Geçtiğimiz Pazartesi günü (29 Temmuz 2019) Amerikanın en büyük bankalarından Capital One, yaklaşık 106 milyon, kredi kartı sahibi ve kredi kartı başvurusu yapan, müşterisinin kişisel bilgilerinin (140 bin sosyal güvenlik numarası, 80 bin banka hesabı numarası) çalındığını duyurdu. Bu veri ihlali finansal hizmet kurumlarının bu güne kadar karşılaştığı veri ihlallerinin en büyüğü. Bu bilgi duyulduktan sonra firmanın hisse değeri % 5-9 oranında düştü.
Banka bilgilerini dünyada bir numaralı bulut (cloud) hizmeti sağlayıcısı Amazon Web Services (AWS) üzerinde tutuyor. Banka buluttaki datalarına erişmek için kendi web uygulamasını kullanıyor. Bilgileri hekleyen suçlu, ilgili web uygulamasındaki yanlış firewall konfigürasyonunu kullanarak bu veri hırsızlığını gerçekleştirmiş. Amazon firması, müşterilerinin kendi web servislerinin kontrollerinden sorumlu olduklarını belirtiyor. Veri hırsızlığını gerçekleştiren Paige Thompson daha önce AWS’de çalışan bir bilgisayar mühendisi. İlgilinin elde ettiği bilgilerin, başkalarıyla paylaşılıp paylaşılmadığı henüz belli değil, eğer paylaşılmışsa bu durumun ciddi etkilere neden olabileceği belirtiliyor.
Bu ihlaller firmalara ciddi maliyetlere neden oluyor. Bankaya göre bu ihlal ona yaklaşık 150 milyon dolar ilave maliyete (müşterileri bilgilendirme, kredi takibi, teknolojik ve hukuki vb) neden olacağı belirtiliyor. 2017 yılında 150 milyon müşterisinin verisini kaybeden Equifax bu ay içerisinde ilgili otoritelere 700 milyon dolar ödemek için bir mutabakat yaptı.
Aşağıdaki tabloda veri ihlali yaşayan bazı firmalar ve etkilenen müşteri sayıları yer almaktadır.
| Firma | Müşteri Adet (Milyon) | Yılı | ||||||||||
| Yahoo | 500 | 2016 | ||||||||||
| Marriott | 339 | 2018 | ||||||||||
| Equifax | 148 | 2017 | ||||||||||
| Heartland Payment sys. | 130 | 2009 | ||||||||||
| 117 | 2016 | |||||||||||
| Capital One | 106 | 2019 | ||||||||||
| Sony | 100 | 2011 | ||||||||||
| TJX | 90 | 2007 | ||||||||||
| Anthem | 79 | 2015 | ||||||||||
| JP Morgan | 76 | 2014 | ||||||||||
| Target | 70 | 2013 |
Bu derece büyük bir veri ihlali bulut hizmetlerinin güvenliğinin tekrar tartışılmasına neden olmuştur. İhlal, bilgilerini buluta taşıyan kurumların kontrollerini artırması gerektiğini gösteriyor. Veri ihlali, her ne kadar bankanın kullandığı yanlış firewall konfigürasyonundan kaynaklansa da, ihlali gerçekleştiren kişinin daha önce Amazon personeli olması onun web servis personeli iken edindiği bilgileri kullanıp kullanmadığı konusunda soru işaretlerine neden olmuştur. Veri ihlali Mart ayında gerçekleşiyor. Banka bunu 19 Temmuzda öğreniyor ve 10 gün sonra müşterilerini bilgilendiriyor.
Bu tür ihlallerden risklerin gözetiminden (yönetim kurulları ve komiteler) yönetiminden (yönetim birimleri) takibi ve yönlendirmesinden (ikinci savunma hattında yer alan risk yönetimi ve uyum birimleri) ve güvencesinden (iç denetim) sorumlu olan tüm birimlerin gerekli dersleri çıkarmaları benzer durumların yaşanmasını önlemek açısından değerli katkılar sağlayacaktır.
Bu çerçevede iç denetim birimlerinin de bu tür ihlallerden gerekli dersleri çıkarması uygun olacaktır. İç denetim yöneticilerinin, bulundukları organizasyonların bulut güvenliği kontrollerinin durumunun nasıl olduğunu iyi bilmeleri, yönetim kurulları ve denetim komitelerini de bu konuda eğitmek için hazırlıklı olmaları gerekmektedir.
Uluslararası İç Denetçiler Enstitüsü (IIA) tarafından bulut güvenliği hakkında dün yayınlanan bültende iç denetim yöneticilerinin cevaplamaya hazır olması gereken 10 soru belirtilmiştir. Bu sorular aşağıdadır:
- Kurum bulut hizmeti alıyor mu? Bu ne ifade ediyor?
- Kurum bulut üzerinde ne tür hassas bilgi tutuyor?
- Müşteri datalarına erişilen tüm noktaların tutulduğu bir envanter var mı?
- Kurum bulut üzerinde tutulan verilerin güvenliğinin sağlanması için hangi adımları uyguluyor?
- Veriye başka kimler erişiyor – tedarikçiler, danışmanlar, diğer dış kurumlar ve personel?
- Kurumun risk değerlendirmeleri arasına, bulutla ilgli risk maruziyetleri dahil edilmiş mi ve eğer öyleyse, en büyük siber riskler nelerdir?
- İçsel tehditlere ilişkin riskler nasıl değerlendiriliyor, yönetiliyor ve izleniyor?
- Bulut hizmeti sağlayıcılarının riskleri, üçüncü parti risk yönetimi bakış açısıyla nasıl yönetiliyor?
- İç denetimin bulut programlarının değerlendirilmesinde rolü nedir? Kurum, bulutta bulunan verisi ile kurumun web uygulamaları arasındaki arayüzlerde (interfaces) denetim için sözleşmesel haklara sahip mi?
- Denetim aktivitesi, karmaşık siber güvenlik riskleri de dahil olmak üzere, güvence hizmetleri verebilmek için gerekli bilgi ve kaynaklara sahip mi?
Bültende yer alan bu sorulara verilecek cevaplar yönetim kurulu ve denetim komitelerine sağlanacak bilgiler için, çok kapsamlı olmasa da, iyi bir başlangıç oluşturacaktır. İç denetim yöneticilerinin proaktif bir şekilde bu riskler ve bu risklerin yönetimine ilişkin kontrollerin etkinliği hakkında bağlı oldukları kurulları bilgilendirmeleri, ilgili birimlerin gözetim görevlerini etkin bir şekilde yapmalarına önemli katkı sağlayacaktır.
Ayrıca iç denetim birimlerinin; ilgili kontrol noktalarının etkinliği hakkında, birinci savunma hattında yer alan güvenlik birimlerini bilgilendirmeleri/desteklemeleri, bu risklerin yönetimine ilişkin prensipleri belirleyen risk yönetimi birimleri ve bu risklere ilişkin kontrollerin takibinden (monitoring) sorumlu olan uyum birimleri ile yakından çalışmaları gerekmektedir. İç denetim birimlerinin bu alanlarda tüm birimlerle yürütecekleri çalışmalar, kurumun tüm savunma hatları arasında iletişim ve koordinasyonun etkinliğine önemli katkı sağlayacak ve bulundukları kurumlara büyük değer katacaktır.
Siz de değerli görüşlerinizi paylaşırsanız memnun olurum.
Dr. Nazif Burca 