Finans Sektörünün Kalbi: Bankaların Güvenliği

Finans Sektörünün Kalbi: Bankaların Güvenliği

Hazırlayan: Fatih Muallim

Ulusal ve uluslararası kuruluşlara elektronik güvenlik sistemleri çözümleri sunmak amacıyla 1997 yılında kurulan ve banka güvenliği konusunda bu zaman kadar başarılı birçok proje gerçekleştirmiş olan Senkron Güvenlik’in Firma Sahibi Bülent Çobanoğlu, banka güvenliği ile ilgili merak ettiğimiz  sorularımızı yanıtlandırdı.

Banka güvenliğinde elektronik sistemlerin öneminden bahsedebilir misiniz?

Günümüzde bankalarda halen caydırıcı ve önleyici amaçlı üst düzey fiziki güvenlik önlemleri ön planda olmasına rağmen, uzun bir süredir bankalara yapılan silahlı soygunların sayısı ters orantılı olarak azalmış, tersine Elektronik Bankacılık Sistemlerine yapılan girişimlere ve özellikle ATM Kiosk‘lar, nakit merkezleri, zırhlı taşıyıcılar ve şubelerdeki kasa dairelerine yönelik soygunlara dönüşmüştür.

Bu girişimleri elektronik güvenlik sistemlerinin desteğini almadan önlemek imkansız hale gelmiştir. Özellikle büyük soygunlar incelenmiş, soygunu planlayan veya uygulayan kişilerin kurumların içinden yardım ve destek aldıkları ortaya çıkartılmıştır.

Finans sektöründeki durum incelendiğinde ortalama rakam diğerleri kadar büyük olmazsa da AOCFE tarafından yayınlanan rapora göre Amerika‘daki soygun eylemlerinin %15‘i bankacılık ve finans sektöründe yaşanıyor ve olay başına ortalama 250 bin dolar kayıp gerçekleşiyor. Bu da ürkütücü bir rakam olarak değerlendirilmelidir.

Özellikle banka soygunlarında ve Türkiye gerçeklerinde tespit edilebilen aşağıdaki bazı bulgular olayı daha da korkutucu bir hale getirmektedir.

  • Kurumsallaşmanın çalışanlar tarafından benimsenmemesi veya anlaşılamaması,
  • Görev tanımları ve kuvvetler ayrılığı ilkelerinin göz ardı edilmesi,
  • Tek kişiyi olması gerekenden fazla yetkilendirme,
  • İç denetim fonksiyonunu yerleştirmeme ya da gerekli önemi vermeme,
  • En önemli ve kritik husus ise; aşırı güven (kurallardan vaz geçip kişilere itimat etmek).

Bu zayıflıkların yanı sıra özellikle paranın şubelerde ve ATM‘lerde saklanması, paranın nakli ve teslimi gibi işlemlerin yapılışı sırasında bazı teknik ve uygulama boşlukları da insanları bu suçları işlemeye teşvik etmektedir.

Bu boşluklar aşağıdaki gibi sıralanabilir.

  • seviye kontrollerde yeterli etkinliğin olmaması,
  • Suiistimal ihtimalinin ortadan kaldırılması amacıyla, organizasyon ve personel görev tanımları konusunda yeterli caydırıcılığın sağlanamamış olması,
  • Çalışanlar arasında suiistimal amaçlı iş birliği oluşumu,
  • Yapılan işin genel bir rutin olarak algılanması ve kontrol noktalarının zayıflatılması, (işletme körlüğü)
  • Çek, nakit, senet, vb. likit varlıkların yeterince güvende saklanmaması / kıymetlere kolay ulaşılabilir olması,
  • Geçmişte suistimale karışan personelin yeterince ağır cezalandırılmamış olması,
  • Kontrol boşluğu, yeterli denetim olmaması ya da hiç denetim olmaması,
  • BT Sistemlerinin, Elektronik Güvenlik Sistemlerinin ve denetim / kontrol ile ilgili ekranlarının yetkilendirmeleri ve raporlama sistemlerinin yetersizliği,
  • BT ve Elektronik Güvenlik programlarında kullanılan şifre ve diğer kontrol çemberlerindeki gizlilik titizliğinin gösterilmemesi,
  • İzin ve rotasyon gibi kurumsal uygulamaların yeterince sıkı uygulanamaması,
  • Yüksek oranda personel değişimi ile kritik oranda personelin temin edilmemesi

