Finans Sektörü Odaklı Siber Tatbikat
I am proud to be invited by the Ministry of Treasury and Finance of Türkiye (Turkey) to deliver a session on Securing the Digital Ecosystem on Banking. The rest of the post is going to be in Turkish.
Where: Ankara
When May 3 and 4
Hazine ve Maliye Bakanlığının davetlisi olarak 3 Mayıs’ta Finans Sektörü Odaklı Siber Tatbikat etkinliğinde konuşmacı olarak katılmaktan onur duyduğumu sizlerle paylaşmak istiyorum.
Güvenlik açıklarının önlenmesi ve önceden kötü niyetli saldırıların önlenmesi için finans sektöründe siber tatbikatlar artık hayati öneme sahip. Bu tatbikatlar, bankalarda, sigorta şirketlerinde ve diğer finansal kuruluşlarda kullanılan sistemlerin güvenliğini artırmak için önemli bir önlem olarak kabul ediliyor.
Bu tatbikatlar, kuruluşların siber güvenlik politikalarını gözden geçirmesine, uygulamaları denetlemesine ve güncelleştirmesine ve mevcut stratejileri geliştirmesine yardımcı olur. Bununla birlikte, finansal kuruluşların siber saldırıya karşı üstün koruma sağlamaları için çok çeşitli önlemler almaları gerektiğini de unutmamalıyız. Bu tür önlemler, finansal kurumların siber güvenlik otoritelerinden uzmanlık ve destek almalarını da içerir.
Bilgi Güvenliği ve Bilgi Güvencesi
Bilgi güvenliği, bir varlık türü olarak bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme, ortadan kaldırılma, el değiştirme ve hasar verilmesini önlemek olarak tanımlanır ve gizlilik (confidentiality), bütünlük (integrity), erişilebilirlik (availability) olarak isimlendirilen üç temel unsurdan meydana gelir. Bu üç temel güvenlik öğesinden herhangi biri zarar görürse güvenlik zafiyeti oluşur.
• Gizlilik. Bilginin yetkisiz kişilerin eline geçmeme ve yetkisiz erişime karşı korunmasıdır.
• Bütünlük. Bilginin yetkisiz kişiler tarafından değiştirilmemesidir.
• Erişilebilirlik. Bilginin yetkili kişilerce ihtiyaç duyulduğunda ulaşılabilir ve kullanılabilir durumda olmasıdır.
Bilgi güvencesi ise bilgi ve bilgi sistemlerinin gizlilik (confidentiality), bütünlük (integrity), erişilebilirlik (availability), kimlik kanıtlama (authentication) ve inkâr edememe (non-repudiation) bileşenlerini sağlamak suretiyle korunması ve savunulması için alınan önlemlerdir. Bu önlemler koruma, tespit ve karşı koyma imkânlarını bir araya getirmek suretiyle bilgi sistemlerini eski hallerine getirmeyi de kapsar.
Bilgi güvencesi süreci; yukarıda sıralanan bileşenleri (Gizlilik (confidentiality), bütünlük (integrity), kullanılabilirlik (availability), kimlik kanıtlama (authentication) ve inkâr edememe (non-repudiation)) korumak suretiyle organizasyon risklerini yönetme işlemidir. Bilgi güvencesi bileşenleri aşağıda biraz daha ayrıntılı biçimde açıklanmaktadır.
• Gizlilik. Bilgiye ya da kaynağa sadece yetkili kişiler tarafından erişilmesi, yetkisiz kişilerin bilgiye ya da kaynağa erişiminin engellenmesidir. Bilgiyi sadece sahipleri veya kastedilen alıcılar okuyabilir.
• Bütünlük. Verinin yetkilendirilmemiş bir şekilde değişiminin engellenmesidir. Verinin bozulması, değiştirilmesi ya da silinmesi gibi durumların önlenmesi amaçlanmaktadır.
• Erişilebilirlik. Bilginin sürekli ulaşılabilir ve kullanılabilir olması amaçlanmaktadır. Verilere erişim yetkisi olan kullanıcıların, ağlara, sunuculara ve veri tabanı gibi uygulamalara güvenilir bir şekilde ulaşıp işlemlerini gerçekleştirmeleri sağlanmalıdır.
• İnkâr Edememe. Veri iletişiminde mesajı gönderenin veya mesajı alanın, gönderdiği veya aldığı mesajı inkâr edememesi durumudur. Bu durumda, mesajın gönderilmiş olduğu ve alınmış olduğu garanti edilmektedir.
