İnovasyona güç vermek, tüketici taleplerini karşılamak ve aynı zamanda yeni yasal düzenlemelerin gerekliliklerini yerine getirmek isteyen köklü finans kurumları ile yeni fintek firmalarının işbirliği içinde hareket etmeleri gerekiyor. Fortinet, tüketici taleplerini başarıyla karşılamak isteyen büyük finans kurumları ve küçük fintek şirketlerinin her birinin, diğer tarafın sağlayabileceği unsurlara ihtiyacı olduğuna işaret ediyor. Fintek sanal güvenliği istikrarlı bir şekilde sağlanmamışsa, bu durum bankalara da olumsuz yansıyabiliyor.
Finans hizmetleri sektörü bir geçiş döneminin içinde. Daha çok erişim ve daha düzenli işlemler talep eden tüketicilerin yeni eğilimlerine uyum sağlamaya çalışıyor. Günümüz tüketicileri, başta SaaS bulut çözümleri ve uygulamalar aracılığıyla olmak üzere internet üzerinden faturalarını ödemek, kredi çekmek, mali tavsiye almak ve paralarını kendileri yönetmek istiyor.
Büyük ve köklü finans kurumları için bu geçiş oldukça zor. Bankaların çoğu hala, ana bilgisayar ve özel veri merkezleri gibi eski BT altyapılarıyla çalışıyor ve ağlarını açmalarını güçleştiren ve riskli kılan çok katı düzenlemeler ve standartlar yüzünden yeni adımlar atamıyorlar.
Fintek taşları yerinden oynattı
Bu geçiş dönemi, muazzam bir etki yaratarak taşları yerinden oynatan fintek şirketleri patlaması tarafından tetiklendiyse de çözümler de buradan geliyor. Teknoloji uzun zamandır finans sektöründe arka-ofis işlevlerinin bir parçasıydı ama fintek startup’ları hem Nesnelerin İnterneti cihazlarıyla hem de API’lerle bu teknolojiyi tüketicilere de açtılar ve insanların paraları ve bankalarıyla girdiği etkileşimde devrim niteliğinde bir değişim yarattılar.
Fintek şirketleri, eski BT ve özellikle de aşırı yönetişim uygulamalarıyla sınırlandırılmadıkları için çok yüksek bir tempoyla inovasyon yapabiliyorlar. Böylece yeni ürünler üretebiliyor ve düzenleyici organların yetişemeyeceği bir hızda güncelleme yapabiliyorlar. Ne var ki, fintekler tüketicilerin yaşamının derinlerine indikçe siber suçluların iştahını kabartan hassas kişisel verilere erişmek ve saklamak da gitgide büyüyen bir sorun oluyor; dolayısıyla, mevzuat baskısı da kaçınılmaz bir hale geliyor. Örneğin Avrupa Birliği, tüketicilerin kişisel verilerini emniyet altına almak için kapsamlı düzenlemeler olan Genel Veri Koruma Mevzuatı GDPR’ı (Mayıs 2018 itibariyle) hayata geçiriyor. Türkiye’de de 2016’da KVKK gibi önemli bir adım atıldı.
Bankalar ile Fintek arasında işbirliği
İlerleyen zaman içinde, inovasyona güç vermek ve tüketici taleplerini karşılamak ve aynı zamanda yeni yasal düzenlemelerin gerekliliklerini yerine getirmek isteyen köklü finans kurumları ile yeni fintek firmalarının işbirliği içinde hareket etmeleri gerekecek. Dolayısıyla artık bir kurumun başarısı diğer kurumlara bağlı olacak. Zaten, verilerin gösterdiğine göre büyük finans firmalarının dörtte üçü fintek firmalarıyla işbirliğinin önemini kabul etmiş durumda.
