Korsan yazılımla başa çıkma yolu: Şifre yenileme

MEHMET ÜST
Neosinerji Bilgi Teknolojileri Genel Müdürü

Değerli meslektaşlarım, Öncelikle, henüz çiçeği burnunda yayın hayatına başlayan SİGORTACIM Dergisi’nin çıkmasına vesile olan, emeği geçen herkesi kutluyor ve yayın hayatında başarılar diliyorum. Sektörümüzde çok özgün bir yer alacağına inanıyorum.

Bu ilk sayıda bana yazma fırsatı verdikleri için de ayrıca teşekkürlerimi sunuyorum. Fırsat buldukça, bundan sonraki sayılarda da yazmaya gayret sarfedeceğim. 31 yılı aşkın bilişim alanındaki meslek hayatımın yaklaşık 27 yılından fazlasını çok sevdiğim sigorta sektöründe, profesyonel yöneticilik yaparak geçirdim. Masanın diğer yanını bırakarak üç yıldır Neosinerji Bilgi Teknolojileri’nde Kurucu Ortak ve Genel Müdür olarak sektöre hizmet etmeye devam ediyorum, ömrüm ve sağlığım musade ettiği müddetçe de devam edeceğim. Üç yıldır büyük emek vererek sigorta aracı kurumları için özel olarak geliştirmiş olduğumuz, “babonline Sigortacılık Portalı”nı pazara sunduğumuzun haberini bu ilk sayıda vermenin de tarihi bir şans olduğunu söylemeliyim. Bu proje ile ilgili tüm tanıtım detaylarına web sitemizden ulaşabilirisiniz. Başlıktan da anlaşılacağı üzere çok başka bir konuyu ele almak istedim. Gerçekten ileride söktörün başına büyük bir bela olacak bir kısım korsan robot yazılımlar hakkında yazmak ve tüm sektör yetkililerine seslenmek istiyorum. İşin acı tarafı ise bugüne kadar sektördeki acentelere cari hesap ve muhasebe uygulamaları yazarak, buradan yıllardır iyi paralar kazanmış, bugüne kadar helal ekmek yemiş ve hizmet etmiş firmalar da dahil olmak üzere bir kısım yeni türemiş korsan yazılım firmalarının yaptıklarına değinmek ve dikkatinizi çekmek istiyorum. İsimlerini bildiğim en az 10’dan fazla yazılım firması var ki her geçen gün yeni bir firma daha aralarına katılıyor. Bunlar, maalesef henüz ülkemizde gelişmemiş olan bilişim hukukunun açıklarından da yararlanarak hiç çekinmeden sülük gibi sigorta şirketlerinin sistemlerini emiyorlar. Utanmadan web sitelerinde reklamlarını email ya da SMS vasıtasıyla tanıtımlarını yapabiliyorlar. Malesef ki acentelerimizin bir kısmına da ciddi bedeller ile bu sülük uygulamaları satabiliyorlar. Çünkü bir gerçek var! Uygulama acentenin işini kolaylaştırıyor. Bugüne kadar bu firmalara sektörden bir Allah’ın kulu dur diyebildi mi? Benim bildiğim HAYIR! Yazılı uyarı gönderen oldu mu? Bilmiyorum...

Robot yazılımlar ne yapıyor?

