Güvenlik Tehditlerine Karşı Alınacak Önlemler
İşletmeler, e-ticaret sistemini siber tehditlere karşı korumak için gereken güvenlik tedbirlerini mutlaka almalıdır. Bunun için ilk adım, kapsamlı ve etkin bir güvenlik planı oluşturmaktır. Ne tür önlemlere ihtiyaç olduğu, hangi yazılımların kullanılacağı ve nasıl yönetileceği konusunda kesinlikle siber güvenlik konusunda uzman kişi ya da kuruluşlardan hizmet alınmalıdır. Elektronik ticaret sırasında alıcı ve satıcının birbirini görmeden ve tanımadan iş yaptığı unutulmaması gereken en önemli unsurdur. Dolayısıyla karşılıklı güven, normal ticarete göre daha fazla ön plana çıkar. Bu nedenle geçerliliğini kanıtlamış, güvenilir ve uzmanlar tarafından kabul görmüş birtakım önlemlerin alınması gerekir.
E-ticaret sistemlerinde bulunması gereken bu önlemlerden bazıları şunlardır:
HTTPS ve SSL: Açılımı Secure Hypertext Transfer Protocol (Sekur Haypırtekst Tıransfer Protokol) olan HTTPS terimi, Türkçeye “Güvenli Hipermetin Transfer Protokolü” olarak çevrilebilir. Sunucu ile iletişim esnasında kullanılan bütün bilgilerin şifreli olarak gönderilip alınmasını sağlayan bir güvenlik önlemi ekler. Bilgilerin şifreli bir şekilde iletilmesini ise SSL [Secure Socket Layer (Sekur Soket Leyır)] yani “Güvenli Soket Katmanı” sağlar.
Günümüzde internet sitelerinin sahteleri çok kolay bir şekilde yapılabilmekte ve kullanıcılar bu sahte bağlantılara yönlendirilebilmektedir. Daha sonra da kişilere ait gizli bilgiler, şifreler ya da kredi kartı bilgileri kolay bir şekilde ele geçirilebilmektedir. Dolayısıyla kullanıcılar alışveriş yapacakları sitenin gerçek olduğundan emin olmalıdır. Sanal ortamda büyük bir sorun olan gerçek kimlik kavramı, sayısal sertifika sayesinde ortadan kalkmıştır. Kuruluşların veya kişilerin gerçek kimlikleri bu sayede tespit edilebilir
E-ticaret sitelerinde önemli boyutta bir veri akışı gerçekleşir. Bu verilerin bir kısmı, önemli ve gizli olması gereken bilgilerden oluşur. SSL sayesinde şifrelenen bu veriler, istemci ile sunucu arasında güvenli bir şekilde aktarılır. Aktarılan bu bilgiler yalnızca doğru adreslerde çözülebilir. Bu sayede bilgilerin istenmeyen kişilerin eline geçmesi önlenir. Bu şifreleme, müşteri ve e-ticaret sitesi arasındaki iletişimin ya da ödeme sırasında bankayla olan veri alışverişinin tamamen güvenli bir şekilde gerçekleşmesini sağlar.
SSL sertifikasına sahip web siteleri, kullanıcıların veri güvenliğini korumayı garanti eder. Kullanıcı bir web sayfasının sertifika durumunu web sitelerinin başında bulunan ifadeyi kontrol ederek anlayabilir. Bağlantı eğer “https://” ile başlıyorsa ve kilit sembolü varsa web sitesi SSL sertifikasına sahiptir. Bu sertifika, bilgilerin aktarılımı sırasında doğru ve güvenli bir ortam sunulduğunu gösterir.
Örneğin bir işletmeci internet mağazasında kullanmak için bankalara sanal pos başvurusu yaptığında ilk istenen özellik sitenin SSL sertifikasına sahip olup olmadığıdır. E-ticaret sitesinde SSL yoksa banka tarafından sanal pos hizmeti verilmez.
