Alaç, gündelik yaşamda kimlik bilgileri hırsızlığına olanak sağlayan ortamı şöyle anlatıyor: “Gündelik hayatımızda kimlik bilgilerimizi kolayca paylaşıyoruz. Çalıştığımız tüm banka veri tabanlarında bu bilgiler mevcut.”
Rahşan Alaç, kişisel bilgilerimizi telefonla bankanın call center çalışanına verirken de aldığımızı söylüyor. Çoğumuz internet üzerinden çeşitli içerikler sunan sitelere üye olmak için kimlik bilgilerimizi hiç düşünmeden bırakıyoruz. Oysa Rahşan Alaç, “Web üzerinden e-posta hesabı açtırmak ya da siteye üye olmak için girilen kimlik bilgileri de hırsızlığa ortam yaratıyor. Sitelerin güvenli olduğundan, iyi korunduğundan emin olmadıkça kimlik bilgileri bırakılmamalı” diyor.
Kredi kartlarına özel dikkat
FTC’nin yayınladığı rapora göre, kimlik bilgileri hırsızlığının yüzde 41.8’lik bölümünü kredi kartları sahteciliği vakaları oluşturuyor. Bunu yüzde 20.1’lik bir oranla, çalıntı kimlik bilgileriyle telefon ve benzeri servislerin kullanımı izliyor. Ayrıca, başka kişi adına banka kredisi alma, çek sahteciliği, sahte kimlik ve pasaport çıkarma gibi vakalara da sıkça rastlanıyor.
Gartner’ın araştırmaları, 2002 yılında yıl her 20 kişiden 1’inin kredi kartları aracılığıyla dolandırıldığını ortaya koyuyor. Aynı araştırma, her 50 kişiden 1’inin de kimlik bilgilerinin çalındığını gösteriyor. Yine Gartner'ın verilerine göre, e-ticaret sitelerinden çalınan kredi kartı bilgilerinin fiziksel olarak gerçekleştirilen kredi kartı hırsızlıklarından 11 kat daha fazla.
Son dönemin en yaygın dolandırıcılık biçiminin kimlik bilgileri hırsızlığı olduğunu gösteren FTC'nin verilerine göre geçtiğimiz yıl kimlik bilgileri hırsızları finansal kuruluşlardan toplam 100 milyon dolar para çalmışlar.
Kimlik bilgilerinin güvenliğinin kendi başımıza kontrol altında tutabileceğimiz bir durum olmadığını söyleyen Rahşan Alaç, “Paylaştığımız kurumların güvenliği de çok önemlidir. Onların güvenlik politikalarındaki zayıflıklar, müşterileri etkiler” diye konuşuyor.
Kimlik bilgileri, online ortamlarda kullanıcı bilgisayarına yerleştirilmiş yazılımlar, tuzak web siteleri ya da e-postalar gibi tekniklerle de çalınabiliyor. Son zamanlarda kişisel bilgiler ve şifre, kredi kartı gibi bilgilerin gizlice iletimi için Bugbear gibi virüsler de tehdit yaratıyor.
Türkiye'de fazla duyulmuyor
Dünyada olduğu gibi, Türkiye'de de kimlik bilgileri hırsızlığı suçlarına rastlanıyor. Özellikle sahte kredi kartı ve pasaport çıkarma, kredi kartı bilgileri kullanılarak harcamalar yapılması gibi olaylar sık sık basına yansıyor. Ancak, firmalar, müşteri bilgilerinin çalınması durumunda ticari olarak güven kaybına uğrayacakları ve bu durumda daha büyük zararlara mal olacağından, olayların çok fazla duyulmasını istemiyorlar.
Türkiye'de yaşanan kimlik bilgileri hırsızlığı vakalarının genellikle açıklanmadığını söyleyen Symantec Türkiye Müdürü Gökhan Say, “Açıklamak zorunda kalan firmalar şirket faaliyetlerine son vermek zorunda kalabiliyor” diyor ve şu örneği veriyor:
"Birkaç yıl önce e-ticaret yapan ve bu tarz bir sorunla karşılaşan Egghead, bunu açıklamak ve kullanıcılarına bir yazı yazmak durumunda kaldı. Özetle kullanıcı veri tabanının çalındığını söyledi. Müşterilerini gerekli önlemleri almaları için uyardı. Ve arkasında faaliyetlerine son vermek durumunda kaldı. Bu tarz olaylar özellikle e-ticaret yapan şirketlerin sonunu hazırlayan olaylar olabiliyor.”
