Türkiye'nin büyük bankaları arasında yer alan Akbank adeta dijital bir felaket yaşadı. Sistemleri çöken bankada hayat 2 gün boyunca durdu. Pos cihazları çalışmadığı için kredi kartları da kullanılamadı. 18 milyona yakın müşterisi, yurt içinde 716 şubesi, 5 bin ATM'si, 600 binden fazla POS terminali olan Akbank, tam 42 saat müşterisine hiçbir hizmet veremedi. Skandal, 6 Temmuz sabahı Akbank ATM'lerine giden vatandaşların "para çekemiyoruz" şikayetleri ile ortaya çıktı. Kısa süre sonra sıkıntının sadece ATM'lerde olmadığı anlaşıldı. İnternet ve mobil şubeyi kullanmak isteyenler de hesaplarına ulaşamadı. Dijital bankacılık hizmetinden faydalanmak isteyen vatandaşlar "Müşteri vefat etmiştir" uyarısı ile karşılaştı.
42 SAAT SONRA: HİZMETTEYİZ
Banka, parası veya bilgilerinin çalındığı endişesi duyan milyonlarca müşterisini "teknik sorun" gibi genel bir açıklama ile geçiştirse de, müşteri bilgilerinin hackerler tarafından çalınmış olmasından endişe ediliyor. Bankadan yapılan ilk açıklamada, sadece "Sistemlerimizde yavaşlama ve kesintiler yaşanmaktadır. İlgili birimlerimiz konuyla ilgili çalışmaktadır. Müşterilerimizin gösterdiği anlayış için teşekkür ederiz" denildi. Ancak bilgi alamayan müşterilerin tepkisi üzerine "Hacker saldırısı yok" açıklaması yapıldı. Saatler sonra yapılan açıklamada ise "Ana bilgisayarda teknik sorun olduğu, müşterilere hizmet verilemediği" aktarıldı, ayrıca güvenlik problemi olmadığı iddia edildi. 6 Temmuz sabahı saat 08.00'de başlayan krizden 38 saat sonra ATM'ler hizmete alındı, diğer hizmetlerde sorun devam etti. Banka tam 42 saat sonra sorunların giderildiğini duyurdu.
DEFALARCA HACKLENDİ
Banka "güvenlik sorunu olmadı" açıklaması yapsa da gözler bilgisayar korsanlarına (hacker) çevrildi. Önce bankanın sunucusunun çöktüğü, ardından da hackerlerin sisteme sızdığı öne sürülüyor. Sosyal medyada da Akbank müşterilerine ait olduğu iddia edilen bazı kişisel veriler servis edildi. Tanınmış hacker gruplarından olan Anonymous "Akbank'a biz saldırmadık. Fakat birçok defa hacklendiklerini biliyoruz. Bu sefer gizlemeyeceklerini düşünüyoruz" açıklamasını yaptı. Bankadan doyurucu bir açıklama bekleyen 18 milyona yakın müşteri, hesap ve kişisel bilgilerinin hackerler tarafından çalınmış olmasından endişe ediyor. Akbank, daha önce de sistemindeki güvenlik açıkları ve siber saldırılarla gündeme gelmişti. 8 Aralık 2016'da Akbank'ın SWIFT Yurtdışı Para Transfer Sistemleri'ne saldırı düzenleyen hackerler, 4 milyon dolar çalmıştı. Bunu doğrulayan banka "Zararı sigorta şirketi karşılayacak" açıklamasını yapmıştı.
BANKA ŞEFFAF DEĞİL
Siber Güvenlik Araştırmacısı İbrahim Baliç, bankanın açıklamasının yetersiz olduğuna dikkat çekti: "Bu tarz sistemlerde prod ve predrod olarak adlandırılan birbirleri ile aynı 2 ayrı sistem var. Bankalarda yaptığımız sızma testlerini (pentest) bu preprod ortamlarında yaparız. Bir ekleme yapılmak istendiğinde ilk buraya yüklenir ve test edilir. Bilişim ekibinin bunu bu ortamda denemiş olması gerekiyor. Sadece aktif olarak kullanılan (prod) ortamda yükleme yapıldıysa, bunun sorgulanması lazım. Tüm bunların yanısıra Akbank'ın yaptığı açıklamalar son derece yetersiz. Şeffaf olmaması, haklarında birçok spekülatif haberler doğurdu ve bu yüzden de marka açısından zarar gördü."
AĞIR CEZA YİYEBİLİR
Bilişim Hukuku Uzmanı Av. Fehmi Ünsal Özmestik, Akbank'ın ciddi para cezası ile karşı karşıya kalabileceğini söyledi: "Bir siber saldırıya maruz kaldıysa, bankaya çok ciddi idari yaptırımlar gelebilir. Böyle bir siber saldırı varsa, bankanın 72 saat içerisinde durumu Kişisel Verileri Koruma Kurulu'na ve etkilenen ilgili kişilere bildirmesi gerek. Eğer gerçekten bir siber saldırı söz konusuysa, bu kez banka müşterileri, yani ilgili kişiler, maddi ve manevi zararlarının tazminini talep edebilir. Bununla birlikte kişisel verilerin korunması için teknik tedbirlerin alınıp alınmadığı araştırılacaktır. Soruşturma sonrasında, açık varsa Kişisel Verileri Koruma Kurulu tarafından ilgili banka aleyhine ciddi idari para cezası düzenlenmesi mümkün olabilecektir."
TAZMİNAT HAKKI VAR
Özmestik Akbank uygulamaları üzerinden bono, tahvil, hisse senedi gibi yatırım araçlarını satın alan kişilerin Akbank sunucularında yaşanan kesinti sebebiyle tazminat talep etme hakları olabileceğini de kaydetti: "Bu kişiler, sürekli erişilebilir olması sebebiyle bankanın internet araçları üzerinden çoğu zaman anlık yatırımlar yapmakta, alış ve satış emirleri vermekte, vadeli mevduat sahipleri vade sonunda elde ettikleri faiz gelirlerini kullanmakta. Ancak yaşanan neredeyse 2 günlük bu kesinti sebebiyle banka internet araçlarını kullanan müşterilerin zarara uğramadıklarını söylemek pek de kolay olmayacaktır."
KASEYA'DAN 70 MİLYON DOLAR FİDYE İSTEDİLER
Hackerlar geçtiğimiz mart ayında online yemek sipariş platformu Yemeksepeti'ne siber saldırı düzenleyerek 21 milyon kişinin verilerini çalmıştı. Hackerların sisteme sızdığı 7 gün sonra fark edilmişti. 27 Mart'ta açıklama yapan şirket, sisteme 25 Mart'ta sızıldığını iddia etse de durumun daha vahim olduğu ortaya çıktı. Kişisel Verileri Koruma Kurumu, saldırının 18 Mart'ta yapıldığını tespit etti. Dünyanın dört bir yanında yüzlerce şirkete bilgi teknoloji desteği veren ABD merkezli Kaseya şirketi de 2 Temmuz'da tarihin en büyük fidye saldırısıyla gündeme geldi. Rus hacker grubu REvil, Kaseya'nın müşteriyle uzaktan bağlantı kurduğu VSA yazılımı aracılığıyla şirket bilgisayarlarına sızmış, milyonlarca dosyaya şifre koymuştu. REvil, tüm mağdurların kilitlenen dosyalarını açacak bir şifre karşılığında 70 milyon dolar değerinde Bitcoin fidye istemişti.
Burak Doğan
