Dünya, her gün daha çok küçülüyor. Dünyanın diğer tarafında oturan bir kişi ile iş anlaşmalarınızı oturduğunuz yerden yapabiliyorsunuz, her şey hızlı ve çabuk hale geliyor. Bunun nedeni, sınırsız seçenekler sunarak, ortalama bir insan için hayatı kolaylaştıran büyük internet devrimidir. Bununla birlikte, internet alışveriş deneyimimizi daha ilginç ve keyifli bir hale getirdi. Artık hemen hemen her ürünü e-ticaret ile elde edebilirsiniz.
E-ticaret Devrimi
Bu devrimi, “e-ticaret” patlaması olarak da adlandırabiliriz. Alışveriş yapmak isteyen insanlar için tamamen yeni bir çığır açtı. Tüketiciler artık birçok seçenekle daha çok kişiselleştirilmiş alışveriş yapabiliyorlar. Tüm alışveriş deneyimi çok daha kolay bir hale geldi. E-ticaret ile ilgili olan şey, sadece işinizi büyütmek değil aynı zamanda iş yapınızın da değişmesidir. Bugün tüketici, birkaç yıl önce mevcut olmayan ve hatta hayal bile edilemeyen farklı çevrimiçi seçeneklerden oluşan bir bulmaca ile karşı karşıyadır.
Bununla birlikte e-ticaret, siber saldırıların ve tehditlerin artmasında büyük rol oynadı. En büyük nedenlerden biri, yetersiz teknik geliştirme ve sistemlerin uygun şekilde korunmamasıdır. Zayıf güvenlik önlemleri ve çok yüksek düzeyde güvenlik açığı da siber saldırıların ana nedenlerinden biridir.
E-Ticaret Güvenliği Nedir?
E-ticaret güvenliği, çeşitli e-ticaret varlıklarını yetkisiz erişimden, kullanımından veya değiştirilmesinden korumaktır.
E-Ticaret Tehdidi Nedir?
Basit bir ifadeyle, interneti hırsızlık, dolandırıcılık ve güvenlik ihlali için yasal olmayan yollarla kullanmaktır diyebiliriz.
Çeşitli e-ticaret tehdidi türleri bulunmaktadır. Bazıları tesadüfi, bazıları amaçlı ve bazıları insan hatasından kaynaklanmaktadır.
En yaygın güvenlik tehditleri;
- Kimlik avı saldırıları
- Para hırsızlığı
- Veri kötüye kullanımı
- Bilgisayar korsanlığı
- Kredi kartı sahtekarlıkları
- Siber güvenliğin olmadığı hizmetlerdir.
Hatalı yönetim: E-ticaret tehditlerinin ana nedenlerinden biri kötü yönetimdir. Güvenlik hedefe bağlı olmadığında, ağlar ve sistemler için çok tehlikeli bir tehdit oluşturur. Ayrıca, Siber güvenlik yapıları için uygun bütçe ayrılmadığında da güvenlik tehditleri ortaya çıkar.
Fiyat Manipülasyonu: Modern e-ticaret sistemleri genellikle fiyat manipülasyonu problemleriyle karşı karşıyadır. Bu sistemler tamamen otomatiktir; ilk ziyaretten, son ödeme alanına kadar. Hırsızlık, fiyat manipülasyonunun en yaygın amacıdır. Bir saldırganın URL’ye daha düşük bir fiyat kaydırmasına veya yüklemesine ve tüm verilerden uzaklaşmasına olanak tanır.
Snowshoe Spam: Artık spam çok yaygın olan bir şey. Hemen hemen her birimiz posta kutumuzdaki spam e-postalarla ilgileniyoruz. İstenmeyen mesajlar sorunu aslında hiçbir zaman çözülmedi, ancak şimdi o kadar da genel olmayan bir sorun haline geliyor. Bunun nedeni, bir spam iletisinin doğasıdır. Spam, tek kişi tarafından gönderilen bir şeydir, ancak maalesef siber dünyada yeni bir gelişme yaşanıyor. “Snowshoe Spam” olarak adlandırılıyor ve normal spam’den farklı olarak, tek bir bilgisayardan değil, birçok kullanıcıdan gönderilir. Böyle bir durumda, istenmeyen posta önleme yazılımının istenmeyen iletileri koruması zorlaşır.