• Kimlik Kanıtlama. Bilgiye, sisteme veya ağa erişmek isteyen kişinin gerçekten iddia ettiği kişi olduğundan emin olunması gerekmektedir. Kullanıcıların kişisel bilgisayarlarında kullandıkları şifreler, bir sisteme erişilmek istendiğinde kullanılan kullanıcı adı ve şifre, günümüzde kullanımı giderek yaygınlaşan biyometrik sistemler kimlik denetim/kanıtlama mekanizmalarından bazılarıdır.
Veri gerek depolanmış şekilde beklerken gerekse bir ağ üzerinde transfer halindeyken kurumlar yukarıda sıralanan unsurları temin etmek için teknik, yönetimsel ve fiziksel kontrol tedbirleri uygularlar. Bilgi güvencesine kapsamlı bir yaklaşım dijital formda olmayan verileri de kapsamalıdır. Bilgi güvencesi aşağıda sıralanan dört güvenlik mühendisliği alanını kapsar.
• Fiziksel Güvenlik
• Personel Güvenliği
• Bilgi Sistemleri Güvenliği
• Operasyonel Güvenlik
• Fiziksel Güvenlik, operasyonların, servis engellemelerinin ve varlık kayıplarının önlenmesini veya azaltılmasını sağlamak için donanım, yazılım ve verinin fiziksel tehditlere karşı korunmasıdır.
• Personel güvenliği, kurum içerisindekilerin veya paydaşların bir şeyi yapması veya yapmaması suretiyle, bilerek veya bilmeyerek kurumun mantıksal veya fiziksel varlıklarının değiştirilmesi, kötüye kullanılması, imha edilmesi, yanlış yapılandırılması, yetkisiz dağıtılması ve erişebilirliğinin engellenmesi gibi durumların meydana gelmesi ihtimalini azaltmak veya meydana gelse bilse minimum zararla atlatılabilmesini sağlamak için alınan ve süreklilik arz eden çeşitli tedbirlerdir.
• Bilgi sistemleri güvenliği, bilgi sistemleri altyapısının gizlilik, bütünlük, erişilebilirlik, hesap verebilirlik, kimlik kanıtlama ve güvenilirliği sağlayıp idame ettirmesine katkı sağlayacak teknik özellik ve fonksiyonlar bütünüdür.
• Operasyonel güvenlik, kullanıcılar, sistemler ve sistem kaynakları arasındaki karşılıklı etkileşimin yöntem ve sıklığını tanımlayan standart operasyonel güvenlik prosedürlerinin uygulanmasıdır. Buradaki amaç her zaman sistem güvenliğini sağlayıp idame ettirmenin yanı sıra bilerek veya bilmeyerek sistem kaynaklarının çalınması, dağıtılması, imhası, değiştirilmesi, yanlış kullanılması veya sabote edilmesini engellemektir.
Dijital Banka Çağında Ekosistem Güvenliği
Günümüzde, finans sektöründe siber güvenlik önemine her geçen gün daha fazla önem veriliyor. Finans sektöründe siber tatbikatlar, özel ve kamu sektöründe bankacılık hizmetlerinin mali sorumluluğunu, kurumsal siber güvenliği ve siber güvenlik politikalarının uygulanmasını güvence altına almak için büyük önem taşıyor.
Bu etkinlik, finans sektöründe siber tatbikatların nasıl ve neden kullanıldığını açıklarken, dijital banka çağında çoklu ekosistem güvenliğinin nasıl sağlanabileceği hakkında düşünceler sunuyor. Bu siber tatbikatlar, finans sektöründe çalışanların güvenlik eğitimlerinden, güvenlik duvarlarının kurulmasına, sıfırdan güvenlik uygulamalarının geliştirilmesine ve endüstriyi etkileyen diğer güvenlik politikalarının uygulanmasına kadar uzanan çeşitli uygulamaları kapsayacak şekilde tasarlanır.
Çalışmanın sonuçları, siber tatbikatlar sayesinde finans sektörünün dijital bankacılık ekosistemi ile sürekli olarak güvenli tutulabileceğini göstermektedir.
