Finansal hizmetler kuruluşlarının 17 Ocak2025 son tarihini Avrupa Birliği’nin Dijital Operasyonel Dayanıklılık Yasası’na (DORA) uygun olmasını reddetmesi benim için şaşırtıcı değil. Şahsen bu son tarihin gerçekçi olduğunu düşünen bir CIO veya CISO ile tanışmadım.
Ocak ayında bile, Orange CyberDefense’den yapılan araştırmalar, sektördeki katılımcıların% 43’ünün son tarihe uygun olmayacaklarını itiraf ettiğini gördü. Mart ayında Clear Junction, finansal hizmetler kuruluşlarının% 86’sının tam olarak uyumlu olmadığını ve daha endişe verici bir şekilde Skillcast’in DORA hazırlık raporunun bu kurumların BT altyapılarının esnekliğinde büyük bir değişiklik gösterdiğini ortaya koydu. Bankacılık ve kredi altsayı, finansal işlem işleme alt sektörü siber tehditlere karşı en savunmasız olanıdır.
Bu son tarihin geldiğini bildiğimiz göz önüne alındığında, hazırlık söz konusu olduğunda neden böyle bir tutarsızlık?
Gerçek şu ki, siber güvenlik stratejileri her zaman hareketli hedeflerle ilgileniyor. Bugün, kuruluşunuz kendinizi güvende ve Dora’ya uygun hissedebilir, ancak yarın güvenlik açığı manzarası değişebilir. Her zaman yeni tehditler getirilir. Örneğin, tedarik zincirinde yeni güvenlik açıkları yaratabilecek yeni bir tedarikçi teknolojisi uygulayabilirsiniz veya düzenlemelerin kendileri değişebilir. İngiltere’de hala bu yıl bir noktada siber güvenlik ve esneklik faturasını bekliyoruz. Hükümet önerilerini açıkladı, ancak ne zaman yürürlüğe gireceği hala doğrulanacak.
Dora’yı bir fırsat olarak görüntüleyin
Gerçek şu ki, birçok şirket Dora uyumluluğunu oluşturmak için hangi önlemleri almaları gerektiğinden hala emin değiller ve maruz kalmanızı anlamak için BT altyapıları arasında önemli miktarda uyanıklık gerektiriyor.
Yaygın olarak gözden kaçan veya indirimli bir alan Java ortamıdır. Java, finans sektöründeki yazılım kodunun% 51’ini oluşturduğu göz önüne alındığında, şirketler Java uygulamalarına uygun bir husus verdiğinden emin olmalıdır, çünkü birçok uyum ve güvenlik riskinin uykuda olduğu yerdir. Azul’un 2025 Eyaleti Java Anketi ve Raporu, katılımcıların% 41’inin Java ekosistemlerinde haftalık veya günlük olarak kritik üretim güvenlik sorunlarıyla karşılaştığını ortaya koydu. Log4J olayından üç yıl sonra,% 49’u hala uzak Kod Yürütme (RCE) güvenlik açığından üretimde güvenlik zayıflıkları yaşıyor.
Finansal kurumlar, Java ayak izlerini ve üçüncü taraf sağlayıcılarının veya hizmetlerinin DORA düzenlemelerine uymasını sağlamalıdır. Sonuç olarak, algılama araçlarına yatırım yapmak ve ihlal sonrası yanıt hazırlığı, finansal firmalar ve müşterileri için ihlal maliyetlerini önemli ölçüde azaltmaya yardımcı olabilir. Birlikte, uyumluluk ve güvenliği sağlamak için uygulamalarıyla ilişkili risklerin bir envanterini almak zorunda kalacaklar.
Bu risk, kuruluşların Java’nın desteklenmeyen sürümlerini (ve açık Java geliştirme kiti (veya kısaca OpenJDK için altında yatan açık kaynak projesi) kullandıysa, Java üzerinde çalışan sistemler gibi yüksek düzenlenmiş endüstrilerde, çekirdek sistemlerinizin, özellikle desteklenmediğinden, regülasyonun, özellikle desteklenmediğine göre, yüksek düzeyde düzenlenmiş endüstrilerde, yüksek düzenlenmiş endüstrilerde, yüksek düzenlenmiş endüstrilerde, özellikle rasarasyona sahip değil.
