Siber Güvenlik ve Veri Gizliliği

Entegre Bilgi Teknolojileri Risk Yönetimi yapısı

Uygulanan bilgi güvenliği strateji ve politikaları doğrultusunda entegre bir BT Risk Yönetimi yapısı kurulmuştur.

Ziraat Bankası’nda bilgi güvenliği, organizasyonel yapılanmada İç Sistemler Grup Başkanlığı’na bağlı olup, ilgili Grup Başkanlığı da Yönetim Kurulu’na bağlı olarak faaliyetlerini yürütmektedir. Banka’da bilgi güvenliğinin sağlanmasında nihai sorumluluk Yönetim Kurulu’na aittir.
‍
Bankacılık Kanunu, Esas Sözleşme ve ilgili diğer mevzuat hükümleri ile Yönetim Kurulu tarafından belirlenen politika ve stratejiler çerçevesinde bilgi güvenliğine ilişkin çalışmaları koordine etmek üzere Bilgi Güvenliği Komitesi (BGK) oluşturulmuştur. Komite’nin görev ve yetkileri Yönetim Kurulu tarafından belirlenmektedir. Bilgi güvenliği politikalarının oluşturulması, onaylanması, periyodik olarak güncellenmesi, bilgi güvenliği ile ilgili görev ve sorumlulukların belirlenmesi, Komite’nin sorumluluğunda yer almaktadır. Komite ayrıca, önemli güvenlik vakaları, yeni zafiyetlerin ortaya çıkması ya da kritik altyapı değişiklikleri gibi olağan dışı durumlarda gözden geçirme faaliyetlerini yürütmektedir. Bilgi Güvenliği Komitesi tarafından alınan stratejik kararların uygulanması, görev alanları kapsamında organizasyondaki tüm paydaşlara aittir.
‍
Uygulanan bilgi güvenliği strateji ve politikaları doğrultusunda entegre bir BT Risk Yönetimi yapısı kurulmuştur. BT Riski, Banka’nın kurumsal risk bileşenlerinden biri ve bankacılık operasyonlarının ayrılmaz bir parçası olarak kabul edilmektedir. Banka, iş sürekliliği ve veri bütünlüğünün sağlanabilmesi amacıyla meydana gelebilecek operasyonel riskler ile ilgili çalışmalara özel önem vermekte, bilgi teknolojileri ile ilgili operasyonel riskleri Banka’nın teknoloji firması ile bütünleşik bir yapı içinde yönetmektedir. Banka bilgi varlıklarını güvenlik değerlerine göre sınıflandırmakta, sınıflandırılan varlıkların kritikliğine göre uygun güvenlik kontrolleri belirlemekte, belirlenen güvenlik kontrolleri ile bağlantılı testler uygulamakta, testler sonucu belirlenen risklere sürekli iyileştirici faaliyetler uygulayarak eşik değerin altındaki seviyelere getirmeye çalışmaktadır.
‍
BT Risk Yönetimi kapsamında; Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği Rehberi, Bankacılık Düzenleme ve Denetleme Kurumu Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik ile diğer yasal düzenleme ve iyi uygulamalar dikkate alınarak Bilgi Teknoloji riskleri etkin bir şekilde yönetilmektedir. BT Risk Yönetimi için Banka stratejileri ile uyumlu bir çerçevenin oluşturulmasının sağlanması, strateji ve planlamaların belirlenmesi ve gerçekleştirilen faaliyetlerin düzenli olarak gözden geçirilmesi Bilgi Güvenliği Komitesi yönlendirmeleri ile yapılmaktadır.
‍
Ziraat Finans Grubu bünyesinde tüm yurt dışı iştirak ve şubelerde standart risk kültürünü oluşturmak ve risk yönetim sürecinde uyumluluğu sağlamak için politikalar geliştirilmekte, süreçler tanımlanmakta, entegre risk yönetim altyapı projesi geliştirilmektedir.
Banka bünyesinde uluslararası standartlar dikkate alınarak risk ölçüm parametreleri ve parabol risk göstergeleri oluşturulmuştur. Eşik değer üzerinde yer alan risklere yönelik sürekli takibi mümkün kılacak sistemsel geliştirmeler ve önyüzler tasarlanarak risklerin kök neden analizleri, risklere yönelik uygulanan kontrol faaliyetleri, risklerin takibini mümkün kılacak konsolide raporlar ve alınan aksiyonların izlenmesi mümkün kılınmıştır.

