ABD Federal Mevduat Sigortası Kurumu’nun Siber Güvenlik Risklerine İlişkin Kural Tasarısının Her Ölçekteki Finansal Kuruluşlar İçin Anlamı

Finansal kuruluşların (financial institutions) siber güvenlik risklerini nasıl yöneteceklerine ilişkin standartlar sıkılaştırılmakta ve Amerika Birleşik Devletleri (ABD) Federal Mevduat Sigortası Kurumu’nun (Federal Deposit Insurance Corporation-FDIC) yeni kuralı, kapsam dâhilindeki finansal kuruluşlar için geçerli boyut eşiğini düşürmektedir.

Finansal kuruluşlar içinde uygun kurumsal yönetişim ve risk yönetimi standartları gelişmeye devam etmektedir. Federal Mevduat Sigortası Kurumu, büyük bankalar için standartları yükseltmeyi amaçlayan ve 10 milyar ABD dolarının üzerinde varlığa sahip olan bankaların siber güvenlik risk yönetimi politikaları, kontrolleri, veri ve sistem altyapısı gibi diğer risk ve kurumsal yönetişim ile ilgili yükümlülükleri de içeren risk yönetişimlerini değerlendirmelerini gerektiren bir kurala ilişkin tasarıyı[1] kesinleştirip kesinleştirmemeyi değerlendirmektedir.

Parasal Denetim Ofisi (Office of the Comptroller of the Currency-OCC) ve Federal Rezerv (ABD Merkez Bankası), önemli ölçüde daha büyük ve genellikle daha karmaşık bankalara -toplam varlıkları 50 milyar doların üzerinde olan bankalar- uygulanan benzer şekilde yükseltilmiş standartlara sahiptir. Uygulama eşiğinin önemli ölçüde daha düşük kapsamını göz önünde bulundurarak, Federal Mevduat Sigortası Kurumu’nun yönergeleri yeniden yazması sektörün dikkatini çekmiştir. Ayrıca muhaliflerin öfkesini de çekmektedir ki; Senato’daki Cumhuriyetçiler, Federal Mevduat Sigortası Kurumu’nun tasarı kuralı geri çekmesini talep etmiş[2] ve bu kuralın kamuoyu yorum süresi Şubat 2024’te sona ermiş olup; bu nedenle kuralın geleceği şüpheli olabilir.

Tasarı halindeki kuralın kesinleşip kesinleşmeyeceğinden bağımsız olarak, özellikle siber güvenlik bileşenleri açısından sonuçlarının incelenmesi ve dikkate alınması gerekmektedir.

Sonuç olarak, daha iyi kurumsal yönetişim yapıları ve iyi uygulanmış risk yönetimi ilkeleri, siber risk yönetimi programlarını olgunlaştırmaya çalışan kurumlar için anahtardır. Tasarı kural, kapsamına girmeyen kurumlar (örneğin daha küçük bankalar ve her büyüklükteki kredi birlikleri) için bile en iyi uygulamaların bir taslağı olarak hizmet edebilir; çünkü diğer varlık boyutlarına ve kurum türlerine de büyük olasılıkla sızmaya devam edebilecek yeni bir emsal oluşturur.

  1. Yönetim kurullarının giderek daha fazla siber uzmanlığa ihtiyacı vardır

Federal Mevduat Sigortası Kurumu, uzmanlığı yönetim kurulu kompozisyonu ve çeşitlilik stratejilerinin bir parçası olarak ele almaya yönelik standartları geliştirmek için ilk hamleyi yapan kuruluş değildir. 2023 tarihli “New York Finansal Hizmetler Dairesi (New York Department of Financial Services-NYDFS) 500” değişikliği[3], yönetim kurulunun denetim uygulamak için siber güvenlik konularını yeterince anlamasını talep etmekte ve kural, böyle bir anlayış olmadan, düzgün bir şekilde yönetmek için danışmanların kullanılmasının gerekli olabileceğini belirtmektedir.