Saldırılara baktığımızda CERT’in verdiği rakamlara göre son 5 yıl içerisinde raporlanan vaka sayısı yaklaşık 7-8 katına çıkmış durumda. Ancak, kurumlar bu konuda dışarıya bilgi vermekten kaçındıkları için rakamlar tam olarak gerçeği yansıtmıyor. Sonuçta Türkiye'de yaşanan kimlik bilgilerine yönelik hırsızlıklara ilişkin henüz yeterli veriler yok. Vakalar da raporlanıp kanıtlanamıyor. Gökhan Say, en iyi bilinen şeyin, bu konunun son derece kritik olduğu ve e-iş yapan her şirketin bu konuda iyi önlemler almadığı olduğunu söylüyor.
Koç.net güvenlik ve güvenlik yönetimi yöneticisi Özgür Danışman, “Türkiye'de özellikle kriz sonrasında, çalışanların işten çıkartılmasıyla birlikte çok sayıda olay yaşanmaya başlandı. İşten çıkarmalar sonrasında bazı kurumlar güvenlik konusunda açık vermeye başladılar” diye konuşuyor.
Nasıl önlem almalı?
Kişisel bilgiler olarak nitelenen verilerin mutlaka “saldırı tespit sistemleri” denilen yazılımlarca korunması gerekiyor. İnternete açık olsa da olmasa da bu sistemler son derece kritik bir önem taşıyor. Aynı şekilde bilgisayar korsanlarının ve virüs saldırılarının da dikkate alınması gerekiyor. Koç.net Güvenlik Yönetimi Yöneticisi Özgür Danışman, şirketlerin hem kendi kurumlarını hem de hem de müşterilerini bu olaylara karşı korumak için gerekli bilgi güvenliği tedbirlerini mutlaka alması gerektiğini söylüyor ve şöyle devam ediyor:
“Web sitelerinde güvenlik açığı olup olmadığı, bu konuda denetim hizmeti veren şirketlerce denetlenebilir. Daha doğru olan web sitesi daha yayına açılmadan önce güvenlik denetiminin gerçekleştirilmesi aslında.”
Web sitesi yayına açıldıktan sonra da yeni tehlikelere karşı açığının olup olmadığının anlaşılması için düzenli olara denetime devam etmek gerekiyor. Bunlara ek olarak şirketlerin, şifrelerin korunması için de güçlü şifre mekanizmaları kullanmaları gerekiyor.Bugün bu konuda üç farklı teknoloji kullanılabiliyor. Bunlar bir kullanımlık şifre anlamına gelen OTP (one time password), akıllı kartlar ve dijital imza, biometrik sistemler olarak sıralanıyor. Şirketlerin, bu teknolojilerden ihtiyaçlarına cevap vereni tercih edip, gizli bilgilerini barındıran sistemlere erişimi kontrol altında tutmaları mümkün.
KİMLİK BİLGİLERİNİ KORUMANIN MALİYETİ NE?
Tüm bu önlemleri almak aslında zor değil. Şirketler bugün bu çözümleri uygulamaya geçirmek için danışmanlık almak, yazılım, donanım ve insan kaynağı yatırımı yapmak durumundalar. Bu da belirli bir maliyeti gerektiriyor. Ancak, bu önlemleri almadıkları zaman karşılaşacakları maddi zararlar ve prestij kaybı düşünüldüğünde, yatırımın maliyetinin çok da yüksek değil.
