Finans ve Bankacılık, Yönetişim ve Risk Yönetimi, Sektöre Özel
109 Banka Siber Dayanıklılığı Değerlendirmek İçin Simüle Edilmiş Siber Saldırılara Katılacak
Akşaya Asokan (asokan_akshaya) •
2 Ocak 2024
Avrupa Merkez Bankası bu aydan itibaren bankaların siber saldırılara karşı dayanıklılıklarını belirlemek için siber stres testleri gerçekleştirecek. Kurum, Avrupa’daki 109 bankanın 2024 ortasına kadar güvenlik açığı değerlendirmeleri ve olay müdahale değerlendirmeleri gerçekleştirmesini talep ediyor.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Her testte bankacılık düzenleyicisi, iş operasyonlarını olumsuz yönde etkileyebilecek yıkıcı bir siber saldırıyı simüle edecek. Merkez bankası daha sonra finans kuruluşunun saldırıya nasıl tepki verdiğini, saldırıdan nasıl kurtulduğunu ve normal işlerine ne kadar hızlı döndüğünü izleyecek.
ECB denetleme kurulu üyesi Anneli Tuominen Kasım ayında yaptığı açıklamada, “Asıl amacımız bankaların zayıf noktalarını tespit etmek” dedi. “Ayrıca test sonuçlarına göre onlara geri bildirimde bulunmayı planlıyoruz – örneğin, kuruluş genelinde siber hijyen için endüstri standartlarının uygulanması ihtiyacı hakkında.”
Düzenleyici kurum, Rusya’nın Ukrayna’yı işgalinin yarattığı yeni siber tehditlerin Avrupa’nın kritik altyapısını sekteye uğratabileceği yönündeki endişelerin ortasında Mart 2023’te siber stres testi planlarını duyurdu. ECB, Ukrayna’nın işgalinden bu yana, Avrupa hükümeti ve özel sektör kuruluşlarının üçüncü taraf hizmet sağlayıcılarını hedef alan hizmet reddi saldırıları ve fidye yazılımı saldırılarında ani bir artış yaşadığını söyledi (bkz: Avrupa Merkez Bankası Bankalara Siber Stres Testi Yapacak ).
Avrupa çapında faaliyet gösteren ve siber stres testine tabi tutulacak tahmini 109 bankadan 28’inin gelişmiş bir teste katılması gerekiyor.
Testler, bankaların belgesel kanıt üretmesini gerektiren anketleri ve güvenlik açığı tespiti ve bilgi paylaşımı uygulamalarına ilişkin alıştırmaları içeriyor.
ECB, bankaların yanı sıra finansal kuruluşların üçüncü taraf hizmet sağlayıcılarının siber hijyen gereksinimlerini de değerlendirecek.
Tuominen, “Bankalar bazı BT süreçlerini dış kaynak kullanarak maliyetten tasarruf etmeye çalışıyor ancak bu her zaman sağlam risk yönetimiyle uyumlu olmuyor” dedi. “Bankalar aynı zamanda dış kaynak kullanımının getirdiği riskleri de anlamalıdır.”
Her ne kadar Avrupalı finans kuruluşları, Rusya-Ukrayna savaşına bağlı olarak artan saldırı hacminden büyük ölçüde etkilenmemiş olsa da, ECB tarafından yakın zamanda yapılan bir değerlendirme, bankaların zayıf varlık yönetimine sahip olmaya devam ettiğini ve bu durumun onları hacklenmeye açık hale getirdiğini ortaya çıkardı.
Ajans, bankaların siber olay raporlamasında bir düşüş, zayıf kimlik ve erişim yönetimi ve zayıf veri yönetimi sorunları gösterdiğini söyledi. Ayrıca, zayıf yazılım yönetiminin 2022’de ciddi kesintilere yol açtığı da tespit edildi.
Tuominen, tatbikatın bankaların potansiyel güvenlik açıklarını tespit etmelerine ve “her an gerçekleşebilecek başarılı bir saldırıya” daha iyi hazırlanmalarına yardımcı olacağını söyledi.