3 – 4 Mayıs 2023 tarihinde Ankara’da gerçekleştireceğimiz Finans Sektörü Odaklı Siber Tatbikat etkinliğimiz ile bilgi ve iletişim teknolojilerinin en yoğun kullanıldığı bankacılık ve finans sektörünün siber saldırılara karşı dayanıklılığını ölçmeyi ve olası saldırılara hızlı yanıt verebilme yeteneklerini geliştirmeyi amaçlıyoruz. Etkinliğimizin ilk günü gerçekleştireceğimiz paneller ile de kamu ve özel sektör için aktif bilgi paylaşım ortamı sağlayarak bu alanda bir sinerji oluşturmayı hedefliyoruz.
Düzenlendiğimiz tatbikatta Bakanlığımıza bağlı 8 kuruluş, 17 bankacılık, 10 sigorta sektörü şirketini ve bu sektörlerin 7 merkezi kurumunu temsil edecek toplam 42 takım yarışacaktır. Takımların hem yönetim hem de teknik seviyede 3 farklı simülasyonda becerilerini sergilemelerini bekliyoruz.
Yönetim Simülasyonu ile siber saldırı altında olan bir finans şirketini en verimli şekilde saldırıdan kurtarmak amaçlanmaktadır. Bu simülasyonda takımların yönetimsel becerileri ölçülecektir. Bayrağı Yakala (Capture the Flag, CTF) siber güvenlik sektöründe sıkça düzenlenen jeopardy formatında bir yarışmadır. Simülasyondaki sorular web, mobil, ağ, tersine mühendislik, kripto ve tehdit istihbaratı gibi kategoriler arasından seçilmiştir. Tema Odaklı Simülasyon (Ransomware) ile takımların gerçek bir saldırgana (hacker) karşı defansif güvenlik becerileri ölçülecektir.
Tatbikat sonunda sektör bazında bilgi güvenliği uzmanlarının gelişime açık alanları belirleyerek sektör düzenleyici kuruluşlar için yol haritalarını paylaşacağız.
Hazine ve Maliye Bakanlığı olarak düzenlediğimiz Finans Sektörü Odaklı Siber Tatbikatın bankacılık ve finans sektörünün siber güvenlik olgunluk seviyesinin artışına katkı sağlamasını dilerim.
Dr. Cebrail TAŞKIN
Düzenleme Komitesi Başkanı
Bankacılık Ekosistemi Teknoloji Odağında Büyüyor
Finans ve bankacılık ekosistemi yeni yönetmelik, düzenlmeler ve dijital dönüşüm konularında farklı bir dönemece girdi. Türk bankacılık ekosistemi, yeni iş anlayışında uçtan uca dijital dönüşüm faaliyetleriyle öne çıkarken, müşteri deneyimi, yapay zeka, siber güvenlik, bulut bilişim ve veri bilimi konularını da gündeme getiriyor. Son 20 yılda teknoloji yatırımlarını artıran bankalar, yatırımlarının karşılığını geleceğin teknoloji şirketleri olarak ayrı bir noktaya taşıyor.
Türkiye’nin rekabetçi sektörlerinin başında gelen finans ve bankacılık ekosisteminin teknoloji liderleri ile bilgi güvenliği alanında dünyanın önde gelen teknoloji şirketlerinden Check Point Türkiye yöneticilerinin ev sahipliğinde gerçekleştirilen “Finans/Bankacılık Ekosistemi ve Gelecek 10 yıl Senaryoları” konulu Dijital Gelecek Buluşmaları yuvarlak masa toplantısında Fortune Türkiye, finans/bankacılık alanında gelecek 10 yılı derinden etkileyecek olan yeni teknolojiler, yeni hizmetler, yeni yasal düzenlemeler ve yeni müşteri kimliği gibi temel konuları gündeme taşıdı.
Devimini Fortune Turkiyede okumak için buraya tıklayın
Baska etkinliklerime göz atmak için , buraya tiklayin
Hazine ve Maliye Bakanlığı
MİSYON
Sürdürülebilir ekonomik büyümenin, istikrarın, adaletli gelir dağılımının ve toplumsal refahın artırılmasına yönelik politika oluşturmak, uygulamak ve sonuçlarını takip etmek.
VİZYON
Ülkemizin istikrarlı ekonomik gelişimini sürdürerek vatandaşımızın refahını en gelişmiş ülkeler seviyesine taşımak.
siber güvenlik – dijital güvenlik için siber istihbarat – güvenlik için siber istihbarat çağı siber güvenlik