KİŞİ BAŞI MALİYET 5-25 DOLAR ARASI Gartner’ın verilerine göre, dünyada kimlik ve erişim yönetimi sistemleri bugün kişi başına 5 - 25 dolar arasında bir ücrete mal oluyor. 10 binden fazla çalışanı olan bir şirket bugün 650 bin dolarlık yazılım ve bunu uygulamak için 1,5 milyon dolarlık profesyonel bir hizmet alarak tüm kimlik bilgileri ve erişim güvenliğini sağlayabiliyor. Ve bu yatırımın çok üzerinde bir tutarı tasarruf edebiliyor.
GÜVENLİK YAZILIMLARI PAZARININ GELECEĞİ Örneğin, 10 bin çalışanı olan bir şirket güvelik önlemleriyle 3 yılda 3,5 milyon dolar tasarruf sağlayabiliyor. IDC’nin verileri de söz konusu tasarrufun şirketler tarafından fark edildiğini gösteriyor. IDC’nin verilerine göre, 2001’de 550 milyon dolar olan güvenlik yazılımlarının satışları 2006 yılında 2 milyar dolara ulaşacak.
“KİMLİK BİLGİLERİ HIRSIZLIĞI TÜRKİYE’DE DE VAR”
Savaş Şakar/Garanti Ödeme Sistemleri
Garanti Bankası, Garanti Teknoloji’nin de desteğiyle güvenliğini en iyi sağlayan bankalardan. Garanti Ödeme Sistemleri’nden Savaş Akar, alınan tüm tedbirlere rağmen genellikle kart sahibinin ihmalinden kaynaklanan vakaların Türkiye’de de yaşandığına dikkat çekiyor. Akar, saptamalarına şöyle devam ediyor:
MADDİ KAYIPLAR ORTAYA ÇIKIYOR Garanti Bankası olarak tüm projelerimizde sistem ve teknoloji açısından en güvenli uygulamaları hayata geçirmeye çalışıyoruz. Ancak, müşterilerin, kart sahiplerinin ihmalleri, suiistimalleri ya da hırsızlık sonucunda yaşanmış münferit birkaç olay var. Müşterilerin iradesi dışında, kişisel bilgilerinin çalınarak yapılan işlemler nedeniyle maddi kayıplar ortaya çıkabiliyor. Hukuki süreçleri de gerek maddi gerekse manevi açıdan kayıplar yaratabiliyor. Kredi kartı kayıplarında, kart sahibi 24 saat içinde bankayı arayıp kayıp/çalıntı ihbarı yapmazsa, bilgisi dışında gerçekleşen harcamaları ödemek zorunda kalabiliyor.
NASIL TEBDİR ALINIYOR? Kredi kartı başvuruları sırasında, sahte kimlik veritabanı üzerinden bankalar arasında kontroller yapılıyor. Ayrıca, bankalar kendi kara listelerine girmiş eski kayıtlar üzerinden de kontrol yapıyor. Başvuru esnasında verilen bilgilerin tutarlılıkları, özellikle işyerinden yapılan doğrulama işlemleri sırasında kontrol ediliyor. Kredi kartı teslimatında da kimlik kontrolü yapılıyor. Ayrıca, bankamızın sahtecilik izleme birimi, kredi kartlarında olağan dışı harcama işlemleri tespit ettiğinde, müşterilere bilgi vererek teyit alıyor. 24 saat çalışan çağrı merkezi aracılığıyla olası her türlü olumsuz duruma müdahale etmeye çalışıyoruz.
İNTERNETTE GÜVENLİK İnternet işlemlerinin güvenliğini sağlamak için ise müşterilerimizin kendi şifrelerini kendilerinin tanımlamasını istiyoruz. Hem şifre hem de parola ile, çift güvenlik girişi uyguluyoruz. Yalnızca internet şubesinden erişilebilen ve limiti alışveriş sırasında belirlenen sanal kart ve sanal kredi kartlarının kullanımını teşvik etmeye çalışıyoruz.
