Yazar: Mehmet Turan

Günümüzde bankacılık sadece klasik anlamda bankaya gidip işlem yapmanın ötesine varmıştır. Müşteriler artık bankaya gitmeden birçok bankacılık işlemini alternatif bankacılık kanalları yoluyla yapabilmektedir. Alternatif bankacılık kanalları bir bankanın rekabet gücünü doğrudan etkilemektedir. Ayrıca alternatif kanallar bankacılığın maaliyetini azaltan bir etken halini de almıştır.

Klasik şube bankacılığının maliyeti işlem başına birkaç dolar’ı bulurken telefon bankacılığı onlarca cent’e Internet bankacılığı birkaç cent’e mal olmakta ve dolayısıyla teknoloji yoğun bankalar bankacılık işlemlerinin maliyetlerini azaltmak için alternatif bankacılık kanallarını cazip hale getirmeye özen göstermektedirler. Buna örnek olarak ülkemizde şubeye giderek EFT yapmak belirli bir maliyet getirirken Internet bankacılığı ile yapılan EFT işlemlerinden ücret alınmamaktadır. Alternatif bankacılık kanalları deyince her ne kadar aklımıza en çok kullanılan iki kanal olan Internet bankacılığı ve telefon bankacılığı gelse de cep telefonu (WAP/GPRS) bankacılığı ve el bilgisayarı (Palm) bankacılığı da diğer alternatif bankacılık kanallarını oluşturmaktadır.

Bahsedilen tüm faydalarına rağmen alternatif kanalların kullanımının karşısında bazı engeller bulunmaktadır. Müşteriler çeşitli medya alanlarında hemen hemen hergün ayrıntılarını tam olarak bilemedikleri birçok Internet yolsuzluğu dolandırıcılığı ve hırsızlığı haberleri ile karşılaşmaktadırlar. Bunlara ilave olarak insanlar ile karşılıklı işlem yapmaya alışmış kişiler karşılarında makineler bilgisayarlar olunca rahat hareket edememekte hata yapmaktan korkmaktadırlar. Bu nedenle alternatif kanalları kullanmak konusunda biraz tereddütlü davranmaktadırlar.

Bankalar bu engelleri kaldırmak alternatif bankacılığı özendirmek için her ne kadar ellerinden geleni yapsalar da bazen varolan tedbirlerin yetersizligi bazen de yanlış inanışlar alternatif kanallardan beklenen kullanım artışının gerçekleşememesine sebep olmaktadır.

Bu makalede özellikle Internet ve telefon bankacılığının karşı karşıya kaldığı sorunlar engeller ve bunlara ilişkin alınabilecek tedbirler hakkında bilgi verilecek. Her iki alternatif bankacılık kanalının da önünde bulunan en temel engel güvenlik konularından kaynaklanan sorunlar sorulardır. Aşağıda karşılaşılabilecek değişik durumlar ve takip eden bölümde de bu durumlara ilişkin varolan çözümlerle ilgili olarak bilgiler verilmektedir.

• Müşteri karşısındaki web sitesinin gerçekten banka olup olmadığına emin olamayabilir. Kendisini banka olarak ilan eden web sitesi gerçekte o banka olmayabilir. Kullanıcı bilgisayarının web tarayacısının adres kısmına www.banka.com yazdığında karşısına aslında banka ile alakası olmayan kişilerin oluşturduğu bankanın web sitesine benzer bir şekilde tasarlanmış bir site gelebilir ve bu sitede sadece kullanıcının ismi şifresini kayıt eden ve sonra bir hata mesajı göstererek kullanıcıyı aldatan bir mekanizmadan ibaret olabilir. Böylelikle bu sahte banka sitesi kullanıcının giriş bilgilerine (kullanıcı ismi ve şifresine) sahip olabilir ve daha sonra bu bilgiler kullanıcının hesabındaki parayı başka hesaplara havale etmek için kullanılabilir.

