Bankalar vatandaşa nasıl kefil oluyor
İdeolojik olarak evimizin iki düşman kampa ayrıldığı yıllardı. Allah'tan silahlı kuvvetler 'anarşiyi' sonlandırmak için o zaman çok popüler olan içhizmetler yasasının kendilerine verdiği yetkiye dayanarak evimize müdahale etmedi. Zamanla aynı evin sakini ve baba oğul olmak doğal bir 'karıştır-barıştır' politikasına dönüşüp aramızdaki buzları eritti.
Hiç unutmam, babam bir gün okuduğum kitapları karıştırmış, o esnada okuduğum kitaplardan biri olan Düzene Uygun Kafalar Nasıl Üretilir kitabından bir cümle cımbızlamıştı.
"Senin okuduğun kitaplar banka soymak, banka sahibi olmaktan daha iyidir, diyor."
Şaşırmıştım, sonradan kitabı bitirdiğimde anladım ki babam benden hızlı giderek o esnada daha ileriki sayfalarda olan bir cümleyi almış, çalışmadığım yerden sormuştu.
Tepkim şaşırmak oldu. Henüz proleteryanın yüce ideolojisi bende zihinsel bir refleks haline gelmemiş olduğundan cevap verememiştim.
Geçen gün bir abonelik feshi için e-devlet'e giriş yapmak istediğimde, e-devlet sisteminin bankalara tanıdığı büyük güven kredisi ve bankaların adeta vatandaş ile kendi arasında sözüne itibar edilen bir kefil olarak görülmesi nedeniyle şaşırmıştım. Devletin e-devlet sistemine erişimde bankalara yüce bir güven atfedip, vatandaş ile arasında bir kefil olarak görmesi bana bu anımı hatırlatmıştı...
e-Devlet sistemi sadece Türkiye'de yaşayan vatandaşların değil biz yurtdışında yaşayan Türkiye Cumhuriyeti vatandaşlarının eli ayağı. Bu sisteme erişmek için gerekli olan parola konsolosluk hizmetleri kapsamında elçilik binalarından alınabiliyor. Bir ihtimal daha var, o da bankalar. Yani müşterisi olduğunuz bankanın elektronik bankacılık hizmetlerinden yararlanıyorsanız internet bankacılığı menüsünden tek tıkla, parolaya gerek olmaksızın e-devlet hizmetlerine erişebiliyorsunuz. Elbette ki anlaşmalı bankaların internet bankacılığı hizmetleri üzerinden.
Bu seçenek otomatik olarak aktif halde geliyor, yani elektronik bankacılık hesabınıza erişen biri e-devlet hizmetlerinize de erişebilir. Böyle bir güven ilişkisi nasıl tesis edildi anlamak güç. Hem de içlerinde HSBC, ING Bank gibi yabancı sermayeli bankaların da olduğu 21 bankayla birden.
Bu hususu çok uzun zamandır düşünüyordum. Belki yukarıdaki imkân daha fazla vatandaşın e-devlet hizmetlerine daha hızlı ve kolay erişebilmesi için tasarlandı. Fakat yine de riskli buluyorum ve bazı soru işaretlerim var.
e-devlet'in hizmet yelpazesine katılan GSM operatörleri abonelik sözleşmesi feshi hizmetinden yararlanmak istediğimde bir hususu daha fark ettim.
GSM operatörlerinde mevcut bulunan abonelik sözleşmesi iptalini yapmak için sadece e-devlet sistemine TC kimlik numaranız ve parolanız ile giriş yapmanız yeterli olmuyor. Mobil imza, e-imza ya da sıkı durun internet bankacılığı ile giriş yaparak "kimliğinizi doğrulamanız" da gerekiyor!
e-imza ve mobil imza anlaşılabilir gereklilikler, çünkü çift aşamalı doğrulama işlemlerinde bu bir standart. Bu standarda göre çift aşamalı doğrulamayı uygulayan sistemler sizin bildiğiniz bir bilgi örneğin parolanıza ek olarak bir de sahip olduğunuz bir cihaz ya da kimlikle ikinci aşamadaki doğrulamayı yapmanızı istiyor. Bu da sahip olduğunuz bir cihaz mesela mobil telefon ya da e-imza aparatı ile olabilir. Peki internet bankacılığı bunun neresinde? Neden internet bankacılığından yapılan giriş bu denli güvenli kabul ediliyor? Muhtemelen sistem dizayn edilirken internet bankacılığında defacto bir gereklilik olarak kullanılan SMS doğrulama adımı nedeniyle bu varsayımda bulunulmuş olabilir.
Oysa bankaların bu işleme müdahil olmasına gerek kalmaksızın bu tarz kritik işlemler için e-devlet sisteminin hali hazırda desteklediği SMS doğrulama özelliğinin aktif edilmesi şartı getirilebilirdi. Yani falanca kritik işlemi yapmak istiyorsanız, örneğin abonelik iptali, bu işlem için çift aşamalı doğrulamayı etkinleştirmeniz gerekiyor gibi bir uyarı ile sistem kullanıcıları bu özellikleri etkinleştirmek için ikna edilebilirdi. Böylece internet bankacılığının sisteme dahil olmasındaki avantaj kademe kademe e-devlet kullanıcılarına üstelik sistemin kendisi üzerinde de verilebilirdi. Burada bir parantez açmalıyım. Abonelik iptalini mesela öğrenim belgesi almaktan, adli sicil kaydı ya da sigorta dökümünü görüntülemekten ayıran tam olarak nasıl bir kritiklik algısı olabilir ki böyle bir ekstra "güvenlik" mekanizması konulmuş olsun?
Ayrıca bankalar ve e-devlet'in parola gereklilikleri neredeyse aynı, hatta kimi bankaların parola gereklilikleri e-devlet'inki kadar kapsamlı dahi değil. Yani SMS ile doğrulama etkinleştirildiği takdirde e-devlet sistemi ile bankaların bu sistemde yer alması için varsayılan (benimki de varsayım tabii) tüm üstünlükler eşitlenmiş olacak.
Sistemi tasarlayan mühendislerin bu yetkilendirme entegrasyonunda nasıl bir tehdit modellemesi yaptıklarını ve hangi senaryoları hesaba kattıklarını kendilerine sormak isterdim.
Güvendikleri bir arama motorundan mesela Google "banka çalışanı bilgi sızdırdı" şeklinde bir arama yapıp, devletin kendi kurumu olan Kişisel Verileri Koruma Kurumu'nun yaptığı duyurulara göz atabilirler.
Başlıktaki soruyu tekrar sormama izin verin: Bankalar vatandaşa nasıl kefil oluyor?
Belki de soruyu tersinden sormak lazım, devlet bankalara bu derece nasıl kefil oluyor?
Kızmayın, ben sadece soru soruyorum.