Peki bu, robot yazılımlar ne yapıyor? Sakıncaları nelerdir? Önlemler nelerdir? Bu uygulamaları çok tekniğe girmeden basit bir anlatımla şöyle izah edebiliriz. Robot (sülük) yazılımlar, sigorta acentesinin veya şirketin iç kullanıcısının kullanıcı kodunu ve şifresini kullanarak arka plan ekran okuyan, yazılımlardır. Dolayısıyla sigorta şirketlerinin acentelerine veya kullanıcılarına vermiş olduğu kullanıcı kodunu ve şifresini kullanarak şirketlerin teklif ve poliçe giriş ekranlarını okuyor ve her şirketin fiyatını bir iki dakika içinde ekrana listeliyor. Sektördeki bütün şirketlerin fiyatlarını listeliyorlar. Kimse bizimkini yapamazlar demesin. Son zamanlarda acentelerin minimum bilgi girişi ile çok hızlı teklif yada poliçe düzenlemesini sağlamak amacıyla yapılan hızlı giriş ekranları da bu uygulamaların işlerini çok kolaylaştırmış hat da bunların türemesine vesile olmuştur. Birçok sigorta şirketinin, giriş işlemleri hızlansın diye adına KAPÇA denilen güvenlik amaçlı kelimerden (arkası taramalı, eğilmiş bükülmüş harf ve rakamlardan oluşan kelimeler) ekranlarına koymadığı için de okumalar daha rahat ve zahmetsiz yapılmaktadır. Şifre değişiminin uzun süreler içerisinde değiştirilmesi de bu yazılımların işlerini çok kolaylaştırmaktadır. Bu sülük yazılımlar, çeşitli acentelerden aldıkları (veya şirket iç kullanıcısı) şifre ve kullanıcı kodlarından bir şifre ve kullanıcı havuzu oluşturduğu için, acenteliği bulunmayan şirketlerin fiyatları da acentenin önüne listelenmektedir. Yani; eğer yazılım 20 şirketin ekranını okuyabiliyor ise bu yirmi şirketin fiyatlarını, sadece üç şirketin acentesi olanın da önüne listeleyebilmektedir. Bunu nasıl yapabilmektedir? Bahsettiğim gibi bütün şirketlere ait kaynaklardan aldığı ve oluşturduğu kullanıcı ve şifre havuzundan yapmaktadır. Diğer açıdan baktığımızda ise demek ki acentelerin bir kısmı kendi kullanıcı kodu ve şifresini, bu yazılım firmaları vasıtasıyla başka birçok acenteye dağıtmış ve kullanımına vesile olmuştur.

Tüm kullanıcı şifrelerinizi değiştirin

Bu uygulamaları engellemek için hemen şu uyarıyı yapmak istiyorum: Bu yazıyı okur okumaz tüm kullanıcı şifrelerinizi değiştiriniz. Üstelik bunu 15 günde bir yapınız, o zaman bu uygulamaların işi çok zorlaşacaktır. Bu uygulamaların sakıncaları, kimse tarafından net bilinmediği için fiyat karşılaştırma fonksiyonu sebebiyle acentelerin işlerini hızlandırması ve kolaylaştırması, satın alınmasını sağlamaktadır.

Sakıncaları nelerdir?

Konunun sakıncalarını burada çok etraflıca anlatmaya kalksak kelimer yetmez ancak konunun en önemli tarafı “Bilgi Güvenliği”dir. Özet olarak şunları vurgulamak isterim. Yukarıdaki son paragrafta ne demiştik? “Bir acente kendi kullanıcı kodu ve şifresini,bu yazılım firmaları vasıtasıyla başka birçok acenteye dağıtmış demektir. Yıllardır içinde bulunduğum sektördeki sevgili acente arkadaşıma şunu sormak isterim. Acentesi olduğunuz şirketlerin, poliçe düzenleyebilmeniz amacıyla sizlere özel olarak vermiş olduğu kullanıcı kodu ve şifreyi nasıl ve neye dayanarak başkası ile paylaşıyorsunuz? Korkmuyor musunuz? Yıllardır poliçe düzenlerken hep şunu söylemez miydiniz? “Ben portföy mülkiyetimin güvenliğini sağlamak için müşterimin adresini, telefonunu özel bilgisini poliçe üzerine yazarak sigorta şirketine vermem?”

Banka şifrenizi paylaşıyor musunuz?

