IMF: “Artan Siber Tehditler Finansal İstikrar Açısından Ciddi Endişeler Oluşturuyor”

Daha fazla dijitalleşme ve artan jeopolitik gerilimler, sistemik sonuçları olan bir siber saldırı riskinin arttığını gösteriyor.

Siber saldırılar pandemiden bu yana iki kattan fazla artmıştır. Şirketler tarihsel olarak siber saldırılardan nispeten mütevazı doğrudan kayıplara maruz kalmış olsa da, bazıları çok daha ağır bir bedelle karşılaşmıştır. Örneğin Amerika Birleşik Devletleri (ABD) kredi raporlama kuruluşu Equifax, 2017 yılında yaklaşık 150 milyon tüketiciyi etkileyen büyük bir veri ihlalinin ardından 1 milyar ABD dolarından fazla ceza ödemiştir.

Nisan 2024 Küresel Finansal İstikrar Raporu’nun (Global Financial Stability Report[1]) bir bölümünde gösterildiği gibi, siber olaylardan kaynaklanan aşırı kayıp riski artmaktadır. Bu tür kayıplar potansiyel olarak şirketler için finansman sorunlarına neden olabilir ve hatta ödeme güçlerini tehlikeye atabilir. Bu aşırı kayıpların boyutu 2017’den bu yana dört kattan fazla artarak 2,5 milyar ABD dolarına ulaşmıştır. İtibar kaybı veya güvenlik güncellemeleri gibi dolaylı kayıplar ise önemli ölçüde daha yüksektir.

Finans sektörü benzersiz bir şekilde siber riske maruz kalmaktadır. Finans firmaları, ele aldıkları büyük miktarda hassas veri ve işlemler göz önüne alındığında, genellikle para çalmak veya ekonomik faaliyetleri aksatmak isteyen suçluların hedefi olmaktadır. Finansal firmalara yönelik saldırılar, bankaların en fazla maruz kaldığı toplam saldırının neredeyse beşte birini oluşturmaktadır.

Finans sektöründeki olaylar, finansal sisteme olan güveni zedelerse, kritik hizmetleri aksatırsa veya diğer kurumlara yayılmaya neden olursa, finansal ve ekonomik istikrarı tehdit edebilir.

Örneğin, bir finans kuruluşunda yaşanan ciddi bir olay güveni zedeleyebilir ve aşırı durumlarda piyasada satışlara veya bankaların iflasına yol açabilir. Şu ana kadar kayda değer bir “siber saldırı” meydana gelmemiş olsa da, söz konusu analiz, bir siber saldırının ardından küçük ABD bankalarında ılımlı ve bir ölçüde kalıcı mevduat çıkışlarının meydana geldiğini göstermektedir.

Ödeme ağları gibi kritik hizmetleri kesintiye uğratan siber olaylar, ekonomik aktiviteyi de ciddi şekilde etkileyebilir. Örneğin, Aralık ayında Lesotho Merkez Bankası’na düzenlenen saldırı, ulusal ödeme sistemini bozarak yerli bankaların işlemlerini engellemiştir.

Dikkate alınması gereken bir diğer husus, finansal firmaların giderek daha fazla üçüncü taraf bilgi teknolojisi hizmet sağlayıcılarına güvenmeleri ve yapay zekânın ortaya çıkan rolüyle bunu daha da fazla yapabilmeleridir. Bu tür dışarıdan sağlayıcılar operasyonel dayanıklılığı artırabilir, ancak aynı zamanda finans sektörünü sistem çapında şoklara maruz bırakabilir. Örneğin, 2023 yılında bir bulut bilgi teknolojisi hizmet sağlayıcısına yapılan korsan yazılım saldırısı[2], 60 adet ABD kredi birliğinde eş zamanlı kesintilere neden olmuştur.

Anılan Bölümde de gösterildiği üzere, küresel finans sisteminin artan dijitalleşme ve jeopolitik gerilimlerden kaynaklanan önemli ve büyüyen siber riskler ile karşı karşıya olması nedeniyle, firmalardaki politikalar ve kurumsal yönetişim çerçevelerinin buna ayak uydurması gerekmektedir.