• Banka müşterisinin kimliğinin doğruluğu konusunda şüpheye düşebilir. Bankaya kendisini banka müşterisi bay x olarak tanıtan kişi aslında bir banka müşterisinin bilgilerini almış bir başka kişi olabilir. Yani banka kendisini bay x diye tanıtan ve doğru müşteri bilgileri sunan bir kişi ile gerçek bay x’ı birbirinden ayıramayabilir.

• Kullanıcılar yaptıkları bankacılık işlemlerini sonradan inkar edebilir yapmadıklarını bilmediklerini başka birilerinin bu işlemleri kendilerinden habersiz yaptıklarını iddia edebilirler. Örneğin Internet üzerinden hisse senedi alım emri veren bir müşteri iki saat sonra aldığı hisse senedinin fiyatının düşmesi üzerine bankayı arayıp şifresinin çalındığını bildirebilir ve daha sonra önceden yapılan işlemin kendisi tarafından gerçekleştirmediğini iddia edebilir.

• Banka ile kullanıcı bilgisayarları arasında kurulan iletişim dinlenerek içeriğinde bulunan şifre hesap no kredi kartı bilgileri gibi hassas bilgiler elde edilebilir. Bu bilgiler daha sonra kullanıcının hesaplarını boşaltmak için kullanılabilir.

• Banka ile kullanıcı bilgisayarları arasında kurulan iletişimin arasına bir üçüncü kişi girip kullanıcıdan habersiz olarak bir aracı görevi üstlenebilir. Yani kullanıcıdan gelen bilgileri alıp istediği biçimde değiştirip örneğin EFT yapılacak hesap adresini kendi hesap adresi olarak değiştirerek bankaya işlemi kullanıcı tarafından verilen bir hesap emri imiş gibi aktarabilir.

• Internet bankacılığında kullanıcılar verilen hizmetten faydalanmak ve kendilerini banka sistemine tanıtabilmek için bir kullanıcı adı/kodu ve şifre sağlamaktadırlar. Yani bir basitleştirme ile şunu söylemek yanlış olmaz kişi ile bankacılık işlemleri arasında sadece şifre bulunmaktadır. Başkasının şifresini bilmek doğru tahmin edebilmek (kullanıcı kodlarını bulmak genelikle kolay olmaktadır zira bu kodlar kart numarası banka hesap nosu gibi kodlara karşılık gelmektedir) o kişi adına banka işlemleri yapabilmek için yeterlidir. İnsanlar genellikle hem iyi şifre seçme konusunda başarılı değillerdir (kolayca tahmin edilebilicek şifreler seçmektedirler örneğin doğum günü köpek/kedi ismi okul numarası gibi) hem de iyi tahmin edilmesi güç şifreler seçmeye zorlansalar bile hatırlaması kolay olsun diye genellikle şifrelerini masalarının yakınlarında bir yerlere yazmak eğilimindedirler.

• Kullanıcıların Internet bankacılığı yaparken kullandıkları kişisel bilgisayarlar yeterince güvenli değildir. Günümüzde kullanıcılar Internet’ten gerek eposta almak yoluyla gerek Internet’ten indirdikleri programları bilgisayarlarına isteyerek ya da istemeyerek kurmak yoluyla virus truva atı gibi zararlı programlarla sürekli karşı karşıya kalmaktadırlar. Örneğin kullanıcıların bilgisayarlarına yerleştirilebilecek (eposta içine saklamak ya da bir oyun ekran koruyucu içine gizlice yerleştirmek yoluyla) bir tuş kayıt edici program (keylogger) ile kullanıcılar iyi şifreler kullansalar dahi şifreleri kayıt edilebilir ve/veya sonradan öğrenilebilir.