Peki ne oldu da bugüne kadar en önemli iş ortağınla paylaşmadığın özel bilgilerini, kapıdan ilk defa giren, hiç tanımadığın, hiçbir gizlilik sözleşmesi yapmadığınbir yazılım şirketine güvenerek kullanıcını ve şifreni vererek senin sistemine ve bilgilerine tam da damardan girebilecek şekilde teslim ettin? Bu büyük bir çelişki ve risk değil midir? Banka şifreni başkasına veriyor musun? Bu uygulama arka planda şirketin ekranını okuyor, sana fiyatları anında alıp getiriyor da senin bilgilerini nerelere taşıdığını yada nerelerde kullandığını düşünüyor musun? Nere de portföy mülkiyetin? Nere de bilgi güvenliğin?

Çağımızda en önemli sermayemiz elimizdeki bilgilerdir. Bilgi, altın niteliğindedir. Poliçe bilgilerinin içinde müşterinin kimlik numarası dahil olmak üzere birçok özel ve kişisel veri vardır? Bunları korumak hem acentenin hemde sigorta şirketinin görevidir. Bunları bir kenara koyalım, birçok acentenin sisteminde kredi kartı bilgileri tutulmaktadır. Olayın korkunçluğunu siz tahmin edin lütfen! Aynı soruyu sigorta sektöründeki tüm taraflara soruyorum! Bu hususlar ile ilgili plan, aksiyon, herhangi bir çalışmanız var mıdır?

Bu tür robot (sülük) yazılımların diğer en önemli sakıncası da, şirketlerin sistemleri ve network hatları üzerinde oluşturacağı yüktür. Acentesi olmayan noktalardan yapılan kaçak sorgular nedeni ile sistemlerin gereksiz yere meşgul edilmesi sonucu performans düşüklüğü yada kullanıcı kilitlenmelerine neden olabilecek sonuçlar doğurabilmekte ve yatırımların gereksiz kullanımına sebebiyet vermektedir. Bu kapsam da da konunun hukuki boyutu vardır.

Önlemler nelerdir?

Yukarıda bahsettiğimiz gibi acentenin tek başına önlem alması mümkün değildir. Sektör olarak bu konuya el atmazsak çok yakında başımıza büyük problemlerin açılacağı aşikardır. Poliçe sahiplerinin başına yarın öbür gün bir şey geldiği zaman, acenteden başlayarak şirkete kadar uzanan hukuki problemler ile karşılaşmak gayet mümkündür? Bir poliçe bilgisinin doğuracağı sonuçlar bir banka hesabının doğuracağı problem kadar önemli olmayabilir ama kişinin adresi, kredi kartı veya temainat altına aldığı varlığı ile ilgili bir sorun yaşanır ise bunun hesabını sektördeki herkes vermek durumdadır. Peki ne yapılmalıdır?

Hazine’nin görevleri

Elbette ki en önemli görev, kanun yapıcınındır? Burada Hazine SGM yetkililerine akıl vermek benim haddim değildir. Çıkan son yönetmelik bu kısmın sorumluluğunu SAİK’e vermiş durumdalar. Hazine nezdine birkaç yıl öncesine dayanan sektöre yönelik bilgi güvenliği konusunda çalışmalar vardı. Ne aşamadadır

bilmiyorum, umarım çalışmalar varsa yakın sürede meyvesini verecektir. Esasen, çıkan kanun yada yönetmelikler caydırıcılığı artıracaktır ancak önlemeye yetmeyecektir. En ağır koşullarınn uygulandığı BDDK’ya tabi bankacılık sektöründe bile alınan önlemler yetmiyor çünkü Merkez Bankası’nın ekranlarını okuyan uygulamaların olduğu, tapu kadastro başta olmak üzere birçok kurum için de aynı yöntemlerin uygulandığı biliniyor.

