3. Taraf Risk Yönetimi , Bulut Güvenliği , Yönetişim ve Risk Yönetimi
Finansal Hizmetlerde Bulut Benimseme Arttı – Güvenlik Riski Var
Rashmi Ramesh (rashmiramesh_) •
4 Temmuz 2023
Ödemeler ve bulut güvenlik uzmanlarına göre, Amerika Birleşik Devletleri’ndeki neredeyse tüm finansal hizmet şirketleri bir tür bulut bilişim kullanıyor ve bunların yarısından fazlası geçen yıl tavizlerle karşı karşıya kaldı. Rezil Capital One ihlali ve son yıllarda Wiseasy ve AvidXchange’e yapılanlar gibi diğer saldırılar, bulut ortamlarının savunmasızlığını gösteriyor.
Ayrıca bakınız: Canlı Web Semineri | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
Bulut güvenliği, sektörler arasında bir zorluk olsa da, finansal hizmetler sektöründeki kuruluşlar, çoğu sektör için geçerli olmayan özel düzenleme, veri güvenliği ve gizlilik hususları nedeniyle benzersiz engellerle karşı karşıyadır.
Finansal Hizmetler Bilgi Paylaşımı ve Analiz Merkezi’nde CISO vekili Linda Betz, finansal kurumların büyük miktarda hassas bilgi tuttuklarını, bu nedenle korumalarını sürekli olarak uyarlamaları ve benzersiz bilgi işlem gereksinimleri oluşturmaları gerektiğini söyledi. Ayrıca, bulut sağlayıcıları gibi üçüncü taraf hizmetleri kurarken ve yönetirken katı özen gerektiren düzenleyici gerekliliklerle karşı karşıya olduklarını söyledi.
Ödeme Kartı Endüstrisi Veri Güvenliği Standardı, California Tüketici Gizliliği Yasası, Genel Veri Koruma Yönetmeliği ve Sarbanes Oxley Yasası gibi düzenlemeler, veri işleme, uygulama ve izleme yetenekleri için güvenlik kontrolleri gerektirir. Mali hizmet kuruluşlarının bu standartlara uygunluğu sağlamak ve bağlı kalmak için bulut altyapılarını ve yapılandırmalarını analiz edebilmesi gerekir.
Betz, “Birçok yönden, büyük bulut sağlayıcılarının güvenlik konusundaki karmaşıklığı, sektörün buluta geçerken daha güvenli olduğu anlamına geliyor” dedi.
Ancak dayanıklılık önemli bir konudur. Betz, finans sektörünün büyük ölçüde birkaç büyük bulut hizmeti sağlayıcısına bağımlı olduğunu ve bunun da yoğunlaşma riski yarattığını söyledi. “Bir büyük sağlayıcı kapanırsa, sektörün büyük bir kısmı etkilenebilir” dedi.
Cloud Security Alliance’a göre finansal hizmetler firmaları, %98’i bir çeşit bulut bilgi işlem kullanarak ve %59’u düzenlemeye tabi bankacılık bilgilerini bulut hizmetlerinde depolayarak veya işleyerek son birkaç yılda bulutu hızla benimsedi.
Cloud Security Alliance baş strateji sorumlusu Troy Leach, pandemi ve ardından gelen uzaktan çalışmayla birlikte, finans kurumlarının güvenlik kontrollerinde daha fazla güven sağlayabilen sorumlu bir teknoloji olarak bulut bilgi işlem konusunda daha rahat hale geldiğini söyledi. Ayrıca, ödeme sektörü için küresel standartlar ve sertifikasyon programları oluşturan PCI Güvenlik Standartları Konseyi’nin kurulmasına ve yönetilmesine yardımcı oldu.
Benimsemedeki baş döndürücü hız, iki sektörün örtüşen ancak benzersiz ihtiyaçlarını anlayan güvenlik uzmanlarının eksikliğine de neden oldu.
Siber güvenlik sektörü, varlığının çoğu için vasıflı güvenlik uzmanları sıkıntısı ile karşı karşıya kaldı. Betz, güvenliğin altyapıya entegre edilebilmesi ve merkezi bir yerde yönetilebilmesi nedeniyle bulut çözümlerinin bunu hafifletmeye yardımcı olduğunu söyledi.
