Satori’nin Baş Bilim Adamı Ben Herzberg tarafından
Dış piyasa verilerine göre 2022 yılında finans sektörü DDoS saldırıları tarafından en çok saldırıya uğrayan sektör olurken, tüm saldırıların sayısı sürekli artıyor. Finansal hizmetler endüstrisindeki bir veri ihlalinin maliyeti genellikle yaklaşık 5,85 milyon ABD dolarıdır ve tüm saldırıların yüzde onu finansal ihlallerdir.
Bazı finans kuruluşlarının buluta geçişe ayak uydurmak için hâlâ yardıma ihtiyacı var ve sayısı giderek artan siber yasalar bu sorunlara yardımcı olmuyor. Öte yandan, finansal hizmetler sektöründe oltalama saldırıları hakim olmaya devam ediyor ve şirketler, sosyal medya odaklı yeni saldırılarla başa çıkmakta zorlanıyor.
Bu sektördeki firmaların birçok güvenlik kaygısı olduğunu rahatlıkla söyleyebiliriz. Bu konulara ciddi bir şekilde yaklaşmazlarsa işletmelerine zarar verebilir ve hatta yok edebilirler. İşte finans sektörünün dikkat etmesi gereken en büyük tehditlerden bazıları.
2023’te finans sektörü için en büyük siber tehditler neler?
Finansal sistem bozulduğunda tüm ekonomiyi etkiler. 2023’te şekillenecek ve ciddi zorluklara dönüşecek yeni trendler görüyoruz. Yeni olsun ya da olmasın, şirketler operasyonel kalabilmek için bu tehditlerle mücadele etmeli ve bunlarla başa çıkmalıdır.
- Kontrolsüz müşteri verileri
Şirketler, büyük hacimli müşteri verilerini toplamak ve bunlara erişmek için çeşitli teknolojiler kullanır. Bu veriler genellikle müşteri PII’si ve PHI gibi hassas bilgileri içerir. Ne yazık ki, genellikle sorumsuzca kullanılır, sızdırılır ve yetkisiz üçüncü şahıslar tarafından erişilir.
Diğer bir sorun ise, şirketlerin bu tür müşteri verilerini kullanmak için uyumluluk gereksinimlerini (GDPR gibi) genellikle karşılayamaması ve yasal sorunlar yaşaması veya bu gereksinimleri karşılamak için çok fazla kaynak harcamasıdır.
Hassas müşteri bilgilerini toplamak, iki ucu keskin bir kılıçtır. Bir yandan analitiği besleyebilir, müşteri deneyimini iyileştirebilir ve kişiselleştirilmiş hizmet sağlamaya yardımcı olabilir. Öte yandan, en önemli güvenlik sorumluluğunuz haline gelebilir.
Bunu göz önünde bulundurarak, finans sektörünün müşteri verilerini daha etkili bir şekilde koruyabilmesinin bazı yolları şunlardır:
- Tüm müşteri veri erişiminin izlendiğinden ve günlüğe kaydedildiğinden emin olun
- Açık ve belirleyici veri erişimi ve güvenlik politikalarına sahip olduğunuzdan emin olun
- Erişim ilkelerini tüm veri erişiminde uygula
- Kalıcı olarak gerekli olmayan erişimin yalnızca gereken süre için verildiğinden emin olun
- Hassas verilerinizin nerede olduğunu bildiğinizden emin olun ve güvenliğine hassas olmayan verilere göre öncelik verin.
- Fidye yazılımı tehditleri
Fidye yazılımı saldırıları, bankacılık müşterilerini bilgisayarlarından kilitler ve onları kötü amaçlı yazılımlarla şifreler. Kurbanlar daha sonra saldırganlar tarafından para veya bilgi için zorla alınır. Çoğu durumda, cihazlarına veya hesaplarına tekrar erişemezler.
Bu nedenle finans kurumları, çalışanlarını sürekli olarak eğitmeli ve e-postalar ve sosyal medya için makine akıllı güvenlik sistemlerini benimsemelidir.
Güvenlik eğitimine yatırım yapın
Sürekli eğitim, herkesin tetikte olmasını ve en son saldırı türleri hakkında güncel bilgi sahibi olmasını sağlar. Uygun eğitime sahip kişiler, bir tuzağa düşmemek için kötü amaçlı e-postaları, sosyal medya mesajlarını ve bağlantıları tespit edebilir.
Akıllı güvenlik çözümlerini benimseyin
Makine akıllı sistemler, şüpheli mesajları, e-postaları ve kuruluşları engelleyebilir ve işaretleyebilir. Bağlamı, örgütsel davranışları, iletişim ilişkilerini anlarlar ve bu anlayışı normların dışında kalan mesajları tespit etmek için kullanırlar.
Bu sistemler iletişimleri profiller. Örneğin, makine öğrenimi sistemleri müşterilerin gönderdiği gerçek sorular, şikayetler, sorunlar veya sorular hakkında bilgi edinebilir. Müşterilerin nasıl iletişim kurduklarına, hangi kelimeleri kullandıklarına ve mesajlarına neleri dahil ettiklerine dair bir model oluşturabilirler.
