Posted on

IMF: Siber Tehditlerin Artması, Finansal Firmaların Acilen Daha İyi Önlemlere İhtiyaç Duyduğu Anlamına Gelir*

1. Giriş

Düzenleyiciler ve denetçiler ihtiyati çerçeveyi güçlendirmek için şimdi harekete geçmek zorundadır.

Siber saldırganlar finans sektörünü hedef almaya devam ediyorlar. Peki, bir saldırı, bir bankayı veya başka bir kritik platformu çökerterek kullanıcıların hesaplarını kilitlediğinde ne olur?

Finans sektöründeki sıkı finansal ve teknolojik karşılıklı bağlantılar, saldırıların tüm sisteme hızla yayılmasını kolaylaştırabilir ve potansiyel olarak yaygın bozulmalara ve güven kaybına neden olabilir. Siber güvenlik, finansal istikrar için açık bir tehdittir.

Uluslararası Para Fonu’nun (International Monetary Fund; IMF) 51 ülkeyi kapsayan yakın tarihli bir anketine göre, yükselen piyasalar ve gelişmekte olan ekonomiler arasında çoğu finansal denetçi siber güvenlik düzenlemeleri getirmemiş veya bunları uygulamak için kaynak oluşturmamıştır.

Bu ankette şunlar da bulunmuştur:

  • Merkez bankalarının veya denetim otoritelerinin %56’sının finans sektörü için ulusal bir siber stratejisi yoktur.
  • %42’si özel bir siber güvenlik veya teknoloji risk yönetimi yönetmeliğine sahip değildir; %68’i ise denetim departmanlarının bir parçası olarak uzmanlaşmış bir risk birimine sahip değildir.
  • %64’ü siber güvenlik önlemlerinin test edilmesini ve uygulanmasını zorunlu kılmıyor veya daha fazla rehberlik sağlamıyor.
  • %54’ü özel bir siber olay bildirim rejiminden yoksundur.
  • %48’inin siber suç düzenlemesi bulunmamaktadır.

Bu arada, Uluslararası Ödemeler Bankası’nın 29 yargı bölgesini kapsayan bir değerlendirmesinde de, finansal piyasa altyapılarının gözetiminde eksiklikler tespit edilmiştir. Bununla birlikte, IMF’nin Washington’daki son küresel siber güvenlik çalıştayında tartışıldığı gibi, hazırlık ve uyumlu düzenleyici eylem de dahil olmak üzere bu risklere karşı önlemler vardır. Yine de kolay olmayacak ve acilen kapsamlı ve toplu yanıtlara ihtiyaç bulunmaktadır.

2. Artan tehditler

Hızlı teknolojik ilerlemeler, saldırganlara daha ucuz ve kullanımı daha kolay araçlar sunarken, değişiklikler de finansal kurumlara onları engellemek için daha fazla imkan sunmaktadır.

Buna rağmen, giderek daha fazla dijitalleşen bir dünyada daha büyük güvenlik açıkları beklenebilir. Daha fazla sistem ve cihaz bağlandıkça hedefler çoğalır. Ağırlıklı olarak yeni dijital teknolojilere güvenen Fintech firmaları, finans sektörünü daha verimli ve kapsayıcı, ancak aynı zamanda siber risklere karşı daha savunmasız hale getirebilir.

Jeopolitik gerilimlerin tırmanması da siber saldırıları yoğunlaştırmıştır. Failler ve motivasyonları genellikle belirsizdir ve riskler çatışma bölgeleriyle sınırlı değildir. Tarih, yıkıcı kötü amaçlı yazılımların yayılmasının küresel hasara neden olabileceğini gösteriyor. Örneğin, 2017 yılında Ukraynalı kuruluşların Bilişim Teknolojisi sistemlerini ilk kez basan NotPetya kötü amaçlı yazılım saldırısı, hızla birkaç ülkeye yayıldı ve tahmini 10 milyar dolardan fazla hasara neden olmuştur.

Son olarak, ortak hizmet sağlayıcılara güvenmek, saldırıların sistemik sonuçlara sahip olma olasılığının daha yüksek olduğu anlamına gelir. Bulut bilgi işlem, yönetilen güvenlik hizmetleri ve ağ operatörleri dahil olmak üzere yaygın olarak kullanılan hizmetler için risklerin yoğunlaşması tüm sektörleri etkileyebilir. Kayıplar yüksek olabilir ve makro kritik hale gelebilir.