Kötü niyetli kod tehditleri: Bu kod tehditleri genellikle virüsleri, wormları ve Truva atlarını içerir.
Virüsler normalde harici tehditlerdir ve dahili ağda yollarını bulurlarsa web sitesindeki dosyaları bozabilirler. Bilgisayar sistemlerini tamamen yok ettikleri için çok tehlikeli olabilirler ve bilgisayarın normal çalışmasına zarar verebilirler. Bir virüs kendi kendine yayılamayacağı için her zaman bir ana bilgisayara ihtiyaç duyar.
Wormlar çok farklıdır ve virüslerden daha ciddidir. Kendini doğrudan internet üzerinden yerleştirir. Yalnızca birkaç saat içinde milyonlarca bilgisayara bulaşabilir.
Truva atı, yıkıcı işlevler gerçekleştirebilen bir programlama kodudur. Normalde bir şey indirdiğinizde bilgisayarınıza saldırırlar. Bu yüzden her zaman indirilen dosyanın kaynağını kontrol etmelisiniz.
Hacktivizm :Hacktivizmin tam anlamı, hackleme aktivizmidir. İlk başta, bu siber tehdidin pek farkında olmayabilirsiniz. Sonuçta, doğrudan sizinle ilgili olmayan bir sorundur. Neden rahatsız olmalısınız ki? Ancak durum bu şekilde değildir. Birincisi, bilgisayar korsanları, hedefleri ile ilişkili olanları doğrudan hedef almazlar. Aynı zamanda sosyal olarak motive edilmiş bir saldırı da geliştirilebilir. Genellikle sosyal sorunları gün ışığına çıkarmak için sosyal medya platformlarını kullanılıyor. Ayrıca, bir e-posta adresini veya bir siteyi geçici olarak kapatacak kadar fazla saldırı da yapılabilir.
Kablosuz ağı gizlice dinleme: Kişisel verileri çalmanın en kolay yollarından biridir. Şifrelenmemiş bir Wi-Fi ağı üzerinden paylaşılan bilginin “sanal olarak dinlenmesi” diye özetleyebiliriz. Evimizdeki ağlarda olabileceği gibi genel ortak alanlarda kullanılan kablosuz ağlarda bu tür dinlemeler oldukça yaygındır.
Diğer tehditler: Veri paketi yaklama, IP sahtekarlığı ve port taramasını içeren diğer bazı tehditler. Veri paketi yakalama, normalde dinleme olarak da adlandırılır. Bir davetsiz misafir, bir veri paketi akışına saldırmak ve tek tek veri paketlerini taramak için bir izleme yazılımı kullanabilir. IP sahtekarlığı yapan bir saldırganı izlemek çok zordur. Buradaki amaç, kaynak adresini değiştirmek ve başka bir bilgisayardan gelmiş gibi görünmesi sağlamaktır. Bu şekilde yakalanmadan bir başkası gibi hareket ederek her türlü saldırı gerçekleştirilebilir. Ayrıca port taraması ile bilgisayarınızdaki zararlı yazılımlar ve zafiyetleri ortaya çıkararak daha kolay bir hedef haline gelmenizi sağlayabilir.
E-Ticaret Tehditleri İle Savaşmanın Yolları
Kapsamlı bir uygulama planı geliştirmek, siber tehditleri en aza indirmenin ilk adımıdır. Bu konuda siber güvenlik uzmanlarından hizmet almanız, yapılacak işlemlerin en düşük maliyetle, en uygun güvenliği sağlamanıza olanak tanıyacaktır.
Şifreleme: Normal bir metni, mesajı gönderen veya alan dışında kimsenin okuyamayacağı şifreli bir metne dönüştürme işlemidir. Bu şifrelemeyi sağlamak için uluslararası sertifikalar (SSL) kullanmak ve internet trafiğinin üzerinden geçmesini zorunlu hale getirmek, dinleme ve verilerin saldırganların eline geçmesinde en güçlü savunma araçlarından biridir.