• Telefon bankacılığı günümüzde hemen hemen tüm finans kurumları tarafından verilen ve kullanıcılar tarafından sıklıkla kullanılmasına rağmen aslında alternatif bankacılık yöntemleri arasında en riskli olanlardan biridir. Kullanıcılar bankacılık sistemlerine telefon ile banka hesap kredi kartı numaralarını şifrelerini girmekte ve bankacılık emirleri vermektedirler. Tuş ile verilen tüm bu emirler telefon sayesinde ses tonları haline dönüştürülüp telefon şebekesi üzerinde bankaya aktarılmaktadır. Telefon hattını dinleyen bir kişi tüm bu bilgileri basit bir teyp cihazı ile kayıt edebilmekte tonları dinleyerek girilen rakamları alabilmekte ve daha sonra bu bilgiyi kullanarak benzer biçimde çeşitli bankacılık işlemleri gerçekleştirebilmektedir. Bazı bankalar bu konuda riskleri azaltmak için EFT yapılacak hesapların sisteme daha önceden tanıtılması gibi manuel tedbirler almaktadırlar.

Aslında yukarıda bahsedilen sorunlar bir ya da birkaç teknolojinin birlikte kullanımı ile rahatlıkla çözülebilmektedir. Bu bölümde bahsedilen teknolojileri kısaca tanıtacak ve problemlerin nasıl çözümlenebileceği konusunda bilgiler sunulacaktır.

Bu problemlerin tümünü şifreleme ve hemen hemen 20 yıla yakın bir süredir bilinen açık anahtar altyapısı (Public Key Infrastructure-PKI) sayesinde çözmek mümkündür. Teknolojinin kullanımının pratik hale getirilememesi bu çözümlerin bir kısmının günümüzde bile halen yaygınlaşmamasına sebep vermektedir. Fakat son yıllarda bu altyapının kullanımına imkan veren hatta birkaç çözümü beraberinde barındıran uygulamalar piyasaya sürülmeye başlamıştır.

Açık anahtar altyapısı açık anahtar şifreleme (public key cryptography) mimarisini kullanarak kişi ve kurumların kimliğini tanımlayabilme elektronik imza atabilme yapılan işlerin inkar edilememesinin sağlanması ve bilgilerin şifrelenerek saklanması korunması gibi özellikleri kullanmaya imkan vermektedir. Açık anahtar şifreleme mimarisinde kişi ve kurumlar açık (public key) ve gizli (private key) olmak üzere iki anahtara sahiptirler. Açık anahtar tüm dünyaya ilan edilebilmekte ve dağıtılabilmekte iken gizli anahtar çok dikkatli bir şekilde saklanmalıdır. Bu mimari basitçe şu şekilde çalışmaktadır: Herhangi bir bilgi bilginin adresleneceği kişinin açık anahtarı ile bir grup matematik işlemden geçirilerek şifrelenir ve kişiye gonderilir. Bu şifrelenmiş bilgiyi dünyada sadece kullanılan açık anahtarın diğer parçası olan gizli anahtar deşifre edebilir dolayısıyla sadece gizli anahtara sahip olan kişi bu bilgiyi okuyabilir.

Yine bu şifreleme teknolojisi kullanılarak kimlik doğrulama işlemi gerçekleştirlebilir. Kurumlar/kişilerüstü bir kuruluş ki; genellikle sertifika otoritesi adını alır kişi/kurumun kimliğini tespit ederek kişi/kurumun açık anahtarını kendi gizli anahtarı ile şifrelemesi-imzalaması- ile kişiler/kurumlar uzakta bulunan ve hiç tanımadıkları bir kişi/kurumun kimliğinden emin olabilirler. İmzalanan bu anahtar elektronik sertifika adını almaktadır. Kurum (örneğin banka) sertifikayı sunucusuna (gerekirse) müşteri sertifikasını kullandığı bilgisayara yerleştirmektedir. Kişilerin kullandıkları web tarayıcıları kullanıcının herhangi birşey yapmasına gerek bırakmadan arka planda bankanın sunucusunun bilgilerini alır ve sertifikayi onaylayan makamın açık anahtarı ile kontrol ederler. Bu aşamada kullanıcının yapması gereken tek şey web tarayıcısının ilgili kısmına tıklamak açılan sertifika penceresinden sertifikanın sahibini onaylayan makamı geçerlilik süresini kontrol etmek olacaktır. Bu sayede örneğin kişi www.banka.com adresine bağlandığı zaman gerçekten o banka ile temas ettiği konusunda emin olabilir.

