Bankacılık Düzenleme ve Denetleme Heyeti (BDDK) tarafından yenilenen Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkındaki Yönetmelik, 15 Mart 2020 tarihinde Resmi Gazete’de yayımlandı.
Finansal teknolojilerdeki gelişmeler ve Ferdî Bilgilerin Korunması Kanunu (KVKK) ışığında, bankalarda halihazırda geçerli olan bilgi teknolojileri ile alakalı yasal düzenlemelerin güncellemesini sağlayacak yeni yönetmelik, ortalarında CobIT, ITIL ve ISO 27001 üzere milletlerarası bilgi güvenliği standartları referans alınarak hazırlandı.
Bilgi güvenliği farkındalığı daima en üst düzeyde tutulacak
Yönetmelik hakkında konuşan Keepnet Labs Türkiye Ülke Müdürü Erdinç Balcı, “BDDK’nın bankacılık bilgi sistemleri ve elektronik bankacılık hakkında birçok yeniliğe yer veren yeni yönetmeliği, bilhassa bilgi güvenliği farkındalığını artırmaya yönelik hususları ile yeni bir devir başlatacak. Yönetmelikteki iki husus bilgi güvenliği farkındalığına yönelik çalışmaları özel olarak ele alıyor. Bu hususlara nazaran, tüm banka çalışanları, dış hizmet sağlayıcılar ve müşteriler üzere paydaşların bilgi güvenliği, farkındalık çalışmaları ile artırılacak. Türkiye’nin gelişmiş bankacılık sistemi, yeni yönetmelik ile daha da güçlenirken, bilgi güvenliği farkındalığı da yapılacak çalışmalarla ebediyen en üst düzeyde tutulacak” dedi.
Toplumsal mühendislik saldırısı risklerine karşı sistemli testler yapılacak
Bankaların, felaket senaryoları da dahil olmak üzere, en geç 24 saat içerisinde faaliyetlerine devam edebilmesini öngören yönetmeliğe nazaran, bankaların bilgi güvenliği farkındalık eğitim programları oluşturarak BT kaynaklarına ve sistemlerine erişimi olan herkesin ilgili mevzuat ve yönergelerden haberdar olması sağlanacak. Bilgi Güvenliği Komitesi tarafından onaylanacak program, yeni teknolojiler ve yeni riskler göz önünde bulundurularak yılda en az bir sefer güncellenecek.
Yönetmeliğe nazaran, bankaların siber güvenlik ile ilgili kurum içi bülten hazırlaması, çalışanlara bilgi güvenliği hatırlatma e-postaları göndermeleri, iç portallarında siber güvenlik kısımları oluşturmaları, çeşitli bilinçlendirme faaliyetleri ve çalışanların bilgi güvenliği farkındalığını ölçecek anketler yapmaları da bekleniyor.
Çalışanların farkındalık düzeyini en üst düzeyde tutabilmek ve geliştirilmesi gereken eksiklikleri tespit etmek için BDDK yönetmeliğinde nizamlı testler yapılması gerekliliğine de yer veriliyor. Buna nazaran, çalışanların kuşkulu bir e-postadan gelen bir ilişkiyi tıklayıp tıklamayacağı, telefonla arayan kişiyi doğrulamak için uygun prosedürleri izlemeden telefonda hassas datalar paylaşıp paylaşmayacağı üzere toplumsal mühendislik senaryoları test edilecek ve bu testlerden geçemeyen çalışanların ek eğitimler alması sağlanacak.
BDDK tarafından yenilenen Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkındaki Yönetmelik, 1 Temmuz’da yürürlüğe girerken, COVID-19 pandemisi sebebiyle birtakım unsurlar 1 Ocak 2021 tarihinden itibaren uygulanmaya başlanacak.
