Asseco SEE Çözüm Satış Yöneticisi Azra Çelik Gökdan yaptığımız Röportaj
Teknolojioku.com olarak takip ettiğimiz konferansta, Asseco SEE Çözüm Satış Yöneticisi Azra Çelik Gökdan, ödeme sistemlerindeki yenilikler ve çözümler hakkında bilgi verdi.
Yazılım ve hizmet gelirleri bazında Güney Doğu Avrupa’nın ve Türkiye’nin en büyük bilişim şirketlerinden biri olan Asseco SEE, DubaiCards & Payments Middle East’15 Konferansı & Fuarı’na katıldı. Teknolojioku.com olarak takip ettiğimiz konferansta, Asseco SEE Çözüm Satış Yöneticisi Azra Çelik Gökdan, ödeme sistemlerindeki yenilikler ve çözümler hakkında bilgi verdi. Gökdan, fiziksel ve sanal güvenlik tehditlerinin bütünleşik bir şekilde engellenmesi gerektiğine dikkat çekti.
Ödeme sisteminde en çok karşılaşılan sahtekârlık yöntemleri nelerdir?
Bu durum, ülkeden ülkeye değişiyor, bizim deneyimlerimizin bir kısmının dayandığı ve bankacılık uygulamalarında “Silikon Vadisi” olarak değerlendirilen Türkiye pazarından sözedecek olursak, Türkiye pazarındaki bankacılık uygulamaları ve buna bağlı olarak sahtekârlık atakları, diğer ülkelere göre daha gelişmiş seviyede diyebiliriz. Edindiğimiz deneyimlere göre, banka kartları sahtekârlığı hala çok yaygın. Önceleri internet bankacılığı sahtekârlığı yaygınken, geliştirilen önlemler sayesinde bu alandaki sahtekarlık atakları azalmış gözüküyor. Yine Türkiye'de mobil bankacılık henüz çok fazla atak alan bir mecra gibi görünmüyor. Avrupa'da ise böyle değil, daha fazla mobil bankacılık atağı mevcut.
Avrupa’da gerçekleştirilen sahtekârlık yöntemlerinden bahseder misiniz?
Mobil bankacılık uygulamaları genel olarak Android, IOS, Windows Mobile için geliştirilmiş yerel uygulamalar. Yine bankaların bu platformalar için geliştirdiği mobil bankacılık uygulamalarının indirildiği yerler Google Play Store ya da Apple Store gibi platformlar. Bu konuda Apple Store özellikle çok dikkatli, indirilen uygulamalarda güvenlik denetimleri yüksek. Bu yüzden mobil bankacılıkta biraz daha az sahtekârlık olduğunu görüyoruz. Ama “phising”, “man in the middle” ve “man in the browser” türü sahtekârlıklar çok yaygın. Örneğin; sanki çalıştığınız banka size gönderiyormuş gibi bir e-posta alıyorsunuz, bu e-postada size bazı avantajlar sunuluyor veya güncellemeler yapmanız isteniyor, bunlar için de yönlendiren bir link mevcut. Linke tıklarsanız sizden hesabınıza veya size ait bazı kritik bilgiler isteniyor, bunları verdiğinizde de bilgileriniz çalınmış oluyor. Bu tür saldırılar yaygın olarak görülüyor.
Tüketiciler sahtekarlık yöntemleri konusunda bilinçlenmediler mi?
Görüldüğü kadarıyla, bu sektörde bankacıların en büyük şikâyetlerinden biri tüketici bilinçsizliği. Kayıpların bir bölümü yeterli güvenlik önlemlerinin alınmamasının yanı sıra, tüketicilerin de bilinçsizliğinden de kaynaklanıyor.
Kurumlar olası sahtekârlıklara karşı hangi tedbirleri alıyorlar ya da almalılar?
