İngiltere Merkez Bankası’nın CBEST siber güvenlik değerlendirme programı, finansal kuruluşların temel siber güvenlik uygulamaları konusunda başarısız olduğunu ortaya çıkardı.
Uzun rapor, finans şirketlerinin siber güvenlik başarısızlıklarının ne kadar yaygın olduğunu belirtmiyor ancak kritik öneme sahip finansal hizmetler sektöründe temel siber güvenlik kontrollerinin eksikliği endişe verici.
“CBEST teması”, finansal firmalara ve finansal piyasa altyapılarına (FMI’lar) yönelik 13 CBEST değerlendirmesine ve penetrasyon testlerine dayanmaktadır. Rapor, yama uygulama ve sağlamlaştırma, kimlik ve erişim kontrolü, algılama, şifreleme, ağ güvenliği, olaylara müdahale ve çalışanların eğitimi gibi alanlardaki başarısızlıkları ayrıntılarıyla anlatıyor.
BoE raporunda, “Güçlü siber hijyeni sürdürmek tek seferlik bir uygulama değil, riskleri azaltmak ve dayanıklılığı güçlendirmek için sürekli bir çabadır” dedi. “Günümüzün gelişen tehdit ortamında, taktiksel düzeltmeler tek başına yetersizdir. Hızlı iyileştirme, acil güvenlik açıklarını giderebilirken, çoğu zaman altta yatan zayıflıkları ele alınmadan bırakır.”
Raporda kuruluşlara, zayıf varlık yönetimi, zayıf kimlik ve erişim kontrolleri veya yetersiz üçüncü taraf gözetimi gibi tekrarlanan güvenlik açıklarına yol açabilecek siber risklerin ve sistemik boşlukların altında yatan nedenleri dikkate almaları yönünde çağrıda bulunuldu. Raporda, “Bu temel sorunların ele alınması, geçici yamalar yerine sürdürülebilir güvenlik iyileştirmeleri yaratacaktır” denildi.
Finans Firmalarının Siber Güvenliğine Yönelik BoE Tavsiyeleri
BoE raporu, üçü teknik kontroller, biri tespit ve müdahale ve biri personel kültürü, farkındalığı ve eğitimine odaklanan beş siber güvenlik alanını kapsayan bulgu ve tavsiyeleri içeriyor.
Ayrıca dört geniş tavsiye içeriyordu:
- Yama eklemek, yapılandırmak ve sağlamlaştırmak bunlardan biriydi. Raporda, “Şirketler ve FMI’lar, ciddi siber saldırı olasılığını azaltmak için, güvenlik açıklarını yamalamak ve önemli uygulamaları güvenli bir şekilde yapılandırmak da dahil olmak üzere işletim sistemlerini güçlendirmeye çalışmalıdır.” ifadesine yer verildi.
- Güçlü kimlik bilgisi yönetimi ve parolalar, çok faktörlü kimlik doğrulama (MFA), güvenli kimlik bilgileri depolama ve ağ bölümleme, hassas sistemlere ve bilgilere yetkisiz erişimin önlenmesine yardımcı olabilir.
- Etkili tespit ve izleme ile uyarı ve yanıt süreçleri “siber saldırıların etkisini azaltmanın anahtarıdır.”
- Uygun gözetim ile risk bazlı iyileştirme planları, “zafiyetler de dahil olmak üzere teknik bulguların başarılı bir şekilde iyileştirilmesini sağlayacaktır.”
Raporun tamamı ayrıca Birleşik Krallık Ulusal Siber Güvenlik Merkezi’nin (NCSC) ayrıntılı tavsiyelerini de içeriyor.
Finansal Siber Güvenlik Zayıflıkları Ayrıntılı
Altyapı ve veri güvenliği alanında, CBEST değerlendirmeleri altyapı güvenliği, varlık yönetimi ve uygulama güvenliğinde zayıflıklar buldu. Bulgular şunları içeriyordu:
- Tutarsız yapılandırılmış uç noktalar ve yeterince sağlamlaştırılmamış veya yama uygulanmamış sistemler
- Kullanımda olmayan verilerde şifreleme eksikliği
Kimlik yönetimi ve erişim kontrolü zayıflıkları arasında güçlü şifre standartlarının ve güvenli şifre depolamanın zayıf uygulanması, aşırı izin veren erişim kontrolleri ve yönetici ve hizmet hesapları üzerindeki yetersiz kısıtlamalar yer alıyordu.
Tespit ve müdahaledeki zayıflıklar arasında, uç nokta tespiti ve müdahalesi için kötü ayarlanmış izleme veya uyarı ve veri sızması yer alıyordu.
Ağ izleme zayıflıkları arasında, saldırganların görünürde meşru trafikte kötü niyetli faaliyetleri gizlemesi veya izlenmeyen cihazlardan giden bağlantıyı etkinleştirmesi gibi tehditlere karşı yetersiz trafik denetimi yer alıyordu.
Ağ güvenliği zayıflıkları arasında, kritik varlıklar arasında ve geliştirme ve üretim ortamları arasında bölümlendirme gibi yetersiz ağ bölümlendirmesi ve en az ayrıcalık ilkelerinin yetersiz uygulanması yer alıyordu.
Personel kültürü, farkındalık ve eğitim zayıflıkları şunları içermektedir:
- Sosyal mühendislik taktiklerine duyarlı personelin, kimlik bilgilerine veya sistem erişimine yönelik simüle edilmiş saldırılara karşı savunmasız olma olasılığı daha yüksekti
- Kullanıcılar kimlik bilgilerini düzenli olarak elektronik tablolar veya açık dosya paylaşımları gibi korumasız konumlarda saklıyor
- Yardım masalarına yönelik, kullanıcıların kimlik doğrulamasının sınırlı olması veya kimlik doğrulamasının yapılmaması gibi güvenli olmayan protokoller
BoE raporunda, “Bazı saldırganların karmaşıklığı göz önüne alındığında, firmaların ve FMI’ların yalnızca koruyucu kontrollere güvenmek yerine ihlalleri etkili bir şekilde ele almaya hazırlıklı olmaları önemlidir.” ifadesine yer verildi. “Teknik önlemlerin yanı sıra personel kültürü, farkındalık ve eğitim konularında da zorluklar gözlemlemeye devam ediyoruz ve teknik önlemlerin tek başına yeterli olmadığının altını çiziyoruz.”
Tehdit İstihbaratı Programları da Değerlendirildi
CBEST değerlendirmeleri ayrıca “siber tehdit istihbarat yönetimi alanlarında bir dizi olgunluk” tespit etti. Tehdit İstihbaratı Operasyonları öz değerlendirmelerde en güçlü alan olurken, Program Planlama ve Gereksinimler öz değerlendirmede en düşük puanı aldı.
BoE, “Bu, günlük tehdit istihbaratı operasyonlarının etkili olmasına rağmen, stratejik planlama, gereksinimlerin tanımlanması, yönetişim çerçevelerinin oluşturulması ve uzun vadeli yeteneklerin haritalandırılması gibi temel unsurların daha az gelişmiş olduğunu gösteriyor” dedi. “Sonuç olarak firmalar ve FMI’lar, üretilen istihbarat ile gerçek iş veya operasyonel ihtiyaçları arasında bir kopukluk yaşayabilir, bu da potansiyel olarak kaynakların verimsiz tahsisine ve tehdit istihbarat programlarının ölçeklendirilmesinde veya geliştirilmesinde zorluklara yol açabilir.”