Kısaca özetleyecek olursak, BT Güvenliği, Elektronik Güvenlik ve Fiziki Güvenlik banka güvenliğinin birbirinden ayrılmaz üçlü sac ayağı olup, aynı zamanda kuvvetler ayrılığı prensibine uygun şekilde birbirlerini de denetleyebilir ve izleyebilir olmalıdır. Bu sistem güçlü kurulursa yapılan soygun girişimleri planlama aşamasındayken önlenebilecektir.

Günümüzde yaşanan teknolojik gelişmeler banka güvenliğini ne yönde etkiledi? Bu konuda güvenlik firmaların ayak uydurması gereken konular sizce neler?

Elektronik bilgisayar ve iletişim sektörlerindeki gelişmeler haliyle elektronik güvenlik sektörünü de bu gelişime ayak uydurmaya zorluyor. Bu sektörde özellikle insan altyapısında bilgiye ve teknolojiye yatırım yapan firmalar ayakta duruyor. Bu yatırımları zamanında yapamazsanız iş geliştirme alanında Pazar kaybediyorsunuz ve yeni projeler üretemiyorsunuz. Dolayısıyla isminiz eskiyor ve unutuluyorsunuz. Bizim gibi Sistem Entegratörü firmaların yapacağı en iyi şey; altyapı teknolojilerini yenilemek ve çalışanlarının bilgi seviyesini günümüz teknolojisine yaklaştırmaktır.

Teknolojinin her sektörde gelişmesi ile birlikte küçük şirketlerden holding seviyesindeki şirketlere kadar bütün şirketler yatırım ve işletme bütçelerini mutlaka güvenlik kalemini ilave ediyorlar. Ancak bu yatırımlarının doğruluğu sistemin arızalanması veya tamamen devreden çıkması durumunda sorgulanmakta ve bu durumda müşteri memnuniyeti ortaya çıkmaktadır. Biz entegratör firmaların ayak uydurması gereken en önemli konu uzmanlığımızın kurulum ve servis aşamasında %100 müşteri memnuniyetini sağlayacak şekilde satış sonrası servis kalitesini yakalamak ve devam ettirmektir. Özellikle teknoloji sektöründe başarılı firma olabilmek servis aşamasındaki memnuniyetle orantılıdır. Bu nedenle elektronik güvenlik sistemleri kuran bütün entegratör firmaların özellikle bir çağrı merkezinden destek alması uygun bir CRM programı kullanması işe uygun teknik personeli zamanında göndermesi ve teknik personeli anlık bilgi akışı ile donatması zorunludur.

Banka güvenliğinde en önemli sistemlerden biri olan CCTV’ler ve banka iç denetim birimlerinin sizden beklediği geriye dönük kayıtlar hakkında yaptığınız çalışmalardan bahsedebilir misiniz? Şu anki teknoloji beklentileri karşılayabiliyor mu?

Banka müşterilerinin taleplerine bağlı olarak mevcut işlemlerde geriye dönüşler için CCTV sistemlerinde, kayıt talebi söz konusu oluyor ve bu kayıtlar sadece resmi kurumlara verilmiyor; aynı zamanda özellikle bankaların iç denetim birimleri kullanıyor, yaşanabilecek yolsuzluklara engel olmak ya da meydana gelen olaylarda en doğru kararı verebilmek adına geriye dönük bu kayıtlardan çok daha fazla faydalandıklarını biliyoruz.

