[By Shai Gabay, CEO, Trustmi]
CISO'ları geceleri ayakta tutan şeylerin listesi yeterince uzun değilmiş gibi, finans ekiplerine ve iş ödeme süreçlerine yönelik siber saldırılar artık bir öncelik haline geldi çünkü bunlar kötü aktörlerin hedefinde.
2023 web yayınına göre anket Deloitte Center for Controllership™'e göre üst düzey yöneticilerin ve diğer yöneticilerin yüzde 48'inden fazlası, kuruluşlarının muhasebe ve finansal verilerini hedef alan siber olayların sayısının ve boyutunun önümüzdeki yılda artmasını bekliyor. Bu, CISO'ların dikkatini çeker.
Siber saldırıların artmasının bir nedeni, finans departmanlarının ve B2B ödeme süreçlerinin oldukça manuel ve dolayısıyla savunmasız olmasıdır. Buna ek olarak, finans ekipleri silolanmış bilgilere sahip farklı sistemlere güvenmeye devam ediyor ve bu da ödeme iş akışının tamamında görünürlük eksikliği yaratıyor. Bu ölümcül kombinasyon, kör noktaların ve insan hatalarının artmasına neden oluyor. Bu zorluk, ekiplerin düzenli olarak işlemesi gereken çok sayıda fatura ve ödeme nedeniyle zayıflayan ve bunalmış, yetersiz personele sahip finans ekipleriyle daha da artıyor.
Hepsini topladığınızda, ticari ödeme dolandırıcılığının potansiyel işaretlerini belirlemek samanlıkta iğne aramak gibidir. CISO'lar için mücadelenin en önemli kaynaklarından bazıları arasında İş E-postası Uzlaşması (BEC), satıcı tedarik zinciri saldırıları ve yapay zeka kullanımlarını artıran siber saldırganlar yer alıyor.
İşte bu alanların her birine bir bakış:
Ticari E-posta Güvenliği (BEC): BEC saldırıları bir süredir mevcuttur. FBI, BEC'i on yıldan fazla bir süre önce izlemeye başladı. Ancak günümüzde bu saldırıların odak noktası sadece fidye yazılımları ve veri hırsızlığı değil. Meşru satıcıları taklit ederek ve şirketlere sahte faturalar göndererek finans ekiplerini hedef alıyorlar. Bu çabaların amacı yasadışı mali kazanç sağlamaktır. 2022 FBI İnternet Suç Raporu şunları buldu:
-
FBI, saldırganların sahte banka ayrıntılarını doğrulamak için yasal iş telefon numaralarını taklit ettiğini tespit etti.
-
Buna göre araştırma FBI İnternet Suçları Şikayet Merkezi'nden yapılan bir araştırmaya göre, 2013-2022 yılları arasında iş e-postalarının ele geçirilmesi nedeniyle 50 milyar dolar kaybedildi.
Yapay Zeka: Tartışmasız, CISO'ların ve finans departmanının karşılaştığı en önemli güvenlik sorunu yapay zekadan kaynaklanıyor. Siber suçlular, göz açıp kapayıncaya kadar geçen bir sürede, yazılı, sesli ve görüntülü iletişim oluşturmak için yapay zekayı kullanıyor; öyle ikna edici ki, pek çok uzman, gerçeği sahte olandan ayıramıyor. Bu, kimlik avı kampanyasından chatbot konuşmalarına ve video konferans görüşmelerine kadar her şeyi içerir.
En güncel yüksek profilli örnek, bu yılın başlarında Hong Kong'da saldırganların, bir finans çalışanını 25 milyon dolarlık sahte banka havalesi yapması için kandırmak amacıyla bir video konferansta bir CFO'nun deepfake'ini kullanması olabilir. Daha yakın bir zamanda, Boston Red Sox'un sahibi olduğu TV ağının bir çalışanı, meşru bir satıcıdan sahte faturalar düzenlemekten suçlu bulundu. 500.000 doları çalmayı başardı.
Tedarik zinciri sorunları: Tedarik zinciri saldırıları bir süredir ortalıkta dolaşıyor ve en çok bilinen kurban SolarWinds oluyor. Ancak tedarik zinciri saldırılarının tümü aynı değildir. Günümüzde bazı saldırganlar, yazılım tedarik zincirine saldırmak ve kötü amaçlı yazılım yüklemek yerine, bir şirketin tedarikçi tedarik zincirinden yararlanıyor. Satıcı tedarik zincirleri son derece savunmasızdır çünkü üçüncü taraf satıcılar büyük şirketlerle aynı düzeyde güvenlikten yoksundur ve bu da onlardan yararlanmayı kolaylaştırır.