SET [Secure Electronic Transactions (Güvenli Elektronik İşlemler)]: Dünyanın önde gelen teknoloji, ödeme sistemi ve güvenlik şirketlerinin birlikte geliştirdiği SSL gibi bir şifreleme protokolüdür. SSL bütün şifreleme işlemlerinde genel amaçlı olarak kullanılırken SET sadece alıcı ile satıcı arasında gerçekleşen kredi ve “debit” (para) kartları işlemlerini güvenli hâle getirmek için kullanılır. Çevrimiçi işlemler sırasında kart
SET protokolünün sağladığı ana hizmetler şunlardır:
• Kredi kartı işlemlerinde alıcı, satıcı, alıcının kredi kartı sahibi olduğu banka ve satıcının hesabının bulunduğu banka dâhil bütün tarafların “kimlik tanılaması” dijital imzalar ile gerçekleştirilir
• Şifreleme sayesinde işlemler “gizlice” dinlenemez.
• İşlem sırasında “mesaj bütünlüğü” kontrol edildiği için üçüncü kişiler tarafından hesap numarası veya tutar değiştirilemez.
• “Linkleme” denilen yöntemle bir tarafa gönderilen eki, sadece o tarafın okuması sağlanır.
Güvenlik Duvarları (Firewall):
Sisteme gelebilecek saldırıları engellemek için gereken önemli unsurlardan biridir. Günümüzde donanım ve yazılım tabanlı olarak kullanılan sunucu bazlı bir güvenlik önlemidir. Temel amacı sisteme zarar verebilecek olan tehditleri daha başlamadan engellemektir. Böylece internet ile yerel ağ arasındaki iletişimin güvenilirliğini sağlar.Güvenlik duvarları, ağa gelen paket trafiğini belirlenen kurallara göre kontrol eder. Kuralları belirlerken sahip olduğu filtreleme özelliği sayesinde sisteme gelen-giden trafik sürekli kontrol altında tutulur. Şüpheli paket ve dosyaların aktarılması engellenerek bu tarz dosyaların sunucuya bulaşması ve web sitesine zarar vermesi önlenmiş olur.
En sık filtreleme yöntemleri IP, Port, Web ve İçerik filtrelemesidir. Örneğin e-ticaret sitesinin bulunduğu sunucuya verilen hizmetleri yavaşlatmak ya da durdurmak amacıyla bir DDoS [Distributed Denial of Service (Dağıtık Hizmet Engelleme)] saldırısı geldiğinde saldırı türü filtrelemeler içinde yer alıyorsa bu eylem güvenlik duvarına takılır. Böylece sistem hiçbir zarar görmeden sorunsuz bir şekilde çalışmaya devam eder.
RAID5:
RAID [Redundant Array of Independent Disks (Bağımsız Disklerin Artıklıklı Dizisi)], birden fazla disk arasında veri kopyalama ve paylaşımı yapmak amacıyla geliştirilmiş bir sistemdir. Sunucularda saklanan veriler fiziki ortamlarda tutulur. Yapısı ne şekilde olursa olsun bu disklerin her zaman bozulma ihtimali vardır. Bu da sistem çalışmasının gecikmesine, durmasına ya da daha da önemlisi verilerin kaybına sebep olur. RAID sisteminin amacı da verileri birçok diskte tutarak oluşabilecek hatalara karşı sistemin ve verilerin güvenliğini sağlamaktır. “Hata toleransı” şeklinde adlandırılan bu durum, cihazın sabit diski arızalandığında sistemin sorunsuz bir şekilde çalışmaya devam edeceğinden emin olmak için “güvenli bir yapı” kurmaktır. Bu sayede veri kaybı ihtimali ve sistemde yaşanabilecek işlevsel kesintiler azalır.RAID yapısının birçok düzeyi bulunur. Burada e-ticaret için önemli ölçütler olan hız ve güvenlik nedeniyle RAID5 yapısından bahsedilmektedir. RAID5 en az üç disk kullanılarak oluşturulur. Disklerden bir tanesi güvenlik diski olarak diğerleri ise verileri kaydetmek amacıyla kullanılır. Disklerden herhangi biri bozulursa ya da çalışmasında bir aksaklık meydana gelirse sistem diğer diskler üzerinden sorunsuz bir şekilde çalışmaya devam eder. Bu yedekleme yapısının önemli bir avantajı da arızalı diskin sistem çalışırken değiştirilmesine izin vermesidir.
RAID5 yapısı sistemde tutulan görsel, içerik vb. bütün bilgilerin silinme ihtimaline karşı bir yedekleme güvenliği sunar. Böylece veri kaybı yaşansa dahi RAID5 yedek olarak sürekli bir güvence sağlamaktadır.