Finansal firmalar ve düzenleyiciler saldırıların daha fazla farkına varıp bunlara karşı hazırlıklı hale gelirken, ihtiyati çerçevedeki boşluklar önemli olmaya devam ediyor.

3. Tehdidin etkisiz hale getirilmesi

Finansal kurumlar ve düzenleyiciler, beş şeye öncelik vererek artan siber tehditlere ve olası başarılı ihlallere karşı hazırlıklı olmalıdır:

  • Merkez bankaları, düzenleyiciler ve finans firmaları bir siber güvenlik stratejisi geliştirmelidir. Siber risk, otoriteler ile birlikte sağlam güvenlik, düzenleme ve denetleme yoluyla sağlam gözetim, pazar içinde toplu eylem ve kapasite ve uzmanlık oluşturma çabaları gerektiren çok boyutlu bir konudur.
  • Finansal düzenleyiciler ve firmalar, klasik iş sürekliliği ve felaket kurtarma planlamasından, saldırılar normal operasyonları kesintiye uğrattığında bile kritik hizmetleri sunmaya odaklanmalıdır. Esneklik, şirketlerin üst düzey liderlerinden, finansal düzenleyicilerden ve yönetim kurulu üyelerinden katılım gerektirmektedir. Firmaların, sistemik bir etkiye sahip olabilecek ciddi ancak olası olaylara karşı hazırlanmaları da gerekir. Denetim otoriteleri, endüstriden bu tür olumsuz senaryoları dikkate almasını ve hem bireysel hem de toplu olarak acil durum planlarını test etmesini talep etmelidir.
  • Finansal denetim otoriteleri, siber düzenleme ve denetimin direnci etkili bir şekilde artırabilmesini sağlamalıdır. Herkese uyan tek bir yaklaşım yoktur, ancak birçok unsur ortaktır. Etkili bir denetim yaklaşımı, düzenlemeyi orantılı bir şekilde uygulayan güvenlik uzmanları ve genel denetçilerin bir karışımı tarafından gerçekleştirilen tesis içi ve tesis dışı faaliyetleri dengeler.
  • Finans firmaları siber “hijyen”i, tasarım gereği güvenli sistemleri ve müdahale ve kurtarma stratejilerini güçlendirmelidir. Günümüz saldırılarının çoğu giderek daha karmaşık hale gelirken ve bir kurbanın hassas bilgiler sağlamasını sağlamak için sosyal mühendisliğe bel bağlarken, çoğu başarılı saldırı, yama güncellemelerinin dağıtılmaması veya doğru güvenlik yapılandırmalarının yapılmaması gibi rutin hatalardan kaynaklanır. Bu bağlamda, kritik verilerin güvenli bir şekilde işlenmesini sağlamak ve ağların güvenliğini sağlamak için alışılmış uygulamalar büyük fark yaratır.
  • Uluslararası toplum, dünya çapındaki yetkililerin olayları etkili bir şekilde yönetebilmesini sağlamak için siber olay bildirim ve etkili bilgi paylaşımını uyumlu hale getirmelidir. Finansal İstikrar Kurulu tarafından geliştirilen olay raporlama modeli ve ortak sözlük ileriye yönelik önemli adımlardır.

4. Yetki alanları arası risk

Siber savunmaların gücü en zayıf halkaya bağlıdır. Dünya genelinde artan karşılıklı bağlantılar ile riskleri azaltmak uluslararası bir çaba gerektirir. IMF kendi payına, acil bir öncelik olarak uluslararası standartları ve en iyi uygulamaları tasarlamayı ve uygulamayı amaçlayan kapasite geliştirme girişimleri yoluyla finansal denetçilere yardım etmeye devam etmektedir.

Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.

Okurlarımızın Bilgisine:
Legal Blog’da ve Legalbank'ta yayımlanan blog yazıları, yazarların görüşlerini aktardığı yazılar olup yazanın görüşlerinin Legal Yayıncılık A. Ş. tarafından benimsendiği manasına gelmemektedir. Blog yazıları, hakemli makale formatında olmayıp bilgi verme amaçlıdır. Kesinlikle hukuki mütalaa ya da tavsiye niteliğinde değildir.
Legal Yayıncılık A.Ş.