Belirlenen politikalar ve oluşturulan BT Risk Yönetimi çerçevesi kapsamında, çalışanların güvenliği ile ilgili riskler oluşmadan önce belirlenmekte ve hassasiyetle değerlendirilmektedir. Ziraat Finans Grubu bünyesinde yer alan tüm çalışanların işe başlama, işten ayrılma, görev değişikliği durumlarının tamamında tanımlı olan bilgi güvenliği sorumlulukları bulunmaktadır.

Kimlik Yönetimi Uygulaması tarafından otomatize edilen sistemler ile erişim yetkileri belirlenmekte, en az yetki prensibi ve görevler ayrılığı ilkesi dikkate alınarak Kimlik Yönetimi Politikası oluşturulmaktadır.

Bilgi Güvenliği Farkındalık Programı

Banka bünyesinde 25.000 çalışana 45 dakika süreli uzaktan eğitim, 1.273 çalışana ise yüz yüze Bilgi Güvenliği eğitimi verilmiştir.

Ziraat Finans Grubu bünyesinde yer alan tüm çalışanlara yönelik, kapsamlı bir Bilgi Güvenliği Farkındalık Programı yürütülmektedir. Her ay düzenli olarak bültenler hazırlanmakta, periyodik olarak çalışanların bilgi güvenliği risk algısını ölçecek anketler hazırlanmaktadır. Diğer yandan sosyal mühendislik yöntemi kullanılarak yapılan oltalama saldırılarından kaçınma bilincini oluşturmak amacıyla, yıl içinde iç tatbikatlar yapılmaktadır. Tatbikat sonuçları göz önünde bulundurularak gerekli eğitim atamaları ile çalışanların farkındalık düzeyi artırılmaktadır. Çalışanların işe başlama aşamasındaki oryantasyon eğitimlerinde, yüz yüze olacak şekilde sınıf içi bilgi güvenliği eğitimleri düzenlenmekte, bunun yanı sıra yıl içinde tüm çalışanlara güncellenmiş bilgi güvenliği eğitim atamaları yapılmaktadır.
‍
2024 yılında tüm çalışanlara Bilgi Güvenliği e-eğitimi atanmıştır. Banka bünyesinde 25.000 çalışana 45 dakika süreli uzaktan eğitim, 1.273 çalışana ise yüz yüze Bilgi Güvenliği eğitimi verilmiştir.

İş stratejilerini destekleyen sürdürülebilir güvenlik teknolojileri

Ziraat Bankası, kullanıcı davranışlarını öğrenebilen yapay zekâ kullanımı ve makine öğrenimi ile birlikte anomalileri belirleyerek zafiyetlerin tespitine yönelik kabiliyetini geliştirmektedir.