Şu anda tamamlanmış olan Uluslararası Güvenlik Platformu (UGP) adını verdiğimiz Visa/Mastercard’ın 3D Secure projesi ile birlikte, UGP üyesi sanal mağazalardan kart sahipleri ancak şifrelerini kullanarak alışverişlerini tamamlayabilecek. Böylece kimlik bilgilerinin çalınması sonucu oluşan sahtekarlıklar önlenmiş olacak. Diğer yandan, ülkemizdeki tüm ödeme sistemleri altyapısının çipli altyapıya kavuşması da kart kopyalama yoluyla yapılan sahtecilikler ve kart hırsızlığında meydana gelen maddi kayıpları ortadan kaldırılabilecek.
"AKILLI GÜVENLİK SİSTEMLERİNE GEREK VAR"
Serdar Yalçın/Checkpoint Türkiye Ve Birleşik Arap Emirlikleri Bölgesi Teknik Danışmanı
“Günlük hayatımızda, ev kiramızı ödemekten, kıyafet, kitap vs. satın alamaya kadar bir çok işimizi internet üzerinden gerçekleştirmeye başladık. Bu tür ihtiyaçlarımız karşılarken farkında olmadan birçok elektronik bilgi istemi ile iletişim kuruyoruz.
İletişim zincirinin her halkasında kendimize ait bir takım bilgileri tanımadığımız, nerede olduğunu, nasıl çalıştığını, kim tarafından işletildiğini bilmediğimiz bilgisayarlar ile paylaşıyoruz. Söz konusu bilgisayarlar için biz sadece birer klavye tuşu ya da mouse kliklemesinden ibaretiz. Bu nedenle tanımadığımız herhangi biri de bizim bilgilerimize sahip olduğu sürece aynı işlemleri çok rahatlıkla yapabilir duruma geliyor.
Bu noktada bizim kendi şahsımıza ait kritik bilgileri başkalarıyla paylaşmamamızın önemi ortaya çıkıyor. Biz kendi üzerimize düşen görevi yapmak durumundayız. Diğer yandan bizim bilgilerimizi saklarken gösterdiğimiz hassasiyeti, iletişimde bulunduğumuz servis sağlayıcıları, bankalar ya da alışveriş merkezleri de göstermek durumda.
Kimlik bilgilerimizi saklayan, ileten, işleyen bilgisayar sistemlerine sahip tüm kurum ve kuruluşlar bu bilgileri ele geçirmeyek ya da kötü niyetli kullanmak isteyen kişilere karşı akıllı güvenlik sistemleri kullanmalılar.”
Geçtiğimiz şubat ayında ABD'de Texas Üniversitesi bilgisayar ağına giren bilgisayar korsanları; öğrenci, öğretim üyesi ve idari personelden oluşan 55 bin kişinin sosyal güvenlik numaralarını çaldılar. Bu olaydan bir ay sonra New York, Connecticut ve New Jersey’de bazı eczane ve ayakkabı mağazalarında tezgahtarların binlerce müşterinin kredi kartı numaralarını çaldığı ortaya çıktı. Bu numaraları tanesi 50 dolardan satan hırsızlar, karşılığında 4 bin 500 sahte kredi kartı yapıp, bunları lüks ürünler satın almak için kullanmışlardı.
Bu tür haberlere ABD’de son yıllarda sıkça rastlanıyor. ABD’de kimlik bilgileri hırsızlığı bugün en hızlı büyüyen suçlardan biri kabul ediliyor. FTC’nin (Federal Ticaret Komisyonu) verilerine göre, kimlik bilgilerinin çalındığına ilişkin şikayetler 2000 yılında 31 bin olarak kayda geçti. 2002 yılında ise bu rakam162 bine ulaştı.
Diğer yandan sektör araştırmaları yapan Financial Insights şirketinin verilerine göre, kimlik bilgileri hırsızlığı nedeniyle finansal kuruluşların uğradığı zarar 2002 yılında 3,4 milyar dolara ulaştı. Tahminler bu rakamın 2006 yılında 8,2 milyar dolara ulaşabileceği yönünde.
Dünya genelindeki veriler de ABD’kilerle paralel seyrediyor. Kimlik bilgileri hırsızlığının tüketiciler, şirketler ve kamu kuruluşlarına vereceği zararın, 2003 yılı sonuna kadar 221 milyar doları bulması bekleniyor. Daha kötüsü kimlik bilgileri hırsızlığı dünya genelinde yılda yüzde 300 gibi inanılmaz bir oranda artış gösteriyor. 2005 yılının sonuna kadar kimlik bilgileri hırsızlığının yaratacağı zararın toplam 2 trilyon dolara ulaşacağı öngörülüyor.
