Sızma Testi Genelgesi
Sızma testi genelgesi Bankacılık Düzenleme ve Denetleme Kurumunca hazırlanmıştır. Genel olarak bankacılık işlemlerinde kullanılan dijital sistemlerin siber güvenlik açısından yapılan sızma testlerinde uygulanması gerekli sızma testi kuralları ve sızma testi aşamaları düzenlenmiştir. Bankacılık Denetleme ve Düzenleme Kurumu (BDDK) tarafından hazırlanmış sızma testi genelgesine ve sızma testi yönetmeliğine uygun bir şekilde yapılmayan penetrasyon testleri nedeniyle meydana gelebilecek güvenlik açıklarında bankalar veya diğer finans kuruluşları sorumlu tutulabilmektedir. Bu nedenle sızma testlerinin bu genelgeye ve yönetmeliklere uygun bir şekilde yapılması gerekmektedir.
Sızma Testi Genelgesi Kapsamı
Penetrasyon testleri veya sızma testleri siber güvenlik için zorunluluk hale gelmiş uygulamalardır. Genel olarak kullanılan sistemde siber risk unsuru taşıyan güvenlik açıklıklarının herhangi bir kötü niyetli kişilerce istismar edilmeden tespit edilip gerekli önlemleri alınması amacı ile yapılmaktadır. Elbette ki kurumlar için önem arz eden bu uygulamalar belirli bir sistem ve kurallar dahilinde yapılması gerekmektedir. Bu anlamda sızma testi genelesi aşağıda belirtmiş olduğumuz testleri kapsamaktadır.
- DNS Testleri
- Veri Tabanı Testleri
- ATM Sistemleri Testi
- Web Uygulamaları Testi
- Aktif Cihaz Testi
- Alt Yapı Testleri
- Kablosuz Ağ Testleri
- Etki Alanı Testleri
- Mobil Uygulama Testleri
BDDK Sızma Testi Aşamaları
Gerek dijital sistemlerde gerekse bankacılık sistemlerinde kullanılan sızma testi aşamaları aynı amacı hizmet etmektedir. Ancak siber güvenliğin ön planda olduğu bankacılık sektöründe yapılan penetrasyon testlerinde BDDK tarafından hazırlanmış sızma testi genelgesine uyulması zorunludur. Buna göre BDDK sızma testi genelgesine göre uyulması gereken sızma testi aşamaları özetle aşağıdaki gibidir.
Açıklık Taraması ve Sistem Tespiti
Sızma testi genelgesinde genel olarak sızma testi aşamaları sistem analizi olarak başlamaktadır. İlk olarak sistemde bulunan aktif veya pasif cihazların bilgileri test edilmektedir. Daha sonra ise veri akışının sağlandığı ağlar üzerinde gerekli incelemeler yapılmaktadır. Özellikle bu aşamada port taraması yapılarak açık bulunan portların sistem için siber risk oluşturup oluşturmadığı araştırılmaktadır.
Erişim Noktalarına Yönelik Sızma Testleri
BDDK sızma testi genelgesinde önemle üzerinde durulan konu erişim noktalarına yönelik sızma testleridir. Bunlar başlıca internet ağları, banka iç ağları ve şube ağlarına yönelik yapılan sızma testlerinden oluşmaktadır.
İnternet Ağı Sızma Testi
İnternet bankacılığı veya mobil bankacılık işlemlerinde kullanılan sunuculara veya diğer servislere yönelik gerçekleşebilecek siber saldırının test edildiği sızma testi aşamasıdır.
Banka İç Ağ Sızma Testi
BDDK sızma testi genelgesine göre zorunlu olarak yapılmaktadır. Bankaların iç ağlarında kullanmış oldukları sunuculara iç ağ üzerinden herhangi bir sızma gerçekleşip gerçekleşmediği test edilmektedir.
Şube Ağı Sızma Testi
Banka şubelerinde kullanılan ağ bağlantılarına sızma yöntemi ile erişim sağlanıp sağlanamadığı hususlarında siber güvenlik uzmanlarınca yapılan sızma testi aşamasıdır.
Kullanıcı Profillerine Yönelik Sızma Testleri
Banka ve finans sektörlerine gerçekleşen siber saldırılar sıklıkla kullanıcı profillerine yönelik gerçekleşmektedir. Buna bağlı olarak BDDK sızma testi genelgesinde kullanıcı profillerine yönelik sızma testleri de yer almaktadır.
