Finans ve Bankacılık, Sektöre Özel, Güvenlik Operasyonları
ECB Denetleme Kurulu Üyesi, “İyileştirmeye Yer Var” Diyor
Akşaya Asokan (asokan_akshaya) •
29 Temmuz 2024
Avrupa Merkez Bankası, bankacılık sektörü için ilk kez gerçekleştirilen siber stres testinin sonunda, Avrupa bankacılık sektörünün siber saldırılara karşı üst düzeyde hazırlıklı olduğunu ancak kurtarma kabiliyetlerinde “geliştirme alanı” bulunduğunu söyledi.
Ayrıca bakınız: Belirsiz Zamanlarda Bankalar İçin 5 Siber Güvenlik Temeli
Avrupa bankacılık denetçisi Ocak ayında finans sektörünün siber kesintilere dayanma yeteneğini belirlemek için testi başlattı. Kurum, Avrupa’daki farklı iş ve coğrafi alanlarda faaliyet gösteren 109 bankanın katılımını talep etti (bkz: Avrupa Merkez Bankası Bankaları Siber Stres Testinden Geçirecek).
Avrupa Merkez Bankası (ECB) Denetim Kurulu üyesi Anneli Tuominen, Cuma günü yaptığı açıklamada, “Stres testinin sonuçları aydınlatıcı nitelikte olup, bankaların üst düzey yanıt ve kurtarma çerçevelerine sahip olmalarına rağmen, hâlâ iyileştirmeye yer olduğunu gösterdi.” dedi.
Merkez bankası tarafından belirlenen zayıflıklar arasında en kötü senaryolarda kurtarma yetenekleri de yer alıyor. Bankalar “müşteri varlıklarını ve müşteri verilerini korumak, bankacılık sistemine güveni sürdürmek ve nihayetinde finansal istikrarı korumak için kurtarma hedeflerine ulaşabilmelerini” sağlamalılar, dedi Tuominen. Test, bankaların siber saldırıları önleme yeteneklerini araştırmadı. Bankaların yirmi sekizi ek testlerden geçti.
Danışmanlık firması KPMG’nin katılımcıların bir alt kümesine yönelik analizi, birçok bankanın kurtarma süresi son tarihlerini karşılayamadığını gösteriyor. KPMG, bankaların genellikle süreçleri ve sistemleri düzenli olarak test ettiğini ancak çoğu kurumun teknik ve bankacılık süreçlerini aynı anda test etmediğini söyledi. İş süreçlerinin ve ilişkili BT varlıklarının merkezi envanterlerinin eksikliğine işaret etti.
KPMG, bankaların servis sağlayıcılara “güçlü bir bağımlılığı” olduğunu söyledi – bu sorun, 19 Temmuz’da siber güvenlik sağlayıcısı CrowdStrike tarafından Windows bilgisayarlara gönderilen kötü bir güncellemenin yol açtığı küresel bir BT kesintisinin ardından son günlerde siber dayanıklılık endişelerinin ön saflarına yükseldi. İsviçre merkezli UBS ve Deutsche Bank, olaydan etkilenen Avrupa finans kuruluşları arasındaydı (bkz: CrowdStrike Kesintisi Kayıpları Sağlık ve Bankacılık Sektörünü Sert Vuracak).
Avrupa düzenleyicisi, Rusya’nın Ukrayna’ya karşı giriştiği fetih savaşının Avrupa’nın kritik altyapılarına yönelik siber saldırılarla sonuçlanabileceği endişeleri arasında Mart 2023’te siber stres testi planlarını duyurdu. Avrupa Yatırım Bankası aylar sonra iki web sitesini erişilemez hale getiren dağıtılmış bir hizmet reddi saldırısı yaşadı. Merkezi Lüksemburg Şehri’nde bulunan EIB, Avrupa Birliği’nin kalkınma bankasıdır. Olay, Rusça konuşan bilgisayar korsanlarının Batılı finans kuruluşlarını hedef alma niyetlerini ifade etmelerinden kısa bir süre sonra meydana geldi (bkz: İhlal Özeti: EIB Kesintinin Siber Saldırıdan Kaynaklandığını Doğruladı).
ECB, testten elde edilen bilgileri yıllık 2024 denetim inceleme ve değerlendirme sürecine dahil edecek. Tuominen, “Siber dayanıklılık stres testinden elde edilen içgörülere dayanarak gelecekte siber risk konusunda benzer çalışmalar yapmak istiyoruz” dedi.