[ This article was originally published here ]
Bu yazının içeriği tamamen yazarın sorumluluğundadır. AT&T, yazar tarafından bu makalede sağlanan görüşlerin, konumların veya bilgilerin hiçbirini benimsemez veya desteklemez.
Siber güvenlik, bilgisayarlar, ağlar, mobil cihazlar, sunucular, donanım, yazılım ve veriler (kişisel ve finansal) gibi bilgi teknolojisi (BT) altyapı varlıklarını saldırılara, ihlallere ve yetkisiz erişime karşı koruma uygulamasıdır. Gelişen teknoloji nedeniyle, tüm işletmelerin çoğu BT hizmetlerine güveniyor ve bu da siber güvenliği her işletmede BT altyapısının kritik bir parçası haline getiriyor.
Siber tehditlerin sayısı ve şiddeti her geçen gün artmaya devam ettiğinden, finans kurumlarında siber güvenliğin rolü çok önemlidir. Teknolojinin yaygın kullanımı ve elektronik olarak depolanan ve paylaşılan verilerin artan miktarıyla birlikte, finans kuruluşları gelişen tehditlere karşı korunmak için sağlam siber güvenlik önlemlerine sahip olduklarından emin olmalıdır.
Finansal kurumlar, kimlik avı saldırıları, kötü amaçlı yazılım, fidye yazılımı ve hizmet reddi () saldırıları dahil olmak üzere bir dizi siber güvenlik tehdidiyle karşı karşıyadır. Bu tehditler, hassas müşteri verilerinin (PII) çalınmasına, finansal dolandırıcılığa ve itibarın zarar görmesine neden olabilir. Bazen PII hırsızlığı da kimlik hırsızlığına yol açabilir.
Siber güvenlik önlemleri, veri ve sistemlerin gizliliğini, bütünlüğünü ve kullanılabilirliğini korumak için tasarlanmıştır. Gizlilik, hassas verileri korumak için şifreleme, erişim kontrolü vb. önlemler kullanılarak hassas bilgilerin yetkisiz ifşadan korunmasını ifade eder. Bütünlük, veri yedekleme, sistem izleme gibi siber güvenlik önlemleri kullanılarak verilerin manipüle edilmemesini veya bozulmamasını sağlamak için verilerin doğruluğunu ve eksiksizliğini ifade eder. Kullanılabilirlik, yetkili kullanıcıların felaket kurtarma planları gibi önlemler kullanarak her koşulda ihtiyaç duyulduğunda sistemlere ve verilere erişebilme yeteneğini ifade eder.
Daha ileri gitmeden ve finansal kurumların karşılaştığı çeşitli tehditleri tartışmadan önce, finansal kurumlardaki düzenleyici gerekliliklere ve endüstri standartlarına bakalım.
Finansal kurumların uyması gereken başlıca iki standart vardır:
PCI DSS: Ödeme Kartı Sektörü Veri Güvenliği Standardı, finansal verilerin (kart verilerinin) güvenli bir şekilde nasıl işleneceğini, saklanacağını ve iletileceğini tanımlayan, kart sahibi verilerini korumak için tasarlanmış bir dizi güvenlik ve uyumluluk gereksinimleridir. Bu standart, müşteri verilerini korumak için şifreleme, maskeleme, karma oluşturma ve diğer güvenli mekanizmaların kullanılmasını gerektirir. PCI-DSS dünya çapında yaygın olarak kabul edilmektedir.
GLBA: 1999 tarihli Finansal Modernizasyon Yasası olarak da bilinen Gramm-Leach-Bliley Yasası, finansal kurumların bilgi paylaşım uygulamalarını müşterilerine açıklamalarını ve hassas verileri korumalarını zorunlu kılan Amerika Birleşik Devletleri’ndeki bir federal yasadır.
PCI-DSS, GLBA’nın yanı sıra bazı ülkelerin, faaliyet gösterebilmek için finans kurumlarının da uyum sağlamasını gerektiren kendi gizlilik yasaları vardır. Mevzuat uyumluluğuna uyulmaması bazen finansal kurumlara cezalar getirebilir.
Bankaların karşılaştığı başlıca siber güvenlik tehditleri şunlardır:
• Kötü amaçlı yazılım- Kötü amaçlı yazılım veya kötü amaçlı yazılım, bir bilgisayara, ağa veya sunucuya kasıtlı olarak zarar veren herhangi bir program veya dosyadır. Dijital işlemler için kullanılan bilgisayar ve mobil cihazlar gibi müşteri cihazlarının güvenliğini sağlamak çok önemlidir. Bu cihazlardaki kötü amaçlı yazılımlar, ağa bağlandıklarında bir bankanın siber güvenliği için önemli bir risk oluşturabilir. Gizli veriler ağdan geçer ve kullanıcının cihazında uygun güvenlik olmadan kötü amaçlı yazılım varsa, bankanın ağı için ciddi bir tehlike oluşturabilir.
• E-dolandırıcılık- Kimlik avı, elektronik etkileşimde güvenilir bir kişi gibi saklanarak kötü amaçlı eylemler için kredi, banka kartı bilgileri vb. gizli, sınıflandırılmış verileri elde etmek anlamına gelir. Çevrimiçi bankacılık kimlik avı dolandırıcılıkları sürekli olarak gelişmiştir. Gerçek ve orijinal görünüyorlar, ancak erişim verilerinizi vermeniz için sizi kandırıyorlar.
