APAC Bankacılık Sektörü Büyüyen Tedarik Zinciri Saldırılarına Karşı

3. taraf risk yönetimi, siber suç, sahtekarlık yönetimi ve siber suç

Bankalar, savunmasız yazılım tedarik zincirlerini güvence altına almayı tavsiye etti

Jayant Chakravarti (@Jayjay_tech) •
14 Nisan 2025

DBS Bank ve Bank of China’s Singapur Bölümü’nün maruz kaldığı son yüksek profilli ihlaller, Asya-Pasifik Bankacılık ve Finansal Hizmetler sektörünün üçüncü taraf yazılım sağlayıcıları ve teknoloji satıcılarıyla bağımlılığı ve birbirine bağlılığı ile ilgili artan güvenlik açıklarını ortaya çıkarmıştır.

Ayrıca bakınız: Güvenli Erişim Yeniden Tanımlandı: VPN Vs. Ztna

Singapur’un DBS Bank Pazartesi günü yaptığı açıklamada, baskı satıcısı Toppan Next Tech’in, bilgisayar korsanlarına finansal tablolara ve yaklaşık 8.200 müşterinin mektuplarına erişmesini sağlayan bir fidye yazılımı saldırısı yaşadığını duyurdu. DBS Bank tarafından baskı amacıyla TNT’ye gönderilen mektuplar, müşterilerin adlarını ve posta adreslerini ve DBS Vickers ve nakit kredileri altında tutulan hisse senetlerinin ayrıntılarını içeriyordu.

Çarşamba günü, Bank of Çin’in Singapur Bölümü, baskı satıcısını etkileyen bir fidye yazılımı olayı da yaklaşık 3.000 müşterinin adını, posta adresini ve bazı durumlarda kredi hesap numaralarını tehlikeye attı. Bank of Bank, “Hiçbir işlem bankacılığı bilgisi veya olayda müşteri giriş bilgileri gibi kimlik bilgileri etkilenmedi. Hesaplarınız güvenli ve tamamen operasyonel kalıyor.” Dedi.

Singapur’un en büyük iki bankasını etkileyen fidye yazılımı olayı, finansal kurumların tedarik zinciri risklerine karşı güvenlik açıklarını ve üçüncü taraf satıcıları müşterilerin kişisel ve finansal bilgilerine eriştiklerinde potansiyel etkiyi ortaya koydu.

Derecelendirme Ajansı S&P Global, üçüncü taraf ihlallerinin Asya-Pasifik finans kurumları için en acil risk kaynakları olduğunu söyledi, bu da yetenekli siber güvenlik işçilerinin büyük bir kıtlığı ile daha da karmaşıklaştı.

Şirket, “Teknoloji geliştikçe, risk yönetimi uygulamaları ayakta kalmazsa başarılı saldırılar olasılığı da öyle.” Dedi. “Saldırganlar zayıflık alanlarını belirlemeye odaklanacaklar. Bankalar için risk, kendileri siberriskleri düzgün bir şekilde azaltamayan üçüncü taraflarla etkileşimlerinden kaynaklanabilir.”

Derecelendirme ajansı, tedarik zinciri riskleri nedeniyle Asya-Pasifik finans kurumlarının maruz kaldığı son büyük ölçekli ihlalleri belirtti. Latitude Group Holdings, saldırganlar üçüncü taraf bir satıcı aracılığıyla sistemlerine erişim kazandıktan sonra 14 milyon müşteri veri kaydı yaşadı. Avustralya’nın Medibank’ı, saldırganların 2022’de Medibank bir üçüncü taraf BT hizmetleri sağlayıcısından Medibank giriş bilgileri çaldıktan sonra 9.7 milyon Avustralyalı’nın kişisel bilgilerini ihlal etti.

Sağlam savunmalara ihtiyaç

Siber güvenlik şirketi CheckMarx’ın CXDustico başkanı Tzachi Zornstein, bankaların yazılım tedarik zinciri saldırılarına karşı oldukça savunmasız olduklarını, bilgisayar korsanlarının kötü niyetli açık kaynak paketlerine ve bankalardaki saldırıları yönetmek ve değiştirmek için giderek daha fazla gözetleme komuta ve kontrol çerçevelerine güvendiğini söyledi. Yapı düzeyinde güvenlik açığı taramasının, ihlalleri iyileştirmek için yetersiz olduğunu söyledi. Bankalar, yazılım geliştirme yaşam döngüsünün her aşamasında güvenliği sağlamak için proaktif, entegre güvenlik mimarisini benimsemelidir.

Hindistan hükümetinin bilgisayar acil müdahale ekibi, BFSI sektörü için dijital tehdit raporunda temel bankacılık operasyonlarına yönelik tedarik zinciri saldırılarını da vurguladı. Rapor, kötü niyetli aktörlerin, meşru bankacılık uygulamalarına kötü amaçlı kod enjekte etmeleri ve verileri pes ettirmeleri için rutin olarak yazılım satıcılarını ve üçüncü taraf kütüphane sağlayıcılarını tehlikeye attığı konusunda uyardı.

