Boğa mısınız yoksa ayı mı? Verinize ve paranıza erişim sağlayamadığınızda, piyasayla ilgili düşünceleriniz hala önem taşır mı?
Misafir yazar / Alejandro Hernández (@nitr0usmx)
Geçtiğimiz günlerde, borsa uygulamalarındaki ve platformlarındaki güvenlik açıklarının kullanıcıların finans ve kişisel verilerini nasıl riske edebileceği ile ilgili bir soru aldım. Günümüz toplumunun ve ekonomilerinin teknolojiye bağımlılığının yanı sıra son zamanlardaki gün içi işlemlere artan yoğun ilgiyi göz önüne bulundurursak, bu konudaki endişelerin giderek artması ve yazılım uygulamalarındaki güvenlik boşluklarıyla ilgili soruların oluşması oldukça doğaldır. Borsa işleri yapanlar dahil olmak üzere kuruluşlar ve kişiler bu konuda sürekli olarak dikkatli davranmalı ve çeşitli siber tehditlerin farkında olmalıdır.
Son zamanlarda, borsa ve aracılık hizmetlerinde sıklıkla görünen kesintiler başka bir sorunu daha ortaya koyuyor: hizmet kesintisi. Bu kesinti, teknik bir hatadan dolayı meydana gelse de, finans alanındaki kişileri ve kuruluşları etkiliyor. Genel olarak bu konu toplumun çok fazla ilgisini çekmese de her gün milyarca doların el değiştirdiği platformlardaki ticareti sekteye uğratan olaylar yatırımcıların güvenini sarsabilir ve ülkelerin ekonomisini olumsuz yönde etkileyebilir. Aslında ticaret teknolojilerine ulaşılabilirliği sağlamanın önemini 2018 yılında belirtmiştim ancak yıllar içinde bu alanda çok fazla gelişme olmadığını görüyoruz.
Verilere ve sistemlere ulaşılabilirliğin yanı sıra bu verilerin gizliliğini ve bütünlüğünü sağlamak, değerli CIA üçlüsünün (gizlilik, bütünlük, ulaşılabilirlik) temel taşlarını oluşturur. Bu kavram, kuruluşların veri güvenliği sağlama konusundaki çabalarına yön veren ilkelerin merkezinde yer alır. Ulaşılabilirlik sorunları sektörden sektöre, varlıktan varlığa farklılık gösterir, ancak açıkça belirtmek gerekirse küçük bir sosyal medya analiz platformuna erişim sağlayamamak ile şirketinizin Kurumsal Kaynak Planlama (ERP) uygulamasına giriş yaparken sorun yaşamak aynı şey değildir.
Borsanın arkasındaki teknolojinin sağlam, hatasız ve normal koşullarda asla çökmeyecek bir teknoloji olduğunu düşünürüz. Ancak 2020 yılında bu düşüncemizin yanlış olduğunu gördük. Geçtiğimiz yıl başlıca borsa ve aracılık hizmetlerinin sistemlerini ayakta tutmak ve çalışmaya devam etmek için ne kadar zorlandığına bir göz atalım.
Borsa kesintileri
Tokyo Borsası (TSE)
1 Ekim Perşembe günü Tokyo Borsası alım satım seansı tüm gün boyunca kesintiye uğradı. Tokyo Borsası, neredeyse 6 trilyon dolarlık toplam piyasa değeri ile dünyanın en büyük üçüncü borsasıdır. Kesintinin nedeni, hisse senedi alım satım sistemindeki ve otomatik yedekleme sistemindeki bir donanım hatası olarak gösterildi. Arka arkaya iki hata. Yine de Tokyo borsası bir sonraki gün işlemlerine kaldığı yerden devam etti.
Bu sistem doğal afetlere karşı bile dayanıklı olduğunu kanıtlamıştı. 2011 yılındaki büyük bir depremden ve tsunamiden sonra bile sorun yaşamamıştı. Ancak bu, Arrowhead ticaret sisteminin bir hatayla karşılaştığı ilk durum değildi.
