Elektronik ticaretin gelişimiyle birlikte insanların alışveriş alışkanlıkları da hızla değişmeye başladı, insanlar eskinden olduğu gibi mağazalarda saatlerini harcamak yerine elektronik ortamda dakikalar içinde alışverişlerini tamamlamayı tercih ediyorlar. İnsanların elektronik ticarete hızla ayak uydurmaları ise, ticari faaliyet gösteren birçok şirketin çalışma şeklinde ve yatırım stratejisinde köklü değişikliklere neden oldu. Çok sayıda şirket satışlarını elektronik ortama taşıyarak bu dünyada yer edinme çabasında.
Peki şirketler bu faaliyetlerle birlikte gelen ciddi siber güvenlik risklerinin farkındalar mı? Maalesef bu sorunun cevabı her zaman evet olamıyor. Elbette bazı büyük kurumlar risklerin farkında ve gerekli siber güvenlik yatırımlarını yapıyorlar, ancak elektronik ticaret faaliyeti gösteren bazı şirketler bu konuda yeterli bilgiye sahip değil. Örneğin, elektronik ortamda alışveriş yapan müşterilerin kişisel verileri bu şirketler tarafından saklanmaktadır ve bu verilere yetkisiz kişilerce sağlanacak erişim sonrasında ilgili kurum KVKK kurulu tarafından yüksek miktarda para cezası ile cezalandırılabilir. Siber güvenlik süreçlerinin tam anlamıyla işletilmediği kurumlarda kritik, yüksek seviyede siber güvenlik riskleri söz konusudur.
Yapılan saldırı teknikleri incelendiğinde çoğunlukla oltalama saldırıları, DDoS saldırıları, kredi kartı dolandırıcılığı, kimlik avı dolandırıcılığı gibi saldırı tekniklerinin kullanıldığı anlaşılmaktadır. Bu saldırılardan hem siteler hem de müşteriler zarar görebilmektedir.
Son birkaç yılda saldırganlar eBay, Starbucks, Zappos, Target Corporation gibi e-ticaret firmalarına saldırarak milyonlarca müşteri verisi elde etmişlerdir.
eBay:
- 145 milyon kullanıcıya ait ad, soyad, doğum tarihi, e-posta adresi gibi çeşitli kişisel bilgilerden oluşan veri sızıntısı yaşamıştır. Saldırganların birkaç eBay çalışanının hesap bilgilerini ele geçirerek şirketin sistemine sızdığı açıklanmıştır.
Target Corporation:
- 70 milyon kredi kartı bilgisi sızdırılmıştır.
Starbucks:
- Starbucks uygulaması birkaç ay arayla iki defa hack’lenmiş ve saldırganlar çeşitli müşterilere ait kredi kartı bilgilerine erişmiştir.
Zappos:
- Amazon tarafından satın alınan firmanın yerel ağına erişim sağlayan saldırganlar 24 milyon kullanıcıya ait ad, soyad, adres, e-posta adresi ve şifrelenmiş parola bilgisini elde etmiştir.
Saldırılar artarak devam etmektedir ama güvenlik uzmanları tarafından bu zararı minimize ederek saldırıları kısa sürede engellemeye yönelik tavsiyeler de paylaşılmaktadır. Bu tavsiyelerden bazılarını şu şekilde sıralayabiliriz:
- Parolaların düz metin şeklinde sistemde tutulmaması, güçlü şifreleme algoritmaları ile şifrelenmesi.
- Müşterilerin ve çalışanların güçlü parola kullanmasına yönelik politikalar benimsenmesi ve parolaların düzenli aralıklarla değiştirilmesi.
- Uygulamanın güvenli olması için izlenmesi gereken prosedürlerin takip edilmesi ve denetlenmesi.
- Potansiyel saldırıları önleyebilmek ve siber güvenlik farkındalığını artırmak için çalışanlara eğitim verilmesi.
- Firewall, anti-virüs yazılımları, uç nokta çözümleri, anomali tespit sistemleri (IDS) gibi sistemlerin kullanılması ve bu sistemlerin doğru yapılandırılması. Sistemin sürekli izlenerek zararlı olabilecek aktivitelerin engellenmesi.
- Kullanılan ürün/yazılım/sistemlerin güncel olması.
- Uygulamalarda, kullanıcılara sunulmadan önce güvenlik sıkılaştırma çalışmalarının yapılması.
- Sistemin/sitenin/uygulamanın düzenli olarak güvenlik testlerinin yapılması.
- İhtiyaç duyulmayan/duyulmayacak kullanıcı verilerinin sistemde tutulmaması.
- Düzenleme ve yönetmeliklerin uygulanması.
Bu tarz önlemlerin alınmaması, birçok büyük kurumda olduğu gibi, veri sızıntısı ile sonuçlanabilmektedir. Bu sızıntılar hem müşteriler hem de kurum için ciddi sorunlar yaratmaktadır. Veri sızıntıları kurumun itibarının zedelenmesine ve müşteri kaybına yol açmanın yanı sıra kurumun müşteri verilerini güvende tutamadığı için ceza ödemesine de neden olabilmektedir.
Saldırganlar elde ettikleri kredi kartı bilgilerini kullanarak müşterileri zarara uğratabilmektedirler. Ayrıca kullanıcı adı ve parolaların müşteriler tarafından çoğunlukla farklı sitelerde ve e-posta adresi gibi yerlerde de kullanılması nedeniyle, saldırganlar elde ettikleri bilgilerle başka sitelere de giriş yapabilmekte ya da e-posta adreslerine erişerek bu adresle başka platformlara (sosyal medya hesapları gibi) erişebilmektedirler.
Türkiye’de e-ticaret de yaygın olarak kullanılmaktadır ve sık sık bu sitelere yönelik saldırılar bildirilmektedir. Bu sitelerin daha güvenli hizmet vermesi için Gümrük ve Ticaret Bakanlığı Resmî Gazete’de elektronik ticarette güven damgası ile ilgili bir tebliğ yayınlanmıştır. Bu damganın alınması aşağıda sıralanan bazı şartlara bağlıdır:
- Kişisel veri ve ödeme bilgisi içeren her türlü işlemin internet sitesi ve mobil sitede EV SSL, uygulamada SSL ile gerçekleştirilmesinin sağlanması.
- Güven damgası başvurusunda bulunmadan en fazla üç ay önce ve her takvim yılı içinde en az bir defa, Türk Standartları Enstitüsü tarafından onaylı A ya da B sınıfı sızma testi firmalarına sızma testi yaptırılarak gerekli önlemlerin alınması ve bu önlemlerin aldığına ilişkin doğrulama testinin yapılması.
Ticaret Bakanlığı, Türkiye’deki tek güven damgası sağlayıcı (GDS) olarak Türkiye Odalar ve Borsalar Birliği’ni yetkilendirmiştir. Resmî Gazete’de yazılan tebliğe göre yetkili sağlayıcı bu damgayı verdiği e-ticaret sitesini takip etmekte ve gerekli şartların sağlanmadığını tespit ettiği sitelerin güven damgasını iptal edebilmektedir.
Referanslar:
10 ways to secure your ecommerce site from cyber-attacks
A Rising of E-Commerce Cyber Attack & Most Dangerous Cyber Threats of 2019
https://www.appknox.com/blog/top-cyber-threats-ecommerce-companies
https://www.guvendamgasi.org.tr/
http://www.resmigazete.gov.tr/eskiler/2017/06/20170606-12.htm