Bu ses otomatik olarak oluşturulmuştur. Geri bildiriminiz varsa lütfen bize bildirin.
Dalış Özeti:
- Finansal kuruluşlara tedarik sağlayan şirketlerin siber güvenlik konusunda, tedarik ettikleri kuruluşlara göre daha kötü durumda olduğu belirtiliyor. BitSight’ın yayınladığı bir rapor Perşembe günü.
- Finansal hizmet firmaları ile satıcıları arasındaki güvenlik açığı, siber güvenlik konusunda genel olarak diğer sektörlerden daha iyi performans gösteren ancak yine de tedarikçilerinin hatalarına maruz kalan finans sektörünün karşı karşıya olduğu büyük bir üçüncü taraf riskinin altını çiziyor.
- BitSight, finansal hizmet firmalarının tedarik zinciri saldırılarını önlemek için tedarikçilerini “titiz bir şekilde incelemesi ve izlemesi” gerektiğini söyledi.
Dalış Bilgisi:
Finansal hizmet kuruluşları ile satıcıları arasındaki boşluğu değerlendirmek için BitSight, her gruptan bir dizi şirketi spam engelleme, açık bağlantı noktaları, mobil uygulama güvenliği, uç nokta güvenliği ve yama temposu dahil olmak üzere 22 risk vektörü üzerinde test etti. Risk vektörlerinin 16’sında tedarikçiler, %15’e varan farklarla müşterilerinden daha kötü durumdaydı. Web uygulama güvenliği, TLS ve HTTP üstbilgileri, tedarikçilerin müşterilerine kıyasla en kötü performans gösterdiği alanlar arasında yer aldı.
Tedarikçiler, DMARC ve DKIM e-posta güvenlik protokollerini ve etki alanı arama verilerini korumaya yönelik DNSSEC protokolünü kullanmaları da dahil olmak üzere altı risk vektöründe müşterilerinden daha iyi performans gösterdi. Siber risk analizi firması BitSight, bulgunun “daha büyük, daha teknoloji odaklı kuruluşlara yönelik beklentilerle uyumlu olduğunu” söyledi.
BitSight, tedarikçilerin daha fazla dijital varlığa sahip olduğu göz önüne alındığında, müşterilerinden daha fazla dijital riske sahip olmasının şaşırtıcı olmadığını söyledi. Raporda, bu satıcıların aynı zamanda müşterileri için çözdükleri “sorunlarla ilişkili siber riskleri de üstlendikleri” belirtiliyor.
Ne olursa olsun, BitSight raporunda şunları söyledi: “Düzenleyici gereklilikler ve açığa çıkma riski göz önüne alındığında, finans sektörü kuruluşlarının, tedarikçilerinin güvenlik söz konusu olduğunda düşük performans gösterme eğiliminde olduğunu öğrenmeleri rahatsız edici olabilir.”
Rapora göre finans sektörü, tedarikçilerinin güvenliğini izleme konusunda diğer sektörlere göre daha iyi durumda. Ortalama bir finans firması tedarik zincirinin %36’sını denetlerken, tüm sektörlerdeki kuruluşlar için bu oran %25’tir.
BitSight, “Teknoloji sağlayıcılarının dahil olduğu artan sayıda tedarik zinciri olayı göz önüne alındığında, belki de finans sektörü kuruluşlarının sağlayıcılarını daha fazla izlemesi gerekiyor” dedi. “Öte yandan, finans sektörü kuruluşlarının bir kritiklik belirlemesi yapmış olması ve tedarik zincirlerindeki teknoloji tedarikçilerinin büyük çoğunluğunun sürekli olarak izlenmesine gerek olmadığı sonucuna varması da mümkündür.”
BitSight’a göre, müşterileri güvenliklerini denetlemeyen finans sektörü tedarikçilerinin, izlenen tedarikçilere kıyasla ortamlarında yaklaşık üç kat daha fazla kritik güvenlik açığı bulunuyor.
Raporda en çok merak edilen istatistiklerden biri, birden fazla müşterinin takip ettiği tedarikçilerin performansıyla ilgili. BitSight “güvenlik performansında hafif bir düşüş” tespit etti [suppliers] daha fazla kuruluş tarafından izleniyor”, bunun nedeninin bu tedarikçilerin en büyük satıcılar olması (ve dolayısıyla en büyük saldırı yüzeylerine sahip olması) olabileceğini söyledi.
BitSight, “Bunun daha fazla analize değer bir trend olduğuna inanıyoruz ve kuruluşlarla doğrudan etkileşimin güvenlik duruşu üzerindeki etkisi de dahil olmak üzere bu alanda ek araştırmalar yapacağız” dedi.