Algoritmalar kullanan akıllı sistemler, profile uymayan kimlik avı mesajlarını daha sonra tanıyabilir. Ayrıca zararlı bağlantıları tanıyabilir ve mesajları potansiyel saldırılar olarak işaretleyebilirler.
- Daha geniş bir siber saldırı kapsamı
Küresel finansal sistem için daha iyi koruma sağlamak bir önceliktir. Finans firmaları, kurumlar, teknoloji şirketleri ve devlet kurumları, tehdit merkezli bir yaklaşım oluşturmak için uluslararası alanda birlikte çalışmalıdır.
Tehdit merkezli bir yaklaşım, mali sekreter içinde tehditler hakkında bilgi edinebilen ve güvenlik stratejilerini ayarlayabilen bir güvenlik çerçevesi oluşturmak anlamına gelir. Ancak bunu etkili bir şekilde yapmak için hükümet, teknoloji şirketleri ve finans şirketleri dahil olmak üzere ilgili tüm tarafların birlikte çalışması gerekir.
Örneğin, SQL enjeksiyonları önemli finansal tehditleri kolaylaştırır ve 2021’de WordPress, bir eklenti nedeniyle 600.000’den fazla sitenin bu tehdide karşı savunmasız olduğunu ortaya çıkardı. Bu finans sektörünün doğrudan sorumlu olduğu bir şey değil.
Yine de kuruluşların stratejilerini paylaşmak, küresel riskler hakkında bilgi edinmek ve zaten uygulanmış çözümler bulmak için sektör, hükümet aktörleri, teknoloji şirketleri ve finans yetkilileri ile ilişkiler kurması gerekiyor.
- Sosyal mühendislik
Sosyal mühendislik, insanların gizli bilgi veya para göndermelerini sağlamak için davranışsal tekniklere dayanan siber saldırıları ifade eder. FI şirket temsilcileri genellikle nakit çekmek için kullanılan hassas bilgiler için hedef alınır.
Sosyal mühendislik saldırıları, birinin güvenine ve iyi niyetine dayanır ve insanların aşağıdakileri tanımak için eğitime ihtiyacı vardır:
- Görünür bir sebep olmadan bir şey yapmaya zorlandıklarında (yanıt vermeden önce ilgili tüm gerçekleri ve kaynakları kontrol edin)
- Olağandışı URL’ler veya ekler
- Olağandışı bir şey isteyen mesajlar
- Beklenmeyen mesajlar
Kimlik doğrulama
Öte yandan finans sektörü, müşterilerin kimliklerini kanıtlamalarını gerektiren doğrulama adımlarını dahil ederek güvenliği güçlendirebilir. Verileri devlet veritabanları ve kredi büroları gibi resmi kaynaklardan aldıkları için müşteri bilgilerini doğrulamak için kimlik doğrulama çözümleri uygulanabilir.
Bu, şirketlerin müşterilerin gerçek bilgi sağlayıp sağlamadığını anlamasını sağlar. Aynı zamanda, tarama yazılımı, yeni başlayan müşterileri çeşitli sorularla araştırmak için kullanılabilir.
Sistem, sorularını analiz eder ve müşterilerin bir işlem yapmasına (bir işlem yapmasına veya bir hesap oluşturmasına) izin verilip verilmeyeceğine karar verir. Bu çözümler, bir işlem gerçekten gerçekleştiğinde gerçek zamanlı tarama için de kullanılabilir.
Ancak finans kurumlarının, ihtiyaç duydukları araçları tam olarak sağlayabilecek fintech şirketleriyle ortaklık kurması hayati önem taşıyor.
- Mobil cihazlar
Mobil bankacılık, günümüzde pek çok kişinin keyif aldığı harika bir kolaylık, ancak aynı zamanda birçok güvenlik riskini de beraberinde getiriyor. Bu riskler sürekli artıyor ve Android akıllı telefonlardaki kötü amaçlı yazılım tehditlerinde %80’lik bir artış gördük ve bu da mobil güvenliğin ne kadar önemli olduğunu gösteriyor.
Bu nedenle, bankalar ve diğer finans kurumları olası sorunları tespit etmek için mobil uygulamalarını sürekli olarak test etmelidir. Aynı zamanda, çok faktörlü kimlik doğrulama, veri şifreleme, güvenli kod ve güvenli iletişim gibi ek veri güvenliği özelliklerine sahip olmalıdırlar.
Bankalar ayrıca bağlamsal kimlik doğrulamayı, davranışları hesaba katan akıllı araçları ve işlemler veya girişler gibi olayları çevreleyen bağlamı kullanabilir. Bu araçlar çok sayıda veriyi inceler ve otomatikleştirilmiş güvenlik protokollerini tetikleyen bir risk puanı sunmak için bir algoritma kullanır.
