Kurumlara online ödemeler esnasında siber güvenlik çözümleri sunan PCI Checklist’in kurucu ortağı Kıvanç Harputlu, konuk yazar olarak; Corona Virüs’le birlikte ödeme alışkanlıklarındaki değişim, hacker tehditleri ve siber güvenlik sorunlarını ele alan bir yazıyı egirişim için hazırladı.

Sosyal mesafemizin artması, hayatımızı evlerimizde geçirmemizle birlikte kredi kartlarımız da daha fazla online alışverişlerde kullanılmaya başlandı. Ancak burada şimdiden söyleyelim bu artış ciro olarak rakamlara yansımayacaktır. Çünkü online ödemeler yaptığımız uçak bileti, otel, mobilya alışverişlerimiz yerini daha çok market, sağlık ve kitap gibi daha az tutarlı alışverişlere bıraktı. Bu yüzden, online ödemelerin sayısı artsa da, cirolara bunun yansımadığını gözlemleyebiliyoruz. Bununla birlikte bu süreçte BKM’nin verilerine göre 3 milyon kart ilk kez online ödeme ile tanıştı. Tüm bu bilgileri toparlayacak olursak;

• Daha fazla online alışveriş yapıyoruz.
• Daha düşük tutarlı alışverişler gerçekleştiriyoruz.
• Kredi kartlarımızı daha fazla sayıda online alışveriş sitesinde kullanıyoruz.
• Online ödemelere yeni kullanıcılar ekleniyor.

Kısacası biz sosyal mesafemizi korurken, kredi kartlarımızın online seyahati artıyor.

Bu durumu şimdi bir de siber güvenlik açısından ele alalım; online seyahat eden daha fazla kart verisi ve ilk kez online alışveriş ile tanışan kullanıcılar… Bu, hackerlar gözünde avlanılabilecek daha fazla kart verisi anlamına geliyor. Bunun birçok sebebi var ancak biz üç ana sebepten gidelim;

• Online ödeme ile yeni tanışmış kişilerin oltalama e-postalarına veya tehlikeli sitelere fazla alışık olmaması
• Hackerların, siber güvenlik zafiyetleri olan online alışveriş sitelerini ele geçirdiklerinde toplayabileceği kart sayısının daha yüksek olması
• Hackerların, banka veya ödeme sistemcisine kıyasla, daha kolay hackleyebileceği online alışveriş sitelerine odaklanıyor olması (Kaynak: Verizon 2019 – Veri Sızıntısı Raporu)

Bu durum ilerleyen süreçte özellikle kart üreticisi bankalar ve sanal POS sağlayıcıları için ciddi bir tehlike anlamını da taşıyor. Çünkü cirolar artmazken, kartların atak yüzeyi artmış oluyor ve aldıkları riskler de artıyor. Zaten hali hazırda The Nilson Report’a göre her sene yaklaşık %20 fraud kayıpları artıyor. Bu durum ise bu kayıpları daha da arttıracağa benziyor.

Bu süreçte kart üreticileri ve sanal POS sağlayıcıları nelere dikkat etmeli?

Bankaların ve sanal POS sağlayıcılarının hizmet verdikleri üye işyerlerinin (online ödeme alan siteler) güvenlik denetimlerini arttırması gerekmekte. Çünkü bu efor hem e-ticaretin gelişimi hem de şirketlerin risk yönetimi açısından ciddi bir öneme sahip. Bu süreçte tabi ki en büyük görev de online ödeme alan sitelere düşüyor. Siber güvenlik tarafında mutlaka yatırımlarını arttırmaları ve güvenlik seviyelerini arttırmak için çaba sarf etmeleri oldukça önemli. Tabi tüm bunları anlatması kolay, uygulaması ise zor. Aslında bu durumlar bizim neden PCI Checklist’i kurduğumuzu anlatıyor.

PCI Checklist olarak bu süreçte çözdüğümüz sorunlar neler?

Online ödeme alan sitelerin çoğunun siber güvenlik önlemleri için ayırabileceği büyük bir bütçesi yoktu, bununla birlikte bankaların ve sanal POS sağlayıcılarının, üye işyerlerini siber güvenlik analizlerini ve yönetimini yapabileceği bir yapı da yoktu.

