   |
|
|
SİBER SUÇ’UN BÜYÜYEN TEHDİDİPaul
SWEENEY – Banking Administration Magazine – Temmuz/Ağustos 1999 İnternetten
kaynaklanan küçük zararlar finansal kurumları şu ana kadar kuşatmaya aldı.
Ancak, canavarı ininde sindirmek için sağlam önlemler gerekiyor. İnternetteki finansal hizmetler büyük bir hızla çoğalmaya devam ediyor, öyleyse siber suçlar uzakta kalabilir mi? Bankalar ve finansal aracılar internetle kucaklaşırlarken sorun daha
da çok önem kazanıyor. Federal Deposit
Insurance Corp.’un tahminlerine göre yaklaşık 3,000 banka ve tasarruf
kuruluşunun internette kendi web siteleri var. Bu sitelerin tümü altı milyon
aileye hizmet veriyor ve en azından onların on-line finansal işlemlerinden
bazılarını idare ediyor. Tüm e-ticaret pazarının bugünkü değeri yıllık
bazda 43 milyar dolardır ve bunun 2001 yılında 1 trilyon dolara ulaşması
beklenmektedir. Böylesine büyük miktarda para, ve bilgisayar ağlarında çalkalanan duyarlı tüketici enformasyonu varken, uzmanların çoğu pahalıya maloacak potansiyel güvenlik ihlalleri karşısında endişeye düşmektedirler. Çok şükür, günümüze kadar on-line sahtekârlık finansal kuruluşlar için esaslı bir sorun olmamıştır. İnsanların paralarını dolandırmak için birkaç sahte banka web sitesi kullanma suçu işlendiği zamanlarda, sofistike şifreleme sistemleri bankaların veri güvenliğini korumada oldukça başarılı olmuşlardır. Ancak tehdid varlığını sürdürüyor. 1994’de bir Rus’un laptop kullanarak Citicorp’un nakit yönetimi sistemine giriş serüveninde olduğu gibi azimkâr bir “hacker” tarafından pozu verilen yüksek profilli olaylar risklerin doğruluğunu kanıtlamaktadır. İnternetteki iletişimin anonim olması bunun tehlikelerini dahada büyütmektedir. American Bankers Association’a (ABA) üye bir organizasyon olan ABAecom’un başkanı Thomas Greco şöyle demektedir: “Geçen birkaç yüzyılın ardından, sıradan bir sahte çek yazımı, eğer hala birtakım kişilerin yanına kâr kalıyorsa, bu insanlar internette ne yaparlar bir düşünün.” Kendi endüstrileri adına bankalar siber dolandırıcıları inlerinde sindirmek zorundadırlar çünkü eseaslı dolandırıcılık olayları tüm finansal sistemdeki müşteri güvenliğini sarsabilir. Citicorp’un enformasyon merkezi şefi Steve Katz “Gerçekten de biz bankacılıkta iki ürünü satarız – para ve güven” diyor ve ekliyor “Güven tarafında başarıyı elde edemişseniz, finansal tarafta da başarı elde edemezsiniz.” Müşteri güvenliğini koruma konusunda güvenlik uzmanları bankalara çözülmesi neredeyse imkânsız olarak kabul edilen 128 bitlik şifreleme teknolojisini tümüyle kullanmalarını tavsiye ediyorlar. 128 bitlik şifreyi çözme teşebbüsü, Katz’a göre, Pasifik Okyanusu büyüklüğünde bir veri denizinde en zeki hacker’ın bile 1000 yılını alacak bir çalışmadır. On-line güvenliği destekleyebilecek diğer teknolojiler ise ses’ten ve göz-irisi’nden tanıyabilen makineler, ve parmak izi okuyucularıdır. Ancak bu sistemler müşterinin mahremiyetine çok önem vererek dikkatle kullanılmalıdırlar. Geçenlerde geri çekilen “Müşterini Tanı” yasası göstermiştir ki banka müşterileri kendi kurumlarının aşırı mütecavizliğini istememektedirler. Diğer bir gereksinim ise tüm risk kaynakları hakkında geniş düşünmektir. Sabotaj, bilgi hırsızlığı, yetkisiz erişim, ve internete girip firma için değerli olan zamanın ısraf edilmesi gibi çalışanlar tarafından da büyük zararlar verilebilir. Müşterileri anketlerinin ve şikâyetlerinin tutulmasında, birtakım hizmetlerin ulaştırılmasında ve hassas enformasyon alış-verişinde uygun bir araç olarak e-posta kullanılmaktadır. Bu aracın kurşun geçirmezliğinin