FinTech dünyası için en önemli konu başlıklarından birisi Siber Güvenlik alanında sorularımızı bu alanda profesyonel hizmetler sunan Biznet Bilişim’in Genel Müdür Yardımcısı Onur Arıkan’a yönelttik.

Kısaca firmanızdan bize bahseder misiniz?

Biznet Bilişim 2000 yılında ODTÜ Teknokent’te kuruldu ve kurulduğu günden bu yana sadece “bilgi güvenliği” konusunda faaliyet gösterdi. Sektörde uzun süredir faaliyet gösteriyor olmamız ve bu süre zarfında sağlam adımlarla büyümemiz sayesinde bilgi güvenliğinin hemen her alanında, defalarca denenmiş, sağlam metodolojilerle hizmetler sağlıyoruz. Bilgi birikimimiz sayesinde oldukça değişken bir konu olan bilgi güvenliği ile ilgili tüm gelişmelere ve yeni tehditlere karşı hızlıca yeni ürün ve hizmetler sağlar hale gelebiliyoruz.

Biznet Bilişim aynı zamanda sahip olduğu ISO27001 belgesi, TSE A Sınıfı Sızma Testi Sertifikası ve uzmanlarının sahip olduğu onlarca sertifika ile de bilgi güvenliği alanındaki bilgi birikimini belgeleyebilmekte ve farkını ortaya koymaktadır.

Dijital dünyada siber güvenlik en önemli konulardan birisi ancak bu alanda işletmelerin kafası karışabilecek denli çok bilgi yoğunluğu ve alt başlık bulunuyor. İşletmeler bu dünyada yollarını bulmak için nasıl bir strateji izlemeli?

Tehditler hızla arttığı ve karmaşıklaştığı için, onlarla mücadele etmek için geliştirilen çözümlerin sayısı da hızla artıyor. Ancak bu çözümlere yatırım yapmak güvenli olacağınız anlamına gelmiyor tabi ki. Öncelikle sisteminizdeki risklerin farkında olmanız gerekiyor. Ancak bu şekilde doğru önlemleri alabilirsiniz. Ayrıca güvenliği sadece teknolojik çözümlerle temin edemezsiniz, konuya sistematik bir şekilde yaklaşmak, bu altyapının nasıl yönetilmesi gerektiğini anlatan prosedürleri hazırlamak, buna uygun görev atamalarını yapmak ve gerek güvenlik ekiplerini gerekse son kullanıcıları gelişen, değişen tehditlere karşısında sürekli eğitmek gerekiyor.

Aslında bu çalışmaları yaparken  rehber alınabilecek uluslararası kabul görmüş standartlar var. ISO 27001 gibi, kredi kartı ile işlem yapan firmaları ilgilendiren Payment Card Industry Data Security Standard gibi, Swift sistemleri için geliştirilen Customer Security Programme gibi. Bilgi güvenliği altyapısını yönetmek için bu standartları izlemek en doğrusu olacaktır.

Genel olarak finans dünyası açısından bilgi güvenliğinin daha önemli olduğu düşünülüyor. Bu yaklaşım doğru mu? Yoksa finans dünyası genel ortalamanın üstünde bir bilgi güvenliği standardına sahip olduğu için böyle bir sonuç çıkıyor diyebilir miyiz? 

Aslında bilgi güvenliği her sektör için öncelikli konuların başında geliyor ve son zamanlarda bu durum gittikçe daha çok dile getirilmeye başladı. Özellikle konunun artık siber savaş boyutuna taşındığını, devletlerin siber ordularını kurduklarını düşünecek olursak başta kritik sektörler (enerji, altyapı, sağlık, kamu) olmak üzere her kurumun/firmanın bu konuda bir şeyler yapması gerektiği çok net. Finans sektörü siber saldırıların doğrudan para ve itibar kaybına neden olacağını erken farkeden, bu nedenle de önlemlerini erken almaya başlayan bir sektör. Dünyada da ülkemizde de öncü bir rol oynuyorlar. Dediğiniz gibi genel ortalamanın üzerinde bir standarda sahipler. Bu haliyle de diğer sektörlere örnek olmalarını, öncü rollerini sürdürmelerini umut ediyoruz.