Tüm bu sorunlardan yola çıkarak hayata geçirdiğimiz PCI Checklist, bugün Türkiye’nin en büyük bankaları tarafından kullanılmaya başlandı ve online ödeme alan sitelerin denetimlerini her geçen gün sayısı artarak yapmaya devam ediyoruz. Burada en sevindiğimiz noktalardan biri de bu denetimleri yaparken e-ticaret sitelerine açıkları hakkında bilgi vermek ve nasıl çözülebileceklerini hazırladığımız makaleler ile anlatmak. Böylece şu zor süreçte ayakta kalmaya çalışan KOBİ’lerin ve onların müşterilerinin daha güvenli alışveriş yapmasını sağlarken, kart üreticileri ve sanal POS sağlayıcılarının risklerini de minimize edebiliyoruz.

Evden çalışmanın şirketlere etkileri nasıl oldu?

Bu yaptığımız güvenlik testleri hiçbir entegrasyon gerektirmediği için şu an tüm ekibimiz evlerinden çalışıyor ve müşterilerimizle dirsek temasımız aynı şekilde devam edebiliyor. Hatta şu an aramıza yeni müşterilerimiz de katılıyor ve onların da kurulumlarını uzaktan gerçekleştiriyoruz. Bu süreçte genel olarak startupların evden çalışmaya geçişinin diğer firmalardan çok daha hızlı gerçekleştiği kanaatindeyim. Bunun sebebi muhtemelen bulut tabanlı yazılımların startuplarda daha fazla tercih edilmesi olmuştur. Ancak bu süreçte kurumsalların uzaktan çalışmaya geçişi biraz daha sancılı oldu.

Yöneticilere ve Evden Çalışanlara Tavsiyeler!

Hem I.T. ekiplerinin hem de uzaktan çalışanların dikkat etmesi gereken birçok konu var. Aşağıda sizin için tavsiyelerimizi derledik;

Yöneticiler için Tavsiyeler:

• Personel erişimi için SSL VPN kullanın: Günümüzdeki modern güvenlik duvarı cihazlarının birçoğunda yerel ağ ile uzaktaki cihazlar arasında tünel oluşturmak için SSL VPN kullanılmaktadır. Bu erişim teknolojisi ile verileriniz internet üzerinden hedefine giderken adeta bir tünel içerisindeymiş gibi dış kaynaklarla etkileşim kurmadan verinin güvenli bir şekilde akışını sağlar. SSL VPN denenmiş ve güvenilirliği kanıtlanmış bir uçtan uca şifreleme yöntemidir.
• Çalışanların VPN ile erişebildiği alanları sınıflandırın: Active Directory ya da LDAP gibi kullanıcı yetkilendirme protokolleri kullanılabileceği gibi, küçük işletmelerde SSL VPN ile erişilebilen yerler kullanıcıların alanlarına göre sınırlandırılabilir, örneğin
  • Yazılımcı: Yazılım geliştirme sunucuları
  • Devops: Yedek ve yönetim hariç tüm sunucular
  • Backoffice: Muhasebe sunucusu
  • CTO: Tüm sunucular
• Güçlü parola ilkesi uygulayın: İçerisinde harfler, sayılar ve noktalama işaretlerinin de olduğu güçlü parolalar için gerekli güvenlik ilkesi yapılandırmaları sağlanmalıdır.
• Çok faktörlü kimlik doğrulama kullanın: MFA olarak da bilinen bu yapı sayesinde ek bir güvenlik katmanı sağlanabilmektedir. Kullanıcılar şifrelerini bir yere yazmaya ya da otomatik doldurma ile kaydetmeye eğilimli oldukları için artık tek başına şifre koruması yeterince güvenli olarak düşünülmemektedir. MFA için cep telefonunuza yükleyeceğiniz Google Authenticator ya da Microsoft Authenticator gibi uygulamalarla, kullanıcı adı ve şifre girişinin ardından bu uygulamalardan alınacak 6 haneli, zaman içinde kullanımı dolan ek şifreleme servisini web sitenize ya da servislerinize entegre edebilirsiniz.
• SSL kullanın: Web siteleri, servisleri ve API’ler tarayıcılar tarafından desteklenen SSL sertifikaları ile koruma altına alınmalıdır.
• Güvensiz iletişim protokollerini kapatın: Telnet, SMTP, HTTP ve FTP gibi protokoller yerine SSH, SMTPS, HTTPS ve SFTP kullanılmalıdır.
• DNSSEC kullanın: DNS Sunucularında DNSSEC uzantısı aktif hale getirilmelidir, DNSSEC uzantısı aktif hale getirildiğinde Man-in-the-Middle (MitM) saldırılarına karşı ek güvenlik sağlamış  olursunuz.
• Buluta geçiş yapın: GSuite, Slack, Confluence, Jira ve Trello gibi uygulamalarla bir çok iş sürecini kolayca buluta taşımaya başlayabilirsiniz.
• Mutlaka yedek alın: Almış olduğunuz yedeklerin mutlaka farklı bir ortamda tutulmasını, mümkünse ikinci bir coğrafik konumda tutulmasını sağlayın. Herhangi bir siber güvenlik saldırısı sonucunda verileriniz silinebilir ya da şifrelenebilir, bunun yanı sıra uzaktan çalışma nedeniyle hırsızlık olaylarında da artış görülebilir.