önemi abartılamazken, %100 güvenirlikle böyle yapmanın zorluğu da küçümsenemez. Kurumlar şunu anlamalıdırlar: kendilerini korumaları için kendi tedbirlerini almak zorundadırlar, çünkü on-line suistimallere engel olmak hükümetlerin yetkisi dahilinde değildir.The Computer Security Institute, büyük firmalara enformasyonun korunması için kendini bu işe adamış personel eşliğinde uygun programlar, kuvvetli prensipler tesis etmelerini ve “bir enformasyon güvenliği mimarisi kuşağı” oluşturmalarını öneriyor. Siber Dedektiflik Finansal kurumlarda ne kadar sayıda e-suç işlendiğini kesin bir şekilde belirlemek imkânsızdır, çünkü bu kategorideki faaliyeti izlemek ve gözlemekten hiç bir kurum sorumlu değildir. Son araştırmalar problemin küçük olduğunu ancak büyümekte olduğunu da işaret ediyor. CSI (Computer Security Institute)’ın şirketleri, finansal kuruluşları, üniversiteleri ve devlet dairelerini kapsayan 521 organizasyonun 1999 yılı araştırmasındaki bulgulara göre dışardan sisteme girişler son üç yıldır artmaktadır. Bunlardan 163 kurum zararlarının 124 milyon dolar olduğunu belirleyebilmişlerdir. En ciddi tehdidin 25 işyeri ve organizasyonda yaklaşık 42.5 milyon dolar zarara neden olduğu hesaplanan “tescilli enformasyonun çalınması” olduğu sanılmaktadır. 1998 Kasım’ında ABA’nın yayınladığı son araştırmaya göre eski moda çek sahtekârlığı 1997’de ABD ticari bankalarına 512 milyon dolara maloldu. Bilinen başka bir banka hilekârlığı, geri dönmeyen alacaklar ile ilgili kart suçları ise 776 milyon dolara maloldu. Açıkçası, bildik çek sahtekârlığı ve kredi kartı hırsızlığı gibi aşina suçlar bankalar için endişe duyulan başlıca sahtekârlıklar olarak kalmaya devam edecektir. Öyle olsa bile, güvenlik uzmanları şundan kaygılanıyorlar: siberuzay ve yüksek teknolojiden gelen tehditler sonuçta sıkıntı verici olacaktır. Ulusal çapta 10,000 ajanı bulunan FBI, son 5 yıldır bilgisayar suçları bölümlerine kadro eklemektedir. Örneğin, New York ofisinde kendilerini özellikle bilgisayar suçları ve sahtekârlıklarını araştırıp bulmaya adamış 11 ajan vardır. Ancak, bu yeterli midir? FBI eski şeflerinden birinin Bank Administration Institute’un güvenlik ve hesap kontrolu ile ilgili konferansında açıkladığı gibi, yasal uygulamaları takip edecek devlet daireleri, tek başlarına uluslararası yasadışı örgütler tarafından ortaya konan siber tehlikelerle baş edemezler, özellikle de Rus ve Japon gansterlerin içinde olduğu “süper karteller” ile. Konferansta söylendiği şekilde “işyerleri, can damarlarından en hayati olanının, git gide artan bir şekilde kendilerine güvenlik sistemleri tasarlayabilmeye bağlı olduğunu göreceklerdir." İnternetteki bilgisayar suçlarını açığa çıkarmada bir büyük engel de bu ortamdan gelen anonim olma özelliğidir. Siberuzay dünyasında insanlar seçtikleri herhangi bir isim ile kendilerini kamufle edebilirler. FDIC (Federal Deposit Insurance Corporation)’ den bir uzmanın dediğne göre “Kimle iş yaptığınızı bilmeniz zordur – işlemin her iki ucunda da” Diğer bir tehdit de uluslararası sınırların delinmiş olmasıdır, ve şu da bir gerçektir ki telefon hatları kanalıyla zorla tecavüzler olabilmektedir. Duvarları aşmak veya banka kasalarına girmek için pek fazla şeye gereksinim yoktur. National Infrustructure Protection Center’ın şefi şöyle diyor: “Yeni teknolojiler tarafından komuta-kontrol sistemlerinin merkezileştirilmesi şu anlama gelir: kötü niyetli biri sisteme girdiğinde, aynı teknolojiyi kullanmak suretiyle, fiziki silahlarla etkili olabileceği alandan daha geniş bir alan üzerinde zararlı