• sahtekarlık- Kimlik sahtekarlığı, bir hedefin PII’sine (Kişisel Olarak Tanımlanabilir Bilgiler) erişim elde etmek, virüslü bağlantılar veya ekler aracılığıyla kötü amaçlı yazılım yaymak, ağ erişim kontrollerini atlamak veya bir hizmet reddi saldırısı gerçekleştirmek için trafiği yeniden dağıtmak için kullanılabilir. Kimlik sahtekarlığı, genellikle kötü bir aktörün gelişmiş kalıcı tehdit veya ortadaki adam saldırısı gibi daha büyük bir siber saldırı gerçekleştirmek için erişim elde etme yöntemidir.
• şifrelenmemiş veri- şifrelenmemiş veriler, finans kurumları için önemli bir tehdittir, çünkü bilgisayar korsanları bu verileri ele geçirirlerse hemen kullanabilirler. Bu nedenle, tüm veriler şifrelenmelidir, potansiyel hırsızlar tarafından çalınsa bile şifresini çözme zorluğuyla karşı karşıya kalırlar.
• Bulut tabanlı siber güvenlik hırsızlığı Bulutta daha fazla yazılım sistemi ve veri depolandığından, bulut tabanlı saldırı riski artar. Saldırganlar bundan yararlandı ve bulut tabanlı saldırılarda artışa yol açtı.
• BENiçeriden hırsızlık- İçeriden gelen tehdit, bir kuruluşun bilgilerine veya sistemlerine yetkili erişimi olan birinin bu erişimi kuruluşa zarar vermek için kötüye kullanması anlamına gelir. Bu kasıtlı veya kasıtsız olabilir ve çalışanlardan, üçüncü taraf satıcılardan, yüklenicilerden veya ortaklardan gelebilir. İçeriden gelen tehditler arasında veri hırsızlığı, kurumsal casusluk veya veri imhası yer alabilir. İnsanlar, içeriden gelen tehditlerin temel nedenidir ve özel verilere erişimi olan herkesin bir tehdit oluşturabileceğini kabul etmek önemlidir. Güvenlik olaylarının %25’i içeriden kişileri içerir. Birçok güvenlik aracı yalnızca bilgisayar, ağ veya sistem verilerini analiz eder, ancak içeriden gelen tehditleri önlemede insan unsurunu dikkate almak çok önemlidir.
Finansal kurumlar, siber güvenlik duruşlarını iyileştirmek ve gelişen tehditlere karşı korunmak için birkaç adım atabilir. Finansal kurumlarda siber güvenlik için en iyi uygulamalardan bazıları şunlardır:
- Düzenli risk değerlendirmeleri: Finansal kurumlar, sistemlerindeki ve ağlarındaki potansiyel güvenlik açıklarını belirlemek için düzenli risk değerlendirmeleri yapmalıdır. Risk değerlendirmeleri, çalışan eğitimi ve fiziksel güvenlik gibi hem teknik hem de teknik olmayan faktörleri içermelidir.
- Güçlü erişim kontrollerini uygulamak: Finans kurumları, sistemlere ve verilere yetkisiz erişime karşı koruma sağlamak için güçlü erişim kontrolleri uygulamalıdır. Erişim kontrolleri, güçlü parolalar, çok faktörlü kimlik doğrulama ve rol tabanlı erişim kontrolleri içermelidir.
- Farkındalık programları: Finans kurumları, çalışanlarını en iyi siber güvenlik uygulamaları konusunda eğitmeli ve potansiyel tehditleri fark etmelerine ve bunlara yanıt vermelerine yardımcı olacak düzenli eğitimler sağlamalıdır. Çalışanlar, kimlik avı, kötü amaçlı yazılım ve parola güvenliği gibi konularda eğitilmelidir. Ayrıca çalışanları bilinçlendirmek için kimlik avı kampanyalarını simüle edebilirler.
- Hassas verileri şifreleme: Finansal kurumlar, yetkisiz ifşaya karşı korumak için müşteri bilgileri ve finansal işlemler gibi hassas verileri şifrelemelidir.
Finansal kurumlar, üçüncü taraf satıcılar üzerinde durum tespiti yaparak ve sağlam siber güvenlik önlemlerinin alındığından emin olarak üçüncü taraf risklerini yönetmelidir. Bu, siber güvenlik standartlarına ve düzenlemelerine uyduklarından emin olmak için üçüncü taraf satıcıların düzenli olarak izlenmesini ve denetlenmesini içerir.
Siber güvenlik, ele aldıkları hassas bilgiler ve değerli varlıklar göz önüne alındığında, finansal kurumlar için kritik bir konudur. Finans kurumları, kendilerini ve müşterilerini siber saldırılardan korumak için siber güvenlik önlemlerine öncelik vermelidir. Gelişen siber tehdit ortamı ve finans kurumlarının etkili siber güvenlik önlemlerini uygulamada karşılaştığı zorluklar, gelişen tehditlere karşı güncel kalmalarını, siber güvenliğe daha fazla kaynak yatırmalarını, çalışan eğitim ve öğretimine öncelik vermelerini ve üçüncü taraf risklerini yönetmelerini çok önemli hale getiriyor. .
reklam