Finansal güvenlik açısından endişe verici bir gelişme olarak American Express, müşterilerinin kredi kartı bilgilerinin bir veri ihlali nedeniyle ele geçirildiğini duyurdu. İhlalin bir üçüncü taraf hizmet sağlayıcısı aracılığıyla meydana gelmesi, büyük şirketleri etkileyen bir dizi finansal veri güvenliği ihlali arasında önemli bir olaya işaret ediyor.
İhlal: Daha Yakından Bir Bakış
Amex ihlali, Massachusetts eyaletine gönderilen ve American Express'in kendi sistemlerinin doğrudan tehlikeye atılmadığını ortaya koyan bir bildirimde açıklandı. Bunun yerine güvenlik açığı, şirketin seyahat hizmetleri bölümü American Express Seyahatle İlgili Hizmetler Şirketi tarafından kullanılan bir hizmet sağlayıcıdan kaynaklandı. Risk altındaki bilgiler arasında American Express kart hesap numaraları, adları ve son kullanma tarihleri yer almaktadır. Birden fazla American Express kredi kartının ihlale maruz kaldığı (ve “Kredi kartı verilerim sızdırıldı mı?” diye merak eden) müşterilere, şirketten tekrar temasa geçmeleri tavsiye edildi.
Yanıt ve Öneriler
American Express, etkilenen müşterilere önümüzdeki 12 ila 24 ay boyunca hesaplarını dolandırıcılık faaliyetlerine karşı dikkatli bir şekilde izlemeleri ve gerçek zamanlı hesap etkinliği güncellemeleri için American Express Mobile uygulamasındaki bildirimleri etkinleştirmeleri konusunda çağrıda bulundu. Şirket, müşterilerine hesaplarında tespit edilen dolandırıcılık suçlamalarından sorumlu tutulmayacakları konusunda güvence verdi.
Sektör Genelindeki Endişeler
Bu veri ihlali, Bank of America'da üçüncü taraf sağlayıcı Infosys McCamish Systems'e yapılan fidye yazılımı saldırısının en az 57.028 müşteriyi etkilediği benzer bir olayın ardından geldi. Bu ihlaller, finans sektöründeki üçüncü taraf satıcı güvenliğine ilişkin artan endişelerin altını çiziyor.
Temel Sorunlar
Amex ihlalinin tespitine ve uzlaşmanın boyutuna ilişkin ayrıntıların bulunmaması eleştiri konusu oldu. Sektör profesyonelleri, veri ihlallerini etkili bir şekilde tespit etmek ve bunlara yanıt vermek için üçüncü taraf sağlayıcılar arasında daha iyi kayıt tutma ve izleme yeteneklerine olan ihtiyacın altını çiziyor. Bu olay, bir satıcının güvenlik açıklarının tedarik zincirindeki birden fazla tarafı etkileyebildiği daha geniş bir sorun olan “n'inci taraf” riskini vurgulamaktadır.
İleriye Doğru
Uzmanlar, üçüncü taraf riskini azaltmak için, katılım sırasında sıkı bir inceleme, sözleşmelerde ihlale yanıt sorumluluklarının belirlenmesi ve veri maskeleme gibi en iyi uygulamaların benimsenmesi de dahil olmak üzere çok yönlü bir yaklaşımı savunuyor. Amaç, erişim riskini en aza indirmek ve üçüncü taraf ortakların yüksek veri güvenliği standartlarına uymasını sağlamaktır.
KnowBe4 Veri Odaklı Savunma Evangelisti Roger Grimes şu yorumu yaptı: “Başarılı bir şekilde saldırıya uğrayan ve daha sonra çok daha büyük bir veri ihlaline neden olan hizmet sağlayıcıların sorunu oldukça yaygındır. Gerçekten bir sisteme erişimi olan herkes bilgisayar korsanları için bir giriş noktası haline gelir. Bu nedenle tüm hizmetlerin, kimin ne tür erişime sahip olduğunun envanterini düzenli olarak tutması ve önerilen güvenlik kurallarına uyduklarından emin olması gerekir. Ayrıca, büyük miktarda veri olağandışı bir şekilde hareket etmeye başladığında incelenebilmesi ve yetkisiz olması durumunda mümkün olan en kısa sürede durdurulabilmesi için veri izlemenin de zararı olmaz.”
Çözüm
American Express veri ihlali, finansal kurumların karmaşık tedarik zincirlerinde mevcut olan güvenlik açıklarının çarpıcı bir hatırlatıcısıdır. Siber tehditler gelişmeye devam ettikçe, kuruluşların gelişmiş veri güvenliği yeteneklerine yatırım yapması, sağlam erişim kontrollerini uygulaması ve veri risklerini proaktif olarak azaltması giderek daha önemli hale geliyor. Finans sektörü, hassas müşteri bilgilerini yetkisiz erişime karşı korumak ve dijital çağda operasyonlarının bütünlüğünü sağlamak için bu çabalara öncelik vermelidir.