E-Ticaret’in Büyük Güvenlik Sınavı

9 Aralık’ta siber dünya oldu olabilecek belki en büyük zafiyetlerden birini popüler Java yazılım dilinde sıklıkla kullanılan ana kütüphane fonksiyonlarından biri olan Log4j’de keşfetti. Zafiyet sayesinde sunucularda uzaktan komut çalıştırmak, başka bir deyişle sadece yetkili kullanıcıların yapabileceği işlemleri ek bir yetki olmadan hackerlara yapma imkânı sağladı. Bu sebepten saldırının adı Log4jShell olarak adlandırıldı. Shell kelimesi sistem yöneticilerinin komut çalıştırma için açtığı komut pencerelerini temsil ettiği aktarıldı.

Mazars Denge Danışmanlık Hizmetleri Ortağı Ateş Sünbül, bu problemi e-ticaret sektörü için büyük bir güvenlik sınavı olduğunu ve şirketler zafiyetlerini kapatmaya çalışırken çoktan müşteri bilgilerini çaldırmış olabileceğini belirtti. Açığı hızlıca kapatamayan e-ticaret sitelerinin KVKK yaptırımlarıyla karşı karşıya kalabileceğini aktarıldı. Sünbül, PCI DSS standardının bu tip durumlarla mücadeledeki önemine vurgu yaptı.

Problem çok derin ve kapatması zor

Mazars Denge Danışmanlık Hizmetleri Ortağı Ateş Sünbül, problemin büyük bir problem olduğunu vurguladı. Sünbül, fonksiyonun sıklıkla kullanılan bir fonksiyon olduğunu belirterek özellikle e-ticaret gibi karmaşık yapılara sahip sitelerde zafiyetin etkisini arttırdığını aktardı. Şirketlerin bu açığı kapatmak için çalıştığını ancak zafiyeti fark etmeden çoktan ele geçirilmiş veya müşteri bilgilerinin çalınmış olabileceğini aktardı.

Neden e-ticaret’in büyük güvenlik sınavı?

Mazars Denge Danışmanlık Hizmetleri Ortağı Ateş Sünbül, bu problemi e-ticaret sektörü için büyük bir güvenlik sınavı olduğunu ve bunun iki ana unsuru olduğunu aktardı.

E-ticaret siteleri salgın nedeniyle son iki yıldır en yoğun şekilde kullanılan yapılar arasında yer alıyor. Sıklıkla kullanılmaları çok kullanıcıyı ortak bir noktada buluşturmaları ve çok göz önünde olmalarına sebep oluyor. Sünbül, bu durumun e-ticaret sitelerinin hackerlar için bir hedef haline getirdiğini belirtti.

İki unsura dikkat çeken Sünbül, e-ticaret site geliştiricilerinin çok süratli bir şekilde açıklığı kapatması için bir yarışa girdiklerini belirtti.

KVKK problemleri ve sızmalar gelebilir

Kişisel verileri koruma kanunu ile verilerimizin güvenliği için bir çerçeve çizilmişti. Bu çizilen çerçevenin bir parçası olan siber güvenlik için bu açıklık ciddi bir gedik noktasıdır. Sünbül, gedik noktasından Kişisel Verilerin sızmasının mümkün olabileceğini aktarırken açıklığı hızlıca kapatamayan sitelerin riske duruma düştüğünü ve gelecekte KVKK yaptırımlarıyla karşı karşıya kalabileceklerini belirtti.

Kredi kartı bilgileri de sızabilir

Danışmanlık Hizmetleri Ortağı Ateş Sünbül, e-ticarette sıklıkla kullanılan ve ödeme aracı olan kredi kartı PCI DSS ve benzeri standartlar sayesinde güvence altına alınabileceğini aktardı. Buna karşın Log4j bu bilgilerin sıklıkla hızlı alışveriş için saklandığı e-ticaret sitelerinde artık bir risk haline geldiğini belirtti. Sünbül, hackerların ana amacının finansal getiri olduğunu belirtti ve PCI DSS standardının bu tip durumlarla mücadele edilmesi için yol ve usülleri içerdiğini ancak bu araçların çok süratli şekilde işletilmesi gerektiğini vurguladı.

Ateş Sünbül Hakkında

Işık Üniversitesi Elektronik Mühendisliği Bölümü mezunu olan Ateş Sünbül, kariyerine 2004-2005 yılları arasında Havelsan’da Yazılım Eğitmeni ve Saha Uzmanı olarak başlamıştır. 2006 – 2008 yılları arasında Beymen Mağazacılık A.Ş.’nde BT Operasyon ve Projeler Sorumlusu, 2008 – 2012 yılları arasında Finansbank A.Ş.’nde Kıdemli BT Müfettişi, 2012 – 2013 yılları arasında Ernst & Young’da Müdür, 2013 – 2015 yılları arasında AvivaSA’da Bilgi Güvenliği Bölüm Yöneticisi, 2015 – 2017 Biznet Bilişim A.Ş.’de PCI DSS ve BT Danışmanlık Yöneticisi olarak görev almıştır. 2017-2019 yılları arasında Mazars Denge’de BT Denetim, Güvenlik ve Danışmanlık Hizmetleri Bölüm Lideri görevini üstlenen Ateş Sünbül 2019 yılı itibarıyla BT Denetim, Güvenlik ve Danışmanlık Hizmetleri ortağı olarak atanmıştır. Temel bankacılık, Kredi Kartları, İnternet Bankacılığı, Veri yönetimi konularında kapsamlı bilgi ve denetim konularında geniş tecrübeye sahiptir. İş Sürekliliği Yönetimi süreç tasarım ve uygulama projesi ve Tebliğ kapsamında Bilgi Sistemleri Denetimi projeleri, SAP uygulama projesi gibi birçok proje yönetimi deneyimine sahiptir.

Mazars Denge Hakkında

1977’de 2 kişilik bir ortaklıkla kurulan Denge, 1999 yılında Mazars ile entegre olmuştur. Mazars Denge, Türkiye’nin 6 ilinde 350’den fazla profesyonelle 1.500’e yakın müşterisine İstanbul, Ankara, Bursa, İzmir, Denizli ve Gaziantep ofislerinde hizmet vermektedir.