olabilir.” Rusya’da St. Petersburg’da, 24 yaşındaki Viladimir Levin bir dizüstü bilgisayarla çalışarak ve diğer ülkelerdeki suç ortaklarından da yardım alarak Citicorp’un nakit yönetimi sistemine girdi. Bu hacker’ların, canlandırdıkları hesap sahiplerinin, yasadışı nakit transferi teşebbbüslerinin toplam değeri 10 milyon dolardı. Citicorp’un uyanık davranmasının yanında, hem ABD’de hem de ABD dışındaki emniyet güçlerinin yakın işbirliği sayesinde bu bilgisayar dolandırıcıları izlenerek bulunabildi ve Levin hapisaneye gönderildi. Ancak bu Citicorp’a çok pahalıya maloldu. Cybersafe Corp’dan Glenda Barnes’a göre banka bu dolandırıcılıkta 400,000 dolar kaybetti ve buna ilaveten dava ücreti olarak 1.7 milyon dolar ödemek zorunda kaldı. Bu olay, en azından geçici olarak, müşterilerin paraları için güvenli, emniyetli bir sığınak olan Citicorp’un imajı aleyhine işledi. Sahte Bankalar Citicorp olayında internet gerekmediği halde (Levin, bankanın özel bilgisayar sistemine girmişti) benzer tehditler World Wide Web’de gizlidir. Finansal suçlar arenasında, internet dolandırıcılıklarının bir çoğu şimdiye kadar, insanların bir menkul kıymet hakkında sahte enformasyon yayarak onun fiyatının çıkmasının ya da inmesinin kışkırtıldığı, menkul kıymetler borsalarındaki hile yolu ile fiyat değişikliklerini kapsamıştır. Gafil müşterileri dolandırnak için sahte bankalar da interneti kullanmaktadırlar. Bu düzmece web siteleri genellikle serbest Visa kartlarının cazibesini veya vergiden koruyan teknikleri ve bol kâr vaadi olan ülke dışı yatırımları kullanarak para yatırılmasını istemektedirler. Milis gruplar “Örf ve Adet Hukuku” kapsamında bankacılığa girmelerinin hak olduğunu iddia ederek bu tür bir kaç sitenin izinden gittiler. Örneğin Arizona’daki The Freeman milisi Star National Bank adı altında bir web sitesi kurdu ve %30’a kadar mevduat faizi vermeyi teklif etti. Mayıs ayı içinde Securities and Exchange Commission (SEC) internette “en iyi banka” senet ve tahvillerinin reklamını yapan bireylere karşı birçok uygulama getirdi. Örneğin, Oregon’da bir adam, üç gün ile 120 gün arasındaki sürelerde %50 ile % 1,600 arasında değişen kâr getirisi vaadiyle en iyi banka yatırım araçları satmak için üç tane web sitesi kurmuştu. SEC’in internet uygulamaları birimi direktörü John Reed Stark, USA Today’e yaptığı bir açıklamada “En iyi banka dolandırıcılıkları gördüğümüz en küstah olaylardandır” demektedir. Bu düzmece web siteleri ile başedebilmek için ABAecom yasal banka sitelerine yerleştirilebilecek ve müşterileri rahatlatacak bir “SiteCertain = Güvenli Site” mühürü önermektedir. Şimdiye kadar bu programa 10 kuruluş üye olmuştur. FDIC’ten bir uzman “Ne tüm bankalar bu servise abone oluyorlar, ne de tüm müşteriler ABAecom ve onun mühürü hakkında bilgiye sahipler” diyor ve ekliyor “Bir internet sitesinin meşruluğunu tesis etmek halâ bir problemdir”. Siber uzayın geniş yayılma alanında neler olup bittiğini kontrol etmek zorken, bankalar kendi web sitelerindeki iletişimin güvenliğini 128-bit şifreleme kullanmak suretiyle koruyabilirler. Uzmanlar bu şifrelemenin güncel internet sahtekârlıklarını bastırmada etkili olduğunu söylemektedirler. Diğer bir koruma ise bankaların internette sınırlı sayıda hizmet vermesidir. Tipik olarak müşteriler hesap açarlar, işlemleri izlerler ve hesaplar arasında para transferi yaparlar. Ancak halâ insanların çoğu faturalarını öderken klasik çekleri doldurmakta ve nakit ihtiyaçlarını banka şubelerinden ya da ATM’lerden sağlamaktadırlar. Bankalar internet üzerinden daha çok hizmet vermeye başladıklarında