Satıcı daha büyük işletmeyle bütünleştikten sonra dolandırıcı, örneğin bir satıcının kimliğine bürünerek ve ödemeyi kendisine aktarmak için ödeme ayrıntılarını değiştirerek harekete geçer. Bu, tüm şirketlerin dikkatli olması gereken bir tehdittir. Yapılan araştırmaya göre Cyentia Enstitüsüortalama bir kuruluşun yaklaşık on üçüncü taraf ilişkisi vardır ve %98'inin ihlale maruz kalan en az bir üçüncü taraf ortağı vardır. Daha büyük işletmeler için satıcı sayısı yüz binlerce olabilir; bu, bu kurumsal kuruluşların güvenlik ihlali riskiyle karşı karşıya olan üçüncü taraf ortaklarla çalışmasına ilişkin daha büyük bir risk olduğu anlamına gelir.
Yapay Zeka ile Finansın Güvenliğini Sağlama
Bu tehditlerden herhangi biri işletmenizi etkilemediyse, bu muhtemelen yalnızca bir zaman meselesidir. CISO alet kemerinizde bulunması gereken en iyi araç yapay zekadır. Daha spesifik olarak, büyük miktarda veriyi gerçek zamanlı olarak analiz edebilen ve bu süreçte sahtekarlık tespit yeteneklerini sürekli olarak geliştirebilen bir yapay zeka sistemi. Günümüzde yapay zeka tabanlı analiz sistemleri, satıcı etkileşiminden ödemeye kadar sürecin tüm yönlerini izleyebilir ve analiz edebilir. Buradan, bu sistemler gerçek zamanlı risk ve güven puanları sağlayabilir, tutarsızlıkları veya anormallikleri tespit edebilir, potansiyel dolandırıcılık faaliyetleri için uyarılar gönderebilir ve kolay uygulamayı sağlamak için mevcut süreç içerisinde sorunsuz bir şekilde çalışabilir.
Tedarik zinciriyle ilgili olarak yapay zeka, ister 1 ister 100.000 satıcınız olsun, her satıcıyı verimli bir şekilde yönetip güvence altına alarak modası geçmiş manuel süreçlerin yerini alabilir. Buna dördüncü taraf satıcılar da dahildir.
Tüm satıcıları tanımlayabilen, yönetimlerine ilişkin tam görünürlük sağlayabilen, satıcı faaliyetlerini izleyebilen, izinlerini ve dahili sistemlere erişimlerini izleyip kontrol edebilen ve güvenlik uygulamalarını uygulayabilen çözümler arayın. Tedarikçi profillerini ve ödeme bilgilerindeki değişiklikleri yönetmenin yanı sıra yapay zeka sisteminizin, ilk katılım süreci de dahil olmak üzere tüm tedarik zinciri yaşam döngüsünü güvence altına alması hayati önem taşıyor. Tam tedarik zinciri koruması sağlamak için bu gereklidir.
Günümüzün CISO'su için tehditler asla bitmiyor. Saldırganlar hedef listelerini genişlettikçe, güvenlik ekiplerinin ister BEC, ister tedarikçi tedarik zinciri saldırısı, ister yapay zeka destekli derin sahte dolandırıcılık olsun, her birini tanımlamaya ve hafifletmeye hazır olması gerekir. İyi haber şu ki CISO'lar, hangi departman hedef alınırsa alınsın, şüpheli faaliyeti belirlemek ve onu yolunda durdurmak için yapay zekadan faydalanarak yangına ateşle karşılık verebilir.
Shai Rehberi Biyografisi
Vizyoner bir girişimci olan Shai Gabay, siber güvenlik ve fintech konularına her zaman derin bir tutku duymuştur ve kariyeri boyunca her iki alanda da uzmanlığını geliştirmiştir. Şu anda Shai, 2021'de İsrail'de kurulan önde gelen uçtan uca ödeme güvenliği platformu Trustmi'nin kurucu ortağı ve CEO'sudur. Trustmi'den önce Opera'da Genel Müdür, Cynet, CIO'da Ürün ve Hizmetlerden Sorumlu Başkan Yardımcısı olarak görev yaptı. Cyberbit'te ve İndirim Bankası'nda CISO'da.
Shai, Shenkar Koleji'nden yazılım mühendisliği alanında lisans derecesine ve ayrıca Tel Aviv Üniversitesi'nden İşletme ve Yönetim alanında yüksek lisans derecesine sahiptir. Ek olarak Shai, IDF'nin Elit Birimlerinin seçkin mezunlarına özel olarak tasarlanmış bir program olan Hoffman Kofman Vakfı'nın prestijli 1 yıllık tam burslu yönetici mükemmellik programına seçildi. Bu program sayesinde, ünlü küresel teknoloji şirketlerinin önde gelen kurucu ortakları ve liderleriyle ve seçkin üniversitelerdeki profesörlerle çalışma fırsatı buldu.
Reklam