Banka Müşterisi Kullanıcı Profili Sızma Testi
İnternet uygulamaları veya mobil uygulamalar kullanılarak sisteme giriş yetkileri olan kullanıcılara yönelik bir sızma testidir. Bu tür kullanıcı profillerine yönelik siber saldırıların siber risk oluşturmadan yok edilmesi amacıyla yapılmaktadır.
Anonim Kullanıcı Profili Sızma Testi
Mobil uygulamalar başta olmak üzere bankacılık işlemlerinde anonim kullanıcı olarak gerçekleştirilebilecek bir siber saldırının simülasyonudur. Sisteme giriş yetkisi bulunmayan tüm kullanıcılar bu kategoride yer almaktadır.
Banka Çalışanı Profili Sızma Testi
Bu sızma testi aşamasında isminden de anlaşılacağı üzere banka çalışanlarının profillerinin taklit edilmesinin önlenmesi için yapılmaktadır. Ayrıca BDDK sızma testi genelgesinde bu tür sızma testlerinde yetkilendirme konusunda da gerekli testlerin yapılması zorunlu tutulmuştur.
Sızma Testi Raporu Nedir?
Bankacılık Düzenleme ve Denetleme Kurulu tarafından yayımlanmış olan sızma testi genelgesine uygun olarak yapılan bir penetrasyon testi sonrasında ilgili kuruma sızma testi raporunun detaylıca sunulması gerekmektedir. Bu raporlarda genel olarak sistemin işleyişi ve yapılan sızma testleri detaylıca belirtilmektedir. Ayrıca yapılan bu testler sırasında tespit edilen zafiyetler rapor halinde kurum yetkilisine sunulmaktadır.
Sızma Testi Zorunlu Mu?
Sızma testi ve penetrasyon testleri öncesinde ve sonrasında genellikle sızma testi zorunlu mu? Soruları ile karşılaşmaktayız. Yukarıda ve diğer yazılarımızda da detaylandırdığımız üzere sızma testleri siber güvenlik için oldukça önemlidir. Özellikle finans sektöründe bu testler sayesinde bir çok siber risk bertaraf edilmektedir. BDDK sızma testi genelgesinde de belirtildiği üzere; BDKK’ya bağlı olarak faaliyet gösteren kurum ve kuruluşlarda sızma testi yapılması bir zorunluluktur. Bankacılık Düzenleme ve Denetleme Kurumu sızma testi genelgesinde belirtilen bu zorunluluğun kaynağını 14.09.2007 tarihli resmi gazetede yayımlanarak yürürlüğe giren; “Bankalarda Bilgi Sistemlerinin Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ”den almaktadır. Buna göre;
“Bilgi sistemlerinin güvenliği ile birlikte tutarlığının sistematik olarak incelenmesini sağlamak amacıyla gerekli süreçler tesis edilir. Siber güvenlik ile ilgili hükümlerin yerine getirilmesi konusunda gerekli sızma testleri yapılır. Bu alanda gerekli güncellemeler ve yamalar uygulanır.”
Görüldüğü üzere gerek BDDK sızma testi genelgesi gerekse bu konuda hazırlanmış tebliğe göre sızma testi zorunluluğu bulunmaktadır.
BDDK Genelgesine Göre Sızma Testi Yapan Firmalar
Siber güvenlik konusunda her geçen gün gelişmeler yaşanmaktadır. Dolayısıyla bu alanda da güvenlik açıklıkları kendisini gösterir. Bu nedenle bir çok işletme ve kuruluş sızma testi yaptırmaktadır. Yukarıda da belirtildiği gibi Bankacılık Denetleme ve Düzenleme Kurumuna tabi olarak faaliyet gösteren işletmelerde sızma testi bir zorunluluktur. Bu testlerin sızma testi genelgesi doğrultusunda yapılması ve buradaki hükümlere uyulması da ayrıca bir zorunluluk haline gelmiştir. Bu nedenle penetrasyon testlerinde yetkili kurumların tercih edilmesi gerekmektedir. Sızma testi yapan firmalar belirli aralıklarda Türk Standartları Enstitüsünün web sitesinde yayınlanmaktadır. Genellikle bu alanda hizmet veren şirketler pentest firmaları olarak da bilinmektedir.
Author Profile
Latest entries
- Genel9 Eylül 2024Siber Güvenlik Alanında Kariyer Önerileri
- Genel2 Eylül 2024Trojan Virüsü Nasıl Temizlenir
- Güvenli İnternet26 Ağustos 2024Bilgi Güvenliği Uzmanı Nedir, Ne İş Yapar?
- Siber Güvenlik19 Ağustos 2024Siber Güvenlik Uzmanı Nedir?