Dijital hizmet kanallarının yaygınlaşması ve teknolojik gelişmelerle birlikte değişen bilgi güvenliği ve veri koruma yöntemlerine ilişkin en güncel uygulamalar ve bilgilendirmeler çalışanlar ile paylaşılmaktadır. Ziraat Bankası çalışanlarına yönelik düzenlenen farkındalık çalışmalarının yanında müşterileri, dış hizmet ve destek hizmeti alınan tedarikçileri, iş ortakları ve 3’üncü taraflar için de insan faktöründen kaynaklanan bilgi risklerini azaltıcı çalışmalar yürütülmektedir. Siber saldırganlar tarafından sıklıkla başvurulan oltalama, kimlik hırsızlığı, kötü amaçlı yazılım, sosyal mühendislik gibi yöntemlere karşı dikkat çekecek bilgilendirmeler ile bu saldırılardan korunma yöntemleri müşteriler ile paylaşılmaktadır.
‍
Üretilen bilginin işlenmesi, saklanması, iletilmesi, korunması, sürekliliğinin sağlanması için kullanılan, Banka için değeri olan tüm varlıklar, bilgi varlıkları olarak nitelendirilmektedir. 2020 yılında yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetler Hakkında Yönetmelik doğrultusunda bilgi varlıklarının tamamı sınıflandırılarak Bilgi Varlığı Envanteri oluşturulmakta; varlığın gizlilik, bütünlük, erişilebilirlik değerleri belirlenmektedir. Her bir bilgi varlığının sahibi, muhafızı, konumu gibi tanımlayıcı nitelikleri kayıt altına alınıp, uygun koruma yöntemleri uygulanmaktadır. Bilgi varlıklarının kullanımına dair kural setleri oluşturulup fiziksel aktarımı ve imhası için prosedürler yürütülmektedir.
‍
Ziraat Finans Grubu bünyesinde haftanın yedi günü ve kesintisiz olarak banka sistemleri ve alarm mekanizmalarını inceleyen açıklık ya da zafiyet taraması yapan ve siber tehditlere karşı istihbarat toplayıp müdahale eden Siber Güvenlik Merkezi yapılanması oluşturulmuştur.
‍
Network ve istemci güvenlik ürün ve cihazları (DDOS, IPS, EDR/EPP sistemleri , NAC ve WAF sistemleri, Firewall, E-posta Güvenlik Ürünleri), veri sızıntılarını engellemeye yönelik DLP sistemleri ve Web/DNS güvenliği sistemleri, tüm güvenlik loglarını izleyip alarm oluşturulabilen SIEM sistemleri, kullanılan uygulamaların güvenliğini sağlamak üzere yazılım kodları inceleme sistemleri, sızma testi sistemleri, zafiyet yönetimi sistemleri hali hazırda devrede olup, aktif olarak kesintisiz bir şekilde çalışmaktadır. Ağ cihazlarının trafik yoğunluğu sürekli izlenmekte, İnternet erişimlerinde proxy kullanılarak kullanıcı profillerine göre erişim kural setleri oluşturulmaktadır. Rol bazlı oluşturulan yetkilendirmeler görevler ayrılığı ilkesi doğrultusunda oluşturulmakta, sistemler üzerinde oluşan log kayıtları ise SIEM sistemine aktarılmaktadır. Önceden belirlenen yetki şemasına aykırı işlemlerde alarmlar oluşmakta ve gelişmiş sistemler marifetiyle hızlı aksiyon alınabilmektedir.

Ziraat Bankası, kullanıcı davranışlarını öğrenebilen yapay zekâ kullanımı ve makine öğrenimi ile birlikte anomalileri belirleyerek zafiyetlerin tespitine yönelik kabiliyetini geliştirmektedir.

Bilgi güvenliği altyapı tesisinde mevzuata uyum

Ziraat Bankası ve tüm iştiraklerinin bilgi güvenliği politikası ve bu politikayı destekleyici nitelikteki yasal dokümanları oluşturulurken düzenleyici ve denetleyici otoriterlerin regülasyonlarına uyum sağlanmaktadır.

Bilgi güvenliğini etkileyen ulusal/uluslararası kanun, mevzuat, düzenleyici kurul kararları ve talimatlarına uyum kapsamında; bilgi varlıkları üzerine tanımlama yapılan her bir risk için uluslararası standartlara uygun dayanak bir yasal altyapı gereksinimi yapısı kurulmuştur. Fikri mülkiyet haklarına yönelik prosedür oluşturulmaktadır. Banka’nın mevzuat uyum kütüphanesi oluşturulurken yararlanılan, ulusal ve küresel çapta kabul görmüş standartlar ve modellerin bir kısımı aşağıda yer almaktadır.

