İtibar müesseseleri ve siber güvenlik
Bankalar itibar müesseseleridir. Onlar hakkında konuşurken veya yazarken daha fazla hassas olunması gerekir. Siber güvenlik konusunu ise yurt dışından örneklerle anlatacağız. İlgili herkesin bildiği gibi siber güvenliğin önemi özellikle finans kurumları açısından sürekli işlenen bir konudur. Ancak bu kurumlara yaşadıkları bir siber saldırı sonrasında ceza verilmesi hiç düşünülmez. Genellikle ilgili bankanın veya finans kurumunun kullanıcıları nezdinde yaşadığı güven ve prestij kaybının maddi bir cezadan çok daha önemli olduğu gibi bir algı söz konusudur. Oysa geçtiğimiz haftalarda Güney Kore’de bir ilk yaşandı. Güney Kore’de regülatör kurum FSS yani oranın BDDK’sı, siber saldırı sonrasında itibar kaybıyla yetinilmemesi gerektiğini gösterdi. Müşterilerine ait kredi kartı bilgilerini çaldıran üç finans kurumuna hem para cezası hem de 3 ay boyunca yeni kredi kartı çıkartamama ve kredi kullandıramama cezası verdi.
KB Kookmin Bank, Lotte Card ve NH Nonghyup Card şirketlerine verilen para cezaları göstermelik düzeyde ve 5.600 dolar civarında. Bu çok komik bir ceza gibi görünebilir. Bizce para cezasına takılıp kalmayın. Çünkü para cezasından daha önemlisi, her üç finans kuruluşuna da üç ay boyunca yeni kredi kartı çıkartamama ve kredi kullandıramama cezası verilmiş durumda. Kredi kartı çıkartamama ve kredi kullandıramama cezasının üç aylık maliyetini bir banka açısından tahmin etmeye çalışın bakalım. Bu cezaların bankalar için çok öenmli ve de hayati olduğunu göreceksiniz. Ülkemizdeki BDDK benzeri bir denetim kurumu olan Kore Finansal Gözetim Servisi (FSS) konuyla ilgili yaptığı açıklamada adı geçen 3 finansal kuruluşun tüketicilerin verilerini koruma sorumluluk ve görevlerini yerine getirmediklerine dikkat çekiliyor. Bunun ciddi bir uyarı olduğu ve benzer bir durumun saptanması halinde lisans iptalinin bile söz konusu olabileceği konuşuluyor. Gördüğünüz gibi ceza veren kurumun gerekçesi de ders veriri nitelikte.
Şimdi olayın kısaca bir özetini geçelim. Söz konusu olay, Ocak ayında ortaya çıkartılmış ve Güney Kore gibi teknolojik anlamda son derece gelişmiş bir ülkede oldukça basit bir biçimde veri hırsızlığı yapılabildiğini ortaya koymuştu. Kore Kredi Bürosu danışmanlarından birisi KB Kookmin Card, Lotte Card, ve NH Nonghyup Card adlı finans kuruluşlarının veritabanına girerek yaklaşık 20 milyon Güney Kore vatandaşının kişisel bilgilerini indirmiş. Elde edilen bilgiler arasında kimlik bilgileri, sosyal güvenlik numaraları, kredi kartı numaraları ve kredi kartı son kullanma tarihleri olduğu söylenmişti.
Kore Finansal Gözetim Servisi (FSS), yaşanan olayı doğrulamış, bu konuyla ilgili geniş çaplı bir inceleme başlatmıştı. Söz konusu finans danışmanı da, elde ettiği verileri tele-pazarlama firmalarına satmaya çalışırken polis tarafından gözaltına alınmıştı. FSS, yaptığı açıklamada tüketicilerin korunmasının ilk öncelik olduğunu ve bu nedenle de kredi kartı firmaları ve bankalara uyarı geçildiğini, yaşanılan herhangi bir mağduriyetin tüketicilere yansıtılmayacağını duyurdu.
Tüm bu gelişmeler üzerine analistler, 20 milyon müşterilerinin bilgilerini çaldıran finans kurumlarını adeta topa tutmuş ve son derece hassas olması gereken bu bilgilerin şifrelemeye dahi tabi tutulmamasını eleştirmişlerdi. İlgili üç finans kurumunun kamuoyuna özür açıklaması yaptıkları ve yöneticilerin istifaya hazır olduklarını duyurdukları söylenmişti. Ancak bu hamle, finans kurumlarının cezadan kaçabilmesine yetmemişti.
Bu tip saldırılarda Güney Kore’deki siber güvenlik uzmanları genellikle Kuzey Kore orijinli saldırı ihtimalleri üzerinde yoğunlaşıyorlar. Ancak saldırganların ana motivasyonlarından birisinin de para olduğu ve tele-pazarlama faaliyetleri için veri hırsızlığı faaliyetlerinin de hiç azımsanmayacak derecede olduğu söyleniyor.
Ülkemizde benzer bir olay yaşansa ilgili kurumlar nasıl hareket eder dersiniz? İnanın henüz bilmiyorum.
(Bu yazının bir kısmı 2 Mart 2014 tarihli Para dergisinde yayınlanmıştır.)