Sahtekârlıkla mücadelenin çok yönlü olarak yürütülmesi gerekiyor. Öncelikle kurum içinde sahtekârlığa karşı farkındalığın yerleşmesi için her aşamada, her süreçte önlemelerin kurgulanması gerekiyor. Aynı anda birkaç farklı tedbirin alınması gerekiyor. Bunlardan biri, organizasyonel tedbirler, sahtekârlıkla mücadele için ortak bir ekibin kurularak bütünsel bir bakış açısı ile tüm saldırı tiplerini incelemesi gerekiyor. Bunu fiziksel bir ortam olarak düşünürseniz; eğer birden fazla kapınız varsa, hepsine güvenlik görevlisi koymanız gerekir, bunların başına da hepsini koordine edecek bir güvenlik şefi. Eğer birden fazla kanalınız varsa, birçok saldırı noktanız vardır, örneğin; bir banka olarak internet bankacılığı kanalınız, kart kanalınızdan yapılabilecek saldırılar var, çalışanlarınız da usulsüz işlemler yapabilir, bütün bu kanalları izlemeli ve merkezi şekilde yönetmelisiniz. Bu organizasyonel yapılanmanın, sahtekârlıkla mücadele için daha doğru bir yapılanma olduğu yönünde eğilimler yaygınlaşıyor son yıllarda. Şu anda Türkiye’de birçok kurum bu noktaya doğru gidiyor. Ortak bir müşteri güvenliği ekibi oluşturulmaya çalışılıyor.
Güvenlik sistemlerinin oluşturulması regülasyonlar doğrultusunda mı yoksa bankaların kendi inisiyatiflerinde mi gerçekleşiyor?
BDDK'nın düzenlediği regülasyonlar mevcut. BDDK bir şekilde sahtekârlıkla mücadele edecek etkin yöntemler uygulanmasını istiyor, ama mücadele etmek için spesifik yollar belirtmiyor. Dolayısıyla bu yapıyı nasıl ve neyi kullanarak kuracağı, Türkiye'de biraz daha bankaların kendi inisiyatifinde. Yurt dışındaki bankalarda güvenlik birimi hem bankanın fiziksel güvenliğinden sorumlu hem de çeşitli kanallardan gelebilecek ataklardan. Fiziksel ve siber güvenlik aynı ekibe bağlı. Fiziksel ve siber güvenliğin mutlaka aynı ekibe bağlanması gerekmese de siber güvenlik için aynı ekip ve bu ekibin kullanacağı entegre bütünsel bir çözüm olması faydalı. Bizim çözümümüz bütünsel bakış açısını içeriyor. Hatta sadece müşterileriniz gibi davranan sahtekârları engellemek üzere değil, iç tehditlere karşı da bir dizi önlemler almanızı sağlıyor. Türkiye'de personel ya da kurum içi sahtekârlığına karşı önlemler teknik yetenekler açısından oldukça yetersiz. Şu aşamada önlemler daha çok iç kontrole bağlı ekiplerce yönetiliyor. Gidişat bize, zamanla iç usülsüzlüklerle mücadele ekiplerinin müşteri güvenliği birimlerine bağlı olmaya başlayacağını gösteriyor, eğilim bu yönde. Bir diğer konu da kullanılacak uygulamanın, kurum içindeki diğer ilgili sistemlere çok iyi entegre edilmesi. Örneğin, ana bankacılığa, internet bankacılığı sistemine ve çağrı merkezine. Belirttiğim eğilimler takip edildiğinde sahtekârlıkla mücadelede iyi bir yol alınmış olunuyor. Birçok banka bu konudaki çalışmalarını hızlandırmaya başladı.
Müşteri memnuniyetini nasıl ölçüyorsunuz, belirli kıstaslarınız var mı?