Bu tür ortaklıklar köklü firmaların tüketici taleplerine yetişebileceği hızda inovasyon yapabilmelerini sağlarken, küçük fintek firmalarının değerini de elde ettikleri gelirler, ölçek ve banka tarafından sağlanan kredibilite ile belirleyecek. Bu ortaklığı etkileyebilecek başlıca zorluklardan biri ise, rekabetçi kalabilmek için gereken ilerleme hızını yavaşlatabilecek siber güvenlik meselesi.
Bankaların çoğu bu ortaklığı kurmanın gerekli olduğuna inansa da yüzde 71’i, fintek firmalarıyla ilgili siber risklerden de endişe duyuyor; yüzde 48’i ise yasal düzenleme riskinin caydırıcı olduğunu düşünüyor. Bunun bir nedeni de genç fintek şirketlerinin (yasal düzenlemelerin gerektirdiği diğer şartlar bir yana) güvenliğe ayırabilecekleri insan ve sermaye kaynağının az olması. Diğer bir deyişle, bu güvenlik kaygıları, pazarın talep ettiği en önemli gelişme sapma noktaları olan bulut kullanımı ve uygulama güvenliği etrafında yoğunlaşıyor.
Fintek Güvenliği
Tüketicilerin kişiselleştirilmiş ve istendiğinde ulaşabilecekleri yeteneklere talebinin giderek arttığı bir ortamda rekabet etmek isteyen bankalar ve fintek firmaları, güvenlikten ödün vermeksizin teknik inovasyon ve performanslarını yükseltebilecekleri bir yolda ilerlemek zorundalar. Bu konudaki kaygıları gidermek için banklar ve fintek şirketlerinin aşağıda kilit güvenlik alanlarına odaklanmaları gerekiyor:
Uygulama güvenliği
Finansın tüketiciye uyarlanması, daha çok uygulama kullanmak anlamına geliyor. Fintek, gerçek zamanlı işlem gerçekleştirebilmek için kullanıcıların finans profillerine erişebilen uygulamalar kullanıyor. Buna ek olarak finans sektörü DevOps ve çevik geliştirme gibi pratikleri erkenden benimsemiş olan bir sektör. Firmaların yüzde 87’si, tüketicilerin, güncellenen özellikler ve iyileştirilmiş kullanıcı deneyimi taleplerini karşılayabilmelerini sağlayan ‘kesintisiz sürüm modeli’ olarak DevOps’tan yardım aldıklarını söylüyorlar. Fakat bu yaklaşım, bazı açıkların da ortaya çıkmasına sebep olabilir. Uygulamalar gitgide daha yaygın bir saldırı vektörü haline gelmiş durumda ve zayıf bir kod, finans ağlarına giriş kapısı olarak kullanılıp istismar edilebilir. Bu yüzden bankalar ve fintek şirketleri, kullanıcı verilerini yerinde korumak için tasarlanmış sağlam bir uygulama güvenlik altyapısına sahip olmak zorunda. Buna ayrıca, bilinen ve bilinmeyen tehditleri tanımlayıp zararlarını önleyecek ve açıkları saptayıp yamalayabilecek bir tehdit istihbaratı sağlayan, veb uygulama güvenlik duvarı gibi özellikler de dahil edilmeli.
Bulut güvenliği
Dijital inovasyonun etkin olması, bulut bilişim ve depolamadan bolca faydalanmayı gerektirir. Fintek şirketlerinin çoğu düşük ön maliyetlerle istikrarlı ve ölçeklenebilir performans sağlamak için bulut hizmetlerinden faydalanır. Ne var ki, bulutun, geleneksel ağ ya da veri merkezinden daha farklı bir şekilde emniyetli kılınması gerekir; farklı nokta çözümleri kullanmak, veri hareketinin artması ve dağıtık ortamlarda görünürlüğün azalması anlamına geliyor. Sonuç olarak, finans verileri bulutta saklanacaksa, bankaların ve fintek şirketlerinin, kendi ağlarına uyguladıkları güvenlik standartlarının aynılarını bulutta da uygulamaları gerekiyor. Saptama ve önleme özelliklerinin yanı sıra bu güvenliğin bir de dinamik olarak uyarlanabilir ve ölçeklenebilir olması, böylece bulut kullanımı sürecinde sorunsuzca büyümesi gerekiyor. Ayrıca, finans verilerini emniyet altına almak isteyen firmaların veri görünürlüğünü artırmak ve aynı zamanda endüstri güvenlik standartlarını entegre etmek için de dahili segmentasyondan ve bulut erişim güvenliği sağlayan aracı kurumlarından faydalanmaları gerek.
