Siber Güvenlik Farkındalığı Artırma Programı ve BDDK’nın Beklentileri

Bir çoğumuzun bildiği gibi, BDDK 25 Aralık 2018 tarihinde BANKALARIN BİLGİ SİSTEMLERİ VE ELEKTRONİK BANKACILIK HİZMETLERİ HAKKINDA YÖNETMELİK TASLAĞI isimli bir taslak doküman dahilinde; Siber Güvenlik Farkındalığı Artırma Programı’na dair bilgiler yayımladı.

Bu ay sonu itibariyle son haline getirilecek dokümanın taslak metnine linkten ulaşabilirsiniz.

Siber güvenlik farkındalığı artırma konusunda uzun yıllardır emek veriliyor. Bunu bir uygulama ile destekleyen sistemler ile karşılaşmaya başladığımız gibi, tümüyle devretmeyi seçen firmalar veya eğitimlerini, poster, digital signage gibi siber güvenlik farkındalık tutundurma çalışmaları ile pekiştirmeyi seçen firmalar oluyor. Bu konudaki en zayıf halkanın insan olduğunun artık hepimiz farkındayız.

Taslak yönetmelikte bazı siber güvenlik farkındalığı vurgularının artık bir zorunluluk haline geleceği belirtiliyor. Özellikle dikkatimizi çeken bazı maddeleri listelemek istedik.

BDKK Siber Güvenlik Farkındalığı Artırma Programı’na dair taslak yönetmelik maddelerinden dikkat çekenler şu şekilde:

1. Madde 7 (Bilgi güvenliği organizasyonu, roller ve sorumluluklar) şu şekilde başlıyor:

MADDE 7– (1) Banka bünyesinde bilgi güvenliğinin sağlanmasında nihai sorumluluk yönetim kurulundadır. Yönetim kurulu, bilgi sistemlerine ilişkin güvenlik önlemlerinin uygun düzeye getirilmesi hususunda gerekli kararlılığı göstermekle ve bu amaçla yürütülecek faaliyetlere yönelik olarak yeterli kaynağı tahsis etmekle yükümlüdür. Bu sorumluluk kapsamında yönetim kurulu, banka genelinde uygulanmasını gözetmekle yükümlü olduğu bir bilgi güvenliği yönetim sistemi tesis eder. Bilgi güvenliği yönetim sisteminin ulusal veya uluslararası bir standart ya da en iyi uygulamaları temel alması ve aşağıdaki faaliyetleri de içermesi esastır.

2. MADDE 7’nin altında yer alan fıkra (1)’in f) bendi yine bilgi güvenliği farkındalığı adına önem taşıyor:

f) Üst yönetim de dahil olmak üzere tüm banka çalışanları, dış hizmet sağlayıcılar ve müşteriler gibi bankanın bilgi güvenliğini ilgilendiren tüm paydaşlara yönelik, bilgi güvenliği farkındalığını artıracak çalışmaların yapılması,

3. Yine MADDE 7’nin içindeki fıkra (6)’nın başı ile ğ) bendi ise şu şekilde:

(6) Bilgi güvenliği sorumlusu aşağıdaki görevleri yerine getirir: ğ) Bankanın bilgi güvenliğini ilgilendiren tüm paydaşlara yönelik bilgi güvenliği farkındalık programının yürütülmesi.

4. MADDE 13 (Siber olay yönetimi, acil ve beklenmedik durum müdahale planı) içindeki fıkra (2)’deki ilgili kısımlar şu şekilde:

(2) Kurumsal SOME siber olay öncesinde, … kurum içi siber güvenlik farkındalık çalışmalarını yürütmekle … sorumludur.

5. 20. MADDE (Siber güvenlik farkındalığını artırma) detaylarını aşağıda bulabilirsiniz. Bu başlıkta siber güvenlik farkındalık seviyesinin artırılması adına hem mevzuat bilgisi hem de önlemlerin alındığına dair uygulama örnekleri bekleneceğini düşünüyoruz. MADDE 20- (1) Banka genelinde siber güvenlik farkındalık seviyesini artırmak için kapsamlı bir siber güvenlik farkındalığı eğitim programı oluşturulur. Eğitim programı, bilgi güvenliği politikaları ve standartları ile birlikte, bilgi güvenliği konusundaki bireysel sorumlulukların neler olabileceği ve bilgi varlıklarını korumak için alınması gereken önlemler hakkında bilgi içerir ve bu eğitimler yoluyla bankanın BT kaynaklarına ve sistemlerine erişimi olan herkesin bu kaynakların kullanımı ile ilgili mevzuat ve yönergeler hakkında bilgi sahibi olması sağlanır.

Bu maddede ise Siber Güvenlik Farkındalık Programı’nın sadece çalışanlara değil ilgili tüm bağlantılara verilmesi gerektiğinin altı çizilmektedir.

