E-Perakendecilik Dersi 5. Ünite Özet
Elektronik Alışveriş: Güvenlik Ve Ödeme Sistemleri
- Özet
- Sorularla Öğrenelim
Giriş
Günümüzde çevrimiçi güvenlik, elektronik alışveriş kapsamında iletişim veya işlem gerçekleştiren herkes için en fazla vurgu yapılan hususlardan birisidir. Buna bağlı olarak da elektronik alışverişte bireyler ya da işletmeler olsun kullanıcıların en fazla üzerinde durduğu nokta çevrim içi işletmelerin kişisel bilgilerin korunması konusundaki istekliliği ve etkinliği haline gelmiştir. Elektronik alışverişte kullanılan ödeme sistemleri ve araçları da kişisel bilgiler ve bunların korunması kapsamında ele alınmaktadır.
Elektronik Alışverişte Güvenlik
Elektronik alışveriş (e-Alışveriş), mal veya hizmet satın almak, satmak veya bunların nakliyesi ya da değişimini gerçekleştirmek için internet veya intranet gibi diğer network (şebeke) sistemlerinin kullanılması olarak açıklanabilir. e-Ticaret uygulamaları, altyapı sistemleri tarafından temeli oluşturulan destek hizmetlerinden yararlanmaktadır. Altyapı sistemleri ise donanım, yazılım ve şebeke sistemlerinden oluşmaktadır.
e-Ticaret ve e-Alışverişte önemli destek hizmetleri ve altyapı sistemleri içinde güvenlik ve ödeme sistemleri bulunmaktadır. İnternet ortamının dinamik, açık ve kullanıma kolaylaştıran ortamı, işletmelerin ve ekonominin gelişmesi açısından önemli bir potansiyel sunmakla birlikte; güven, güvenlik, kişisel haklar ve potansiyel riskler bakımından ciddi endişeler de doğurmuştur.
Elektronik Alışverişte Güvenlik: Tanımlar ve Temel Kavramlar
Günümüzde statik, kapalı ve yerel işletmecilik modellerinden yeni etkileşimli modellere, yeni işletmecilik yaklaşımlarına, yeni örgütlenme biçimlerine ve yeni ekonomik koşullara doğru geçiş hızla gerçekleşmektedir. Bu yeni, açık ve esnek ortam, güven ve güvenlik olmak üzere iki ciddi meseleyi de beraberinde getirmektedir.
e-Ticaret ve alışveriş kapsamında güvenlik en genel haliyle kullanıcıları ve işletmeleri kırılganlık yaratan hususlar ile kaynağı belli olmayan anonim ihlaller, saldırılar ve benzeri durumlardan korumayı ifade etmektedir. Öte yandan güven ise bir başka kişi ya da tarafa belirli faaliyetler çerçevesinde inanmak ya da itimat etmek olarak tanımlanabilir. İnternet ortamında anonim şekilde birbiriyle bağlantılı olan taraflar arasında güven inşa edebilmek için korumalı iletişim ya da bilgilerin korunmasını sağlayacak güvenlik sistemlerinin kurulması gerekmektedir.
