1. Jeopolitik gerginlikler ve dijitalleşme siber dayanıklılığın önemini vurguluyor
Finans sektörümüz son birkaç yılda giderek daha fazla dijitalleşmiştir. Aynı zamanda, artan jeopolitik gerginlikler toplumlarımızı ve bankalarımızı öngörülemeyen ve sürekli gelişen hibrit tehditlere karşı daha savunmasız hale getirmiştir. Siber saldırılardaki artış, bankalarımızın sağladığı hizmetleri tehdit etmekte olup finansal sistemimizin istikrarı için bir risk oluşturabilir. Bu tehditler daha karmaşık hale geldikçe, bankacılık sistemi bu tür risklere karşı dayanıklılığını daha da artırmalıdır. Bu sadece bir önlem değil, aynı zamanda açık bir zorunluluktur.
Uluslararası Para Fonu’na (International Monetary Fund[1]) göre, bankalara yönelik siber saldırıların sayısı Kovid-19 salgınından önceki döneme göre neredeyse iki katına çıkmıştır. Bunu ayrıca son birkaç yılda Avrupa Merkez Bankası’na bildirilen önemli siber olayların sayısındaki artışta da görüyoruz. Bunlar arasında şunlar yer alıyor: çevrimiçi hizmetleri çevrimdışı bırakmaya zorlayan saldırılar (dağıtık hizmet engelleme saldırıları), izinsiz bir şekilde bir bankanın sistemlerine girme (yetkisiz erişim; unauthorised access), fidye karşılığında verileri rehin tutma (fidye yazılımı; ransomware) ve bankaların üçüncü taraf sağlayıcılarını hedef alma. Mevcut manzara, siber suçtan karmaşık devlet destekli saldırılara kadar çeşitli siber tehditler ortaya koymaktadır. Buna, siber saldırılar, dezenformasyon kampanyaları, ekonomik baskı ve siyasi yıkıcılık gibi diğer savaş araçlarıyla geleneksel askeri gücü birleştiren hibrit savaş dâhildir. Örneğin otoriter devletler, siber casusluk ve siber savaş operasyonlarına karışmıştır ve bu da siber güvenliğin yalnızca bireysel bilgisayar korsanlarına karşı koruma meselesi olmadığını, aynı zamanda ulusal ve uluslararası güvenlik meselesi olduğunu göstermektedir. Yapay zekânın yükselişi, daha karmaşık yapay zekâ destekli siber saldırıların riskini de artırmıştır.
Siber olayların henüz genel finans sistemi için sistemik sonuçları olmasa da, ciddi bir başarılı siber saldırı önemli bir tehdit oluşturabilir. Bir siber saldırı, bir bankadaki temel hizmetleri kesintiye uğratabilir, işlerini ciddi şekilde aksatabilir ve müşterilerinin ve yatırımcılarının güvenini zedeleyebilir. Günümüzün bankacılık ağlarının birbirine bağlı yapısı göz önüne alındığında, bir kurumdaki bir olay, son küresel CrowdStrike kesintisinde gördüğümüz gibi, birden fazla sektörde zincirleme etkilere sahip olabilir. Bu nedenle, siber dayanıklılığın önemi yeterince vurgulanamaz ki; bu, finans sistemimizi siber tehditlerden koruyan bir siperdir.
Bu önem göz önüne alındığında, bankaların siber güvenliğe yatırım yapmaya öncelik vermeleri ve bunu operasyonel dayanıklılıklarını destekleyen hayati bir stratejik bileşen olarak ele almaları gerekir. Olumsuz koşullar altında bile iş sürekliliğini sağlamak ve müşterilerinin güvenini sürdürmek için kritik bankacılık operasyonlarını sürdürebilmeleri gerekir. Bankaları siber dayanıklılığa öncelik vermeye ve bunu temel iş stratejilerine entegre etmeye çağırıyoruz. Bu, siber tehdit ortamındaki hızlı değişikliklere uyum sağlamalarını ve proaktif bir şekilde yanıt vermelerini sağlayacaktır.
Bu nedenle, 2024-2026 için denetim önceliklerimizde siber dayanıklılığı geliştirmeyi temel bir odak alanı olarak belirledik. Bankaların siber saldırı riskini azaltmasını, bu tür saldırılara karşı koymaya hazır olmasını ve saldırılar gerçekleştiğinde bunlardan hızla kurtulmasını istiyoruz. Bu hedefi aklımızda tutarak, denetlediğimiz bankaların siber dayanıklılığını test etmek ve güçlendirmek amacıyla bu yılın Ocak ayında denetim siber dayanıklılığı stres testimizi başlattık.