(2) Siber Güvenlik Farkındalığı Eğitim Programı Bilgi Güvenliği Komitesi tarafından onaylanır ve programın içeriği yılda en az bir defa yeni teknolojiler ve ortaya çıkan yeni riskler dikkate alınarak gözden geçirilir ve güncellenir. Bankanın BT kaynaklarına ve sistemlerine erişimi olan tüm yeni ve mevcut personelin ve ilgili olduğu alanlar doğrultusunda yükleniciler ile dış hizmet sağlayıcıların bu eğitimlerden geçmesi ve eğitim programı güncellendikçe söz konusu kişilerin güncellenen kısımlarla ilgili tekrar eğitim alması sağlanır.

Aşağıdaki maddede ise siber güvenlik farkındalık programı dendiğinde tüm beklentinin eğitim olmayacağı vurgulanmaktadır:

(3) Banka, siber güvenlik farkındalığını artırmak üzere eğitim programının haricinde aşağıdaki faaliyetlerin de mümkün mertebe yapılmasını sağlar:

a) Siber güvenlik ile ilgili periyodik olarak kurum içi bülten hazırlanması,

b) Banka çalışanlarına periyodik olarak bilgi güvenliğiyle ilgili hatırlatma e-postaları gönderilmesi,

c) Varsa banka iç portalında siber güvenlik ile ilgili bir bölüm oluşturulması,

ç) Çalışanların kişisel işlerinde kullandıkları parolaları, bankanın iş süreçlerinde kullanmamaları gerektiği konusunda bilinçlendirilmesi,

d) Siber güvenlikle ilgili ekran koruyucuların ve arka plan resimlerinin hazırlanması,

e) Bankanın yemekhane, toplantı odaları gibi ortak kullanılan bölgelerine bilgi güvenliğiyle ilgili posterler asılması,

f) Çalışanlara yönelik düzenli olarak siber güvenlik farkındalığını ölçecek anketlerin yapılması.

Aşağıdaki maddede siber güvenlik farkındalık arttıma programının yetersiz kalacağı noktalarda desteklenmesi gerekeceği belirtilmektedir:

(4) Banka yukarıdaki farkındalık artırıcı çalışmaların etkinliğini doğrulamak ve geliştirilmesi gereken eksiklikleri tespit etmek amacıyla gerekli çalışmaları yapar. Ayrıca, çalışanların şüpheli bir e-postadan bir bağlantıyı tıklayıp tıklamayacağını veya telefonla arayan kişiyi doğrulamak için uygun prosedürleri izlemeden telefonda hassas veriler paylaşıp paylaşmayacağını sınamak gibi gerekli sosyal mühendislik senaryoları üzerinden çalışanlara yönelik periyodik testler gerçekleştirir ve bu testlerden geçemeyen çalışanlara yönelik ilave hedefli eğitimler verilmesini sağlar.

6. MADDE 28 (Bilgi sistemleri sürekliliğinin sağlanması) içinde fıkra (2) ve bunun altında yer alan f) bendi şu şekilde: (2) Bilgi sistemleri süreklilik yönetimi sürecinin ulusal veya uluslararası bir standart ya da en iyi uygulamaları temel alması esastır. Bu süreç kapsamında banka aşağıdaki faaliyetleri yerine getirir: f) İlgili ekiplere ve çalışanlara plan kapsamında eğitim verilmesini ve farkındalığın artırılmasını sağlamak.

Bu maddelerde siber güvenlik farkındalığı kapsamı bankalar için ATM, Telefon Bankacılığı gibi konulara da değinilmelidir vurgusu yapılmaktadır.

7. MADDE 41 (Telefon bankacılığında kimlik doğrulama, işlem güvenliği ve hizmet kalitesi) içinde yer alan fıkra (7) şu şekilde: (7) Banka telefon bankacılığı hizmetlerinin müşterilere sunulmasında görev alan müşteri temsilcileri ve çağrı merkezi görevlileri gibi çalışanlara sosyal mühendislik saldırıları ve bilinen diğer dolandırıcılık yöntemleri konusunda periyodik eğitimler aldırmak ve bu çalışanların güvenlik farkındalıklarını artırıcı çalışmalar yapmakla yükümlüdür.

8. Ayrıca MADDE 43 (ATM’lerde kimlik doğrulama ve işlem güvenliği) içinde yer alan fıkra (7) müşterilere yönelik aşağıdaki maddeyi içeriyor.

(7) Banka ATM cihazlarının güvenli kullanımı hususunda müşterilerinde farkındalık yaratacak çalışmalarda bulunur.

9. GEÇİCİ MADDE 1 (Geçiş süreci) şu şekilde: GEÇİCİ MADDE 1– (1) Banka, mevcut faaliyet ve sistemlerini, 01/01/2020 tarihine kadar bu Yönetmelik hükümlerine uygun hale getirir.

Siber güvenlik farkındalığının artırılmasına dair gerçekleştirilecek çalışmalar ister materyel hazırlanarak ve siber güvenlik farkındalık eğitimleri ile, ister ihtiyaca göre bir uygulama ile desteklensin ister de tümüyle devredilsin, ölçümlenmeli takip edilmeli ve düzenli iyileştirilmelidir.

Siber farkındalık artırma programı hakkında ek bilgi almak ve ESAM ile tanışmak için bizimle iletişime geçin.