Uluslararası araştırma şirketi Gartner, önümüzdeki 2 yıl içerisinde kimlik bilgileri hırsızlığının kitlesel kurbanlar yaratacağını ifade ediyor. Tüketicilerin her zamankinden çok daha dikkatli olmaları gerektiğini söyleyen Gartner danışmanları, tüm finansal işlemlerin ve açıklanamayan hesap hareketlerinin titizlikle incelenmesini öneriyor.
Tehlikenin boyutu büyük
Kimlik bilgileri hırsızlığı hemen hepimizin karşılaşabileceği potansiyel bir tehlike. Adımız soyadımızdan, annemizin kızlık soyadına, kimlik numaramızdan kredi kartı numaramıza kadar kişisel bilgilerimizin çalınması kimlik bilgileri hırsızlığı olarak adlandırılıyor. Kimlik bilgilerinin kötü niyetli kişilerce kullanılması banka hesaplarımızın boşaltılmasından adımıza harcamalar yapılmasına ya da suç işlenmesine kadar uzanan bir çok tehlikeyi beraberinde getiriyor. Kişisel bilgi hırsızlığı vakaları fiziksel ya da elektronik ortamda gerçekleşebiliyor.
Fiziksel, örneğin cüzdanımızın çalınması durumunda müdahale etmek çok daha kolay oluyor. Oysa elektronik ortamda çalınan bilgiler, fark edilmesi uzun vakit aldığından çok daha büyük kayıplara yol açabiliyor.
İnnova’nın güvenlik çözümleri danışmanı Rahşan Alaç, gündelik yaşamda kimlik bilgileri hırsızlığına olanak sağlayan ortamı şöyle anlatıyor: “Gündelik hayatımızda kimlik bilgilerimizi kolayca paylaşıyoruz. Çalıştığımız tüm banka veri tabanlarında bu bilgiler mevcut.”
Rahşan Alaç, kişisel bilgilerimizi telefonla bankanın call center çalışanına verirken de aldığımızı söylüyor. Çoğumuz internet üzerinden çeşitli içerikler sunan sitelere üye olmak için kimlik bilgilerimizi hiç düşünmeden bırakıyoruz. Oysa Rahşan Alaç, “Web üzerinden e-posta hesabı açtırmak ya da siteye üye olmak için girilen kimlik bilgileri de hırsızlığa ortam yaratıyor. Sitelerin güvenli olduğundan, iyi korunduğundan emin olmadıkça kimlik bilgileri bırakılmamalı” diyor.
Kredi kartlarına özel dikkat
FTC’nin yayınladığı rapora göre, kimlik bilgileri hırsızlığının yüzde 41.8’lik bölümünü kredi kartları sahteciliği vakaları oluşturuyor. Bunu yüzde 20.1’lik bir oranla, çalıntı kimlik bilgileriyle telefon ve benzeri servislerin kullanımı izliyor. Ayrıca, başka kişi adına banka kredisi alma, çek sahteciliği, sahte kimlik ve pasaport çıkarma gibi vakalara da sıkça rastlanıyor.
Gartner’ın araştırmaları, 2002 yılında yıl her 20 kişiden 1’inin kredi kartları aracılığıyla dolandırıldığını ortaya koyuyor. Aynı araştırma, her 50 kişiden 1’inin de kimlik bilgilerinin çalındığını gösteriyor. Yine Gartner'ın verilerine göre, e-ticaret sitelerinden çalınan kredi kartı bilgilerinin fiziksel olarak gerçekleştirilen kredi kartı hırsızlıklarından 11 kat daha fazla.
Son dönemin en yaygın dolandırıcılık biçiminin kimlik bilgileri hırsızlığı olduğunu gösteren FTC'nin verilerine göre geçtiğimiz yıl kimlik bilgileri hırsızları finansal kuruluşlardan toplam 100 milyon dolar para çalmışlar.