SAİK’in görevleri

SAİK’in acenteler için uygulanacak güvenlik standartları hususunda özel bir çalışma yaptığını biliyorum ve önemsiyorum. Ayrıca sektörde yazılım hizmetleri veren firmaları belli kriterlerden geçirerek “akredite” etmeye çalışıyor. Bu kriterleri sağlamayan yazılım firmaları ile acentelerin çalışmasının yasaklanacağı ve yakalanır ise gerekenin yapılacağı söyleniyor. Umuyorum bu çalışmalar hızla sonuçlanır. Uygulanmaya başlanmış olan Sabit IP önleminin palyatif bir önlem olduğunu ve tam bir güvenlik sağlamayacağını, IP’lerin taklit edilebildiğini acenteler de çok iyi biliyor. En azından bir önlemdir hiç yoktan iyidir. Ancak bu uygulama ile mobil sigortacılığın önü kesilmiştir çünkü tabletler, akıllı cihazlar sabit IP döndürmezler. Bankacılık sektörünğn bu konuda ki tecrübesi alınmalıdır. Çıkan yönetmelik değiştirilerek sadece sabit IP değil, cihaz seri no, IMEI numarası, SIM kart seri no, geçici şifre metodu gibi birçok konuyu kapsayan genel bir standart konulamalıdır. Sadece konuyu sabit IP’ye indirgerseniz sigortacılık alanını sahaya yaymak yerine daraltmış olur ve dijital mobil sigortacılığın önünü kapatmış olursunuz.

TSB’nin ve sigorta şirketlerinin görevleri

Şirketler, ekranlarının kolay okunamayacağı şekilde gerekli güvenlik önlemlerini almak, şifre yönetim mekanızmalarında yeni teknolojileri kullanmak zorundadır. Acente sözleşmelerine yeni maddeler ekleyerek önlemler almak ve belli standartlar getirmek zorundadır. Aşağıda Borsa İstanbul’un üyelerine uyguladığı sözleşmenin güvenlikle ilgili bir maddesini sektöre modifiye ederek şirketlere öneriyorum. Eksiği varsa hukukçular tamamlayabilir.

• Acente nam ve hesabına kullanılacak, uygulamalar sadece acente yoneticisi ve alt kullanıcılar tarafından kullanılacaktır. Robot ya da sanal kullanıcılarla erişim yapılmayacaktır. Erişim esnasında ……..sigorta şirketinin yazılı izni olmadan veri tarayan ve/veya toplayan yazılım ya da algoritmalar kullanılmayacaktır. Acenteye sunulan yazılımlara ve programlara yönelik doğrudan veya dolaylı olarak tersine mühendislik, kaynak koduna donüştürme, makine kodundan sembolik koda çevirme veya filtreleme işlemleri ya da benzeri işlemler yapmayacağımı, söz konusu işlemleri ikincil bir kimsenin ya da firmanın yapmasına müsade etmeyeceğimi ya da buna sebebiyet vermeyeceğimi kabul, beyan ve taahhüt ederim.

Böyle bir madde, acentelerin bu tür yazılımı kullanmaması hususunda caydırıcı olacaktır. Tabii ki cezai yaptırım kısmını şirketler belirleyecektir. Böyle bir metni SAİK de kullanmalıdır. Çok merak ediyorum, acaba bugüne kadar bu korsan yazılım şirketleri bilindiği halde herhangi bir sigorta şirketinin ilgili firamalara en azından hukuki bir ihtar gönderdiği oldu mu? Olmadıysa bu şirketlere artık birer ihtar yazısı gönderilmelidir ya da bunu Türkiye Sigorta Birliği yapmalıdır. Acenteler, kendilerine gelen bu tür yazılım firmalarından sigorta şirketleri ile herhangi bir sözleşmesi var mıdır? Sorgulamalı ve bizzat sözleşmeyi görmelidir.

Şifre değişimlerini maksimum bir ayı geçirmeden yapmalıdır.

Sağlıcakla kalın, başka bir yazıda görüşmek üzere saygı ve sevgilerimi sunuyorum...