Bilgisayar güvenliği, bilgisayar ve bununla ilişkili varlıkların yetkisiz giriş ve kullanım, veri değiştirme veya veri tahribatı gibi uygulamalardan korunmasını ifade etmektedir. bilgisayar güvenliği sistemleri esas olarak ortaya çıkabilecek tehditleri ve gerçekleşebilecek saldırıları minimum düzeye indirmek, mümkünse engellemek ve bunların yaratabilecekleri tahribatı onarmak amacını taşımaktadır. Bilgi güvenliği ya da bilişim sistemi güvenliği kavramını bilişim sistemleri, bunların içerdiği veri ve işlem grubu veya prosedürlerini; bunları değiştirecek, etkisizleştirecek ve tahrip edecek eylemlere karşı korumak olarak tanımlamak mümkündür. Bilgisayar güvenliği ya da bilişim sistemleri güvenliği açısından bilgisayar ya da bilişim sistemi için tehlike arz eden herhangi bir eylem veya nesne tehdit olarak adlandırılır. Buna karşılık, herhangi bir tehdidi tespit eden, azaltan ya da ortadan kaldıran her tür mekanizma veya uygulama ise önlem olarak tanımlanmaktadır. Yukarıda bahsedilen tehditler içinde izinsiz ve hukuka aykırı olarak gerçekleştirilen eylemler siber suç olarak kabul edilmektedir. Siber suçları gerçekleştiren kişiler ise genel olarak izinsiz dinleyiciler ve hacker’lar olarak sınıflandırılabilir. İzinsiz dinleyiciler, elektronik alışveriş bağlamında internette gerçekleşen bilgi akışı ve değişimleri yetkisiz ve izinsiz biçimde takip eden ve kopyalan kişilerdir. Hacker ’ lar ise, bilgisayar programları yazarak veya bilişim teknolojilerini yönlendirme amaçlı kullanarak bilişim sistemleri ve bilişim şebekelerine izinsiz ve yetkisiz giriş yapan kimseler olarak tanımlanabilir.
Elektronik Alışverişte Güvenlik Sorunları Yaratan Faktörler
Bir tüketici herhangi bir e-Perakendecinin sitesinden alışveriş yaptığında aşağıda sıralanan hassas bilgileri interneti kullanarak satıcının sitesine girmektedir:
- Sipariş teslim adresi (satın alınan ürünlerin teslim edileceği adres),
- Ödeme yöntemine ilişkin gerekli bilgiler,
- Tercih edilen gönderi yöntemi (hızlı teslim, normal teslim vb.),
- Fatura adresi (özellikle kredi kartı, banka kartı ya da EFT ile ödeme tercih ediliyorsa, güvenli amaçlı belirtilmesi gerekmektedir).
Elektronik alışverişle ilgili güvenlik sorunlarına neden olan pek çok faktör bulunmaktadır. Bu sorunları şöyle açıklamak mümkündür:
- İnternetin Kırılgan Yapısı: İnternet ve internetin ağ protokolleri siber suçlara karşı korunaklı olarak inşa edilmemiştir.
- Bilgisayarlı Tıbbi Verilerin Yaygınlaşması: Tıbbi kayıtlar, veriler ve teşhisler için bilgisayarların ve internetin kullanılmaya başlanması, bu alanda güvenlik ihlallerinin artmaya başlamasına neden olmuştur.
- Kâr Amaçlı Siber Suçların Artması: Siber suçluların eylemlerinde yıllar içinde önemli bir değişim gerçekleşmiştir.
- Her Yerde Bilgisayar Olması: Günümüzde bilgisayarlar evlerimizden işyerlerimize, çalışma alanlarımızdan eğlence alanlarımıza kadar her yerde bulunmaktadır.
- Siber Saldırganların Küreselleşmesi: Daha önceleri siber saldırganlar daha çok belirli ülkelerde toplanırken, bugünkü teknolojik gelişme ve bilginin yayılması sayesinde pek çok farklı ülkede siber saldırganlar ortaya çıkmaktadır.
- Sosyal Medya Kullanımındaki Artış: Sosyal medya platformları kimlik avcılığı ve toplumsal mühendislik saldırıları açısında kolay hedeflerdir.
- Elektronik Alışveriş Sistemlerinin Dinamik Yapısı ve İçeriden Kişilerin Eylemleri: Elektronik alışveriş sistemleri gelişen teknoloji ve ortaya çıkan yenilikler doğrultusunda sürekli değişmektedir.
- Saldırıların Daha Karmaşık Hâle Gelmesi: Siber suçlular teknolojik yenilikleri kullanarak saldırı silahlarını geliştirmektedirler.
