OPET Bilgi Teknolojileri Direktörü Barış Gündüz: “DİNAMİK TEST YAPIYORUZ”

“OPET olarak akaryakıt dağıtım sektöründe teknolojiyi en iyi kullanan markayız. Opet Mobil, Otobilim, Bayi Operasyon Sistemi müşterilerimize sunduğumuz dijital kanallarımız… Opet Mobil uygulamamızın 2,5 milyondan fazla kullanıcısı bulunuyor. Bu nedenle mobil uygulamalar ve güvenliği bizim için en önemli konular arasında yer alıyor. Olası siber tehdit ve riskler, tüm markalar için önemli bir prestij kaybına neden olacağından biz de bu riskleri en aza indirmek üzere çok sıkı önlemler alıyor, güvenli kodlama prensiplerini uygulamaya çalışıyoruz. Bu amaçla Koç Holding’in standartları ve deneyimlerle iyileştirilmiş güvenli kod geliştirme politikamız var. Tüm prosedürü tedarikçilerimize uyarlıyor ve mutlaka sözleşmelerimizde de belirtiyoruz. Bunun yanı sıra dinamik uygulama güvenlik testi dediğimiz metodu da uyguluyor, gerekli testleri gerçekleştirerek statik kod analizi de yapıyoruz. Öte yandan verileri şifrelemek için en geçerli yöntemleri kullanıyor, SSL pinning yapıyoruz. Aynı zamanda kimlik doğrulama mekanizmalarında limitler koyarak OTP kullanıyor ve OAuth 2.0 standartlarına uygun olarak ‘bearer token’ uyguluyoruz. Penetrasyon testi, güvenlik taraması, dinamik uygulama testini de düzenli olarak yapıyor, güvenlik zafiyeti bulduğumuzda da gidermek üzere güncellemeleri devreye alıyoruz.

Takip için ise hali hazırda standart yöntemlerimiz mevcut. Loglarımızı SIEM ürünleri üzerinden ve 7×24 SOC hizmetimiz üzerinden takip ederken anormallik gözlenmesi durumunda alarm, gereken durumlarda da analist bilgilendirmesi alıyoruz. Onun dışında Application Insights tarzı ürünler ile yine fazla login veya login girişimi varsa anında tespit edebiliyoruz. API güvenliğini de aynı şekilde sağlıyoruz ve OWASP Mobile Top 10’e uymaya çalışıyoruz. Penetrasyon testini hem devreye almadan önce hem de devreye aldıktan sonra düzenli olarak gerçekleştiriyoruz. Diğer taraftan da iki farklı kaynaktan Red Team hizmeti de alıyoruz. Bu noktada Red Team; bir şekilde bizden habersiz girip, tersine mühendislikle ya da çeşitli yöntemlerle uygulamalarımızı test ediyor. Tüm bu proses, sürekli iyileştirmelerle bu konudaki öncü kimliğimizi korumamıza destek oluyor.”