Bankalararası Kart Merkezi Bilgi Güvenliği, BT Uyum ve Hizmet Yönetimi Direktörü Bülent Muşlu, Medium hesabında kaleme aldığı bir makale ile FinTech girişimleri için siber güvenlikte dikkat etmeleri gereken noktara dikkat çekiyor.

Bankalararası Kart Merkezi Türkiye’nin lider ve doğal FinTech kurumlarından birisi. BKM çatısı altında çalışan yöneticiler ve mühendisler bu noktada sadece kurum içi değil kurum çevresi ve genel FinTech ekosisteminde bilinci artırmak ve nitelikli içerik üretmek için de gayret gösteriyorlar.

Bilgi Güvenliği, BT Uyum ve Hizmet Yönetimi Direktörü Bülent Muşlu, popüler ve entellektüel içerik platformu Medium üzerindeki hesabında bir yazı kaleme alarak FinTech girişimlerinin siber güvenlik açısından dikkat etmeleri gereken noktaları maddeler halinde paylaştı. İşte o yazı;

Fintech StartUp’lar için Siber Güvenlik İpuçları

Süper bir fikriniz var, üretim planınız hazır, sponsor ayarlanmış durumda ve başlıyorsunuz. Peki ürününüzün daha müşterileri ile tanıştığı ilk gün müşteri güvenini kaybetmenize sebep olabilecek bir siber saldırıya hazır mısınız? Alınması gereken tedbirleri ve yapılmaması gereken hataları aşağıda sıralamaya çalıştım :

1. Siber Güvenlik bir süreçtir :

Her süreçte olduğu gibi bir akış, sürecin sahibi, kuralları, yöntemleri ve uygulayıcıları olmalıdır. Ortaya çıkaracak olduğunuz ürünü bir servis mantığında kurgulayıp Siber Güvenlik konularında ekip içinde bir lider seçmeli ve tüm paydaşların bu liderin öncülüğünde organize olmasını sağlamalısınız.

2. Uyum ve Regülasyon Konuları Göz önünde bulundurulmalı :

Projeye göre uyulması gereken kanun ve regülasyonlar bilinmeli ve takip edilmeli. Müşterinin kişisel bilgilerinin saklanması ve kullanılması konusunda sınırlar ve yöntemler sıkı takip edilmeli, bu konuda bir sorumlu kişi atanmalıdır. Uyulmadığı takdirde ciddi cezalar ve itibar kaybına sebep olabilecek tüm riskli alanlar tespit edilmelidir.

3. Özelleştirilmiş, Görev Bazlı Güvenlik Eğitimleri Düzenlenmeli:

Ekip içinde herkesin siber güvenlik konusunda farkındalığının gerekli olmasının yanı sıra, görevlerine göre özelleştirilmiş güvenlik eğitimleri alınmalıdır. Geliştiricilerin, teknik ekibin kendi sorumlulukları ile ilgili güncel Siber Güvenlik bilgilerine sahip olmaları gereklidir.

4. Siber Saldırı Yöntemleri hakkında bilgi sahibi olunmalı :

Kötü amaçlı kişilerin kullanmış oldukları çok farklı saldırı yöntemleri bulunmaktadır. Ancak bunlar içerisinde en çok kullanılanlarının bilinmesinde fayda vardır. 80/20 kuralını hatırlayın !. Bu yöntemlerin en bilinenlerini aşağıdaki linki tıklayarak okuyabilirsiniz :

https://www.ncsc.gov.uk/white-papers/common-cyber-attacks-reducing-impact 

5. Güvenlik ürünün bir parçası olmalı :

Çözümünüze her eklediğiniz parçanın güvenli olmasını sağlamak için çaba göstermek yerine, baştan güvenli çözümler tasarlamak (“security by design”) en doğrusudur. Kolay bir iş olmasa da, maliyeti bulunsa da en doğru yöntem budur. Güvenlik kaygısı duyulmadan üretilen çözümlerin, yagınlaştıktan sonra güvenli hale getirilmesinin maliyetinin fazla olması ve bazı durumlarda imkansızlığı ile ilgili pek çok örnek bulunmakta. Özellikle sonraki aşamada kurumsal firmalarda boy göstermesi planlanan startup’lar için güvenli çözümler çok önemlidir.

6. Güvenli Yazılım Kodu Geliştirme Standartlarına Uyulmalı :

Kod geliştirirken basit bir takım önlemlerle büyük güvenlik açıklarının önüne geçilmesi mümkündür. Neler mi yapılabilir ? Yazılımın güvenlik standartlarına uygun geliştirilip geliştirilmediği ortaya çıkaran ücretli/ücretsiz ürünler bulunmaktadır. Ayrıca bu konuda endüstri standardı olmuş yöntemlere aşağıdaki link aracılığıyla ulaşabilirsiniz :

https://www.owasp.org/index.php/Top_10_2017-Top_10

7. Güvenlik Testleri Yazılım Geliştirme Sürecinin bir parçası olmalı :

Yazılıma entegre edilmiş güvenlik özellikleri test edilmeli, belirli sayıdaki başarısız oturum açma denemelerinden sonra kullanıcı kilitlenmesi, işlem sınırlaması gibi yazılımın güvenliği ile ilgili kavramlar göz önünde bulundurularak, yazılım geliştirildikçe güvenlik testleri de gerçekleştirilmeli, fonksiyonel testlerin yanında güvenlik testleri de yer almalıdır. 

8. Sızma testleri yaptırılmalı :

Güvenlik kuralları göz önüne alarak geliştirilmiş, tüm güvenlik testlerinden geçmiş bir yazılım bile üretime alındığında çok farklı saldırı yöntemleri ile sızma testlerine tabi tutulmalı. Unutmamalı ki bir hacker gözü ile yapılan sızma testleri, her zaman farklı açıkların varlığını bize göstermektedir.

9. Güvenlik Sektöründeki gelişmeler, haberler takip edilmeli :

Gün geçmiyor ki daha önceden keşfedilmemiş bir açıklık tespit edilmesin, bu açıklıktan etkilenen kişi, firma, sektör, ülkeler ifşa olmasın. Özellikle tespit edilen açıklıklar sonrası çıkan yamalar takip edilmeli ve soruna sebep olmadan girişimlerinizde uygulanmalı.

Bu yazının orjinaline Bülent Muşlu’nun Medium hesabından ulaşabilir, kendisini Twitter hesabından takip edebilirsiniz.

Ayrıca BKM Bilgi Güvenliği bölümündeki uzmanların güncel siber güvenlik bilgileri ve tavsiyeleri paylaştıkları Bilgi Güvende Twitter hesabını da takip etmenizi şiddetle tavsiye ediyoruz.