Elektronik Alışverişte Kişisel Hakların Korunması
e-Perakendeciliğin gelişimi sürecinde pek çok işletmenin, tüketicilere ilişkin gizli bilgilerin kendilerinin izni olmaksızın kamuya açık alanlara sızdırması ciddi sorunlar olarak değerlendirilmiştir. Kişisel bilgilerin korunmasına ilişkin beklentiler farklı ülke kültürlerinde farklılıklar göstermektedir. e-Ticarette kişisel hakların korunması açısından ortaya konmuş birtakım ilkeler geliştirilmiştir. Bunlar arasında kişisel verilerin korunmasına ilişkin en yaygın biçimde kabul gören ilkeleri şöyle sıralamak mümkündür:
- Toplanan verilerin sunulan hizmetleri geliştirmek ya da müşterilere daha farklı hizmetler sunulması amacıyla kullanılması;
- Toplanan verilerin müşterilerin izni olmadan şirket dışındaki diğer taraflarla paylaşılmaması;
- Müşterilere hangi tür verilerin kaydedildiği ve bunların hangi amaçlar doğrultusunda kullanıldığının net bir şekilde açıklanması;
- Müşterilere kendilerine ilişkin verileri silme hakkı verilmesi; ve
- Şirket çalışanlarına müşterilerin verilerini güvenli şekilde korunması konusunda eğitim verilmesi.
Elektronik Alışveriş Sistemlerinde Güvenlik Politikası Geliştirilmesi
Elektronik Alışveriş Güvenlik Politikası, sistemi kapsamında nelerin korunması gerektiğini, bunların neden korunması gerektiğini, koruma işlemlerinden kimin sorumlu olduğunu gösteren yazılı bir şirket belgesidir. Elektronik alışveriş sistemleri güvenlik politikasında somut koruma araçlarını içeren fiziki güvenlik, şebeke/ağ güvenliği, erişim izinleri, virüs korumaları ve kurtarma işlemleri hakkında ayrıntılı bilgi verilmelidir. Bunların yanında, geliştirilen güvenlik politikasının düzenli olarak gözden geçirilmesi ve değişen koşullara göre güncellemesi de gerekmektedir.
Gizli bilgilere ilişkin kurumsal güvenlik sistemleri “gizli şirket bilgilerinin şirket dışındaki herhangi bir kişi veya taraf ile paylaşılmaması” kadar basit şekilde ifade edilebilir. Pek çok işletme güvenlik politikası geliştirirken aşağıda sıralanan dört adıma göre hareket eder:
- Elektronik alışveriş sistemi içinde hangi varlıkların ne tür tehditlere karşı korunması gerektiğinin belirlenmesi.
- Elektronik alışveriş sisteminin çeşitli kısımlarına kimlerin erişmesine izin verileceğinin tespit edilmesi.
- Elektronik alışveriş sisteminin korunması ve bunlara gerekli kişilerin erişimlerinin sağlanması için hangi kaynaklara ihtiyaç duyulduğunun tespit edilmesi.
- Yukarıdaki üç adımda tespit edilenlere göre yazılı bir güvenlik politikasının oluşturulması.
Elektronik Alışverişte Karşılaşılabilen Güvenlik Tehditleri
Elektronik alışverişte güvenlik sistemleri, tehditler ve saldırılar ile koruma mekanizmaları arasında gerçekleşen bir mücadele alanı olarak kabul edilebilir. Bu mücadele kapsamında yalnızca işletmenin elektronik alışveriş sistemi değil, aynı zamanda müşterilerin bilgisayarları, tablet bilgisayarları ve akıllı telefonları gibi bilişim cihazlarının da tehdit ve saldırılardan korunması gerekmektedir. Bu mücadeledeki temel bileşenleri;
- Tehditler ve saldırılar,
- Tehdit ve saldırılardan kullanılması gereken varlıklar,
- Tehditlere karşı geliştirilen güvenlik önlemleri, güvenlik yöntemleri ve politikaları
olarak sıralamak mümkündür.
