Bankacılık Sektöründe BDDK Onaylı Sızma Testleri ve BADES Raporlama Yükümlülüğü
Dijital kanalların ve uzaktan bankacılık hizmetlerinin yaygınlaşması, bankacılık sektörünü yüksek profilli siber saldırıların birincil hedefi haline getirmiştir. APT (Advanced Persistent Threat) grupları, fidye yazılımları ve hesap ele geçirme girişimleri, doğrudan maddi kayıp, itibar zedelenmesi ve operasyonel kesinti riski doğurmaktadır.
Bu tehditlerin kontrol altına alınabilmesi için BDDK (Bankacılık Düzenleme ve Denetleme Kurumu) kararıyla, bankaların bağımsız ekiplerce yürütülen sızma (penetrasyon) testlerini yılda en az bir kez yaptırmaları zorunlu hale getirilmiştir. BDDK onaylı sızma testleri; ağ, uygulama, ATM, mobil bankacılık, DDoS ve sosyal mühendislik gibi birçok bileşeni kapsayan, uçtan uca siber dayanıklılık denetimi niteliğindedir.
Zorunluluk: 27.01.2011 tarih ve 4022 sayılı BDDK Kararı ile bankaların
yılda en az bir kez bağımsız ekiplere sızma testi yaptırması zorunlu hale getirilmiştir.
Kapsam: Ağ ve cihazlar, DNS, kablosuz ağ, ATM sistemleri, web ve mobil uygulamalar,
e-posta ve veri tabanı servisleri, DDoS ve sosyal mühendislik testleri.
Raporlama: Sızma testi raporları, yönetim kurulunca onaylanan bir aksiyon
planı ile birlikte en geç 1 ay içinde BADES’e yüklenmelidir.
Hedef: Bankaların bilgi sistemlerinin güvenilirliğini, tutarlılığını ve siber olaylara
karşı direncini proaktif şekilde güçlendirmek.
1. Finans Sektöründe Sızma Testi Zorunluluğunun Gerekçesi
Günümüzde siber saldırılar “eğlence amaçlı” olmaktan çıkmış, doğrudan maddi getiri sağlayan hedeflere odaklanmıştır. Bu tablonun merkezinde, yüksek işlem hacmi, yoğun müşteri verisi ve kritik altyapılar nedeniyle bankacılık ve finans sektörü yer almaktadır.
Bankalara yönelik gerçekleştirilen APT (Advanced Persistent Threat) atakları, hedefli oltalama kampanyaları ve zararlı yazılım bulaşmaları sonucunda:
- Yüksek tutarlı finansal kayıplar,
- Hesap ve işlem manipülasyonları,
- Müşteri güveninin zedelenmesi ve itibar kaybı,
- Regülatif yaptırımlar ve idari para cezaları
gibi sonuçlar ortaya çıkabilmektedir. Bu nedenle bankaların, yalnızca güvenlik ürünleri satın almakla yetinmeyip, bu kontrollerin etkinliğini düzenli olarak gerçek saldırı senaryolarıyla test etmesi zorunlu hale gelmiştir.
2. Hukuki Zemin, Zorunluluk ve Sıklık
BDDK Kararı ile Tebliğ’in 7. maddesinin üçüncü fıkrasının (ç) bendinde yer alan hüküm, bankacılık sektörü için sızma (penetrasyon) testlerini zorunlu hale getirmiştir:
“Bilgi sistemlerinin güvenilirliğinin ve tutarlılığının düzenli olarak incelenmesini sağlayacak süreçler tesis edilir. Bu çerçevede güvenlik ile ilgili hükümlerin gereklerinin yerine getirilmesi hususunda herhangi bir icrai görevi bulunmayan bağımsız ekiplere düzenli aralıklarla sızma (penetrasyon) testleri yaptırılır.”
Söz konusu düzenlemeyle;
- Testleri yürütecek ekibin bağımsız olması,
- Bilgi sistemlerinin güvenilirlik ve tutarlılığının düzenli incelenmesi,
- Test sonuçlarının, bilgi güvenliği yönetim sisteminin bir parçası olarak ele alınması
açık bir yükümlülük haline gelmiştir.
