McAfee Secure sites help keep you safe from identity theft, credit card fraud, spyware, spam, viruses and online scams



Bankacılıkta Kimlik Güvenliği ve Kimlik Doğrulaması İnan TAPTIK

Bankacılıkta Kimlik Güvenliği ve Kimlik Doğrulaması

İnan TAPTIK

ABD nin bankacılık denetleme otoritesi FFIEC'in temel prensipleri, OECD direktiflerinde yer alan enformasyon ve network sistemlerinin güvenliğinin günlük rutine bağlanması ve kimlik bilgilerinin korunması kriterine bağlı Internet-tabanlı finans hizmetleri sunan tüm finans ve bankacılık kurumlarının network omurgalarının günlük denetimden geçirilmesidir.


FFIEC (Federal Finans Kurumlar Teftiş Konseyi) temel prensipleri, Internet tabanlı finans hizmetleri sunan tüm finans kurumların 2006 sonunda geliştirilmiş güvenlik önlemlerine geçilmesini tavsiye etti. Büyük kuruluşlardan bir kaçının FFIEC tavsiyelerini hayranlıkla uygulamalarına karşın bir grup küçük banka direnç gösterdi.
Daha küçük kurumların birçoğu FFIEC tavsiye kararlarını kati kurallardan ziyade " tavsiyeler " olarak görüyor.Türkiye'de etkin kurum BDDK nın uygulamaları da ABD deki durumla paralellik göstermekle birlikte bankaların elektronik ortamdaki verilerinin her gün tekraralanan günlük güvenlik açığı denetimlerini izlememekte bir bakımada sorumluluğada ortak olmak istememektedir. Bu durum bir noktaya kadar anlaşılabilir olmakla birlikte denetim zaafını ortaya çıkarmaktadır.Aslen banka ve finans kurumların yol gösterici ve denetçi olan otoritelerin ilkelere uymakla kazanacakları faydalar ciddi boyuttadır. İnternet tabanlı finans hizmetleri sunan banka ve finans kurumları, bu yol gösterici ilkelerde yer alan tavsiyelere göre ABD 'de Enformasyon sistemleri günlük olarak uzaktan denetlenecek federal müfettişler uyum gösterilmeyen tüm vakaları belgeleyeceklerdir.


Niye Uyum?
Şifre çalma(phishing) ve istenmeyen e-posta (spam) gibi siber suçlardaki devamlı artış kullanıcı topluluğu arasında online finans hizmetleri, özellikle de İnternet bankacılığına karşı yükselen bir endişe doğurmaktadır. Siber suçlarla baş etmek için özel önlemlerle desteklenen geliştirilmiş kimlik doğrulama mekanizmaları müşteri korkularını azaltmaya yarayacaktır. Yapılan çalışmalara göre Türkiye'de 2008 sonuna kadar 28 milyon kullanıcı online bankacılığı kullanıyor olacak, güvenliği arttıracak önlemler alındığı takdirde bu rakam rekor düzeylere ulaşabilecektir.
Uyum sağlamak için diğer bir önemli neden küçük ve orta ölçekli organizasyonlara karşı giderek artan siber saldırılardır. Makul güvenlik bütçesi olan büyük organizasyonların birçoğu siber suçlarla başa çıkabilmek için sıkı önlemler uygulamaya koymuşlardır. Amerika Birleşik Devletlerinde Bank of America ve HSBC gibi bir kısmı da çoktan daha kuvvetli kimlik doğrulama mekanizmaları kurmuşlardır. Bu da saldırıların odağını daha küçük teknik bütçeli ve dolayısıyla daha zayıf güvenlik mekanizmalı organizasyonlara kaydırmıştır. Düzenlemeler ve uyum bir yana, herhangi bir saldırı, saldırının bir sonraki bariz hedefi olan müşterilere ciddi risk anlamına geleceği için bu organizasyonları işinden edebilir

Ne Yapılmalı?
Uyumun ilk adımı bir organizasyonun Bilgi Teknolojileri alt yapısında güvenlik bütçesinden acil pay bekleyen alanları belirlemek amacıyla yapılacak Güvenlik Risk Analizi'dir. Risk analizinin sonunda, bir organizasyon şu önemli sorunun yanıtını verebilecektir: Neye karşı korunuyoruz?
Bir sonraki adım ise, organizasyonun bütçesine ve iş yapısına en çok uyan kimlik doğrulama mekanizmasını belirlemek için Maliyet -Fayda Analizi yapmaktır. Kimlik doğrulama mekanizmasını belirlerken akılda tutulması gereken iki şey: Değer ve Kullanım kolaylığıdır.

Değer Risk Altında
Belirlenen risklere bağlı maksimum zarar budur. Oldukça mantıklı olarak, bir varlığı korumanın maliyeti değerinin altında olmalıdır. Bu yüzden tahmini zarardan daha fazla kaynak kullanımı gerektiren bir kimlik doğrulama mekanizması karlı olmayacaktır.