Elektronik alışveriş sistemlerine yönelik olarak ortaya çıkan tehditler, öncelikle kasıtlı saldırılar ve kasıtlı olmayan tehditler olarak ikiye ayrılabilir. Kasıtlı olmayan tehditler ise kendi içinde üç kategori altında sınıflanmaktadır; insan hatası, çevresel felaketler, bilgisayar sistemindeki arızalar.
Elektronik alışveriş güvenliğine yönelik kasıtlı tehdit veya saldırılar esas olarak suç amaçlıdır. Kasıtlı olarak gerçekleştirilen saldırılar, veri hırsızlığı; verilerin uygunsuz kullanımı; bilişim cihazlarının çalınması; veri çalma, bilişim sistemlerine zarar vermek veya sabote etme amaçlı yazılımlar veya bilgisayar programlarının yüklenmesi; bilişim sistemlerine zarar vermek için kötü amaçlı yazılımlar ve virüsler yaratmak ve dağıtmak gibi uygulamaları içermektedir.
Kötü Amaçlı Yazılımlar : Bu tür yazılımlar, sahibi veya kullanıcılarının bilgisi ve izni olmadan verileri ya da bilişim sistemlerini değiştirme, zarar verme, silme veya ortadan kaldırma amacı taşımaktadır. Kötü amaçlı yazılım kavramı, kötü niyetle geliştirilmiş her türlü program veya yazılımı içermektedir. Kötü amaçlı yazılımlar şunlardır:
- Virüsler: Siber suçlular tarafından bilişim sistemlerine zarar vermek amacıyla bilgisayarlara yüklenen programlanmış yazılımlardır.
- Solucanlar: Solucanlar virüslerden farklı olarak, herhangi bir sistem yöneticisi program veya insan olmadan kendi kendine aktif hâle gelen ve kendi kendini kopyalayan bir kötü amaçlı yazılım türüdür.
- Truva Atları: Bunlar ilk başta zararsız, hatta neredeyse faydalı gibi görünen ancak genellikle içinde kötü amaçlı bir kod bulunduran programlardır.
- Hizmete Erişim Reddi (DoS veya DDoS’lar): Bu saldırı türünde kullanıcıların sunuculara veya şebeke sistemlerine erişimi kötü amaçlı olarak engellenir
- Hizmete Erişim Reddi (DoS veya DDoS’lar): Bu saldırı türünde kullanıcıların sunuculara veya şebeke sistemlerine erişimi kötü amaçlı olarak engellenir.
- Web Sunucusu ve Web Sayfası Gaspı: Bu tür uygulamalar bir web sayfasının içeriğinin yasadışı şekilde kopyalanması yoluyla kullanıcıların farklı bir web sayfasına yönlendirilmesini kapsar.
- Botnet’ler: Bu kötü amaçlı yazılımın bulaştırıldığı kişisel bilgisayarlar daha sonra kullanıcıların bilgisi olmaksızın internet üzerinden yetkisiz saldırılar gerçekleştirerek bir “botnet” oluştururlar.
Oltalama (Yemleme/Phishing)
Elektronik alışveriş güvenliği kapsamında oltalama; kredi kartı bilgileri, banka hesabı bilgileri, vb. gizli bilgileri hiçbir şeyden şüphelenmeyen kullanıcılardan almak amacıyla gerçekleştirilen bir elektronik dolandırıcılık türü olarak ifade edilebilir.
Elektronik Dolandırıcılık
Günümüzde elektronik dolandırıcılık sayısında bir azalma gözlenmesine karşın, gerçekleştirilen dolandırıcılık eylemlerindeki kayıp miktarı artmaktadır. Elektronik dolandırıcılık, kullanıcıları dolandırmak veya bunlardan fayda sağlamak amacıyla internet hizmetlerini ya da internet bağlantılı yazılımları kullanmak olarak tanımlanabilir.