2.1. BDDK Kararına Göre Test Sıklığı
27.01.2011 tarih ve 4022 sayılı BDDK Kararı ile zorunlu kılınan sızma testinin sıklığı, sektörde standart haline gelmiş temel bir gereklilik olarak:
“Yılda en az bir defa BDDK onaylı sızma testi yapılması”
şeklinde belirlenmiştir. Bankanın ölçeği, risk profili, yeni kanal yatırımları ve yaşanan olaylar dikkate alınarak, bu sıklığın yılda birden fazla olacak şekilde artırılması da iyi uygulamalar arasında yer almaktadır.
3. BDDK Onaylı Sızma Testlerinin Kapsamı ve Asgari Başlıklar
BDDK tarafından yayımlanan genelgeye göre, bankalar tarafından yaptırılacak sızma testleri asgari olarak belirli teknik alan ve bileşenleri kapsamalıdır. Bu kapsam, bankaların hem iç ağ hem de dışa açık servisler üzerinden maruz kalabileceği risklerin bütüncül şekilde test edilmesini hedefler.
| Alan | Asgari Test Başlıkları | Örnek Kontroller |
|---|---|---|
| Ağ ve Cihazlar | İletişim altyapısı, router/switch gibi aktif cihazlar, ağ segmentasyonu, güvenlik duvarları | Port ve servis keşfi, yanlış yapılandırılmış cihazlar, zayıf parola kullanımı, ağ içi yatay hareket imkanları |
| DNS Servisleri | DNS altyapısı, iç ve dış DNS sunucuları, kayıt yönetimi | DNS cache poisoning, zone transfer, yanlış yapılandırılmış kayıtlar, bilgi sızıntısı riskleri |
| Etki Alanı ve İstemciler | Active Directory, etki alanı yapısı, kullanıcı bilgisayarları | Yetki yükseltme senaryoları, zayıf GPO ayarları, yerel admin hesapları, yamalanmamış istemciler |
| Kablosuz Ağ Sistemleri | Kurumsal Wi-Fi, misafir ağlar, erişim noktaları | Yetkisiz erişim, zayıf şifreleme, rogue AP tespiti, misafir ağ izolasyonu kontrolleri |
| ATM Sistemleri | ATM ağları, uygulama ve işletim sistemi güvenliği | Yetkisiz erişim senaryoları, fiziksel ve mantıksal saldırılar, kart ve PIN verisinin korunması |
| Uygulama ve Servisler | Web uygulamaları, mobil uygulamalar, e-posta ve veri tabanı servisleri | OWASP Top 10 zafiyetleri, kimlik doğrulama ve oturum yönetimi, veri tabanı yetki ve sorgu güvenliği |
| Saldırı Senaryoları | DDoS ve sosyal mühendislik testleri | Dağıtık servis dışı bırakma senaryoları, hedefli phishing, vishing ve fiziksel sosyal mühendislik |
Genelgeye göre sızma testleri kapsamında mutlaka ele alınması gereken başlıklar özetle şunlardır:
- Ağ ve cihazlar
- İletişim altyapısı ve aktif cihazlar
- DNS servisleri
- Etki alanı ve kullanıcı bilgisayarları
- Kablosuz ağ sistemleri
- ATM sistemleri
- Uygulama ve servisler (e-posta, veri tabanı, web ve mobil uygulamalar)
- Saldırı senaryoları (DDoS, sosyal mühendislik testleri)
Böylece bankanın; şube, genel müdürlük, veri merkezi, internet bankacılığı, mobil bankacılık ve ATM gibi kritik tüm temas noktaları uçtan uca değerlendirilmiş olur.
4. Temel ve Detaylı Sızma Testi Süreçleri
BDDK onaylı sızma testleri, ilgili bankanın bilgi sistemlerini hem fiziksel hem de yazılımsal bakış açısıyla ele alan, aşamalı bir yöntemle gerçekleştirilir. Testler; bankacılık sektörünün dinamiklerini bilen, tecrübeli ve yetkin uzman ekipler tarafından, BDDK tarafından belirlenmiş usul ve esaslara uygun şekilde yürütülür.
4.1. Temel Testler: Keşif ve Zafiyet Analizi
Süreç genellikle temel testler ile başlar ve tüm bilgi sistemi bileşenlerini kapsayacak şekilde tasarlanır:
- Sistem ve servis tespiti: Bankanın iç ve dış ağındaki sunucu, istemci, cihaz ve servislerin keşfi (port taramaları, banner analizi vb.).
- Açıklık taramaları: Otomatik ve yarı otomatik araçlarla bilinen zafiyetlerin tespiti (güvenlik yamaları, yanlış konfigürasyonlar, zayıf parolalar vb.).