“O zaman bile, finans kurumlarından üçüncü şahısların durum tespiti ve gözetimini yürütmeleri bekleniyor. Güvenliği karmaşık bir ortamda değerlendirme yeteneği, yüksek düzeyde beceri gerektiriyor ve bu, çok rağbet görmeye devam edecek” dedi.
Leach, çoklu bulut altyapısını dayanıklılık için zorlamak isteyen düzenleyici manzaraya ek olarak, ihtiyaç duyulan işçi hacmini karşılamak için mevcut personeli işe almanın ve yeniden eğitmenin de zor olduğunu söyledi. Bu, bir finans kuruluşunun farklı şekilde çalışan ve güvenlik varlıklarına farklı yaklaşımları olan birden fazla bulut hizmeti sağlayıcısını desteklemesi gerekebileceği anlamına gelir.
“Beklenti, bu kuruluşların bulut hizmetlerinin sunduğu bazı fayda ve verimlilikleri ortadan kaldıran, bulutun her yinelemesi için konu uzmanlarını işe almasıdır” dedi.
Leach, finansal kurumların, bu verilere erişimi etkileyebilecek teknolojiye ek olarak, finansal verileri yönetme konusunda da benzersiz bir beklentiyle karşı karşıya olduğunu söyledi.
“Yalnızca finansal hesaplara erişimi kısıtlama ve bilgileri gizli tutma zorluğu değil, aynı zamanda 30 yılı aşkın süredir var olan ve herhangi bir ticari bulut bilgi işlem konsepti olmadan ve çeşitli türlerden yararlanmadan önce oluşturulmuş eski yasalar da var. hizmetler bugün mevcut,” dedi Leach.
Hesap Verebilirlik Müzikal Koltuğu
Leach, bulut hizmeti sorumluluklarının yanlış anlaşılmasının günümüzün en yaygın güvenlik sorunu olduğunu söyledi. Bulut hizmetlerinde bildirilen veri ihlallerinin büyük bir çoğunluğunun, yanlış yapılandırmalardan veya kimin sorumlu olduğuna dair yetersiz anlayıştan kaynaklandığını söyledi.
Üçüncü taraf hizmetlerine ilişkin sorumluluk, her iki tarafça da belgelenmeli ve tamamen anlaşılmalıdır. “Örneğin, bulut mimarisinde var olan pek çok yerel güvenlik kontrolü var. Ancak bunlar etkinleştirilmediyse, bu bir spor arabaya sahip olmak, ancak onu yalnızca deri koltukları sevdiğiniz ve motoru asla döndürmediğiniz için kullanmanız gibi bir şey.” söz konusu.
Bulut hizmetleri birçok farklı şekilde sunulduğu için bu özellikle önemlidir.
Betz, her teklifin yapısının ve güvenliğin dahil edilip edilmediğinin, seçilen bulut hizmetinin yanı sıra firmanın özel ihtiyaçlarına bağlı olduğunu söyledi. Hizmet olarak yazılım genellikle güvenliği içerir, ancak hizmet olarak altyapı sağlayıcıları yalnızca çözümü korumak için yapı taşları sunabilir, dedi. Bir IaaS ortamında, bulut sağlayıcı genellikle yama yetenekleri gibi güvenliği temel altyapıya uygular, ancak finans kuruluşunun uygulamayı bulut platformu içinde hala güvence altına alması gerektiğini söyledi.
Leach, “Bulut hizmetlerinin güzelliği, gelişmiş özelleştirmeye sahip olma yeteneğinde yatmaktadır. Ancak güvenlik ekiplerinizin, güvenliği en iyi şekilde nasıl uygulayacaklarını anlamaları için iyi ve sürekli bulut güvenliği eğitimi almalarını da son derece önemli kılmaktadır” dedi.
Leach, paylaşılan güvenlik sorumluluğu modeliyle, beklenen güvenlik gereksinimlerinden hangilerinin hizmetlerinin doğasında mevcut olacağını, ek bir hizmetin veya BYOS’a müşteriden beklenenin, diğer adıyla Kendi Güvenliğinizi Getirin, değerlendirip tartışmasını sağlamalıdır, dedi.