5411 Sayılı Bankacılık Kanunu,
Bankacılık Düzenleme ve Denetleme Kurumu tarafından yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği ve muhtelif düzenlemeleri,
ISO 27001 Bilgi Güvenliği Yönetim Sistemleri-Gereksinimler Standardı,
ISO 27005 Bilgi Güvenliği Risk Yönetim Standardı
T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği Rehberi
KVKK (Kişisel Verileri Koruma Kanunu)
NIST(ABD Ulusal Standartlar ve Teknoloji Enstitüsü) Standartları

Banka ve tüm iştiraklerinin bilgi güvenliği politikası ve bu politikayı destekleyici nitelikteki yasal dokümanları oluşturulurken düzenleyici ve denetleyici otoriterlerin regülasyonlarına uyum sağlanmaktadır. Ayrıca, dijital dönüşüm, teknolojik ilerleme ve iş yapış süreçlerindeki gelişmelerle paralel olarak mezkûr düzenlemeler gözden geçirilmektedir.
‍
Banka’da kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesinin önlenmesi ve hukuka uygun olarak imha edilmesi için gereken tüm teknik ve idari tedbirler alınmaktadır. Kişisel Verilerin Korunması Uygulama Esas ve Usulleri mevzuatında amir hüküm olarak yer alan aydınlatma yükümlülüğü doğrultusunda, gerekli bilgilendirmeler Banka’nın tüm kanallarından yerine getirilirken, gerekli açık rızaların alınmasına hassasiyet gösterilmektedir. Diğer yandan kişisel verilerin korunması kapsamında farkındalık oluşturmak için gerek sınıf içi gerek uzaktan eğitim yapılmakta ve tüm çalışanların eğitimi tamamlaması zorunlu tutulmaktadır.
‍
BDDK’nın Bilgi Sistemlerine İlişkin Sızma Testleri Genelgesi kapsamında, icrai görevi bulunmayan bağımsız firmalara Ziraat Finans Grubu bünyesinde yılda en az bir defa sızma testi yaptırılmaktadır. Söz konusu testler çerçevesinde, Banka bilgi sistemlerinde yetkisiz erişim elde edilmesine veya hassas bilgilere ulaşılmasına neden olabilecek güvenlik açıklarının istismar edilmeden önce tespit edilmesi ve düzeltilmesi amaçlanmaktadır. Sızma testi sonucunda tespit edilen bulgular Yönetim Kurulu’na sunulmakta ve gerekli aksiyon planları oluşturulmaktadır.
‍
Ziraat Finans Grubu bünyesinde gerek kendi kurumsal ağından gerek dış ağlardan gelebilecek tehditler için Ağ Güvenlik Kontrol Sistemleri tesis edilmektedir. Ağ kaynakları kullanımına ilişkin Banka politikaları çerçevesinde; USB kullanımına ilişkin kurallar, Banka dışı dosya paylaşımı kuralları ile veri tabanı ve uygulama erişimleri, standart dışı uygulama yükleme işlemlerine yönelik kuralların tespit edilmesi, Banka lokasyonunda çalışma gerçekleştirecek 3’üncü taraf firma çalışanları, danışmanlar, bağımsız denetim firması çalışanları ile dış denetçiler gibi Banka personeli dışındaki kişilere sağlanacak bilgisayarlar ve erişimleri ile ilgili standartlar belirlenmektedir. Ağ kaynakları kullanımı, Veri Sızıntısı Engelleme (DLP) Sistemleri ile izlenerek, oluşturulan kural ve politikalar doğrultusunda veri sızıntılarının önüne geçilmekte, işlemlerin iz kayıtları oluşturulmaktadır.

Uluslararası standartlara uygun güvenlik politikaları

Ziraat Bankası bilgi güvenliği, erişimlere yönelik uluslararası standartlarda politikalar çerçevesinde yürütülmektedir.

Ziraat Bankası bilgi güvenliği, erişimlere yönelik uluslararası standartlarda politikalar çerçevesinde yürütülmektedir. Kullanıcılara sadece yetkilendirildikleri ağ ve ağ hizmetlerine erişim yetkisi verilmekte ve iş ihtiyacı sona erdiğinde kaldırılmaktadır. Erişim yetkileri düzenli olarak kontrol edilmektedir. Parola politikası oluşturularak gizli/hassas bilgilerin paylaşımında özel kanallar kullanılmaktadır. Veri işlemede maskeleme, engelleme, izleme, şifreleme gibi teknikler kullanılarak ek kısıtlamalar uygulanmaktadır.
‍
Bankaların bilgi sistemlerine ilişkin dışarıdan temin ettikleri, bankacılık verilerinin gizliliği, bütünlüğü ve erişilebilirliği ile bankacılık hizmetlerinin sürekliliğini etkileme potansiyeli olan, bankacılık verilerine erişimi bulunan ya da bu verilerin paylaşıldığı hizmet alımları, dış hizmet olarak tanımlanmaktadır. Ziraat Bankası, tedarikçi risklerini minimize etmek amacıyla hizmet alımına yönelik şartname/sözleşmelerde bilgi güvenliği gereksinimlerine yer vermektedir. Tedarikçi firmalar değerlendirilmekte, firmalar ile gizlilik sözleşmesi imzalanmakta ve sözleşme şartlarında yer alan yükümlülükler periyodik olarak kontrol edilmektedir.