Bu nedenle, bankalarda ve finans sektörünün diğer alanlarında şu anda en hızla yaygınlaşan sistemler kapalı devre televizyon sistemleridir. Finans sektörü bu teknolojik imkanı çok hızlı keşfetti ve operasyonel bütün alanlarında kullanmaya başladılar, bu nedenle CCTV teknolojisi çok hızlı gelişti ve özellikle kayıtların sıkıştırılarak saklanması, VHS kasetlerden; HDD kayıt ortamlarına çok hızlı geçişi sağladı. Firmamızda şuanda CCTV sektöründeki en yeni teknolojileri bizden talep eden finans sektörünün oyuncularına kullanmaları için uyguluyor. Eskiden VHS kasetlerde 4 saatlik paketler halinde saklanan görüntü kayıtları bugünkü teknoloji ile kesintisiz 120 günlük görüntü kayıtlarına yükseltilmiş durumdadır.

Ancak başta da belirttiğim gibi finans sektöründen talepler çok hızlı bir şekilde artarak geliyor. Bankaların iç denetim birimleri şuanda bizden, şube ve ATM bazında bir senelik kayıt istiyorlar. Bu elbette teknik bir çözüm… Böyle bir bilgiyi bir banka şubesinde şuan ki teknolojik imkanlarla saklamak hem pahalı hem de mekan açısından sıkıntılı. Çünkü bu kaydı 1 sene içerisinde olabilecek bir durumda geri dönülebilmesi için saklamamız gerekiyor. Biz şuanda geriye dönük; bir senelik kayıt istendiğinde banka yönetimine bunu nasıl uygun teknolojide ve fiyatta nasıl tedarik edebiliriz, bunun üstüne çalışıyoruz.

Bir senelik kayıt teknolojik olarak mümkün olabilir; ancak iletişim kanalları henüz buna izin vermiyor. Yani, özellikle veriler merkezde saklanacaksa; banka şubelerinden bu bilgilerin şubeye aktarılması; şubeyle merkez arasında 2 Megabit büyüklüğünde oldukça ciddi bir veri transferinin yapılması anlamına geliyor. Bu transferin gerçekleştirilebilmesi için şube ile merkez arasındaki iletişim hattının geniş bir bant aralığına sahip olması lazım. Şu andaki alt yapı bu talebi karşılamaya müsait değil. Ancak elbette yine teknoloji buna bir çare bulacak. Bilgiyi sıkıştırma teknolojisi, veriyi paketleme teknolojisi gibi IT teknolojileri gelişecek ki; çok büyük bilgiler çok küçük paketler şeklinde hızla gönderilebilsin ve biz de 1 senelik bilgiyi güvenle transfer edebilelim.

Biyometrik sistemler bankaların hangi alanlarında kullanılıyor? Gelecek yıllarda bu durumun yaygınlaşacağı hakkındaki düşünceleriniz nelerdir?

Şubelerde henüz değil ama kıymetli evrak ve para sirkülasyonun olduğu bankaların nakit saklama ve iletişim merkezleri ile CIT şirketlerine ait nakit ve kıymetli mal saklama firmalarında riskin büyük olması sebebiyle biyometrik sistemler yaygın olarak kullanıma başlandı. Bununla birlikte bankaların müşteri bilgilerinin saklandığı veri merkezleri de biyometrik giriş sistemleri ile kontrol altına alındı.

Bu önlemler geleneksel geçiş sistemlerinde; en basit şekliyle şöyle, bir kart okuyucuyu iki kişinin aynı anda kartı göstermesi ile yapılabiliyor. Yani, ancak iki kişinin kartının olması durumunda korunan mekana girilebiliyor.

Bir başka versiyon ise kart okuyucusu ile birlikte tuş takımının tümleşik olarak kullanıldığı okuyucuya, kartınızı okuttuktan sonra tuş takımı ile kişiye özel kodun girilmesi ile kapının açılabilmesi.