Kimlik bilgilerinin güvenliğinin kendi başımıza kontrol altında tutabileceğimiz bir durum olmadığını söyleyen Rahşan Alaç, “Paylaştığımız kurumların güvenliği de çok önemlidir. Onların güvenlik politikalarındaki zayıflıklar, müşterileri etkiler” diye konuşuyor.
Kimlik bilgileri, online ortamlarda kullanıcı bilgisayarına yerleştirilmiş yazılımlar, tuzak web siteleri ya da e-postalar gibi tekniklerle de çalınabiliyor. Son zamanlarda kişisel bilgiler ve şifre, kredi kartı gibi bilgilerin gizlice iletimi için Bugbear gibi virüsler de tehdit yaratıyor.
Türkiye'de fazla duyulmuyor
Dünyada olduğu gibi, Türkiye'de de kimlik bilgileri hırsızlığı suçlarına rastlanıyor. Özellikle sahte kredi kartı ve pasaport çıkarma, kredi kartı bilgileri kullanılarak harcamalar yapılması gibi olaylar sık sık basına yansıyor. Ancak, firmalar, müşteri bilgilerinin çalınması durumunda ticari olarak güven kaybına uğrayacakları ve bu durumda daha büyük zararlara mal olacağından, olayların çok fazla duyulmasını istemiyorlar.
Türkiye'de yaşanan kimlik bilgileri hırsızlığı vakalarının genellikle açıklanmadığını söyleyen Symantec Türkiye Müdürü Gökhan Say, “Açıklamak zorunda kalan firmalar şirket faaliyetlerine son vermek zorunda kalabiliyor” diyor ve şu örneği veriyor:
"Birkaç yıl önce e-ticaret yapan ve bu tarz bir sorunla karşılaşan Egghead, bunu açıklamak ve kullanıcılarına bir yazı yazmak durumunda kaldı. Özetle kullanıcı veri tabanının çalındığını söyledi. Müşterilerini gerekli önlemleri almaları için uyardı. Ve arkasında faaliyetlerine son vermek durumunda kaldı. Bu tarz olaylar özellikle e-ticaret yapan şirketlerin sonunu hazırlayan olaylar olabiliyor.”
Saldırılara baktığımızda CERT’in verdiği rakamlara göre son 5 yıl içerisinde raporlanan vaka sayısı yaklaşık 7-8 katına çıkmış durumda. Ancak, kurumlar bu konuda dışarıya bilgi vermekten kaçındıkları için rakamlar tam olarak gerçeği yansıtmıyor. Sonuçta Türkiye'de yaşanan kimlik bilgilerine yönelik hırsızlıklara ilişkin henüz yeterli veriler yok. Vakalar da raporlanıp kanıtlanamıyor. Gökhan Say, en iyi bilinen şeyin, bu konunun son derece kritik olduğu ve e-iş yapan her şirketin bu konuda iyi önlemler almadığı olduğunu söylüyor.
Koç.net güvenlik ve güvenlik yönetimi yöneticisi Özgür Danışman, “Türkiye'de özellikle kriz sonrasında, çalışanların işten çıkartılmasıyla birlikte çok sayıda olay yaşanmaya başlandı. İşten çıkarmalar sonrasında bazı kurumlar güvenlik konusunda açık vermeye başladılar” diye konuşuyor.
Nasıl önlem almalı?
Kişisel bilgiler olarak nitelenen verilerin mutlaka “saldırı tespit sistemleri” denilen yazılımlarca korunması gerekiyor. İnternete açık olsa da olmasa da bu sistemler son derece kritik bir önem taşıyor. Aynı şekilde bilgisayar korsanlarının ve virüs saldırılarının da dikkate alınması gerekiyor. Koç.net Güvenlik Yönetimi Yöneticisi Özgür Danışman, şirketlerin hem kendi kurumlarını hem de hem de müşterilerini bu olaylara karşı korumak için gerekli bilgi güvenliği tedbirlerini mutlaka alması gerektiğini söylüyor ve şöyle devam ediyor:
“Web sitelerinde güvenlik açığı olup olmadığı, bu konuda denetim hizmeti veren şirketlerce denetlenebilir. Daha doğru olan web sitesi daha yayına açılmadan önce güvenlik denetiminin gerçekleştirilmesi aslında.”
