BDDK tarafından yayımlanan 24.07.2012 tarih, B.02.1.BDK.0.77.00.00/010.06.02-1 sayılı “Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ” (Tebliğ) ile banka bilgi sistemlerinin maruz kalabileceği risklerin ve güvenlik açıklarının yönetimini de kapsayacak şekilde, bankaların faaliyetlerinin ifasında kullandıkları bilgi sistemlerinin yönetiminde esas alınacak asgari usul ve esaslar düzenlenmiştir.

Tebliğ’in “Bilgi Sistemlerine İlişkin Risk Yönetimi” başlıklı ikinci kısım birinci bölümünün “Güvenlik kontrol sürecinin tesis edilmesi ve yönetilmesi” başlıklı 7. maddesinin üçüncü fıkrası (ç) bendinde ifade edilen “Bilgi sistemlerinin güvenilirliğinin ve tutarlılığının düzenli olarak incelenmesini sağlayacak süreçler tesis edilir. Bu çerçevede güvenlik ile ilgili hükümlerin gereklerinin yerine getirilmesi hususunda herhangi bir icra görevi bulunmayan bağımsız ekiplere düzenli aralıklarla sızma testleri yaptırılır. Güvenlik alanındaki güncel gelişmeler ve yeni açıklar takip edilir, gerekli yazılım güncellemeleri yapılır, gerekli yamalar uygulanır.” hükmü ile sızma testleri bankacılık sektörü için zorunlu hale getirilmiştir.

Bilgi sistemlerine yönelik olarak elektronik ortamda gerçekleştirilebilecek saldırı türlerinin de hızlı bir değişim ve gelişim göstermesi nedeniyle 27.01.2011 tarih ve 4022 sayılı Bankacılık Düzenleme ve Denetleme Kurulu Kararı ile Tebliğ’in söz konusu 7 nci maddesinin üçüncü fıkrasının (ç) bendinde yer alan hüküm ile zorunlu kılınan ve düzenli aralıklarla yapılması istenilen sızma testinin sıklığının yılda en az bir defa yapılması şeklinde belirlenmesine karar verilmiştir.

BDDK Sızma Testi, en az aşağıdaki başlıkları içermektedir:

• İletişim Altyapısı ve Aktif Cihazlar
• DNS Servisleri
• Etki Alanı ve Kullanıcı Bilgisayarları
• E-posta Servisleri
• Veritabanı Sistemleri
• Web Uygulamaları
• Mobil Uygulamalar
• Kablosuz Ağ Sistemleri
• ATM Sistemleri
• Dağıtık Servis Dışı Bırakma Testleri
• Kod Analizi
• Sosyal Mühendislik
• İç Penetrasyon Testi (Intranet Security Checkup)

Çalışma zamanları önceden bildirilmeyecektir. Yapılacak çalışma için kesin bir takvim verilmeyecektir. Ancak testlere dair anlaşma ve iş emrinin imzalanması, iletilmesinin ardından resmi hesap açma işlemleri yapılacaktır. Hesap açılış işlemlerinin tamamlanmasının ardından 30 gün içinde çalışma tamamlanacak ve BDDK Sızma Testleri veya Security Checkup raporu hazırlanacaktır.

Sızma testleri, banka içerisinden bilgi edinimi kısıtlı bir saldırganın uygulayacağı yöntemler kullanılarak kara kutu yöntemi (black box testing) ile gerçekleştirilecektir.

Sızma testlerinin sağlıklı bir şekilde gerçekleştirilebilmesi ve gerçek hayata uygun olması için, yukarıda tanımlanan erişim noktalarına bu ortamların doğasına uyacak şekilde aşağıdaki kullanıcı profilleri ile sızma testleri gerçekleştirilir.

Temel sızma testleri, birçok saldırganın sızmanın ilk adımı olarak gerçekleştirdiği keşif ve zayıflık belirleme adımlarını içerir. Temel sızma testleri aşağıda tanımlanan sistem tespiti, servis tespiti ve açıklık taraması/araştırması adımları ile başlar, tüm bilgi sistemi varlıklarına uygulanır. Detaylı sızma testleri, önceki adımlarda elde edilen bilgilerin birleştirilmesi, yaratıcı yöntemlerle yeni saldırı vektörlerinin oluşturulması ile sistemlere sızmanın yapıldığı tüm işlemleri içerir. Kurumlara özel açıklar ile kuruma özel bazı kombinasyonlar ve ayarlardan kaynaklanabilecek güvenlik zafiyetleri tespit edilir.