Otomatik tehdit istihbaratı
Bu tür entegre savunmalar, bütünsel bir sistem olarak dahil edilmiş, otomatik tehdit istihbaratı da sağlamalı. Güvenlik cihazları bir ağı denetlerken, risk altındaki cihazla, bilinen saldırılar, yaygın saldırı trendleri v.b. alanlarda doğal olarak veriler toplar. Bu bilgilerin işe yaraması için tüm güvenlik noktalarında dinamik olarak paylaşılabilmesi ve birbiriyle ilişkilerinin kurulması gerekir. Bankalar ve fintek şirketleri ortak olarak hareket ederken, BT ekiplerinin, bu tehdit istihbaratını manüel olarak toplayıp değerlendirmeleri ve zamanında veya anlamlı bir şekilde risklere karşılık vermeleri imkansız olacaktır. Öğrenen makineler bu sürecin ayrılmaz bir parçası olmalıdır. Siber suçlular, saldırılarını daha etkin ve sürekli kılabilmek için otomasyonu da koz olarak kullanmaya başladılar bile. Ağ güvenlik araçlarına entegre edilen öğrenen makineler ve otomasyon da aynı şekilde, saldırıları gerçek zamanlı olarak tespit edip önleyecek ve kurumun siber suçluların hızına yetişmesini sağlayacaktır.
Dahası, toplanan tehdit istihbaratından, ağ üzerinde hizmete alınmış araçların tümü faydalanmalıdır ama bu istihbaratın kolay kullanılabilir ve yararlı istihbarat olması da gerekir. Aksi halde, farklı çözümlerden gelen büyük hacimlerdeki ham tehdit verileri, özellikle de çoklu ekip ve sistemlerin bulunduğu ortaklıklarda, görünürlüğü ve dolayısıyla da güvenliği azaltabilir. İşte tam da bu nedenle bankalar ve fintek şirketlerinin, güvenlik mimarisi içerisinde hızlı ve dinamik iletişim ve işbirliği sağlayacak ortak bir güvenlik dokusu kullanarak geleneksel münferit güvenlik çözümlerini birbiri içine entegre edip birleştirmesi gerekiyor.
Fortinet Türkiye Kıdemli Teknik Müdürü Melih Kırkgöz, konu hakkındaki görüşlerini şöyle özetliyor: “Önümüzdeki yıllarda saldırılar otomasyon kullanılarak ve otonom veya yarı “Tüketicilerin, mali kaynak ve işlemlerine daha kolay erişmek ve onları etkin bir şekilde yönetebilme taleplerini başarıyla karşılamak isteyen büyük finans kurumları ve küçük fintek şirketlerinin her birinin, diğer tarafın sağlayabileceği unsurlara ihtiyacı var. Dolayısıyla, fintek sanal güvenliği istikrarlı bir şekilde sağlanmamışsa, bu durum bankalara da olumsuz yansıyacaktır. Finans hizmetleri sektörünün bu iki tarafı giderek daha sıkı ortaklıklar kurdukça, siber güvenlik (özellikle uygulama güvenliği, bulut güvenliği ve otomasyon), verileri korumak ve uyum gerekliliklerini sağlamak en büyük odak haline gelmek zorunda; üstelik bu arada bir de pazarın değişen taleplerine karşılık vermeye devam etmeleri gerekiyor.”