Uzaktan çalışanların alması gereken önlemler

• SSL VPN kullanın: Mümkünse SSL VPN ile ofis kaynaklarına bağlanmaya çalışın, eğer firmanız bu erişim tipini desteklemiyorsa Google Chrome Remote Desktop eklentisi ile istediğiniz yerden ofis bilgisayarınızdaki oturumunuza ulaşın.
• Ortak kullanılan bilgisayarlar üzerinden ofis kaynaklarına bağlanmayın: Ortak kullanılan bilgisayarlarda virüs ve truva atı gibi zararlı yazılımlar olabileceği gibi klavyeden yazdıklarınız loglanıyor ya da ekran hareketleriniz kaydediliyor olabilir.
• Oturumunuzu aile bireyleri ile paylaşmayın: Bilgisayarlarınızı aile bireyleri ya da çocuklarınızla paylaşıyorsanız mutlaka kendinize ait bir kullanıcı adı ile giriş yapabilecek şekilde bilgisayarınızı yapılandırın, özellikle çocuklar bilmeden zararlı linklere tıklayarak zararlı yazılımların bilgisayara yerleşmesine neden olabilmektedir.
• Güvenli olmayan web sitelerini ziyaret etmeyin: Chrome, Firefox ya da Internet explorer gibi tarayıcılarda adres çubuğunda yazılı olan alan adının yanında kilit işaretinin olmasına dikkat edin. Özellikle kahve dükkanları ve restoranlar gibi ortak ağların kullanıldığı yerlerde, eğer tarayıcınızda kilit işareti bulunmuyorsa, iletimi sağlanan verileriniz aynı Wi-Fi ağını kullanan bilgisayarlar tarafından okunabilir.
• Güçlü şifreler kullanın: Harfler, sayılar ve noktalama işaretleri içeren güçlü şifreler kullanın, Örneğin: 74wDC:!`V8H+>Vpg:
• Olta e-postalarına dikkat edin: Eğer bir e-posta içerisinde link ya da buton varsa, tıklamadan önce fare ile sırasıyla hem gönderen kısmının hem de butonun üzerine gelin, gönderen e-posta adresinin ve butonun yönlendirdiği alan adının tutarlı olup olmadığına dikkatle bakın, eğer şüpheleniyorsanız tıklamayın. Bazı şüpheli alanadları kısaltma kullanılarak gönderilmektedir. Bağlantıya tıklamadan önce kopyalayıp, kısaltmayı açan servisler ile nereye yönlendiğini kontrol edin.
• Antivirüs yazılımı kullanın: Antivirüs yazılımları hafızadaki ve diske yazılmakta ya da okunmakta olan tüm verileri tarar, böylelikle hem uzaktan gelebilecek virüslere karşı koruma sağlayacağınız gibi, bilgisayarınızdaki virüslerin de geçişini engellemiş olursunuz.
• Sistemlerinizi güncel tutun: Bilişim ve siber güvenlik sektörünün sürekli ve hızlı bir şekilde gelişen yapısı sebebiyle güncel tutulmayan hiç bir yazılımın güvenli kalması mümkün olmuyor. Dolayısıyla sisteminiz için bir güncelleme takvimi belirleyip, belirli aralıklarla güncelleme yapmalısınız.
• Oturumunuzu kapatın: Bilgisayarınızın başından uzaklaşmadan önce oturumlarınızı mutlaka kapatın. Pek çok servis, hangi cihazlarda aktif oturumlarınız olduğunu gösterecektir, aktif olarak kullanmadığınız veya şüheli görünen oturumları kapatmayı ihmal etmeyin.