Web sitesi yayına açıldıktan sonra da yeni tehlikelere karşı açığının olup olmadığının anlaşılması için düzenli olara denetime devam etmek gerekiyor. Bunlara ek olarak şirketlerin, şifrelerin korunması için de güçlü şifre mekanizmaları kullanmaları gerekiyor.Bugün bu konuda üç farklı teknoloji kullanılabiliyor. Bunlar bir kullanımlık şifre anlamına gelen OTP (one time password), akıllı kartlar ve dijital imza, biometrik sistemler olarak sıralanıyor. Şirketlerin, bu teknolojilerden ihtiyaçlarına cevap vereni tercih edip, gizli bilgilerini barındıran sistemlere erişimi kontrol altında tutmaları mümkün.
KİMLİK BİLGİLERİNİ KORUMANIN MALİYETİ NE?
Tüm bu önlemleri almak aslında zor değil. Şirketler bugün bu çözümleri uygulamaya geçirmek için danışmanlık almak, yazılım, donanım ve insan kaynağı yatırımı yapmak durumundalar. Bu da belirli bir maliyeti gerektiriyor. Ancak, bu önlemleri almadıkları zaman karşılaşacakları maddi zararlar ve prestij kaybı düşünüldüğünde, yatırımın maliyetinin çok da yüksek değil.
KİŞİ BAŞI MALİYET 5-25 DOLAR ARASI Gartner’ın verilerine göre, dünyada kimlik ve erişim yönetimi sistemleri bugün kişi başına 5 - 25 dolar arasında bir ücrete mal oluyor. 10 binden fazla çalışanı olan bir şirket bugün 650 bin dolarlık yazılım ve bunu uygulamak için 1,5 milyon dolarlık profesyonel bir hizmet alarak tüm kimlik bilgileri ve erişim güvenliğini sağlayabiliyor. Ve bu yatırımın çok üzerinde bir tutarı tasarruf edebiliyor.
GÜVENLİK YAZILIMLARI PAZARININ GELECEĞİ Örneğin, 10 bin çalışanı olan bir şirket güvelik önlemleriyle 3 yılda 3,5 milyon dolar tasarruf sağlayabiliyor. IDC’nin verileri de söz konusu tasarrufun şirketler tarafından fark edildiğini gösteriyor. IDC’nin verilerine göre, 2001’de 550 milyon dolar olan güvenlik yazılımlarının satışları 2006 yılında 2 milyar dolara ulaşacak.
“KİMLİK BİLGİLERİ HIRSIZLIĞI TÜRKİYE’DE DE VAR”
Savaş Şakar/Garanti Ödeme Sistemleri
Garanti Bankası, Garanti Teknoloji’nin de desteğiyle güvenliğini en iyi sağlayan bankalardan. Garanti Ödeme Sistemleri’nden Savaş Akar, alınan tüm tedbirlere rağmen genellikle kart sahibinin ihmalinden kaynaklanan vakaların Türkiye’de de yaşandığına dikkat çekiyor. Akar, saptamalarına şöyle devam ediyor:
MADDİ KAYIPLAR ORTAYA ÇIKIYOR Garanti Bankası olarak tüm projelerimizde sistem ve teknoloji açısından en güvenli uygulamaları hayata geçirmeye çalışıyoruz. Ancak, müşterilerin, kart sahiplerinin ihmalleri, suiistimalleri ya da hırsızlık sonucunda yaşanmış münferit birkaç olay var. Müşterilerin iradesi dışında, kişisel bilgilerinin çalınarak yapılan işlemler nedeniyle maddi kayıplar ortaya çıkabiliyor. Hukuki süreçleri de gerek maddi gerekse manevi açıdan kayıplar yaratabiliyor. Kredi kartı kayıplarında, kart sahibi 24 saat içinde bankayı arayıp kayıp/çalıntı ihbarı yapmazsa, bilgisi dışında gerçekleşen harcamaları ödemek zorunda kalabiliyor.