Benzer şekilde eğer banka yerine kullanıcılar da sertifika alırlarsa bu sayede banka sunucusu da iletişim kurduğu ve kendisinin bay x olduğunu geçerli kullanıcı kodu ve şifreyi sunarak iddia eden bilgisayar kullanıcısının gerçekten bay x olduğundan emin olabilir. Bu sayede bir kişinin kullanıcı kodunu/adını ve şifresini bilmek banka ile o kişi imiş gibi iletişim kurmaya yetmeyecektir; ilave olarak sahte kullanıcıda taklit ettiği kişinin sertifikasının da bulunması gerekecektir.

Banka ile kişi ve kurum arasındaki veri iletişimin gizliliğinin ve bütünlüğünün korunması için açık anahtar şifreleme mimarisi kullanılabildiği gibi simetrik şifreleme algoritması da kullanılabilir. Çoğunlukla kullanılan simetrik mimaride hem banka hem kişi ortak bir anahtar kullanarak veriyi/iletişimi şifrelerler ve sadece anahtarı bilenler bilgiyi deşifre ederek okuyabilir. Bu mimarinin de anahtar paylaşımı ve yönetimi gibi sorunları mevcuttur. Buna çözüm olarak anahtar paylaşımı için açık anahtar altyapısı kullanılmaktadır. Yani veri bütünlüğü ve gizliliği için hem açık anahtar mimarisi hem de simetrik şifreleme metodu hibrid olarak kullanılmaktadır.

Kişilerin bankacılık sistemlerine ulaşmak için kullandıkları şifrelerin genellikle zayıf olma eğiliminde olduğundan bahsetmiştik. Bahse konu şifreleri kuvvetli hale getiren teknolojilerin en başında OTP üreticisi (one-time-password generator) denilen bir sefer kullanılabilen şifreler üreten cihazlar gelmektedir (Örneğin RSA SecureID Encotone TeleID gibi). Bu kredi kartı büyüklüğündeki cihazlar hem kendilerinin bildiği hem de sunucu tarafından da bilinen bir algoritma sayesinde kullanıcının numarası tarih ve zamanın bir fonksiyonu olan bir kerelik bir şifre üretmektedirler. Sunucu bildiği sırrı kullanıcının sunduğu kullanıcı adı ve zaman sayesinde aynı şifreyi hesaplayabilmekte ve kullanıcının sunduğu şifrenin doğruluğu ile kişinin sisteme olan giriş iznine karar verebilmektedir. OTP üretici cihazlar iki farklı tipte olmaktadırlar; bunlardan donanım tipi olanlar her türlü gerekli aparatı (tuş takımı ekran gibi) üzerinde taşımakta ve bağımsız olarak çalışabilmektedirler. Örneğin Internet bankacılık hizmeti kullanacak müşteri web sitesine gidecek kullanıcı adını girecek ve OTP cihazını kullanarak o sefer kullanacağı şifreyi üretecek OTP’nin ekranında gördüğü bu şifreyi web sitesinin şifre bölümüne yazacak ve bankacılık işlemlerini kullanmaya başlayacak. Bu şifreyi çalan bir kişi aynı şifreyi kullanmayı denediğinde ise sunucu şifre bir seferlik olduğundan ve kullanıldığından dolayı onu reddedecektir. Donanım tipi OTP cihazlarından başka diğer bir tip ise yazılım tipi olanlardır. Fakat yazılım tipi olanlar kullanıcının bilgisayarında çalışan bir bilgisayar kodu olduğundan bilgisayarın klavye ve görüntü imkanlarını kullanmaktadır. Bu noktada kullandığımız bilgisayarların ne kadar güvenilir olduğunu sorgulamak gerekliliği ortaya çıkmaktadır. Özellikle Internet’in yaygınlaşmasından sonra virus truva atı gibi zararlı programlar gelişmişler ve farklı yollarla yayılır hale gelmişlerdir. Yani kişinin bilgisayarına bir virusün bulaşması için artık o kişinin Internet’ten bir eposta alması yeterli hale gelmiştir. Bu koşullar altında yazılım biçiminde olan ve kullanıcı bilgisayarının imkanlarını kullanan çözümler ki yazılım biçiminde olan bir kere kullanılabilen şifre üreticileri buna bir örnek olabilir ve arzulanan güvenliği sağlayamayabilir.