Kimlik Hırsızlığı ve Kimlik Dolandırıcılığı
Kimlik hırsızlığı, dolandırıcılık veya aldatma gibi suçlar işleme amacıyla bir başka kişinin kimliği veya kredi kartı numarası gibi kişisel bilgilerini hukuka aykırı şekilde ele geçirmek ve kullanmak olarak tanımlanabilir. Elektronik alışverişte kimlik hırsızlığı en önemli sorunlardan birisidir.
Fidye Yazılımlar
Dosya şifreleyen fidye yazılımlar günümüzde örgütlerin şebekeleri açısından en büyük sorunu oluşturmaktadır. Bu tür fidye yazılımlar her geçen gün gelişmekte ve daha da karmaşık hâle gelmektedir. Fidye yazılımlar esas olarak, kullanıcının programa veya sisteme yeniden giriş yapabilmesi için belirli bir fidye tutarı ödeyene kadar kullanıcının bilgisayarını etkisiz hâle getiren şifreli yazılımlar olarak açıklanabilir.
Spam Saldırıları
Gereksiz veya istenmeyen e-Posta, yani spam, aynı mesajın çok sayıda alıcıya aynı anda e-Posta ile gönderilmesi anlamına gelmektedir.
Elektronik Alışverişte Güvenlik Önlemleri
Amerikan İstihbarat Teşkilatı CIA tarafından geliştirilmiş olan Bilgi Emniyeti Modeli, herhangi bir örgütün bilişim güvenliği alanındaki sorunları tespit etmek ve sistemin kendisini değerlendirmek için en yaygın olarak kullanılan yaklaşımlardan birisidir. Bu model bir bilişim sistemi olarak elektronik alışveriş sistemlerine de uygulanmaktadır. Bilgi Emniyeti Modelinin üç temel ilkesi bulunmaktadır:
- Gizlilik, yani veri gizliliği ve mahremiyetinin emniyete alınması.
- Veri Bütünlüğü (Bozulmamışlık), yani verilerin doğruluğunun ve değiştirilmemiş olmasının teminatı.
- Ulaşılabilirlik , elektronik alışveriş sistemindeki her tür veri, bilgi, web sitesi ya da diğer elektronik alışveriş hizmetlerine ihtiyaç duyulduğu anda ve yerde erişilebilmesinin güvence altına alınması.
Üç temel ilkenin yanı sıra bilişim sistemlerinin, dolayısıyla elektronik alışveriş sistemlerinin güvenliği açısından önem taşıyan üç hususu daha açıklamak gereklidir. Bunlardan ilki, elektronik alışveriş sistemindeki veri, bilgi, kullanıcı ve değişim işlemlerinin geçerli olduğunu garanti altına alan kimlik doğrulama kavramıdır. Örneğin, sisteme giriş esnasında bir kullanıcının geçerli kullanıcı olduğunu belirlemek için kendisinden kimi zaman bildiği bir şey (şifre gibi); kimi zaman sahip olduğu bir şey (jeton gibi); kimi zaman da kendisine has bir şey (parmak izi gibi) istenir. İkinci husus yetkilendirme olarak adlandırılır. Burada sisteme giriş esnasında kişi veya program tarafından sağlanan bilgilerin doğruluğunu tespit etmek için sistemde depolanmış bilgiler ile giriş işleminde sağlanan bilgiler karşılaştırılır ve yetkisi olan kullanıcının sisteme giriş yaptığı teyit edilir. Üçüncü husus ise, inkar edememe kavramıdır ki, burada veri gönderilirken göndericinin kimliğine ilişkin, alıcının ise verinin iletildiğine ilişkin kanıt sunması söz konusudur.