NASIL TEBDİR ALINIYOR? Kredi kartı başvuruları sırasında, sahte kimlik veritabanı üzerinden bankalar arasında kontroller yapılıyor. Ayrıca, bankalar kendi kara listelerine girmiş eski kayıtlar üzerinden de kontrol yapıyor. Başvuru esnasında verilen bilgilerin tutarlılıkları, özellikle işyerinden yapılan doğrulama işlemleri sırasında kontrol ediliyor. Kredi kartı teslimatında da kimlik kontrolü yapılıyor. Ayrıca, bankamızın sahtecilik izleme birimi, kredi kartlarında olağan dışı harcama işlemleri tespit ettiğinde, müşterilere bilgi vererek teyit alıyor. 24 saat çalışan çağrı merkezi aracılığıyla olası her türlü olumsuz duruma müdahale etmeye çalışıyoruz.
İNTERNETTE GÜVENLİK İnternet işlemlerinin güvenliğini sağlamak için ise müşterilerimizin kendi şifrelerini kendilerinin tanımlamasını istiyoruz. Hem şifre hem de parola ile, çift güvenlik girişi uyguluyoruz. Yalnızca internet şubesinden erişilebilen ve limiti alışveriş sırasında belirlenen sanal kart ve sanal kredi kartlarının kullanımını teşvik etmeye çalışıyoruz.
Şu anda tamamlanmış olan Uluslararası Güvenlik Platformu (UGP) adını verdiğimiz Visa/Mastercard’ın 3D Secure projesi ile birlikte, UGP üyesi sanal mağazalardan kart sahipleri ancak şifrelerini kullanarak alışverişlerini tamamlayabilecek. Böylece kimlik bilgilerinin çalınması sonucu oluşan sahtekarlıklar önlenmiş olacak. Diğer yandan, ülkemizdeki tüm ödeme sistemleri altyapısının çipli altyapıya kavuşması da kart kopyalama yoluyla yapılan sahtecilikler ve kart hırsızlığında meydana gelen maddi kayıpları ortadan kaldırılabilecek.
"AKILLI GÜVENLİK SİSTEMLERİNE GEREK VAR"
Serdar Yalçın/Checkpoint Türkiye Ve Birleşik Arap Emirlikleri Bölgesi Teknik Danışmanı
“Günlük hayatımızda, ev kiramızı ödemekten, kıyafet, kitap vs. satın alamaya kadar bir çok işimizi internet üzerinden gerçekleştirmeye başladık. Bu tür ihtiyaçlarımız karşılarken farkında olmadan birçok elektronik bilgi istemi ile iletişim kuruyoruz.
İletişim zincirinin her halkasında kendimize ait bir takım bilgileri tanımadığımız, nerede olduğunu, nasıl çalıştığını, kim tarafından işletildiğini bilmediğimiz bilgisayarlar ile paylaşıyoruz. Söz konusu bilgisayarlar için biz sadece birer klavye tuşu ya da mouse kliklemesinden ibaretiz. Bu nedenle tanımadığımız herhangi biri de bizim bilgilerimize sahip olduğu sürece aynı işlemleri çok rahatlıkla yapabilir duruma geliyor.
Bu noktada bizim kendi şahsımıza ait kritik bilgileri başkalarıyla paylaşmamamızın önemi ortaya çıkıyor. Biz kendi üzerimize düşen görevi yapmak durumundayız. Diğer yandan bizim bilgilerimizi saklarken gösterdiğimiz hassasiyeti, iletişimde bulunduğumuz servis sağlayıcıları, bankalar ya da alışveriş merkezleri de göstermek durumda.
Kimlik bilgilerimizi saklayan, ileten, işleyen bilgisayar sistemlerine sahip tüm kurum ve kuruluşlar bu bilgileri ele geçirmeyek ya da kötü niyetli kullanmak isteyen kişilere karşı akıllı güvenlik sistemleri kullanmalılar.”