Güçlü siber güvenlik yapılanması

Ziraat Bankası'nda veri ihlal olayı ve yönetimi kapsamında siber olaylara hızlı, etkili ve düzenli bir şekilde karşılık verebilmek için yerel mevzuata ve uluslararası standartlara uyumlu olarak çalışan güçlü bir siber güvenlik yapılanması kurulmuştur.

Bilgi güvenliği ihlal olayı ve yönetimi kapsamında siber olaylara hızlı, etkili ve düzenli bir şekilde karşılık verebilmek için Siber Olaylara Müdahale Ekibi (SOME) bulunmaktadır. Banka’da bilgi sistemleri ile ilişkili bilgi güvenliği olayları ve zayıflıkları merkezi izleme mekanizmaları aracılığı ile izlenerek kayıt altına alınmaktadır. Bilgi güvenliği olayları aksiyon planlaması; olay kritiklik seviyelerine ve vaka türlerine göre belirlenerek, güvenlik risklerinin azaltılması, güvenlik olaylarına yönelik sorumlulukların tayin edilmesi, en hızlı şekilde önlem alınması ve olayla ilgili birimlerin bilgilendirilmesi sürecinde Bilgi Güvenliği Olay Yönetim Planı çerçevesinde belirlenen kurallar ile yönetilmektedir.
‍
Banka’da bilgi güvenliği kontrolleri ve uygulamalarının periyodik olarak gözden geçirilmesi, yasal mevzuatlar ile belirlenmiş olan dış denetim faaliyetlerinin yanı sıra Yönetim Kurulu’na bağlı olarak faaliyetlerini sürdüren İç Sistemler Grup Başkanlığı’nda bilgi sistemlerine yönelik iç kontrol ve teftiş faaliyetleri çerçevesinde ayrı yöneticilikler ile yürütülmektedir. Bu kapsamda bilgi güvenliği kontrolleri düzenli olarak yapılmakta, raporlanan bulgular iş birimleri ile paylaşılarak aksiyonlar alınmakta ve kapanana kadar takip edilmektedir.
‍
2024 yılında Banka sistemlerine aylık ortalama 460.000 spam/zararlı e-posta ve 256.000 IPS atağı, birçok Servis Dışı Bırakma (DDOS) atağı veya sistemlere yetkisiz erişim gibi saldırılar geldiği tespit edilmiştir. Söz konusu atakların tamamı 7/24 çalışan saldırı/atak engelleme sistemleri tarafından başarıyla engellenmiştir. Bu sayede 2024 yılında Banka’da herhangi bir veri sızıntısı olayı olmamıştır.
‍
Banka’da veri ihlal olayı ve yönetimi kapsamında siber olaylara hızlı, etkili ve düzenli bir şekilde karşılık verebilmek için yerel mevzuata ve uluslararası standartlara uyumlu olarak çalışan güçlü bir siber güvenlik yapılanması kurulmuştur. Bu yapılanma BDDK Bankaların Bilgi Sistemleri Ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği kapsamında her yıl düzenli olarak denetlenmektedir.
‍
Banka müşterilerinin verileri KVKK ve diğer yasal mevzuatlara uyumlu olarak işlenmekte ve kaydedilmektedir. Banka Veri Sorumluları Sicili Hakkında Yönetmelik kapsamında veri sorumlusu olarak işlemiş olduğu verileri VERBİS’e kaydetmekte ve yayımlamaktadır. Banka Veri İşleme Politikası’na ait detay açıklama ve aydınlatma metnine kurumsal web sitesinden ulaşılabilir.