- Bulut tabanlı saldırılar
Bulut sistemleri, çok sayıda hassas iş verisi içerdiklerinden başka bir büyük güvenlik yükümlülüğüdür. Bu sistemleri korumak aslında finansal kuruluşların değil, hizmet sağlayıcılarının elindedir.
Bu nedenle finans kuruluşları, mükemmel güvenlik takip kayıtlarına ve hiçbir zararın meydana gelmemesini sağlayacak stratejilere sahip güvenilir ortaklar bulmak için gerekli özeni göstermelidir. Bunu şu şekilde yapabilirsiniz:
- Güvenliklerinin ISO-27018, ISO-27001, ISO-27002, ISO-27017 ve ISO 27001:2013 dahil olmak üzere standartlara uygun olup olmadığının kontrol edilmesi;
- MFA, CIFA veya gerçek zamanlı kimlik izleme gibi kimlik ve kimlik doğrulama kontrollerini kontrol etme
- SLA’larında güvenlik, destek ve bakımı ana hatlarıyla belirtip belirtmediklerini görmek;
- Depolama ve veri merkezi konumlarını kontrol etme
- PCI-DSS ve EUGDP yönetmeliklerine uygun olup olmadıklarının kontrol edilmesi
- Bir siber güvenlik uzmanıyla altyapılarında sızma testi yapmak.
- Artan tedarik zinciri saldırıları riski
Tedarik zinciri saldırıları, tüm tedarik zinciri için hayati araçlar veya hizmetler sunan satıcıları hedefler. Tüm kullanıcılarını etkilemek için satıcı uygulamalarına kötü amaçlı kod enjekte ederler. Yazılım tedarik zincirleri özellikle savunmasızdır çünkü modern programlar API’ler, özel kod ve açık kaynak kodu gibi önceden hazırlanmış bileşenler kullanılarak yazılır.
Finansal kuruluşların kendilerini bu saldırılara karşı korumak için Sıfır Güven Mimarisi oluşturmaları gerekiyor. Oluşturulan bu yapıyla, tüm dijital etkileşim aşamaları doğrulanır ve doğrulanır, bu da saldırganların diğer hizmetler aracılığıyla bilgileri ihlal etmesini çok daha zorlaştırır.
Kuruluşlar ayrıca Privileged Access Management’ı da içerebilir çünkü bu süreç erişimi olan tüm kullanıcıları kontrol eder ve izler. Erişim kontrolü, öncelikle suçlular zaten bir sistem içindeki hesapları hedef aldığında çok önemlidir.
- Defi ve kripto para birimi
Giderek daha fazla finansal hizmet, kripto işlemlerini içeriyor ve bu, kripto meraklıları için iyi bir haber olsa da, bu hizmetler birçok risk taşıyor. DeFi projeleri, sistemleri zaman içinde güvenli hale getirilip test edilmediğinden genellikle dahili risklere sahiptir.
En yaygın dahili siber güvenlik risklerinden bazıları şunlardır:
- Yönetim tavizleri (güçlerini kötüye kullanan bireyler veya ekipler)
- Hatalı iş mantığı
- Üçüncü taraf protokolünün kötüye kullanılması
- Kodlama hataları
Kripto hırsızlığına, kimlik hırsızlığına, kişisel bilgi sızıntısına vb. yol açabilecek tüm bunlar, kuruluşları deneyimli geliştiricilerle çalışarak güvenli DeFi protokolleri oluşturmaya zorlayabilir.
Bir savunma stratejisi oluşturun
Bankalar ve diğer finansal kurumlar, hem iş verilerinin hem de müşteri verilerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini (CIA) koruyan güvenlik kontrollerini yasal olarak sürdürmekle yükümlüdür, çünkü bu saldırılar potansiyel olarak oldukça büyük, yaygın mali ve itibar kayıplarına neden olabilir.
Finans sektörü, dijital dönüşüm sonuçlarını korumaya, siber güvenlik yeteneklerini genişletmeye ve bir güvenlik iş gücü oluşturmaya odaklanmalıdır.
Kuruluşunuzu birkaç basit önlemle güvence altına almak artık mümkün olmadığından, bankalar, finans kurumları, yatırım şirketleri ve diğer kuruluşlar artık deneyimli profesyonellerin öncülük ettiği kapsamlı güvenlik stratejilerine ihtiyaç duyuyor.
yazar hakkında
Ben Herzberg, Satori’nin Baş Bilim Adamıdır. Uç nokta güvenliği, analitik ve uygulama ve veri güvenliği konularında geçmişi olan deneyimli bir teknoloji lideri ve kitap yazarıdır. Ben, Cynet CTO’su ve Imperva’da Tehdit Araştırma Direktörü gibi roller üstlendi. Ben, DataSecOps platformu Satori’nin Baş Bilim Adamıdır.
Ben Herzberg’e çevrimiçi olarak https://www.linkedin.com/in/sysadmin/ adresinden ve şirketimizin web sitesi https://satoricyber.com/ adresinden ulaşılabilir.