- Bilgi toplama ve araştırma: Açık kaynaklar (OSINT), kurum hakkında internette yer alan bilgiler, sızmış kimlik bilgileri ve üçüncü taraf risklerin analiz edilmesi.
Temel testler, kurumun genel saldırı yüzeyini ve “ilk bakışta” görülebilecek kritik zafiyetleri ortaya çıkarır. Bu aşama, detaylı sızma senaryolarına giden yolun altyapı haritasını oluşturur.
4.2. Detaylı Testler: Saldırı Senaryoları ve İstismar
Temel testlerle elde edilen veriler değerlendirildikten sonra, bankanın gerçek bir saldırganın gözünden nasıl göründüğünü anlamaya odaklanan detaylı sızma testleri yürütülür:
- Zafiyetlerin istismarı: Tespit edilen açıklıkların, kontrollü koşullarda istismar edilerek nerelere kadar ilerlenebildiğinin gösterilmesi.
- Yatay ve dikey hareketler: Bir sistemden diğeri üzerine atlama, yetki yükseltme ve domain kontrolü gibi senaryoların test edilmesi.
- Sosyal mühendislik kullanımı: Hedefli e-postalar, telefon aramaları veya fiziksel senaryolarla insan faktörünün test edilmesi.
- Yaratıcı saldırı yöntemleri: Sektörel tehdit istihbaratı ve güncel saldırı tekniklerinin kullanıldığı özel senaryoların uygulanması.
Bu aşamanın amacı; bankanın bilgi sistemlerinde hangi güvenlik zafiyetlerinin hangi iş süreçleri üzerinde etki oluşturduğunu görmek ve teknik bulguları somut iş risklerine dönüştürmektir.
5. Saldırı Senaryoları: DDoS ve Sosyal Mühendislik Testleri
BDDK onaylı sızma testlerinin önemli bir parçasını da senaryo bazlı saldırı testleri oluşturur. Bu testler, bankanın sadece teknik altyapısının değil, aynı zamanda operasyonel süreçlerinin ve insan faktörünün de dayanıklılığını ölçmeyi hedefler.
5.1. Dağıtık Servis Dışı Bırakma (DDoS) Testleri
DDoS testleri, bankanın kritik servislerinin yoğun trafik altında nasıl davrandığını ve mevcut koruma mekanizmalarının ne ölçüde yeterli olduğunu ortaya koyar:
- İnternet bankacılığı, mobil bankacılık ve API altyapısına yönelik hacimsel ve uygulama katmanı testleri,
- Şube ve çağrı merkezi operasyonlarını etkileyebilecek senaryoların modellenmesi,
- Olay anında devreye giren iş sürekliliği ve felaket kurtarma planlarının etkinliğinin değerlendirilmesi.
Bu sayede bankalar; servis dışı kalma riskini minimize edecek altyapı güçlendirme ihtiyaçlarını önceden görebilir ve kapasite planlamasını daha sağlıklı yapabilir.
5.2. Sosyal Mühendislik Testleri
Sosyal mühendislik testleri, teknik kontroller kadar önemli olan insan faktörünü merkeze alır. Hedef; çalışanların, tedarikçilerin veya üçüncü tarafların siber güvenlik farkındalığındaki zayıflıkları tespit etmektir:
- Phishing (e-posta oltalama): Gerçek görünümlü e-postalarla kimlik bilgisi toplama senaryoları,
- Vishing (telefon üzerinden oltalama): Çağrı merkezi veya destek birimi kılığına girilerek bilgi edinme girişimleri,
- Fiziksel sosyal mühendislik: Kargo görevlisi, teknik servis veya ziyaretçi rolüyle bina ve sistemlere yetkisiz erişim denemeleri.
Bu testler sonucunda; çalışanlara özel farkındalık eğitimleri, süreç iyileştirmeleri ve kimlik doğrulama prosedürlerinde sıkılaştırmaya gidilmesi mümkün hale gelir.
6. Raporlama, BADES ve Uyum Yükümlülükleri
Sızma testlerinin değeri, yalnızca zafiyetlerin tespiti ile sınırlı değildir. Asıl kritik nokta, bu zafiyetlere ilişkin eylem planlarının oluşturulması ve düzenleyici otoriteye karşı hesap verebilirliğin sağlanmasıdır.