Betz, platformun bir IaaS, SaaS veya platform olarak hizmet olarak kullanılması durumunda her ortağın sorumluluk düzeyinin değiştiğini söyledi.
IaaS, kurumun bulut çözümünün kurulumunda ve bakımında daha fazla güvenlik sorumluluğuna sahip olmasını gerektirirken, SaaS çözümleri bulut sağlayıcının daha fazla güvenlik sorumluluğuna sahip olmasını gerektirir. SaaS çözümleri ayrıca, çözüme dahil olan bir dördüncü taraf olduğu için daha fazla karmaşıklık yaratan bir bulut sağlayıcı üzerine kurulabilir. Sözleşmeler, sorumlulukların dağılımını belirlemek için kullanılır, dedi.
“Güvenlik sorumluluklarının sözleşmeye dayalı bölünmesine bakılmaksızın, düzenleyiciler, üçüncü taraf tedarikçiler aracılığıyla meydana gelen güvenlik olaylarından giderek artan bir şekilde finans kuruluşlarını sorumlu tutuyor” dedi.
Finans firmaları ayrıca tedarikçilerle ilgili itibar riskiyle karşı karşıyadır. Müşteriler, sözleşmeden doğan sorumlulukların ayrıntılarını bilmiyor veya umursamıyor – yalnızca paralarının ve verilerinin kurumlarında güvende olup olmadığını umursuyorlar, dedi. Betz, finansal kurumlardaki güvenlik, uyumluluk ve satın alma liderlerinin üçüncü taraf risk iştahlarını buna göre değerlendirmesi gerektiğini de sözlerine ekledi.
Uygulama Zorlukları
Daha önce şirketler, teknolojiyi eski iş uygulamalarına ve geleneksel, şirket içi ortamı tatmin edecek denetim yaklaşımlarına modernleştirmenin doğal acı noktalarıyla karşı karşıya kaldılar. Belgeleme ve her şeyin basit bir statik durumda veya günlük dosyasında olacağı beklentisi daha büyük bir zorluktu.
Ancak şimdi, günlük 100 zettabayttan fazla yeni veri oluşturduğumuzda – ChatGPT ve diğer üretken yapay zekanın hızla benimsenmesinden önce – doğal evrim, veri işleme hızını yönetmek için daha fazla otomasyondur, bu da düzenleyici bakış açısının değişmesi gerektiği anlamına gelir. Leach, sürecin değerlendirilmesine ve uygulamanın güvence altına alınmasına değişmez dedi.
Betz, düzenleyicilerin finans kuruluşlarını bulut hizmetlerinin kullanımı da dahil olmak üzere güvenlik risklerini anlamaktan ve yönetmekten sorumlu tuttuğunu söyledi. Riski azaltmak için, finansal kurumlar gerekli özeni göstermeli ve sürekli gözetim gerçekleştirmelidir. Örneğin, derinlemesine risk analizi yapmak için kurumların seçtikleri çözümlerin yazılım malzeme listesini anladıklarından emin olmaları gerekir, böylece yeni tanımlanan güvenlik açıklarını ele alabilirler, dedi.
Leach, ileriye dönük olarak, yeni düzenleyici gerekliliklerin, daha önce yönlendirme düzenleme yükümlülükleri olmayan bulut hizmeti sağlayıcılarının daha fazla incelenmesini gerektireceğini söyledi.
“Örneğin, Dijital Operasyonel Esneklik Yasası, Bilgi İletişim Teknolojisi sağlayıcısı tanımları kapsamında nitelendirilen bulut hizmeti sağlayıcısının tehdit odaklı sızma testini bekleyerek tedarik zinciri ve çözüm sağlayıcılarının rolü için yeni beklentiler sağlayacaktır” dedi. Benzer şekilde, yeni PCI DSS v4.0 gereksinimleri, “çok kiracılı hizmet sağlayıcılar” için benzer beklentileri ve bunların güvenlik açısından nasıl değerlendirilmesi gerektiğini içerir. Yetkili, bu gereksinimlerin her ikisinin de 2025’in ilk çeyreğinde yürürlüğe gireceğini söyledi.