Günümüz siber saldırıların hedef noktaları eğlence olmaktan çıkmış daha çok maddi getirisi olan alanlar saldırganların yeni hedefi olmuştur. Bankacılık ve finans sektörü en ağır siber saldırıya uğrayan sektörlerden biridir. Bankalara yönelik yapılan APT ataklarıyla birlikte bu saldırıların boyutları, maddi kayıplar ve itibar kayıpları ortadadır. En kritik güvenlik saldırıları banka ve finans sektörü üzerine yoğundur. Bu nedenle BDDK tarafından bir genelge yayımlanmıştır. BDDK Kararı ile Tebliğ’in söz konusu 7. maddesinin üçüncü fıkrasının (ç) bendinde ifade edilen
“Bilgi sistemlerinin güvenilirliğinin ve tutarlılığının düzenli olarak incelenmesini sağlayacak süreçler tesis edilir. Bu çerçevede güvenlik ile ilgili hükümlerin gereklerinin yerine getirilmesi hususunda herhangi bir icrai görevi bulunmayan bağımsız ekiplere düzenli aralıklarla sızma(penetrasyon) testleri yaptırılır. Güvenlik alanındaki güncel gelişmeler ve yeni açıklar takip edilir, gerekli yazılım güncellemeleri yapılır, gerekli yamalar uygulanır.”
hükmü ile sızma(penetrasyon) testleri bankacılık sektörü için zorunlu hale getirilmiştir. Bilgi sistemlerine yönelik olarak elektronik ortamda gerçekleştirilebilecek saldırı türleri hızlı bir değişim ve gelişim gösterir. Bu nedenle 27.01.2011 tarih ve 4022 sayılı BDDK Kararı ile Tebliğ’de yer alan hüküm ile zorunlu kılınan sızma testinin sıklığının yılda en az bir defa yapılması şeklinde belirlenmesine karar verilmiştir.
Bu karar ile beraber yüksek güvenlik ihtiyacı duyulan bankacılık sektöründe faaliyet gösteren tüm kurumların, gerçekleştirilen sızma testi güvenlik alt yapıları en son güncellemelerin seviyesinde tutuluyor. Sistem, donanımlar, yazılımlar ve kullanıcıların BDDK tarafından onaylanmış belirli şartlara tabii çeşitli senaryolar aracılığıyla testlere tabii tutulur. Daha sonra da elde edilen veriler rapor halinde sunulur. Böylece tüm bilgi sisteminin özellikleri belirlenir. Sistemde çıkacak olası güvenlik açıklarının bu sayede tespit edilir. Bu açıkların kapatılabilmesine yönelik çalışmaların başlaması mümkün hale geliyor.
BDDK Onaylı Sızma Testi Nasıl Yapılıyor?
Yayımlanan genelgeye göre sızma testleri, temel sızma testleri ile bu testler sonrası uygulanacak detaylı sızma testlerinden oluşur. Sızma testleri kapsamında gerçekleştirilecek testler asgari olarak aşağıdaki başlıklardan oluşur:
a) İletişim Altyapısı ve Aktif Cihazlar
b) DNS Servisleri
c) Etki Alanı ve Kullanıcı Bilgisayarları
ç) E-posta Servisleri
d) Veri tabanı Sistemleri
e) Web Uygulamaları
f) Mobil Uygulamalar
g) Kablosuz Ağ Sistemleri
ğ) ATM Sistemleri
h) Dağıtık Servis Dışı Bırakma Testleri
i) Sosyal Mühendislik Testleri
BDDK onaylı sızma testleri ilgili kurumun tüm sistemlerini fiziksel ve yazılımsal olmak üzere kapsayacak şekilde gerçekleştirilir. BDDK tarafından belirlenmiş olan tüm kapsama ve usule uygun bir şekilde, alanında yetkin ve yüksek bilgi birikimine sahip yazılım mühendisleri tarafından gerçekleştirilir.
Temel sızma testleri; sistem ve servis tespitleri, açıklık taramaları ve araştırmaları aşamasıyla başlar ve tüm bilgi sistemi unsurlarına uygulanarak devam edilir. Temel sızma testlerinin tamamlanmasıyla beraber detaylı sızma testine geçilir. Temel sızma testinden elde edilen verilerin değerlendirilir ve bilgilerin yeniden oluşturulması, sosyal mühendislik ve yaratıcılık kullanılarak uygulanan yeni saldırı yöntemleri senaryoları uygulanır. Kurumların sistemlerinde ortaya çıkabilecek güvenlik zafiyetlerinin belirlenmesi sağlanarak testler sonlandırılır.
Bankalar sızma testlerinin sonuçlarını, tespit edilen bulguları, bulguların önem derecelerini, birlikte oluşturabilecekleri riskleri, tespit edildiği varlıkların değerini ve sızma testi raporlarında yer alan önerileri dikkate alarak, banka yönetim kurullarınca onaylanan ve bu bulguların en kısa sürede giderilmesini amaçlayan bir aksiyon planı hazırlar. Sızma testlerinden elde edilen çıkarımlar aynı zamanda bankaların teftiş kurullarının iç denetim planına da dâhil edilir. Sızma testi raporları, tamamlanmasını müteakip bir ay içinde, elektronik ortamda, 17/02/2010 tarih ve BSD.2010/1 sayılı Genelgede tanımlanan Bağımsız Denetim Takip Sistemine(BADES) yüklenir. Bu kapsamda gerek duyulacak hususlara ilişkin ilave açıklamalar Bilgi Yönetimi Daire Başkanlığı tarafından yapılır.
BDDK web sitesini ziyaret etmek için tıklayın.
BDDK kimdir öğrenmek için tıklayın.
Sızma Testi sürecinizi başlatmak için tıklayın.