Kişilerin yaptıklarını inkar edebilmelerine karşı da alınabilecek önlemler bulunmaktadır. Yine açık anahtar mimarisinin sağladığı elektronik imza atabilme imkanı sayesinde kişiler yaptıkları işlerin altına aynı gerçek imza atarmış gibi elektronik imza atabilmektedir. Böylece bankalar kişilerin verdiği bankacılık emirleri ile birlikte verdikleri emirlere ilişkin imzaları sistemde saklayabilmekte kişilerin yaptıklarını inkar etmelerini önleyebilmektedirler.

Internet bankacılığına oranla telefon bankacılığı aslında çok daha az yol almış olmasına karşın genellikle teknolojiye daha az sıcak bakan kişilerce daha çok tercih edilmektedir. Aslında telefon bankacılığının güvenlik açısından bulunduğu nokta Internet bankacılığının bulunduğu noktadan daha geridedir. Telefon bankacılığında telefondan girilen şifreler hesap numaraları telefon şebekesi üzerinden açık olarak gönderilmekte telefon hattını dinleyen bir kişi tarafından kolaylıkla kayıt edilebilmekte ve seslerin ne anlama geldiği kolaylıkla yorumlanabilmektedir. İlave olarak telefonla yapılan bir işlem kayıt cihazı ile kayıt edilebilmekte ve daha sonra kayıt edilen sesler tekrar banka aranarak çalınabilmekte ve daha önce yapılan işlem tekrar yaptırılabilmektedir. Örneğin babanızın sizin hesabınıza yaptığı harçlık ödemesini aynı ay içinde birden çok tekrarlamak sadece bir kayıt cihazı sayesinde mümkün olabilmektedir. Fakat telefon bankacılığına ilişkin bu problemler de Internet bankacılığında kullanılan açık anahtar mimarisi bir kere kullanılabilen akustik şifre üreticileri akustik şifreleyiciler ve akustik özelliğe sahip elektronik imza atabilen cihazlar ile çözülebilmektedir.

Günümüzde artık hem Internet hem telefon bankacılığı problemlerini çözebilen hem elektronik imza atabilen hem bir sefer kullanılabilecek şifre üretebilen hem akustik hem görsel olarak çalışan ürünler ortaya çıkmaktadır. Örnek olarak bir İsrail firması olan Encotone’un yukarıda bahsedilen tüm problemleri çözmeyi amaçlayan hem elektronik imza atan (akustik) hem bir seferlik şifre üreten (ekrana ve akustik olarak) bir ürün piyasaya sürdü ve bu ürün Israil’in Leumi bankası tarafında kullanılmak üzere birkaç ay önce seçildi.

Alternatif kanalları cazip hale getirmek bankalar açısından maliyetleri azaltmakta ve rekabet avantajının artırmaktadır. Kullanıcıların bir kısmında var olan hatalı inanışları ortadan kaldırmak kişilerin sistemlere olan güvenlerini artırmak kullanımı özendirmek için için bankalar çeşitli etkin kolay basit çözümlere yatırım yapmalı bunları kullanıcılarına sunmalı ve kullanıcıları bu konularda bilinçlendirmelidir eğitmelidir.