Bunun daha üst seviyesi, kartın çalınması ya da kartın zorla alınması ve kullandırılması risklerinin önüne geçilebilmesi için biyometrik giriş cihazlarının kullanılması. Bu cihazların ilk versiyonu sizin de bildiğiniz gibi, Finger Print Recognition diye adlandırılan parmak izi okuyucularıdır. Ancak bu teknolojinin taklit edilebilmesi ihtimali, şu günlerde hem kamu ve hem de bankacılık sektörlerinde  Palm Vein Recognition diye adlandırılan Avuç İçi Damar İzi Tanıma Okuyucusu  ile Finger Recognition olarak adlandırılan Parmak Damar İzi Tanıma Okuyucusu kullanılarak aşıldı. Biyometrik çözümlerde bunun daha ileri versiyonu İris Recognition diye adlandırılan Göz İrisi Tanıma Okuyucusu kullanıma sunuldu ve şuan yüz geometrisi çalışmaları sürdürülen Face Recognition için araştırmalar devam ediyor. Sizin de bildiğiniz gibi şuan Türkiye’nin 2 büyük bankası özellikle ATM işlemleri ile ilgili Finger Recognition olarak adlandırdığımız Parmak Damar İzi Tanıma Okuyucusu ile müşterilerine işlem yaptırıyor.

Ayrıca bankacılıkta, MasterCard, VisaCard ve AMEX kartlarına ilişkin ödeme sistemlerine ait kredi kartlarının müşteriye özel basımı, şifrelenmesi ve dağıtımı sırasında öngörülen teknik şartnamelere uygunluk için kullandığımız güvenlik çözümleri bulunmaktadır. Bu mekanlarda güvenlik çözümlerinin bu teknik şartnameye olmazsa olmaz uygunluğu aranmaktadır. Bu şartnameye göre bankaların kredi kartlarının basıldığı noktalara ve veri merkezlerine ancak yetkili olan kişilerin haricinde diğer kişilerin girişini engelleyecek senaryolar hazırlanmakta. Bu mekanlara, yetkili kişinin girmesi amacı ile özel yüksek güvenlikli tüp geçiş olarak adlandırılan Antirobbery Security Entrance veya Antirobbery Booth kullanılmakta bu geçişlerde giren kişinin biyometrik özelliklerine uygun okuyuculardan geçmesi sağlanmakta kabinin içinde ayrıca volumetrik detektörlerle birlikte, kişinin vücut ağırlığı ölçülmekte ancak bütün bunlardan sonra kart basım odasına alınmaktadır.

ATM güvenliği hakkında bizi bilgilendirebilir misiniz?

ATM Kiosk‘lar, açık alanda hizmet veren ve minimum 200.000 TL para stoku olan bankaların en riskli noktaları olmaya devam ediyor.

Şehrin içerisinde, genelde şubelerin önünde duvar tipi ATM’ler çok sık kullanılmaktadır. Ayrıca Büyükşehir Belediyesi’ne ait ulaşım merkezlerinde ve meydanlarda Kiosk tip ATM’ ler seri olarak kullanılmaktadır. Bir de bankaların kendi pazarlama planlarına göre şehre dağıttıkları ve özel kurumların personelinin kullanımı için bankalardan talep ettikleri ATM Kiosk‘lar var. Aslında en riskli olanlar bu ATM’ler…

Bu ATM Kiosk’ların içinde bir ATM makinesi ve onun etrafında da bankanın kendine göre dönüştürdüğü kozmetik bir yapı var. Bu yapılar haliyle ve fiziksel olarak çok güvenli yapılar değil. Çünkü mümkün olduğu kadar hesaplı bir maliyetle yapılmaları gerekiyor.

İşte bu aşamada ATM’ in fiziksel güvenliğinin Elektronik Güvenlik Sistemleri ile sağlanması ve dışarıdan kioskun içine yapılabilecek izinsiz girişimlerin; mümkün olduğu kadar erken algılanıp, güvenlik güçlerinin müdahalesi için Alarm Haber Alma Merkezilerine ulaştırılması söz konusu.