Bilgi güvenliği açısından FinTech ekosistemini nasıl değerlendiriyorsunuz? Sizce yenilikçilik güvenliğin ikinci planda kalmasına neden olabilir mi?

Bu iki konunun her zaman dengede gitmesi gerektiğini düşünüyoruz. Yenilikçilik muhakkak yaratıcı ve çevik olmayı gerektiriyor. Ancak bilgi güvenliği her durumda, her koşulda göz ardı edilemeyecek kadar önemli bir konu. Eğer bu konuya gereken önem verilmezse FinTech ekosistemi de zarar görebilir.

FinTech ekosistemindeki girişimler açısından güvenlik algısı nasıl olmalı? Bu dünyaya adım atanları neler bekliyor?

Bilgi güvenliğinin olmazsa olmaz üç bileşeni gizlilik, bütünlük ve erişilebilirlik. Geliştirilen her uygulamanın bu üç faktörü göz önünde bulundurması ve dengede tutması gerekiyor. Geliştiriciler için genelde birinci öncelik performans ve sonrasında da uygulamanın kullanılabilirliği oluyor. Ancak güvenlik de bir öncelik haline getirilmeli ve güvenli yazılım geliştirme yaşam döngüsü oluşturularak, uygulama geliştirmenin ayrılmaz bir parçası olmalı diye düşünüyoruz.

Biznet Bilişim’i farklı kılan bazı özel denetim yetkilerine ve sertifikalara sahipsiniz. Kısaca bunlardan ve nerelerde gerekli olduklarından bahseder misiniz? FinTech’ler açısından bunların önemi nedir?

Biznet Bilişim uzun yıllardır verdiği sızma testleri hizmetlerini ve sahip olduğu yetkinliği 2015 yılında TSE tarafından verilen A Sınıfı Sızma Testi Sertifikasyonu’nu alan ilk firmalardan biri olarak belgelendirdi. Bu kapsamda hem finans sektörüne, BDDK regülasyonlarına uygun sızma testi, DDoS simülasyonları ve sosyal mühendislik testleri gibi hizmetleri sağlıyoruz, hem de özel sektöre ve kamuya kapsamlı hizmetler sunuyoruz. Bunun yanı sıra, uzun yıllardır kartlı ödeme sistemlerine sahip kurumların uyması gereken Payment Card Industry Data Security Standard (PCI-DSS) için denetim yapmaya yetkili tek Türk firması ve standarta ilişkin denetim ve danışmanlık hizmetleri sağlıyor. Fintech açısından bakacak olursak, girişimciler bu regülasyonların neler olduğunu bilmeli ve kendilerini ilgilendiren kısımlarını ürünlerinin tasarımını yaparken, geliştirirken, test ederken göz önünde bulundurmalı. Güvenlik özelliklerini en baştan düşünüyor olmak, sonradan bu özellikleri katmaya çalışmaktan çok daha az maliyetli bir iş ve aynı zamanda ortaya çıkacak ürünün güvenlik açısından sağlam olacağının da bir garantisi. Öte yandan, bunun iyi bir pazarlama söylemi olduğu da unutulmamalı. Özetle, regülasyonlarının iyi birer kılavuz olacağını söyleyebiliriz.

Eklemek istediğiniz başka noktalar bulunuyor mu?

Siber güvenlik gittikçe popülaritesini artan bir konu çünkü saldırılar her geçen gün artıyor ve çeşitleniyor. Tehdit devletler boyutuna çıkmış durumda. Kritik altyapılar, nükleer enerji santralleri, hatta giderek internete bağlanabilen herşeyin saldırıya uğrayabileceği bir çağdayız. Bu tehditlerin yaratabileceği zararlar hayal gücümüzle sınırlı.O nedenle her kurumun, her girişimcinin gündeminde olması gereken ve gerçekten önem verilmesi gereken bir konu olduğunun tekrar altını çizmek isteriz. Güvenli günler.