IDS / IPS:
Özellikle son yıllarda artan siber saldırılar ve bunlardan kaynaklı oluşan güvenlik sorunu nedeniyle güvenlik duvarları ile entegre olarak kullanılmaktadır. IDS [Intrusion Detection System (İntrujın Detekşın Sistım)] dilimize “Saldırı Tespit Sistemleri” olarak çevrilebilir ve yapılan saldırıları tespit edip kayıt altına alır. Özel tasarlanan altyapısı sayesinde dünya üzerinde tespit edilen bütün tehditler tek bir veri tabanında toplanır. IPS [Intrusion Prevention System (İntrujın Prevenşın Sistım)] ise “Saldırı Engelleme Sistemleri” olarak adlandırılır. IPS’nin amacı ağ trafiğini tarayarak var olan tehditleri tespit edip engellemektir.IDS ve IPS sayesinde veri tabanları sürekli güncel tutulur. Veri tabanlarının sürekli güncel tutulması sunucuların uluslararası güvenliğini sağlamak için gereklidir.
3D Secure (Tri Di Sekur):
Günümüzde güvenli ödeme sistemleri içinde akla ilk gelen yöntemlerden biridir. “güvenli ödeme” şeklinde dilimizde kullanılan bu yöntemde, bankalar tarafından internetten yapılan ödeme işlemleri için ek bir güvenlik katmanı oluşturulmuştur. Ödeme işlemi sırasında onay verildikten sonra banka tarafından sağlanan “3D Secure” penceresi ekrana gelir. İşlem yapılan kart sahibine ait olan ve bankada kayıtlı olan cep telefonuna tek kullanımlık onay şifresi gönderilir. Belirli bir süre içinde şifrenin ekranda belirtilen alana girilmesi gerekir. Ancak telefona gönderilen şifre girilip onay verildikten sonra ödeme yapılabilir. Bu sayede kredi kartı kaybolsa ya da çalınsa dahi başkaları tarafından kullanılması engellenirPCI DSS (Payment Card Industry Data Security Standard):
Anlamı “Ödeme Kartları Endüstrisi Veri Güvenliği Standardı”dır. PCI DSS’nin amacı kredi kartı ödeme sistemlerinde kart bilgisi güvenliğini sağlamaktır. Bu sistem uluslararası kredi kartı sağlayıcıları tarafından oluşturulan PCI Komitesi tarafından geliştirilmiştir. PCI DSS, kredi kartı ile ödeme alan kuruluşlar için bir bilgi güvenliği standardıdır. Kuruluşların uyması gereken ölçüt ve gereksinimleri belirler. PCI Standardı, kart sağlayıcıları tarafından zorunlu olarak istenir. PCI DSS’de kart verileri üzerindeki kontroller artırılarak kredi kartı sahtekârlığını azaltmak amaçlanır.Güven Damgası ve Sızma Testi:
Resmî Gazete’nin 6 Haziran 2017 tarihli nüshasında yayınlanan Elektronik Ticarette Güven Damgası Hakkında Tebliğ ile e-ticaret siteleri için yeni bir sisteme geçilmiştir. Bu tebliğin dördüncü maddesinde Güven Damgası, “bu tebliğde öngörülen asgari güvenlik ve hizmet kalitesi standartlarına uyan hizmet sağlayıcı ve aracı hizmet sağlayıcıya verilen elektronik işaret” olarak tanımlanmıştır. Güven Damgası TOBB (Türkiye Odalar ve Borsalar Birliği) tarafından Türkiye’de hizmet veren e-ticaret siteleri için hazırlanmış bir sertifikasyondur. Amaç, kullanıcıların bu sitelerden güvenli bir şekilde alışveriş yapabilmelerini sağlamaktırYetkilendirilmiş firmalar ve uzmanlar tarafından sızma testi yapılır. Sızma testindeki mantık, varsa sistem açıklarını tespit etmek, kodlara, veri tabanına ya da ağa izinsiz ulaşmaya çalışmaktır. Bu testle mevcut zafiyetler ve bundan kaynaklanacak tehditler tespit edilerek gerekli düzeltmeler yapılır ve oluşabilecek riskler ortadan kaldırılır.