6 Temmuz sabah saatlerinde Akbank'tan işlem yapmak isteyen kullanıcılar online site / POS / ATM'lerden hizmet alamadıklarını fark ettiler. Üstelik bunu sormak için aradıkları müşteri hizmetleri ve banka şubelerinin telefonları da cevap vermiyordu[1].
Çeşitli "fidye saldırısından, hacklenmeye" kadar uzayan yorumlar arasında iki tam iş günü geçti. Bu yazının yazıldığı 7 temmuz saat 20.00 itibariyle sistemler online tarafta hâlâ çalışmıyor.
Peki ne oldu?
Öncelikle Uğur Gürses'in aşağıdaki mesajını analım. Gerçekten de, dijital sistemlerin çökmesi bir yana Akbank'ın asıl çöken --insanları çıldırtan-- davranışı "halkla ilişkiler" konusundaki hatasıydı. Halkla ilişkiler bölümünün krizi yönetememesi, tatmin edici bir açıklama yapmayı düşünememesi ve hatta daha kötüsü şubelerinin ve müşteri hizmetlerinin kullanıcılara cevap vermeyişi ile Akbank sınıfta kaldı.
Dün boyunca çalışmayan ve herkesin çeşitli yorumlar yaptığı site için, Akbank'tan bugün sabah saatlerinde Twitter üzerinden şöyle bir açıklama ulaştı:
Bu açıklamada banka siber saldırıya uğramadığını belirtti. Ama neye uğradığını hâlâ söylemiş değil. Bu da yeni yorumlara sebep oldu. Örneğin, geçen cuma yaşanan ve daha çok küçük esnafın kullandığı bir yazılıma yapılan fidye saldırısı ile birleştirenler oldu.
Eh açıklamayı tatmin edici yapmazsanız, her türlü şey konuşulur. Bu da size itibar kaybettirir. Bu konularda açık olmak zararı azaltır. Yine zarar görürsünüz ama bir görürsünüz. Açıklama yapmamak tepkileri katlar ve mesela size 5'e mal olur.
Burada insanları paralarına ulaşamamak, işlemlerini yapamamak ya da kredi kartı kullanamamak sinirlendirdi ama daha fazla sinirlendiren ve de endişelendiren tatmin edici açıklamanın yapılmaması oldu.
Dün zaten bu konudaki bilgilerimizi paylaşmıştık[1]. Akbank'ın sistemlerinde bir veri tabanı (database) sorunu olduğu bilgisi geliyor. Bunu konuştuğumuz uzmanların hepsinin üzerinde birleştikleri cümle; "Yerlerinde olmak istemezdim" oldu. Duyumlarımıza göre, banka veri tabanı yedeklerden dönememiş.
Bankalar gibi önemli veriler işleyen kurumlarda, sistemler yedekli olur. Yani bir sorun çıktığında diğer yedekten devam ederler. Bunu anlık yaparlar. Örneğin banka Ankara, İzmir ve İstanbul'da sürekli replika alan sistemlerle çalışır. İstanbul sorun yaşarsa, Ankara aynı yerden devam eder. İstanbul geriye döndüğünde Ankara'daki işlemleri kopyalar ve yola devam ederler (bunu yapan bankalar var).
Ayrıca bu tür önemli verilere sahip kuruluşlar, "felaket planlaması" yaparlar. Yani yangın, deprem, vs. gibi nedenlerle sistemleri yok olduğunda, başka bir bölgede kurdukları sistemlerle kaldıkları yerden ve veri kaybetmeden devam etmeyi planlarlar. Bu planlarda çeşitli senaryolar bulunur. Bugün konuştuğum bir banka bilgi işlem yöneticisi şöyle dedi;
"Bizde senaryoların içinde, şubelerde eski usul kartonlarla işlemlere devam etmek bile var."
Yorumlara bakılırsa, Akbank'ın bu tür işleyişinde bir takım eksiklikler var. 2 gün sürecek arıza konusu bilişim uzmanlarına -bankacılık alanında çalışanlara sorduk- biraz tuhaf gelmiş.
Biz Akbank'a sorunun ne olduğunu sorduk. Ama cevap vermemeyi tercih ettiler. Konuya yakın uzmanların yorumları haklı gibi gözüküyor; sistemsel ve/veya yeteneksel sorunlar olduğu tartışılıyor.
Konuştuğum bazı uzmanlar, yedek alınan sunuculardaki versiyonların 1-2 eski olması gibi durumlar olabileceğini düşünüyorlar. Bu durumda çıkacak aksiliklerden bahsediyorlar. Başka deyişle, bilgi işlem merkezinin sürekli olarak her şeyi güncel tutması gerekirken, bunu yapmamış olma olasılığından bahsediliyor.
Başka bir sorunun da, gittikçe büyüyen veri dünyasında bankacılığın main frame (yani ana bilgisayar) çalıştırmasının sorun yaratabileceği şeklinde. Yeni nesil yönetim tarzına geçilmesi gerektiği konuşuluyor.
Olayın bir boyutu da IBM. Akbank'ın sistemi eski usul "main frame" ve veri tabanının DB2 olduğu biliniyor. Uzmanlara göre sorun veri tabanının çok büyük olması. Bir uzmana göre 120-150 TB'lık veri olabilir. Bu kadar büyük olunca da, bir hata olduğunda düzeltmek zorlaşıyor.
Sunucuların ve database'in üreticisi olan IBM firmasının bu sorunla ilgili olarak tedbirleri alıyor ve sorunu çözüyor olması gerekirdi. Hatta bir uzmanın sözleriyle:
"IBM Akbank'ta geceliyor olmalı."
Ama IBM eski IBM değil. Bir zamanların en önemli sunucu firması, internet dünyasına ayak uyduramadı. Sık sık hatalar görülüyor. En son temmuz başında Amerikalı şirket kendi mail sistemini taşırken büyük sorun yaşadı [2].
Şimdilerde küçülüyor. Hatta nisan ayında CEO olan Arvind Krishna, geçen ekim ayında yaptığı açıklamada şirketin 2'ye bölüneceğini, servis hizmetlerinin ayrı bir şirket olacağını, IBM adlı şirketin ise artık bulut ve yapay zekaya odaklanacağını açıkladı [3].
Akbank'ın 2 gün süren (yarın çalışır mı bilmeyiz ama 7 Temmuz gecesi henüz çalışmıyor) bu arızasının maliyeti hayli yüksek olacağa benziyor. Banka, bu gece ATM'lerin çalışmaya başladığını yine Twitter üzerinden duyurdu.
Web sitesinde ise arıza süresince bankaya ait geciken ödemelerden faiz alınmayacağına dair bir açıklama var;
Ancak olayın bir de 3. taraflara yapılacak ödemeler konusu var. Yani Akbank'taki paranız ile filanca firmaya, filanca kişiye para gönderecekseniz ve bunun için arıza olduğu tarihler, vade günleri ise bu sorunu kim, nasıl çözecek? Bunu da merak ediyoruz.
Bir yandan da BDDK'nın bu konuya yaklaşımını merak etmekteyiz.
Bu yazının özeti şu, IBM ve Akbank sınıfta kaldı. Sadece sistem arızası ile değil, aynı zamanda halkla ilişkiler açısından da.
[1] Akbank Online Şube ve ATM'ler Çalışmıyor
[2] IBM Şirket içi e-Posta Sistemi Geçişinde Bir Felaket Yaşamış