ve müşterilerilerin kişisel bilgisayarlarından yeniden doldurulabilen mikroçip teknolojili kartlarla tecrübe kazandıklarında, bu durum elebetteki değişecektir. Bu tür uygulamalar ise, siber-dolandırıcılar için yeni faaliyet alanları açacaktır. Bilgisayar vasıtası ile izlenen ve ödemeleri yapılan elektronik fatura sunumu gibi yeni teknolojiler güncel olarak güvenliğin değerini artırabilir. Mantıklı olan şudur ki çek dolaşımı’nın (floating=çekin sunumu ile ödenmesi arasındaki süre) elimine edilmesi ödemedeki belirsizliği de elimine eder. Tüketici grupları, hesaplara yetkisiz erişim yoluyla on-line banka müşterilerinin hileli bir şekilde soyulmasından halâ endişe duymaktadırlar. Gizlilik Endişeleri Bankalar ses ve göz-irisi tanıma, parmak izi okuma ve el geometrisi teknolojisi gibi hepsi “biometrik tanıma” nın bölümlerini yansıtan bir sürü yeni güvenlik unsurunun değerlendirmelerini yapıyorlar. ABD içinde ve dışında birkaç banka bu metotları kendi ATM ağlarında kullandılar. Bunlardan bir Peru bankası ev bankacılığı uygulamalarında parmak izi teknolojisinde tecrübe sahibi oldu. Bankerler, regülatörler, emniyet güçleri ve yasa koyucular bile bilgisayar ve internet sahtekârlıkları ile daha henüz boğuşuyorlarken, hükümet ve bankalar çok daha ileriye giderek acımasızca gözetim ve takip pratikleri uygulayabilirler. Bu ise kamuoyunun sert tepkisi için bir kıvılcım olabilir. Regülatör nitelikteki devlet daireleri bunun tadını aldılar ve önerdikleri “Müşterini Tanı” yasasını geri çekmek zorunda kaldılar. Bu yasa, para aklamayı ve diğer finansal suçları önlemeyi hedefleyerek bankaların ve tasarruf kuruluşlarının müşterilerine ilişkin çok geniş kayıtlar tutmalarını ve bu enformasyonu hemen hükümet otoritelerine aktarmalarını gerektiriyordu. Dışardakilerce pozu verilen on-line tehditlerin gözlenmesi kolay ve tartışması enteresan iken, menajerler içteki düşmanlarından da sakınmalıdırlar. Başkan Clinton ve Monica Lewinsky hakkındaki müstehcen ayrıntılara yer veren ve internette yayınlanan Kenneth Starr’ın raporunu unutmayın. Tahminlere göre adı geçen rapor milyonlarca çalışan tarafından mesai saatleri içinde internetten indirildiği için 500 milyon dolarlık üretim kaybına neden oldu. Bu olay, internetin insanların dikkatlerini işlerinden ayırıp nerelere yöneltebileceği potansiyelinin altını çizmektedir. Hırsızlık, ve/veya bilginin harab edilmesi, sabotaj, yetkisiz erişim, ve enformasyonu bilmeyerek yanlış taraflara göndermek gibi personelden kaynaklanan yıkıcı ve henüz masum yanlışlar göz önüne alındığında bu tartışma çirkinleşmeye başlar. Bunu ima etmekteki amaç menajerler arasında paranoya aşılamak değil, ancak internet tarafından pozu verilen güvenliğe meydan okuma’nın altını çizmektir: Bilgisayarların kilidi ağ vasıtasıyla açılmaktadır, ancak o zamanda ağ, hem dıştakiler hemde içtekilerce kötü niyetler için bir yol haline gelmektedir. Bunun ışığında CSI şunu tavsiye etmektedir: organizasyonlar çok yönlü enformasyon koruma programları tesis etmelidirler. Böyle bir program, politikalara ve prosedürlere hakim çok iyi yetiştirilmiş personeli, yaratıcı bir güvenlik programlarını ve sağlam pratiklere dayalı, enformasyon güvenliği kuşağı yaratan bir mimariyi kapsamalıdır. Böylesine esaslı bir yaklaşım, zaten teknolojik konularla fazlaca yüklenmiş olan finansal kurumların menajerleri için efor ve maliyet açısından yeni bir baş ağrısı daha olmaktadır. Ancak, herşeye rağmen, internet ve ilgili ağların kullanımı ve buna eşlik eden kötü niyet potansiyeli varken, bunun gerekli olduğu görülmektedir.
|