Bilgisayar korsanları ayrıca kimlik avı saldırılarını geliştirici hesaplarını tehlikeye atmak ve bunları yaygın olarak kullanılan uygulamaların kaynak koduna erişmek ve enjekte etmek için kullanırlar. Gelişmiş gizleme teknikleri, bilgisayar korsanlarının otomatik ve manuel güvenlik incelemeleri sırasında algılamadan kaçınmasını sağlar.

Cert-In, “Başka bir taktik, GitHub veya Pypi gibi platformlarda meşru kütüphaneler olarak gizlenen kötü niyetli kütüphanelerin yayınlanmasını içeriyor. Geliştirici güveni kazanmak için teşvik edilen bu kütüphaneler, bilmeden projelere entegre edilmiş, güvenlik açıkları veya arka kapılar getiriyor.” Dedi.

Ajans, BFSI sektörü veri ihlallerinin çoğunun zayıf erişim kontrolleri, çok faktörlü kimlik doğrulama eksikliği, gecikmiş güvenlik yamaları, bulut yanlış yapılandırmaları ve ayrıcalıklı hesapların yanlış yönetimi gibi yönetilebilir güvenlik açıklarından kaynaklandığını söyledi.

Kuruluş, “Son araştırmalar, ağlara sızmak için güvenlik açıklarından yararlanan istismarlarda% 180 artışı vurgulamaktadır. İnternete maruz kalan sistemler, kapatılmamış yazılım ve yanlış yapılandırılmış hizmetler, giriş noktaları arayan saldırganlar için düşük asılı meyve sunmaktadır.” Dedi. Diğer önde gelen saldırı vektörleri, mfa’nın kaba kuvvet saldırıları veya oturum kaçırma yoluyla atlanması ve kırık nesne seviyesi kimlik doğrulama mekanizmalarından yararlanarak tek seferlik şifre korumasını atlamak yer alır.

Maruz kalma yönetimi eksikliği

2024 yılında Tenable tarafından yapılan araştırmalar, Güneydoğu Asya’nın en iyi bankacılık, finansal hizmetler ve sigorta şirketlerinin, sömürüye karşı savunmasız olan en az 26.500 potansiyel internete bakan varlığa sahip olduğunu ve önemli bir maruz kalma yönetimi eksikliğini ortaya koyduğunu buldu.

Bu maruz kalan bu varlıkların çoğu, hassas verileri ortaya çıkaran, şifrelenmemiş verilere sahip olan ve kötü niyetli aktörlere yetkisiz erişim elde etme, tehlike oluşturma veri bütünlüğü ve lansmanlı siber saldırıları başlatma fırsatı veren savunmasız API V3 uygulamalarına sahip olan eski TLS 1.0 güvenlik protokolünü destekledi.

Tenable APJ Kıdemli Başkan Yardımcısı Nigel NG, “Bu kuruluşlar, maruziyet yönetimine öncelik vererek, dijital varlıklarını daha iyi koruyabilir, müşteri güvenini koruyabilir ve operasyonlarının giderek daha düşmanca bir dijital ortamda esnekliğini sağlayabilir.” Dedi.

Asya’daki finansal düzenleyiciler artık bankaları ve finansal kurumları potansiyel güvenlik risklerini belirlemek ve ihlalleri önlemek için katı satıcı kontrolleri ve denetimleri yapmaya çağırıyor. Avustralya Bankacılık Düzenleyicisi APRA, düzenlenmiş kuruluşların en azından siber güvenlik tehditlerine dayanmak için temel önleme, tespit ve müdahale kabiliyetine sahip olmalarını sağlamak için bankalar ve sigorta şirketleri için CPS 230 operasyonel risk yönetimi yönergeleri yayınladı (bkz: Avustralya bankaları, sigorta şirketleri güvenlik değerlendirmeleri yapmalıdır).

Avustralya ödemelerinin yanı sıra Baş Bilgi Güvenliği Görevlisi Cody Kieltyka, BFSI sektörü kuruluşlarının tedarik zinciri risklerini, satıcıların anketleri doldurmasını veya ISO sertifikalarını göstermesini istemek gibi geleneksel yöntemler olarak tanımlamak için daha gelişmiş tespit ve önleme yöntemlerini benimsemesi gerektiğini söyledi.

Ayrıca, bankalara ve finans kurumlarına, satıcılarının ihlalleri ve zayıf noktaları tanımlamak için makine öğrenimi kullanıp kullanmadığını ve her bir paydaş için olay müdahale planlarını ve bireysel sorumlulukları tebeşirlemek için satıcılarla etkileşim kurmak için makine öğrenimi kullanmalarını sağlamak için karanlık web izleme yapmalarını tavsiye eder.