Özel teşvikler siber riskleri ele almada yetersiz olabileceğinden (örneğin, firmalar olayların sistem çapındaki etkilerini tam olarak hesaba katamayabilir), kamu müdahalesi gerekli olabilir.

Ancak Uluslararası Para Fonu’nun (International Monetary Fund-IMF) merkez bankaları ve denetleyici otoriteler arasında yaptığı bir araştırmaya göre, siber güvenlik politikası çerçeveleri, özellikle gelişmekte olan piyasalarda ve gelişmekte olan ekonomilerde genellikle yetersiz kalmaktadır. Örneğin, ankete katılan ülkelerin yalnızca yaklaşık yarısının ulusal, finans sektörü odaklı bir siber güvenlik stratejisi veya özel siber güvenlik düzenlemeleri vardı.

Finans sektöründe dayanıklılığı güçlendirmek[3] için yetkililer, etkili düzenleme ve denetim kapasitesinin eşlik ettiği ve aşağıdakileri kapsayacak yeterli bir ulusal siber güvenlik stratejisi geliştirmelidir:

  • Siber güvenlik ortamını periyodik olarak değerlendirmek ve üçüncü taraf hizmet sağlayıcılardan kaynaklananlar da dâhil olmak üzere, birbirine bağlılık ve yoğunlaşmalardan kaynaklanan potansiyel sistemik risklerin belirlenmesi.
  • Bölümün siber ile ilgili daha iyi kurumsal yönetişimin siber riski azaltabileceğini öne süren analiziyle de desteklendiği üzere, siber güvenlik uzmanlığına yönetim kurulu düzeyinde erişim de dâhil olmak üzere finans sektörü firmaları arasında siber “olgunluğun” teşvik edilmesi.
  • Firmaların siber hijyeninin [yani çevrimiçi güvenliğinin ve sistem sağlığının (kötü amaçlı yazılımdan koruma ve çok faktörlü kimlik doğrulama gibi] ve eğitim ve farkındalığın iyileştirilmesi.
  • Siber olayların veri raporlamasına ve toplanmasına öncelik verilmesi ve finansal sektör katılımcıları arasında kolektif hazırlıklılığın arttırılması için bilgi paylaşımının yapılması.

Saldırılar genellikle bir finans firmasının kendi ülkesinin dışından geldiğinden ve gelirler sınırların ötesine yönlendirilebildiğinden, siber riski başarılı bir şekilde ele almak için uluslararası işbirliği zorunludur.

Siber olaylar yaşanacak olsa da finans sektörünün bu kesintiler sırasında kritik iş hizmetlerini sunabilecek kapasiteye ihtiyacı vardır. Bu amaçla, finans firmaları test, müdahale ve iyileştirme prosedürleri geliştirmeli ve ulusal otoriteler etkili müdahale protokollerine ve kriz yönetimi çerçevelerine sahip olmalıdır.

IMF, örneğin Finansal Sektör Değerlendirme Programının (Financial Sector Assessment Program[4]) bir parçası olarak ve kapasite geliştirme faaliyetleri[5] marifetiyle politika tavsiyeleri yoluyla üye ülkelerin siber güvenlik çerçevelerini güçlendirmelerine aktif olarak yardımcı olmaktadır.

[1] <https://www.imf.org/en/Publications/GFSR/Issues/2024/04/16/global-financial-stability-report-april-2024?cid=bl-com-SM2024-GFSREA2024001>

[2] <https://edition.cnn.com/2023/12/01/politics/ransomware-attack-credit-unions/index.html>

[3] <https://www.imf.org/en/Publications/Staff-Discussion-Notes/Issues/2020/12/04/Cyber-Risk-and-Financial-Stability-Its-a-Small-World-After-All-48622>

[4] <https://www.imf.org/en/Publications/fssa>

[5] <https://www.imf.org/en/Capacity-Development>

1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bini aşkın Telif Makale ve Yazı ile Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak vazgeçilmez ilkesidir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.