Federal Mevduat Sigortası Kurumu’nun önerdiği kural ise, “Bölüm 500” gibi siber güvenliğe özgü değildir; ancak bilgi boşluklarını önlemek için deneyim çeşitliliği çağrısında bulunmaktadır. Yönetim kurulu düzeyinde teknoloji ve siber güvenlik konusunda bilgi ve uzmanlık eksikliğinin, özellikle daha küçük kuruluşlar olmak üzere bankalar ve kredi birlikleri içinde siber riski düzgün bir şekilde yönetmenin önünde bir engel olduğu bir sır değildir. Bunun, bir kurumun kilit yönetim organı içinde bilgi boşluklarını önlemenin arkasındaki motivasyon olduğu varsayılabilir.

Her büyüklükteki banka ve kredi birliği/kooperatifi, yönetim kurullarının teknoloji ve siber güvenlik konusundaki bilgi ve uzmanlıklarını artırmayı düşünmelidir. Bu, elbette, yönetim kurulunun bileşimindeki deneyim çeşitliliğiyle sağlanabilir; daha küçük, daha az karmaşık kurumlar için daha somut seçenekler arasında daha sık yönetim kurulu eğitimi ve hedefli denetim için odaklanmış komiteler kurulması yer alır.

  1. Üç savunma hattı modeli

Federal Mevduat Sigortası Kurumu’nun kuralı, kapsam dâhilindeki bankaların üç savunma hattı modelini resmi olarak uygulamasını gerektirir. Birçok topluluk bankası ve kredi birliği henüz bu modeli resmileştirmemiştir. Daha önce vurgulandığı gibi, yüksek standartların varlığı küçülüyor; bu nedenle, bunun tüm kurumlar için resmi bir standart haline geleceği açıktır. Zaten resmi olmayan standarttır.

Üçlü savunma hattı modeli, bu üç birimin risk yönetim programına uyumu izlemesini ve raporlamasını gerektirir:

  • Ön saflardaki birimler (front-line units), diğer adıyla iş birimleri;
  • Baş risk yöneticisinin (chief risk officer-CRO) yönetimi altında olan bağımsız risk yönetimi (independent risk management),
  • Yönetim kuruluna ve yönetim komitelerine sınırsız erişimi olan bir baş denetim görevlisi (chief audit officer-CAO) tarafından denetlenmesi gereken iç denetim (internal audit).

Özellikle siber risk yönetimi düşünüldüğünde, bu modeli uygulamanın birçok yolu vardır. Kurumlar şunlara sahip olabilir:

  • İş kolu lideri olarak hareket eden ve dolayısıyla ilk sırada yer alan baş bilgi güvenliği sorumlusu (chief information security officer-CISO),
  • Risk yöneticisi olan ve bağımsız ikinci hatta uyan baş bilgi güvenliği sorumlusu.

Kurumlar, yeteneklerine ve organizasyonel yapılarına göre kendilerine en uygun olanı seçebilirler. Ancak, seçim uygun bağımsızlığı yaratmalı ve etkili risk yönetimi ve denetimi sağlamalıdır. Örneğin, bir ön cephe baş bilgi güvenliği sorumlusu niteliğinde baş bilgi güvenliği sorumlusuysanız, bağımsız risk yönetiminin bu görevlinin risk alma faaliyetlerini etkili bir şekilde denetlemek, politikalar oluşturmak ve siber ve bilgi güvenliği kapsamında risk değerlendirmeleri yapmak için uygun yeteneğe ve bilgiye sahip olduğundan emin olunmalıdır.

  1. Veri toplama ve raporlama

Federal Mevduat Sigortası Kurumu’nun önerdiği kural, risk yönetimi programının bir parçası olarak verilerin nasıl bir araya getirildiğini ve raporlandığını ele alır. Özellikle veri toplama ve raporlamayı kapsayan politikalar, prosedürler ve süreçler gerektirir. Veri mimarisinin ve bilgi teknolojisi altyapısının tasarımı, uygulanması ve bakımı, kurumun normal operasyonlar sırasında ve bir felaket veya siber olay gibi stres zamanlarında risk toplama ve raporlama ihtiyaçlarını desteklemelidir.

