Yemleme ( “phishing”) Hazırlayanlar
Yüklə 0,54 Mb. Pdf görüntüsü
|
|
8
SONUÇ VE ÖNERĠLER Günümüzde BĠT’de yaĢanan hızlı geliĢim bir yandan hayatı kolaylaĢtıran yeni araçlar ve iĢ yapma süreçleri sunarken, diğer yandan hayatı zorlaĢtıran pek çok siber tehdidin oluĢumuna da zemin hazırlamaktadır. Söz konusu siber tehditlerden biri olan yemlemenin de son yıllarda hızla arttığı ve yeni teknikler ile geliĢtirildiği görülmektedir. Bu geliĢme doğrultusunda, çeĢitli bölgesel ve uluslararası kuruluĢların yanı sıra STKlar da yemlemeyi önlemeye yönelik çeĢitli tedbirler almaktadırlar. Bu kuruluĢların çalıĢmalarından da yararlanarak ülkemizin de aralarında bulunduğu pek çok geliĢmiĢ ve geliĢmekte olan yemlemeyle mücadele konusunda çalıĢmalarına devam etmektedirler. Yemleme saldırıları, sadece bireysel Ġnternet kullanıcıları ve çoğunluğu finans sektöründe yer alan kurumları hedef almakla kalmamakta, aynı zamanda ĠSSler açısından da gerek Ģebeke trafiğini meĢgul etmek, gerekse prestij ve müĢterilerinin güvenini kaybetmek gibi çeĢitli tehditler taĢımaktadır. Söz konusu tehditlerle baĢa çıkabilmek için ĠSSler tarafından alınabilecek bazı teknik tedbirler 2006 yılında APWG ve MAAWG tarafından yayımlanan bir raporda 67 özetlenmektedir. Ülkemizde de, 10 Kasım 2008 tarihli ve 5809 sayılı Elektronik HaberleĢme Kanunu ile kendisine verilen yetkiye binaen ĠSSlerin faaliyetlerini düzenlemek ve denetlemekle sorumlu olan BTK’nın, yapacağı ikincil düzenlemeler ile söz konusu iĢletmecilere yemleme ile mücadeleye iliĢkin gereken tedbirleri almaları hususunda çeĢitli yükümlülükler getirebileceği değerlendirilmektedir. Ayrıca, Ülkemizde internet bankacılığı uygulamalarında kullanılan iki unsurlu kimlik doğrulama mekanizmasında bulunan unsurlar veya anne kızlık soyadının bazı harfleri gibi unsurları doğru olarak sunan Ġnternet bankacılığı kullanıcıları, ilgili bankanın müĢterisi olarak kabul edilerek, yetkisi dâhilinde olan her türlü iĢlemi yapmasına imkân tanınmaktadır. Sayılan unsurları sağlayan kiĢinin gerçekten o 67 APWG ve MAAWG, 2006, a.g.e. 62 müĢteri olup olmadığı kontrol edilememektedir. 68 Günümüzde bu tür bir kontrolün yapılmasına imkân veren sınırlı sayıda teknoloji bulunmakla birlikte, ülkemizde, bunların en önemlilerinden biri olan e-imza teknolojisinin yasal altyapısının 5070 sayılı Elektronik Ġmza Kanunu ile oluĢturulduğu bilinmektedir. Dolayısıyla Ġnternet bankacılığı dâhil Ġnternet üzerinden sunulan pek çok hizmetin kimlik doğrulama aĢamasında inkâr edemezliği ve hukuki geçerliliği teminen e-imza teknolojisinin kullanımında yarar görülmektedir. Ancak, ülkemizde sunulan internet bankacılığı hizmetlerinde e- imza teknolojisinin istenen düzeyde kullanılmadığı görülmektedir. Bu konuda, 2009 yılının Mayıs ayında Basel Bankacılık Denetim Komitesi üyeleri a rasına katılan ve Komite tarafından 2003 yılında yayımlanan “Elektronik Bankacılık için Risk Yönetimi Ġlkeleri”ne paralel bir risk yönetimi yaklaĢımı benimseyen 69 BDDK’nın internet bankacılığı uygulamalarında e-imza kullanımının arttırılmasını sağlayıcı tedbirleri alabileceği değerlendirilmektedir. Ayrıca, halen tasarı halinde olan Elektronik Ticaretin Düzenlenmesi Hakkında Kanunda, TCK’da suç olarak tanımlanmıĢ dolandırıcılık veya hırsızlık fiillerini iĢlemek maksadıyla, i nternet üzerinden hizmet sunan yasal bir kuruluĢa aitmiĢ gibi görünen bir internet sitesi oluĢturan veya alan adı alan ve internet kullanıcılarına, söz konusu kuruluĢa aitmiĢ gibi görünen ticari elektronik iletiler gönderme fiilinin de suç olarak düzenlenmesi ve bu durumda uygulanacak cezaların da yer almasında yarar görülmektedir. 68 Keser Berber, Leyla, “Ġnternet Bankacılığında Güvenli Elektronik Ġmza’ya GeçiĢ Zorunluluğu”, http://www.e-imza.gen.tr/templates/resimler/File/makaleler/Internet_Bankaciliginda_Guvenli_Eimzaya_ Gecis_LKeser.pdf 69 Deregözü, Rıfat, 13 Mart 2008, “Bankacılıkta Bilgi Sistemleri Denetimi – BDDK yaklaĢımı – ve Bilgi Güvenliği”,http://www.scribd.com/doc/6304621/Bankacilikta-Bilgi-Sistemleri-Denetimi-BDDK-Yaklasimi (SET: 10.02.2011) |