Açık bankacılık konuşulurken çoğu tartışma şu cümlede düğümlenir:
“Bankalar verilerimi üçüncü taraflarla paylaşıyor.”
Bu ifade teknik olarak doğru olabilir.
Ama güvenlik açısından eksiktir.
Çünkü açık bankacılıkta risk, verinin paylaşılmasından değil; veriye açılan geçidin nasıl tasarlandığından doğar.
Açık Bankacılık Neden Bir “GEÇİT”tir?
Açık bankacılık sistemleri:
– veriyi dışarı taşımaz,
– bankanın kontrolünü tamamen bırakmaz,
– kalıcı erişim vermez.
Yaptığı şey şudur:
Belirli bir süre, belirli bir kapsam ve belirli bir yetkiyle erişim açar.
Yani üçüncü taraf sisteme girmez.
Bankanın açtığı kontrollü bir geçitten bakar.
Risk de bu geçidin;
– kimlere,
– ne kadar geniş,
– ne kadar süreyle
açık kaldığında oluşur.
GEÇİT Mantığında Güvenlik Nerede Kurulur?
Bir geçidin güvenliği üç temel soruya bağlıdır:
– Kim geçiyor?
– Neye erişiyor?
– Ne kadar süreyle?
Açık bankacılıkta bu üç sorudan biri net değilse, veri güvenliği kağıt üzerinde kalır.
1) “Kim Geçiyor?” Sorusu Bulanıklaştığında
Kullanıcı çoğu zaman sadece uygulama ismine bakar.
Oysa kritik soru şudur:
Bu uygulama adına erişimi kim kullanıyor?
Riskli durumlar:
– lisanslı ama zayıf iç kontrolü olan üçüncü taraflar,
– alt hizmet sağlayıcıların zincirleme erişimi,
– kullanıcıya açıkça anlatılmayan yetki devirleri.
Geçidin kim için açıldığı net değilse, erişimin güvenliği varsayıma dönüşür.
2) “Neye Erişiyor?” Sorusu Genişlediğinde
Açık bankacılık izin ekranlarında sık görülen ifade şudur:
“Hesap bilgilerinize erişim.”
Bu ifade masum görünür.
Ama kapsamı şunları içerebilir:
– bakiye bilgisi,
– işlem geçmişi,
– alıcı–gönderici ilişkileri,
– düzenli ödeme alışkanlıkları.
İhtiyaçtan geniş veri erişimi, açık bankacılıktaki en sessiz risk alanıdır.
Çünkü kullanıcı neyi açtığını tam olarak fark etmez.
3) “Ne Kadar Süreyle?” Sorusu Unutulduğunda
Birçok kullanıcı açık bankacılık iznini bir kez verir.
Sonra dönüp bakmaz.
Oysa risk tam burada birikir:
Süresi dolmayan, unutulmuş erişimler.
– artık kullanılmayan uygulamalar,
– silinen ama yetkisi duran servisler,
– arka planda veri okumaya devam eden entegrasyonlar.
Geçit açık kaldıkça, risk zamanla büyür.
“Onayladım” Anı Neden En Kritik Nokta?
Açık bankacılıkta en önemli an, ilk onaydır.
Çünkü bu anda:
– veri kapsamı belirlenir,
– erişim süresi tanımlanır,
– üçüncü taraf yetkilendirilir.
Kullanıcı bu adımı “teknik formalite” olarak görürse, kontrolü tamamen sisteme bırakır.
Ve sistem, çoğu zaman en geniş senaryoyu varsayar.
Risk API’de Değil, Davranışta Birikir
Açık bankacılıktaki risklerin büyük bölümü:
– API kırılarak,
– sistem hacklenerek,
– teknik açıklar üzerinden
oluşmaz.
Şöyle oluşur:
Kullanıcı doğru kapıyı, yanlış alışkanlıkla açar.
Bu yüzden açık bankacılık güvenliği;
teknik değil, operasyonel bir konudur.
Kullanıcılar İçin 4 Net Güvenlik Disiplini
1. Açık bankacılık izni verdiğiniz uygulamaları düzenli aralıklarla kontrol edin.
2. “Tüm verilere erişim” yerine sadece gerekli olan kapsamı seçin.
3. Kullanmadığınız uygulamaların erişimini iptal edin.
4. Aynı veriye erişen çok sayıda uygulamayı normalleştirmeyin.
Kurumlar İçin Asıl Sorumluluk
Kurumlar açısından açık bankacılık güvenliği;
– API açmakla değil,
– yetkiyi daraltmakla,
– kullanıcıya geçidin ne anlama geldiğini açıkça anlatmakla
sağlanır.
“Yasal onay alındı” demek yeterli değildir.
Onayın kapsamının anlaşılır olması gerekir.
Açık bankacılıkta doğru soru şudur:
“Veri paylaşılıyor mu?” değil,
“hangi geçitten, hangi kapsamla ve ne kadar süreyle?”
GEÇİT mantığı doğru kurulursa, açık bankacılık güçlü ve sürdürülebilir bir ekosistem üretir.
Yanlış kurulduğunda ise risk sessizce birikir.
Sessiz güç, net etki:
Veri paylaşımı kaçınılmaz olabilir; ama geçidin kontrolü her zaman mümkündür.
