E-ticarette güvenlik açıkları nelere mâl olabilir?
E-ticaret Altyapı Sağlayıcıları Derneği (EDER) Kurucu Üyesi, Projesoft CEO'su Yüksel Eminoğlu, paradergi için, e-ticarette güvenlik açıklarının nelere mâl olabileceğine ilişkin bir yazı kaleme aldı...
"Değişen dünyanın yükselen pazarlama ve satış kanalı e-ticaret, bireysel yatırımcılardan çok uluslu şirketlere kadar farklı ölçekteki oyuncuların katılımıyla katlanarak büyümeye devam ediyor. Yüzlerce sektörde pazar raporları ve tüketici verileri analizinde uzmanlaşmış bir kurum olan Statista verilerine göre dünyada e-ticaretin 2021 yılını 5 trilyon dolarla kapatacağı öngörülüyor. Dahası 2014'ten bu yana her yıl ortalama yüzde 20'lik bir artışla yükselen e-ticaret cirolarının 2025 yılında 10 trilyon dolara çıkacağı öngörülüyor.
Türkiye'de de durum global e-ticaret rakamları ile aynı paralelde seyrediyor. Henüz geçtiğimiz yılın tamamına ait veriler açıklanmasa da ilk altı ay rakamlarına bakarak e-ticaretin beklenenin çok üstünde bir büyüme gerçekleştireceği vurgusu yapılıyor. Türkiye'de e-ticaret harcamaları 2021'in ilk 6 ayında 161,1 milyar TL olarak gerçekleşti. Yine 2021'in ilk 6 ayında sipariş adetleri 2020'nin ilk altı ayına göre yüzde 94.4 artış ile 850.7 milyon adetten 1 milyar 654 milyon adede yükseldi. Halen yurt içinde e ticaret ile uğraşan işletme sayısı 350 binler civarında. Türkiye'de e-ticaretin toplam genel ticarete oranı ise her yıl artan güçlü bir ivmeyle bugün yüzde 18'lere yaklaşmış durumda.
Çarklar dönüyor ama…
E-ticaret özellikle pandemi döneminde hem işletmeler hem de tüketicilerin deyim yerindeyse imdadına yetişti. Fiziksel alışveriş süreçlerinin kısıtlandığı bu zorlu dönemde çarklar e-ticaretle döndü. Üretim durmuyor, satışlar sürüyor, çarklar dönüyor, buraya kadar her şey güzel ama pek çok işletmenin gözden kaçırdığı çok önemli bir başlık var: E-ticarette güvenlik açıkları…
Her gün milyarlarca işlemin yapıldığı dev bir küresel pazar haline gelen e-ticarette en önemli konuların başında ödeme yöntemlerinin güvenliği geliyor. Milyonlarca insanın kredi kartları başta olmak üzere çeşitli ödeme biçimleriyle işlem yaptığı e-ticarette, güvenli alışverişi sağlayan teknik altyapılar aslında işin olmazsa olmazlarından biri.
Ele geçirilen her kart bilgisinin firmalara maliyeti 172 dolar
Online ticarette tüm dünyanın kabul ettiği güvenlik altyapılarının başında gelen PCI DSS (Payment Card Industry -Data Security Standard), Ödeme Kartları Sektörü Veri Güvenliği Standartları, hem satıcı hem de alıcıya yüksek düzeyli koruma sağlıyor. E-ticarette güvenli alışveriş için dünya genelinde en etkili altyapılar PCI DSS sertifikasyonuyla sağlanıyor. PCI DSS Sertifikası kullanan altyapılar milyarlarca işlemin yapıldığı e-ticarette, hem satıcıya hem de tüketiciye güvenli alışveriş imkânı sunuyor.
Kredi kartlarının web sitelerinde kullanılması ve ödemelerin sitelerin kendi yazılımlarından gerçekleştirilmesiyle oluşabilen veri açıkları ve kart bilgilerinin sızması gibi olayların son dönemde sıklıkla yaşanır olduğunu gördük. Yapılan bir çalışmaya göre ele geçirilen her kredi kartı bilgisinin, işletmeye ortalama 172 dolar maliyet oluşturduğu hesaplanmış durumda. Kredi kartlarıyla ilgili işlemlerin güvenliği ve kart bilgilerini saklama standartlarını düzenleyen dünya ölçeğinde bir kurum olan PCI DSS'in en etkin olarak kullanıldığı alan e-ticaret siteleri. Burada tek amaç siteden alışveriş yapacak kullanıcılar ve site sahibi işletmeler için güvenli ortamları oluşturmak.