5 Kasım’da, Tokyo Borsası’nın sahibi olan Japan Exchange Group sistemin yükseltildiğini belirten bir basın açıklaması yaptı. Bu güncelleme ile daha fazla ulaşılabilirlik ve hız sağlanması planlanıyor.
Bu sistemlerin, içeriden veya bir dış satıcı tarafından düzenli olarak test edilip edilmediğini veya bunun basit bir talihsizlikten ibaret mi olduğunu merak ediyorum. Yanlış gün? Yanlış zaman? Kim bilir...
Meksika Borsası (BMV)
9 Ekim’de Meksika’nın en eski borsasındaki alım satım seansı, alım satım emirlerini işlemek için kullanılan sistemdeki işlemsel sorunlardan ötürü gün ortasında kesintiye uğradı. Borsa, kesintinin nedeni olarak teknoloji sağlayan şirketin bağlantıyı yanlışlıkla kesmesini gösterdi. Bu tür sorunlarda Hizmet Seviyesi Anlaşmaların (SLA) önemli bir role sahip olduğunu belirtmeliyim.
Teknoloji sağlam olmasına ve Genel BT Kontrolleri düzenli bir şekilde yapılıyor olmasına rağmen insanlar farkında olmadan hata yapabilir. Ticaret, bir sonraki pazartesi tüm platformların normal çalışmaya dönmesiyle kaldığı yerden devam etti.
Yine Ekim ayında Avrupa’daki bazı başlıca borsalarda da kesinti sorunu yaşandı.
Aracı darboğazı
Piyasanın açıldığı ve kapandığı saatler (09:30-16:00 EST) piyasadaki yoğunluğun en çok görüldüğü, en önemli saatlerdir. Bu saatlerde alım ve satım işlemleri oldukça yoğundur, emirler aynı API uç noktalara gönderilir ve aynı sunucular aynı anda kullanılır.
Farklı aracılık şirketlerinden binlerce kullanıcı internet, mobil ve masaüstü ticaret platformlarında ulaşılabilirlik sorunu yaşadığını bildirdi. Öfkeli kullanıcılar, doğru fiyattan hisse senedi alamadığını veya satamadığını belirtti. Kaçan fırsatlarla birlikte milyonlarca dolar kaybedildi.
Bence aracı şirketlerin bu şekildeki özensiz davranışlarıyla ilgili düzenlemeler getirilmelidir.
Aracıların ulaşılabilirlikle ilgili sorun yaşaması
COVID-19 pandemisiyle birlikte kullanıcı sayılarında inanılmaz bir artış olması nedeniyle birçok aracı açılış ve kapanış saatlerinde ulaşılabilirlikle ilgili sorun yaşıyor.
En popüler platformlardan biri olan Robinhood, 2020 Mart ayında çöktü:
https://twitter.com/AskRobinhood/status/1237016846282280961
Aralık ayında Robinhood bir kesinti daha yaşadı. Aynı sorunu Interactive Brokers da yaşadı:
https://twitter.com/IBKR/status/1335966052430344195
Diğer birçok aracılık şirketi de ulaşılabilirlik sorunu bildirdi. Daha birçok kişinin bu teknoloji “hastalığından” muzdarip oluğuna eminim. Örneğin, TD Ameritrade 2019 Ekim ayında Charles Schwab ile birleştiğini açıkladığından beri birçok ulaşılabilirlik sorunu yaşıyor. TD Ameritrade Thinkorswim kullanıcısı olarak, 2019 yılında mobil ve masaüstü platformlarında sıklıkla hoş olmayan sorunlar yaşadım. Bazı günler platformlarına hiç giriş yapamazken, bazen de yalnızca masaüstü uygulamadan alım satım yapabildim. Bildiğim kadarıyla, kimlik doğrulama ve çizelge sunucularında ulaşılabilirlik sorunları var.
https://twitter.com/TDAmeritrade/status/1325833399706202120
Ancak bu konuda beni düşündüren birkaç nokta var. Şirket birleşmesi 2019 Ekim ayında duyuruldu ve pandemi 2020’nin ilk aylarında ortaya çıktı.