6.1. Yönetim Kurulu Onaylı Aksiyon Planı
Bankalar; sızma testi sonuçlarını, tespit edilen bulguları, bulguların önem derecelerini, risk seviyelerini ve çözüm önerilerini dikkate alarak bir aksiyon planı hazırlar. Bu plan:
- Yönetim kurulu tarafından onaylanır,
- Bulguların giderilmesi için takvimlendirilmiş faaliyetleri içerir,
- Sorumlu birim ve kişiler net şekilde tanımlanarak izlenebilir hale getirilir.
Böylece sızma testleri, tek seferlik bir etkinlik olmaktan çıkarak, sürekli iyileştirme döngüsünün bir parçasına dönüşür.
6.2. BADES (Bağımsız Denetim Takip Sistemi) Yükümlülüğü
Sızma testi raporları, tamamlanmasını müteakip en geç bir ay içinde, elektronik ortamda Bağımsız Denetim Takip Sistemine (BADES) yüklenir. Bu yükümlülük:
- BDDK’nın bankaların siber güvenlik olgunluğunu merkezi olarak izleyebilmesini,
- Test kapsamı, bulgular ve aksiyonların standart bir formatta raporlanmasını,
- Gerek görüldüğünde ilave açıklama ve rehberliğin Bilgi Yönetimi Daire Başkanlığı tarafından paylaşılmasını
mümkün kılar. BADES sürecinin eksik veya hatalı yürütülmesi, hem uyum riski hem de denetim sırasında ortaya çıkabilecek ilave yükümlülükler anlamına gelebilir.
6.3. İç Denetim ve Teftiş Süreçleri ile Entegrasyon
Sızma testlerinden elde edilen bulgular ve çıkarımlar, bankaların teftiş kurullarının iç denetim planlarına da dahil edilir. Böylece:
- Bilgi sistemlerinin güçlü ve zayıf yönleri sistematik olarak kayıt altına alınır,
- Zafiyetlerin gerçekten kapatılıp kapatılmadığı bağımsız kontrol mekanizmaları ile doğrulanır,
- Teknik bulgular, süreç ve politika iyileştirmeleri ile desteklenerek kurumsal bir güvenlik kültürü oluşturulur.
7. Sık Sorulan Sorular
BDDK onaylı sızma testi nedir?
BDDK onaylı sızma testi, bankaların bilgi sistemlerine bağımsız ve yetkin ekipler tarafından, BDDK’nın belirlediği kapsam ve usullere uygun şekilde gerçekleştirilen teknik ve senaryo bazlı siber güvenlik testleridir. Amaç; bankanın dışarıdan ve içeriden gelebilecek saldırılara karşı zayıf noktalarını tespit etmek ve bu zafiyetlere yönelik aksiyonları planlamaktır.
Sızma testleri hangi sıklıkla yapılmak zorundadır?
27.01.2011 tarih ve 4022 sayılı BDDK Kararı uyarınca, bankaların yılda en az bir defa sızma testi yaptırması zorunludur. Ancak yeni sistem devreye alınması, büyük altyapı değişiklikleri veya ciddi bir güvenlik olayı yaşanması gibi durumlarda ek testler yapılması da iyi bir uygulama olarak kabul edilir.
Sızma testleri sadece dış ağ ve internet bankacılığını mı kapsar?
Hayır. BDDK onaylı sızma testleri; dışa açık sistemlerin yanı sıra iç ağ, kablosuz ağlar, ATM ve şube sistemleri, web ve mobil uygulamalar, e-posta ve veri tabanı servisleri gibi çok geniş bir alanı kapsar. Böylece bankanın uçtan uca saldırı yüzeyi test edilir.
BADES’e rapor yüklememenin riski nedir?
Sızma testi raporlarının en geç bir ay içinde BADES’e yüklenmemesi, BDDK nezdinde uyum açısından önemli bir eksiklik olarak değerlendirilir. Bu durum, denetimlerde olumsuz bulgulara ve gerektiğinde idari yaptırımlara yol açabilir. Ayrıca bankanın siber güvenlik olgunluğunun şeffaf takibini de zorlaştırır.
Sızma testi sonuçları bankanın iç denetim sürecine nasıl yansıtılmalıdır?
Test sonuçları; yönetim kurulu onaylı aksiyon planına dönüştürüldükten sonra, bankanın teftiş kurulu ve iç denetim birimleri tarafından takip edilmelidir. Böylece hem bulguların gerçekten kapatılıp kapatılmadığı doğrulanır hem de benzer risklerin tekrar etmesini engelleyecek politikalar, prosedürler ve kontroller geliştirilebilir.