Müşteriler İçin Kullanım Kolaylığı
Diğer önemli bir husus kullanıcıların geliştirilmiş kimlik doğrulama vasıtalarını kullanmaya istekli olup olmadıkları. Karmaşık veya zaman alıcı bir çözüm kullanışlı olmayacak, ortalama bir kullanıcının gözünü korkutarak kaçıracaktır. Müşteri satın alımı zorunludur ve bilinirlik yaratmak sabırlı çabalar gerektirir.

Kimlik Doğrulama Metodları

Bu suretle ilk önce kimlik doğrulaması nasıl oluyor? Metod kullanıcıyı doğrulamak için kullanıcının kendine has bir şey üretmesini istemektedir. Bu da aşağıdakilerden herhangi biri olabilir;

•  Kullanıcıların bildiği bir şeyler: Şifreler, PIN numaraları, Şifre ibareler, vb.

•  Kullanıcının sahip olduğu bir şey: Jeton, Smart kart, vb.

•  Kulacının Ip adres konumu ve coğrafi konumu.

•  Kullanıcının işlem yaptığı bilgisayarına ait MAC numarasının doğrulanması.

FFIEC temel prensiplerinde sıralanan kimlik doğrulama metotlarından bazıları shared secret'lar, jetonlar, biometriler, kazı kartlar, IP adres konumu/ coğrafi konumu ve karşılıklı doğrulamadır.

Güvenlik Sorusu

Shared secret'lar en eski kimlik doğrulama şeklidir. Şifre, PIN numarası, vb içerirler. Daha sonra açıklanacağı üzere Shared secret'lar karşılıklı doğrulamada etkin bir şekilde kullanılabilmektedir.

IP Adres Konumu ve Coğrafi Konum

IP adresi konumu ve coğrafi konum müşteri tarafından kullanılan sistemin IP adresini ve kullanıcının coğrafi konumunu belirlemeyi içermektedir. Böylece eğer bir kullanıcı laptopla hareket halindeyse, ilk önce bağlantının IP adresi ve makinanın İnternet erişim hızı belirlenmelidir. İletişim için harcanan zaman bilinen konumlar arası uzaklıklarla kıyaslanmaktadır. Uygun bir eşleşme daha ileri iletişime imkan tanımaktadır. Aksi takdirde kullanıcı telefonla kimlik doğrulaması yapmak zorunda kalacaktır. Ancak bu teknik de IP adresi dolandırıcılığına maruz kalabilmekte ve kablosuz bağlantılı müşteriler için uzaklık belirleyebilme yeteneğiyle sınırlı kalmaktadır.

MAC Numarası Doğrulaması

Pozitif bir ayrımcılık uygulaması olan bu sistem kullanıcının işlem yaptığı donanımlara ait MAC ( Media Access Control) bilgilerinden oluşturulacak bir data base 'e kayıt edilerek takip edilmesi ve farklı donanımlarla işlem gerçekleştirilmesi durumunda işlem onayı için kimlik numarasının belli bir kısmının veya tamamının istenmesi ve farklı bir donanımla bağlandığının konusunda bir uyarının yer alması, güvenliği artırmakla kalmayıp siber suçla mücadele önemli bir başlangıç olacaktır.bu suretle suça karışan donanım yada network yapılarında internet bankacılığına ulaşımı engellenecektir.

Güvenlik Sorusuyla Çift Taraflı Tasdikleme

Bu metod da, kullanıcı bir şekil ve/veya parola seçmekte ve giriş denemesinde bunları kontrol etmektedir. Kullanıcı web sitesinde kimlik doğrulaması için şimdi düzenli kullanıcı adı-şifre planını kullanabilir. Bu metoda karşılıklı kimlik doğrulanması için web sitesi ve kullanıcı arasında paylaşılan sır temeline dayanmakta ve böylece iki-faktörlü bir kimlik doğrulaması olmamaktadır. Ancak ekstra bir güvenlik katmanı sağlamakta ve müşteri güvenini arttırabilmektedir.

Sizin İçin En İyisi Nedir?

En önemli olan müşteridir. Doğru kimlik doğrulama planını seçmek organizasyonun riski müşterinin ışığında değerlendirmesini gerektirmektedir. Müşteri tipi, işlem türü, müşteri bilgilerinin hassasiyet derecesi, iletişim modu gibi değişik odak noktalarına bağlı olarak, bir organizasyonun ilk meselesi genel risk durumu olmalıdır. Bu riski kavrayan bir anlayışla seçilen kimlik doğrulama altyapısı şirkete hem uyum hem de iş getirecektir.
FFIEC temel prensipleri güçlü bir güvenlik politikasıyla desteklenen geliştirilmiş bir kimlik doğrulama planı tavsiye etmektedir. Beraberinde itibar ve müşteri memnuniyeti sözü getirdiği için bu prensipler doğru yönde atılacak bir adımdır. Kurallara uyumun sadece bir yan ürün olduğu düşünülecek olursa, daha küçük finans kurumlarının da savunmalarını güçlendirerek elde edecekleri karları göz önünde bulundurma zamanları gelmektedir.