· TD Ameritrade, Charles Schwab şirketiyle birleşeceğini bildiği için ulaşılabilirlik sorunuyla ilgili şikayetleri görmezden mi geldi?
· BT, kullanıcı tabanının pandemide artacağını tahmin ederek darboğaz sorunlarından kaçınmak için ölçeklenebilirlik ile ilgili bir şeyler yapma konusunda başarısız mı oldu?
· Charles Schwab, TD Ameritrade’in teknolojisine gereken özeni göstermedi mi?
· Charles Schwab yeni kullanıcı tabanını mutlu etmek için teknolojiye daha fazla yatırım yapacak mı?
Robinhood şirketinin müşteri hizmetleri neden hiçbir şey yapmadı?
Teknoloji ve süreçler kendi kendine çalışamaz, her ikisi de iş hedeflerine ulaşmak için insana ihtiyaç duyar.
Peki, birçok Robinhood kullanıcı hesabı ele geçirildiğinde ve iletişime geçecek hiç kimse olmadığında ne oldu? Ekim ayının ilk haftasında saldırganlar bazı Robinhood kullanıcı hesaplarını hedef aldı ve bu hesapları boşalttı. Bunu, Robinhood hesaplarıyla ilişkili e-posta hesaplarına yetki dışı erişim sağlama ve ticaret hesaplarını yeniden etkinleştirmek için sahte kimlik bilgileri kullanma gibi birçok bilgisayar hilesi ile başardılar. Aracı şirketin acil durum veya müşteri hizmetleri telefon numarası olmadığı için kurbanlar ne yapacaklarını bilemedi. Paralarının ortadan kayboluşunu izlemekten başka bir şey ellerinden gelmedi.
Robinhood bu durumun kendilerinden kaynaklı bir sızıntı veya siber saldırı olmadığını, son kullanıcıdan kaynaklı olduğunu belirtti. Durumdan etkilenen bazı kullanıcılar SEC ve FINRA ile iletişime geçti ancak bu kuruluşlar yorumda bulunmak istemedi.
Anafikir
· Güvenlik söz konusu olduğunda, gizlilik ve bütünlüğün yanı sıra ulaşılabilirlik de çok önemlidir. Ulaşılabilirlik, finans teknolojilerinin zayıf noktasıdır; ulaşılabilirlik ile ilgili bir sorun olması durumunda büyük miktarda para kaybedilebilir.
· Borsalar ve aracılık şirketleri, ölçeklenebilirliklerini ve sağlamlıklarını halen geliştirmeye çalışıyor. Bu alanlara daha fazla yatırım yapmalılar.
· Aracı şirketlerin ulaşılabilirliğiyle ilgili daha fazla düzenleme getirilmelidir.
· Son kullanıcılar, alım satım saatlerinde yaşadıkları sorunları çözmek için aracı şirketler ile temas halinde olmalıdır. Aracı şirketler, hangi platformların ticaret için ulaşılabilir olduğuyla ilgili bilgi paylaşımında bulunabilir.
Sonsöz: Büyük bir DDoS senaryosu düşünün
Bu platformların normal koşullar altında çöktüğünü varsayalım; kötü niyetli kişiler aracı şirketlerin ve borsaların altyapılarına büyük miktarlarda veri göndermeye başlarsa ne olur? Bu altyapılar, bu saldırıları göğüsleyebilecek ve normal şekilde çalışmaya devam edebilecek kadar sağlam mı? Önümüzdeki birkaç yılda bu sorunun cevabını alacağımıza eminim.
Okuduğunuz için teşekkürler!
Alejandro Hernández (@nitr0usmx)
Editörün notu: Bu makalede ifade edilen düşünceler yazara aittir, WeLiveSecurity.com ve ESET’in düşüncelerini yansıtmaz.