Bu, bilgi teknolojisi profesyonelleri için yeni bir stres katmanı yaratabilir, çünkü bu politikaların, prosedürlerin ve süreçlerin uygulanmasını muhtemelen onlar üstlenecektir. Tüm kurumdaki riskler için, yalnızca siber risk için değil, önemli riskler, limit ihlalleri ve risk yoğunlukları hakkında ilgili taraflara hızlı raporlamayı kolaylaştırmak için risk verilerinin doğruluğunu ve kullanılabilirliğini sürdürme sorumluluğu departmanlarına aittir.

Risk yönetimi programlarını olgunlaştırmak amacıyla çalışan kurumlar için, veri toplama ve raporlama stratejik planlama süreçlerinin ön saflarında olmalıdır. Bir kurumun önerilen kuralın kapsamına girip girmediğine bakılmaksızın, veri mimarisi ve bilgi teknolojisi altyapısı düzenleyici otoriteler tarafından daha fazla incelemeye tabi tutulmakta olup; bu nedenle, bölgedeki kurumlar özellikle risk yönetimi programlarını desteklemeyle ilgili olarak olgunlaşmaya odaklanmalıdır.

  1. Olgunlaşan iç denetim birimleri

Federal Mevduat Sigortası Kurumu’nun artırılmış standartlarına tabi olan kurumların, risk yönetimi programlarının etkinliğini sağlamak için üçüncü savunma hattı olan iç denetimi olgunlaştırmaları gerekecektir. Olgunlaşma, tüm işletmeler, ürünler ve işlevler için eksiksiz ve güncel risk kayıtları ve risk değerlendirmeleri gerektirecektir. Bilgi güvenliği denetim planları da dâhil olmak üzere tüm denetim planları, değerlendirilen risk marifetiyle yönlendirilmelidir.

Denetim, hem birinci hem de ikinci savunma hattı için politikaların, prosedürlerin ve süreçlerin yeterliliğini ve bunlara uyumu değerlendirmek için gerekli olacaktır. Ayrıca risk yönetimi programının tasarımını ve etkinliğini değerlendirmekten de sorumludur. Her büyüklükteki kurum, risk yönetimi programının yönetmeliklere ve iç politikaya teknik uyumun değerlendirildiği şekilde değerlendirildiğinden emin olmak için denetim kapsamlarını inceleyebilir.

Denetimler, yeni en iyi uygulamaları öğrenmek ve programların nerede büyümesi ve gelişmesi gerektiği konusunda rehberlik almak için bir fırsattır. Varlık boyutları artırılmış standartlar sınırının altında olan kurumlar, önerilen yönergelerle uyumlu risk yönetimi programlarına sahip daha büyük kurumları da denetleyen firmaları kullanmaktan faydalanabilir. Bu firmalar, daha iyi, daha etkili risk yönetimi programlarına yol açacak rehberlik ve anlama kapasitesi sağlayabilir.

Kaynak kısıtlamaları ve diğer faktörler ışığında daha küçük kurumlar için uygun veya uygulanabilir olmayacak daha büyük, daha karmaşık kurumlardan istenen eylemler vardır – örneğin her tanımlanan eksiklik için resmi bir kök neden analizi yürütmek. Herkes için uygulanabilir olmasa da, bir eksikliğin etkisini ve çözümün ne kadar etkili olduğunu anlamakta -daha gayri resmi de olsa- bir zarar yoktur. Bu anlayışlar olmadan, üst düzey liderlik gerçek sorunu doğru şekilde iletemeyebilir ve bu da yönetim organlarının programı düzgün bir şekilde denetlemesini engelleyebilir. Burada tartışılan her şeyde olduğu gibi, derinlikler ve formaliteler bankanın veya kredi birliğinin büyüklüğü ve karmaşıklığı ile orantılı olmalıdır.

[1]<https://www.federalregister.gov/documents/2023/10/11/2023-22421/guidelines-establishing-standards-for-corporate-governance-and-risk-management-for-covered>

[2]<https://www.tillis.senate.gov/2024/7/tillis-senate-banking-republicans-demand-withdrawal-of-fdic-s-new-corporate-governance-guidelines>

[3] <https://www.dfs.ny.gov/industry_guidance/cybersecurity>

1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.