Güvenliği sağlayamayanlar 36 bin dolar zarara uğruyor
PCI Güvenlik standartları kurulu, 2006 yılında Visa, Master, JCB International, Discover ve American Express tarafından e-ticaret PCI uyumluluğunu denetlemek için kuruldu. Bu standartlara uyum da e-ticaret yapan her firma için zorunlu olarak belirlendi. E-ticaret, kolay ve hızlı kazanç peşinde olan bilgisayar korsanlarının (hacker), kredi kartları gibi hassas bilgileri ele geçirmek için en çok saldırdığı sektör. Trustwave tarafından yapılan araştırmada e-ticaret sitelerinin trafiğinin yüzde 4'ünün, korsanlar tarafından oluşturulan ve güvenlik açıklarını tarayan trafik olduğu gözlemlenmiş durumda. Ayrıca aynı araştırmada bu veri kayıplarının yüzde 90'ının, perakendede yüzde 45 ve restoran-gıda sektöründe yüzde 24 oranla KOBİ'lerin başına geldiği görüldü. Son günlerde özellikle küçük ve orta işletmelere yapılan saldırılar bir hayli artmış durumda. Hackerlar özellikle mail phishing gibi saldırılarla KOBİ'leri kolay bir av olarak görüyorlar. Güvenlik önlemleri ne kadar artıyorsa hackerlar da bir o kadar kendilerini geliştiriyorlar. Mail phishing'i özel olarak vurgulama nedenim de bu; zira internet korsanları eskisi gibi rastgele mailler değil de işletmedeki personellerin yolladıkları mailleri açmaları için çalışanların sosyal medya analizine kadar birçok araştırma yapıyor, mailleri şirket içinde kişiye özel olarak gönderiyorlar. Kişiye özel görünen kamufle edilmiş bu mailler, içeriğinde bir tehdit olduğunu hissettirmeyecek kadar profesyonelce hazırlanıyor ve çalışanlarca hiç düşünülmeden açılabiliyor.
Online veri hırsızlığı konusunda FBI Fraud (çalıntı kart kullanımı) şikâyet raporlarına yansıyan sonuçlar da durumun boyutlarını ortaya koyan bir başka veri sunuyor. Örneğin bu konuda Amerika'da 2018 yılında 351.937 olan suç duyurusu sayısı 2019 yılında 467.361'e çıkarken, Mart 2020'ye gelindiğinde ise 320.000 adeti geçmiş durumda. İnternet tabanlı veri saldırılarını izleyen trustedsite.com tarafından yapılan bir araştırma da ABD'de online alışveriş yapan kişilerin yüzde 92'sinin kişisel bilgilerinin çalınması endişesi taşıdığını gösteriyor. Mail saldırıları, kart bilgileri hırsızlığı ya da başka yöntemlerle meydana gelen veri kaybı sonucu firmaların sorunu çözene kadar ortalama 36.000 USD zarar ettikleri de hesaplanmış durumda.
E-ticarette güven her şeydir…
Maddi kayıplar bir yana, ilgili pazar araştırmalarıyla düşük güvenlikli sitelerden alışveriş yapan müşterilerin yüzde 57'sinin firmaya olan güvenlerini kaybettiklerini ve yüzde 31'inin de bir daha o firmadan hiç alışveriş yapmadıkları da belirlenmiş durumda. Tüm bunlar, internet tabanlı veri saldırılarının ve saldırı biçimlerinin her geçen gün çoğaldığı günümüzde online alışverişlerde güvenli ödeme altyapılarının önemini daha da artırıyor.
Her zaman söylüyoruz, online alışverişlerde güvenli altyapıların kullanılması, dev markalardan KOBİ'lere e ticaretin tüm oyuncularının öncelikli gündemi olmalı. Temel sağlam kurulmalı, çünkü temeli sağlam olmayan e ticaret altyapılarında en küçük sızıntılar bile büyük bir yıkıma, telafisi çok maliyetli sonuçlara yol açabilir. Burada ünlü Alman iş insanı, sanayici Robert Bosch'un yalnız e ticarette değil yaşamın her alanı için geçerlilik taşıyan o unutulmaz sözünü hatırlamakta fayda var: 'İnsanların güvenini kaybetmektense, para kaybetmeyi tercih ederim.' Bu yüzden e ticarette de güven her şeydir, maddi zararlar belki karşılanabilir ama bir kez güven kaybolduğunda onu yeniden yerine koymak çok da mümkün olmayabilir…"