Elektronik Güvenlik Sisteminde kullanılan paneller, telefon hatlarının kesilmesi durumunda haberleşmenin engellenmemesi için hem TCP / IP hat üzerinden ve hem de GSM / GPRS hat üzerinden haberleşebilecek iletişim kanallarına sahiptir. Genel olarak ATM Kiosk’lar, hareket dedektörleri, manyetik kontaklar, yangın ihbar dedektörleri, delici/kırıcı makinelerin hareketlerini ve Isı Yayan aşındırıcı makineleri ve Patlayıcı ile oluşan yüksek genlikleri algılayan sismik kasa dedektörleri ile korunmaktadır.

Ayrıca ATM makinelerini imal eden WINCOR, GRG, NCR gibi tedarikçiler; uluslararası kilit sistemlerine ilave olarak, makinenin özel yerlerine Switchler, Manyetik kontaklar, 3 tip genliğe (yüksek volümde bir dinamit kullanılması, matkapla delinmesi veya çekiçle vurulması gibi) cevap verebilen sismik kasa dedektörleri ile tesis etmektedirler.

Dolayısıyla ATM’nin kendisi de ayrıca Elektronik Güvenlik Sensörleri ile donatılmıştır. Bir ATM Kiosk iç içe alarm sistemleri ile korunur. Dolayısıyla ATM Kiosk’un kapısını zorladığınız andan itibaren sizi 25 farklı elektronik sensör beklemektedir.

ATM’lere güvenlik sistemlerinin haricinde kapalı devre televizyon sistemleri de kurulmaktadır. ATM Kiosk’ların içinde ve dışında BBDK tarafından belirlenen ve bankaların güvenlik müdürlüklerinin öngördüğü konfigürasyonda kapalı devre TV ve dijital kayıt sistemleri 7/24 çalışmaktadır. ATM’lerin izlenmesine yönelik kuralları BBDK belirledi ve 2009 yılı sonuna kadar bütün ATM Kiosk’larda bu önlemlerin alınması bankalardan talep edildi. Şu an itibari ile bütün ATM Kiosk’lar bu sistemlerini tamamlamış durumdadırlar.

Kapalı devre TV sistemiyle birlikte üç şey hedeflenir. Birincisi; caydırmak ve soygun girişimde bulunulmasını zorlaştırmak; ikincisi böyle bir girişim olması durumunda ispatlamak ve yetkili mercilere kayıtları iletmek. Üçüncüsü ise müşterinin ATM işlemi esnasında güvenliğini sağlamak ve varsa yaşadığını iddia ettiği sıkıntıları geriye dönük izlemek ve şikayetlerini değerlendirmek.

Biz bu süreçleri kolaylaştıran Data Transaction (veri İşleme) adı verilen çok yeni bir teknolojiyi uygulayan cihazlar kullanıyoruz. Sanırım, bunu Türkiye’de tek bir banka kullanıyor. Bu sistemle, müşteri işlemi sırasında, kamera işleme başlayan müşterinin fotoğrafını çekiyor, bu fotoğrafı yaptığı işlemin yanına yapıştırıyor. Dolayısıyla yapılan işlem ve işlemi gerçekleştiren kişi tek bir resim altında toplanarak data transaction (veri işleme) oluşturuluyor. Dolayısıyla her hangi bir şikayet durumunda çözüm çok kısa bir sürede yetkili merciler ve müşteri ile paylaştırılıyor.

Var olan uygulamaların yanı sıra banka sektörünün ihtiyaç duyduğu güvenlik konuları nelerdir?