Web uygulama güvenlik duvarı(WAF): Web uygulamalarının önüne yerleştirilir ve kötücül herhangi bir şeyi tespit edecek ve engelleyecek şekilde çift yönlü web tabanlı (HTTP) trafiği analiz eder. Bu şekilde gelen tüm zararlı kodlar ve saldırılar engellenebilecektir.
Anti-Virüsler: Virüsler bilgisayarın ilk keşfinden hemen kısa süre sonra oluşturulmuş yazılımlardır. İlk başlarda sadece bazı ufak tefek işlemler yapsalar da, tarih içerisinde evrimleşmiş ve saldırganlar için bir silah haline gelmişlerdir. Her ne kadar Anti-Virüsler tespit edilen virüsleri bulsalarda genede kullanımı birçok saldırıyı engellemek için önemlidir.
CDR ve Tehdit İstihbaratı: Günümüzde Anti-Virüsler her saldırıyı engelleyemez. CDR (İçerik Etkisizleştirme ve Yeniden Oluşturma) dosyaların içindeki zararlı kodları temizleme ve sıfırıncı gün saldırılarını engelleme açısından en önemli savunma yapıtaşlarından biri haline gelmiştir. Bunun ile birlikte Tehdit istihbaratı mevcut saldırı türlerinin bir noktada kaydının tutulması ve amacının algılanması için önemlidir. Bu konuda OpSwat, MetaDefender Core ürünü, kuruluşların zafiyetlerini gidermek için en güçlü yazılımlardan biridir.
Sızma Testi: Sızma testi dediğimizde eskiden bir sızma testi uzmanının, sistem üzerinde bir hacker gibi düşünerek, sistem üzerindeki açıkları kullanarak erişimi olarak biliniyordu. Günümüzde sızma testi artık otomatik olarak yapılabiliyor ve eskisinden daha ucuz ve istenirse her hafta , her gün sisteme yapılabiliyor. Bu konuda PcySys Pentera ile otomatik sızma testi kolaylıkla yapılarak, mevcut zafiyetler vebu zafiyetlerin oluşturabileceği tehditler tespit edilerek, mevcut siber güvenlik riskleriniz detaylı bir şekilde raporlanabiliyor.
Siber Güvenlik Denetimi: E-ticaret siteleri ve kuruluşların belirli bilgi güvenliği standartları ve kanunlar sebebiyle denetim planları zorunlu hale geldi. Bu planların gerçekten uygulanması ve sistemdeki tehditlerin azaltılması, şirketin itibarı ve mevcut varlıklarının tehlikeye girmesini önleme de en önemli savunma yapı taşlarından biridir.
Türkiye’de Güven Damgası ve Kullanımı
TOBB (Türkiye Odalar ve Borsalar Birliği) 6 Haziran 2017 tarihli Resmi Gazete’de “Elektronik Ticarette Güven Damgası” adı altında tebliğ edilen bir sisteme geçmiştir.
Güven Damgası, adından anlaşılabileceği gibi e-ticaret siteleri ve alışveriş yapan kişiler arasındaki “asgari güvenlik ve hizmet kalitesi standardının” varlığını gösteren bir işarettir. Güven Damgası alabilmek için firmaların yapması yapması gerekenler şunlardır:
- Sızma Testi
- SSL Sertifikası
- Adli Sicil Belgesi
- Yazılı Beyan
- Yetki Metni
- Güven Damgası Üyelik Sözleşmesi
- İmza Sirküleri
- Vergi Levhası
- Güven Damgası Üyelik Ücreti
Bu evraklar ve işlemler sonrasında sitenizde size özel gönderilen “Güven Damgası Logosu” sitenizde paylaşımını yapabilirsiniz. Detaylı bilgilendirme için; www.guvendamgasi.org.tr
Ata Cumhur Ertürk – Siber Güvenlik Uzmanı