2. Bankaların hazırlığını stres testiyle test ediyoruz
Siber dayanıklılık stres testini ulusal denetçiler ve siber güvenlik uzmanlarıyla iş birliği yaparak geliştirdik ve uygulamanın mümkün olduğunca gerçekçi ve yararlı olmasını sağlamak için bankacılık sektörünün kendisinden girdi istedik. Bu, bankaların operasyonel olarak dayanıklı olmasını sağlamak için tasarlanmış özel yerinde denetimler, hedefli incelemeler ve Bilgi Teknolojisi risk anketi gibi diğer denetim araçlarımızı tamamlar. Sonuçlar ayrıca bankaların bireysel risk profillerine ilişkin yıllık değerlendirmemize de katkı sağlayacaktır.
Stres testi, bir siber saldırının bankaların kritik Bilgi Teknolojisi altyapısını bozmayı başardığı varsayımsal bir senaryo içeriyordu. Tüm siber saldırıları önlemek son derece zor olduğundan, bankaların önleme yeteneklerini test etmedik, bunun yerine kritik işlevlerini ve hizmetlerini korurken böyle bir olaya yanıt verme ve kurtarma yeteneklerini test ettik. Bu alıştırma, bankaların boşlukları belirleyerek ve yanıt ve kurtarma prosedürlerinde iyileştirmeler yaparak siber dayanıklılık stratejilerini geliştirmeleri için bir fırsattı.
Stres testinin sonuçları kavrayışlar sunmakta olup bankaların yüksek düzeyde yanıt ve kurtarma çerçeveleri olmasına rağmen hâlâ iyileştirme için yer olduğunu göstermiştir. Bankalar kurtarma kapasitelerinin en kötü durum senaryolarını idare edebilecek kadar yeterli olduğundan ve müşteri varlıklarını ve müşteri verilerini korumak, bankacılık sistemine olan güveni sürdürmek ve nihayetinde finansal istikrarı korumak için kurtarma hedeflerine ulaşabileceklerinden emin olmalıdır.
Stres testi sonuçlarının, bankaların Bilgi Teknolojisi uzmanlarının mevcut siber riskler ve siber dayanıklılığı daha da artırmak için yatırım ihtiyacı konusunda şirket içinde farkındalık yaratmalarına da yardımcı olacağından eminim.
3. Geleceğe bakış: Siber dayanıklılığın daha da iyileştirilmesi
Avrupa Merkez Bankası, denetlenen bankaların siber dayanıklılıklarını geliştirmeye devam etmelerini beklemektedir. Siber dayanıklılık stres testinden ve bu alandaki daha geniş denetim çalışmalarımızdan elde edilen anlama kapasitelerine dayanarak ve siber tehdit istihbaratından yararlanarak gelecekte siber risk konusunda benzer çalışmalar yürütmek istiyoruz. Bu, sürekli olarak gelişmemize ve gelişen siber tehdit ortamına uyum sağlamamıza yardımcı olacaktır.
Dijital Operasyonel Dayanıklılık Yasası’nın (Digital Operational Resilience Act) 17 Ocak 2025 tarihinde uygulanmaya başlanacak olması, bankaların sürekli siber risk yönetimi kültürünü teşvik etme çabalarını artırmalarını gerektirecek sağlam bir çerçeve sağlayacaktır. Bu yeni Avrupa Birliği (AB) düzenlemesi, finansal kuruluşların Bilgi Teknolojisi güvenliğini güçlendirmeyi ve AB’nin finans sektörünün ciddi operasyonel kesintiler durumunda dayanıklı kalmasını sağlamayı amaçlamaktadır.
Ortaya çıkan siber tehditlerin çok yönlü doğasını ele almak, Avrupa Merkez Bankası, bankacılık sektörü ve diğer ilgili paydaşların yakın bir şekilde birlikte çalışmasını gerektiren ortak bir çabadır. Dış tehditlere karşı mücadelemizde ancak iş birliği yoluyla başarılı olabiliriz. Denetlenen bankaları siber tehditlere karşı daha dayanıklı hale getirerek, dayanıklı bir bankacılık geleceği için zemin hazırlıyoruz.
[1] International Monetary Fund (2024), Global Financial Stability Report – The Last Mile: Financial Vulnerabilities and Risks, April, <https://www.imf.org/en/Publications/GFSR/Issues/2024/04/16/global-financial-stability-report-april-2024>.
Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.