Tabii ki bunların başında Siber Güvenlik amaçlı adımların atılmış olması, bunla ilgili önlemlerin BT tarafından alınmış olması gereklidir. Tarihin en büyük banka soygunu online gerçekleşmiş ve 1 milyar dolar çalınmıştır. Türkiye’deki en büyük banka soygunu ise başlangıçta bahsettiğimiz ve sebeplerini anlatmaya çalıştığımız suiistimal yoluyla 20 milyon doların zimmete geçirilmesiyle yapılmıştır.

Interpol dijital suç merkezi bu saldırıların suçluların herhangi bir sistemdeki, herhangi bir güvenlik açığından yararlanarak gerçekleştirdiğini dikkat çekmektedirler. Ayrıca bankacılık başta olmak üzere hiçbir sektörün saldırılara karşı güvende olduğunu farz edemeyeceğini ve bu nedenle güvenlik prosedürlerini sürekli gözden geçirmeleri gerekliliğinin önemini vurgulamaktadır.

Banka güvenliğinde yaşanan açıklar ve hatalardan bahsedebilir misiniz?

Birinci hata, yeni yapılacak Banka ve Finans binalarında Elektronik Güvenlik Sistemleri projelendirilirken planlamanın son aşamasına bırakılması ve dar bir bütçe ile yapılmasının istenmesi. Dolayısıyla,  olması gereken değil, size verilen ölçüdeki elbisenin içine girmek durumunda kalıyorsunuz. Bu durum başlangıçta hem sistem entegratörü ve hem de bankanın güvenlik departmanı için sistem çözümünü oldukça zorlaştırıyor. Fakat bina tamamlandıktan ve çalışmaya başladıktan sonra; enteresan bir şekilde güvenlikle ilgili istek ve talepler gelmeye başladığında, ilave bütçeler oluşturularak sistem yeniden inşa edilmeye çalışılıyor. Fakat altyapı açısından hazır olmayan binalara talep edilen ilaveleri sonradan yapmak hem emek hem de para kaybına neden oluyor. Dolayısıyla bütçe hesaplanırken güvenlik yönetiminin öngördüğü ihtiyaçların planlanması ve sistemlerin buna göre konfigüre edilmesi daha doğru olacaktır.

İkincisi hata, sistemde seçilecek cihaz ve ürünlerin segment olarak doğru seçilmesi gerekiyor. Yani sizin bir perakende sektörüne ait bir mağazada kullandığınız sistemlerin işleviyle finans sektöründeki bir bankada kullanacağınız sistemlerin işlevleri hiçbir zaman aynı olamayacaktır. Dolayısıyla, sizin beklediğiniz amaca uygun özellikli model ve markaların seçilmesi gerekmektedir. Güvenliğin çok dar bir bütçe ile planlanması sistemin ileride değiştirilmesine sebebiyet verecektir.

Üçüncü hata, bankalarla çalışırken biz her zaman öncelikle güvenlik departmanıyla projeyi çalışmaya başlıyoruz konfigürasyonu oluşturuyoruz, ürünleri seçiyoruz. Bunu yaparken o anki ihtiyacımızı değil, yaklaşık 5 senelik ihtiyacımızı da hesaba katıyoruz. Markaları seçerken bize 10 yıl yedek parça ve bakım onarım desteği verebilecek olan üreticileri seçiyoruz. Sonraki aşamada satın alma birimi devreye giriyor ve satın alma biraz önce saydığım hususları çok fazla dikkate almadan performansı tamamıyla unutup satınalmayı en ucuz fiyat teklifi olarak değerlendiriyor. Fiyat ucuzluğunu; rekabete ön koşul olarak sunuyor. Bu sıkıntılı sürecin aşılması ve daha doğru kararlar alınabilmesi için güvenlik departmanlarından 1-2 kişinin de satın alma heyetinin içerisinde olması gerektiğini düşünüyorum. Böyle bir çözüm; banka güvenlik yönetimini ve sistem entegratörünü rahatlatacak ve banka açısından çok daha uygun güvenlik yatırımı yapılacaktır.

a&s turkiye