Elektronik Alışverişte Kullanılan Güvenlik Araçları
Elektronik alışveriş sisteminin parçası olan müşterilerin elektronik cihazları ile iletişim kanalının kendisini ve ePerakendecinin sunucularını güvenlik ihlallerinden korumak için çeşitli araçlar kullanılmaktadır:
- Çerezler: Bunlar Web sayfalarını tekrar tekrar ziyaret eden müşterileri tespit etmek amacıyla Web sunucuları tarafından müşterilerin bilgisayarlarına yerleştirilen küçük metin dosyalarıdır.
- Dijital Sertifikalar: e-Postayı gönderen kişi veya ziyaret edilen Web sayfası tarafından eklenen bir kimlik doğrulama aracıdır.
- Steganografi (Gizlenmiş Bilgi): Bu kavram, bir bilgiyi (örneğin bir komutu) diğer bir bilgi parçasının içine yerleştirmek anlamına gelmektedir.
- Şifreleme (Kriptografi): Şifreleme, matematik tabanlı programlar kullanılarak verilerin kodlanması olarak ifade edilebilir.
- Ateş Duvarları: Ateş duvarı, bir şebeke içindeki trafiği kontrol etme amacıyla şebekenin kendisine yüklenen bir yazılım veya donanım ve yazılım bileşimi olarak açıklanabilir.
Elektronik Alışverişte Ödeme Sistemleri
Elektronik alışveriş ortamında kullanılan temel ödeme seçenekleri aşağıda açıklanmaktadır:
Elektronik Alışverişte Ödeme Kabulü ve Ödeme İşlemleri: Elektronik alışveriş durumunda geleneksel ödeme biçimlerinden daha fazla adımın gerçekleştirilmesi gerekir. Bunları temelde iki grup altında toplamak mümkündür. Bunlardan ilki ödeme kabulüdür. Kullanılan ödeme aracının geçerli olup olmadığı ve gerçekleşecek işlemin kullanılan aracın harcama limitlerini aşıp aşmadığı ödeme kabulü aşamasında belirlenir. Daha sonra alışveriş bedelinin tahsil edilmesine ilişkin işlemler başlar. Bu aşamada alıcının hesabından ya da kredi kartından harcama bedelinin satıcının hesabına ya da varlıklarına aktarılması işlemleri gerçekleştirilir. Bazı ödeme kartı sistemlerinde satıcı ödeme kartının doğrudan kabul eder ve banka, vb. herhangi bir aracı kullanmaz. Bu tür düzenlemeler kapalı devre sistemler olarak adlandırılır. Açık devre sistemler ise, sürece başka ödeme işlemi aracıları eklerler.
Elektronik Alışverişte Kredi Kartı ile Ödeme Seçeneği: Kredi kartlarının kimi özellikleri elektronik alışverişte müşteriler ve perakendeciler tarafından yoğunlukla tercih edilmesine sebep olmaktadır. Bununla birlikte elektronik alışverişte alıcı ve satıcı yüz yüze temas etmediği için ödeme aracı olarak kredi kartı kullanılması hem perakendeciler hem de bankalar açısından belirli bir risk yaratmaktadır.
Elektronik Alışverişte Elektronik Para ile Ödeme Seçeneği: Elektronik para, devlet dışında özel bir kuruluş tarafından kullanıma sunulan değişim sistemidir. Günümüzde elektronik alışverişte en yaygın olarak kullanılan ödeme aracı kredi kartı olmakla birlikte, elektronik paraların özellikle gelecekte önemli ödeme araçları olacağı tahmin edilmektedir.
Elektronik Alışverişte Dijital Cüzdan ile Ödeme Seçeneği: Dijital cüzdan, fiziki cüzdana benzer işlev gören, dolayısıyla kullanan kişinin kredi kartı numarası, elektronik parası, kimlik bilgileri, iletişim bilgileri vb. verileri kaydetmesine imkân veren ve e-Perakendecilere alışverişin tamamlanması aşamasında bu bilgileri sağlayan bir elektronik araç ya da bir yazılım olarak tanımlanabilir.