Sahtekârlıkla mücadele birimlerinin kendilerini ölçmek için birtakım soruları önce kendilerine sormaları gerekiyor. Örneğin; günlük izlediğim uyarı sayısı ne kadar, bu uyarılardan ne kadarında sahte işlem yakaladım ve ‘fraud’ olarak etiketledim? Bu tarz istatistiksel bir geri bildirim raporları hazırlanarak, bu çözümü kullanan müşteri memnuniyetini ölçmemiz mümkün. Ama tabii ki uygulamanın kendisi bir yazılım ve o yazılımı nasıl kullandığınız, sisteminize nasıl entegre ettiğiniz çok önemli. Dolayısıyla kurumun bakış açısı ve kullanıcı grubunun performansı çözümün etkili olmasında oldukça belirleyici oluyor. Bu performansı artırmak için müşterilerimize iş birimi olarak kendi senaryolarını yazabilecekleri, kendi müşteri profilleri oluşturabilecekleri, yani kendi kendilerini dışardan desteğe ihtiyaç duymadan yönetebilecekleri bir çözüm sunuyoruz.
Çözümleriniz ihtiyaca göre şekillenebiliyor mu?
Çözümümüz çok basitçe ifade edecek olursak şüpheli işlemleri yakalıyor, bunun için finansal ve finansal olmayan bütün bankacılık işlemleri birtakım senaryolar ve profillerin filtresinden geçiyor. Eğer bu senaryoları iş birimi kendisi yazabilirse, profilleri kendisi oluşturup değiştirebilirse, hem hız kazanıyor hem de etkinliğini artırıyor. Sahtekârlıkla mücadelede zaman oldukça önemli. Çok hızlı bir şekilde yeni bir sahte işlem türüne karşı hemen müdahale edilmesi lazım. Bunun için de bazen yeni bir senaryonun yazılması ve devreye alınması gerekiyor. Biz de senaryoların hemen birkaç dakika içinde yazılıp devreye alınabileceği bir sistem sunuyoruz.
Ayrıca müşterilerimizin istedikleri her konuda bizden destek alabilmeleri mümkün. 2003 yılından beri Türkiye pazarında kara para aklama ile mücadele, terorizmin finansmanını engelleme, dış ve iç sahtekârlık konuları gibi risk çözümleri konusunda hizmet veriyoruz. veriyoruz. Dolayısıyla yaklaşık 12 yılık bir deneyimimiz var ki, endüstrinin gelişimi açısından bakacak olursanız, bunun uzun yıllara dayanan oldukça geniş bir bilgi birikimine karşılık geldiğini söyleyebiliriz.
Kurumlar sahtekârlık işlemlerini yeteri kadar takip edebiliyorlar mı?
Türkiye’de sayısı çok olmamakla birlikte bazı bankalar uzun yıllardır gelişmiş seviyede çözümler kullanıyorlar. Bu bankalar ataklar olduğunda, sistemlerini bu ataklara karşı savunacak şekilde çok hızlı eyleme geçebiliyorlar. Mesela; yeni bir “phishing” metodu geliştirildiğinde, bu atağa karşı müşterilerini uyaracak alt yapıya sahipler. Hatta sadece müşterilerini uyarmak amaçlı değil, gelen işlemleri o gözle izleyen bir altyapıya sahipler. Diğer yandan birçok kuruluş ise şu anda Türkiye'de aktif olarak bu sistemleri anlık müdahale edebilecek şekilde kullanamıyor. Amacımız kurumları bu seviyeye getirebilecek çözümlerimizle desteklemek.
Dubai’de gerçekleştirilen etkinliğin sizin için önemi nedir?
Asseco SEE olarak dünyanın birçok ülkesinde ofislerimiz ve bu ülkelerin ötesine geçen bir satış ve destek organizasyonumuz var. Orta Doğu’nun bu bölümü, bizim için biraz daha yeni. Buraya Orta Doğu pazarını biraz daha yakından tanımak için geldik. Bu pazarın dinamiklerini öğrenerek, hizmetlerimizi bu bölgeye taşıma seçeneklerini değerlendiriyoruz.