Uygunluğu garanti etmek için, finansal hizmetler sektöründeki oyuncular bu beş sütunu ele almalıdır:
BİT Risk Yönetimi Garantisi: Desteklenmeyen OpenJDK dağıtımları, finansal kurumları eşleştirilmemiş güvenlik açıkları ve performans sorunları gibi önemli risklere maruz bırakabilir. Java uygulamalarının dirençli ve yönetim gereksinimlerine uygun kalmasını sağlamak için güvenlik yamaları sağlayabilen bir OpenJDK dağıtımına sahip olmak gerekir.
Olayları hızlı bir şekilde bildirin: Tüm OpenJDK dağıtımları, aynı zamanda güvenlik güncellemeleri ve kritik yama güncellemeleri (CPU’lar) sağlamaz ve uyumsuzluğa yol açabilecek bildirilmeyen ve fark edilmeyen olaylara yol açmaz. Endüstri oyuncuları, kendilerini üretimde güvenlik açıkları ve kullanılmayan veya ölü kodlar için sürekli izleme sağlayabilen araçlarla donatmalıdır. Bu, kuruluşların güvenlik açıklarını hızlı ve doğru bir şekilde tespit etmelerini, raporlamalarını ve düzeltmelerini sağlar.
Düzenli ve titiz penetrasyon ve güvenlik testleri gerçekleştirin: Java’nın eski veya savunmasız güncellemelerini kullanmak, üretim ortamlarını doğru bir şekilde yansıtmayabilir ve yanlış güvenlik varsayımlarına yol açabilir. Bu nedenle, Java 6 ve 7 gibi eski sürümler ve Finansal Kurumlar için güvenilir ve doğru test ortamlarını mümkün kılan Windows X86 32-bit gibi mimariler de dahil olmak üzere güncel ve test edilmiş Java dağılımlarına sahip olmak önemlidir.
Üçüncü taraf risk yönetimini güçlendirin. Üçüncü taraflarca desteklenmeyen açık jdk dağılımlarına bağlı olmak, güvenlik açıkları ve operasyonel başarısızlık riskini arttırır. Java’ya dayalı üçüncü taraf uygulamaların ve hizmetlerin en yüksek güvenlik ve performans standartlarını karşılamasını ve böylece üçüncü taraf risklerini azaltmasını sağlamak gerekir.
Siber tehditler hakkında bilgi paylaşmaya katılın. Desteklenmemiş OpenJDK dağıtımlarının kullanılması, güncellemeler ve güvenlik yamaları hakkında farkındalık eksikliğine neden olabilir, bu uygulamaları ve hizmetleri bilgi paylaşım zincirinde zayıf bir bağlantı haline getirebilir. Kuruluşlar, en son güvenlik açıklarının farkında olduklarından ve kolektif siber güvenlik esnekliğini artırmak için ilgili tehdit istihbaratını diğer kuruluşlarla paylaşabilmelerini sağlamalıdır.
Siber güvenlik bugün istikrarlı ve yüksek performanslı iş operasyonları için gereklidir. Güvenli bir Java dağılımı sağlayarak, derhal güvenlik açıklarını ele alarak ve Java ortamlarını sürekli olarak izleyerek, şirketler BT varlıklarının büyük bir bölümünü Dora uyumlu hale getirebilir ve siber saldırılara karşı esnekliklerini güçlendirebilirler.
James Johnston, Java uzmanı Azul’da EMEA başkan yardımcısıdır. Azul’un EMEA’daki yazılım gelirlerini büyütmekten sorumludur. Azul’a katılmadan önce James, Cloudera, Fujitsu ve HPE ile bir dizi liderlik pozisyonu aldı. James, UWE’den Business Studies alanında onur derecesine sahiptir.