Finansal kurumlar doğrudan siber saldırılara karşı daha güçlü savunmalar inşa ediyorlar, ancak büyüyen bir sorunu gözden kaçırıyor olabilirler: satıcıları. Black Kite’ın yeni raporuna göre, üçüncü taraf riski finans sektörünün karşılaştığı en büyük siber güvenlik tehditlerinden biri haline geldi.
Finans alt endüstrisi tarafından fidye yazılımı saldırıları (kaynak: siyah uçurtma)
Satıcı kör nokta
Raporda, finansal kurumların kendilerinin fidye yazılımı ve diğer tehditlere karşı savunmada daha iyi olmasına rağmen, yazılım sağlayıcıları, altyapı ortakları ve dış hizmet firmaları da dahil olmak üzere güvendikleri şirketlerin genellikle aynı güvenlik standartlarını karşılamadığını ortaya koymaktadır. Bu, doğrudan hedeflenmemiş olsalar bile bankaları, sigortacıları ve diğer finansal kuruluşları riske atıyor.
Black Kite, araştırma ve istihbarat memuru Ferhat Dikbiyik, “Araştırmamız, finans endüstrisine doğrudan saldırıların azalmış gibi görünse de, bu sektörün güvenli olmaktan uzak olduğunu buldu” dedi. “Ele alınması gereken kritik bir alan üçüncü taraf riskidir. Satıcı şirketleri arasında birçok zayıflık ortaya çıkardık. Gerçek şu ki, finans endüstrisiyle aynı savunma ve düzenleyici yükümlülüklere sahip değiller ve bu satıcılar ihlal edildiğinde, etki yaygın ve önemli olabilir.”
Saldırganlar taktikleri değiştiriyor
Araştırma verileri, finansal firmalara yönelik doğrudan fidye yazılımı saldırılarının, 2023’teki 191’den 2025’in ilk yarısında 55’e düştüğünü gösteriyor. Bu iyi bir haber, ancak saldırganların vazgeçtiği anlamına gelmiyor. Bunun yerine, birçoğu satıcıların peşinden gidiyor. Bu firmalar finansal kuruluşlara arka kapı görevi görebilir.
Vardiyanın bir kısmı fidye yazılımı manzarasındaki değişikliklerden kaynaklanmaktadır. Lockbit ve ALPHV gibi büyük gruplar bozuldu ve yoklukları, hizmet olarak fidye yazılımı kullanan daha küçük, daha az organize aktörlere yer açtı. Araştırmacılar, bunun ekosistemi daha parçalı ve öngörülemez hale getirdiğini, daha yeni grupların daha zayıf bağlantılardan, genellikle üçüncü tarafları kullanarak şanslarını denediğini söylüyor.
Satıcı güvenliğinin rahatsız edici bir resmi
Black Kite, finans sektörü müşterilerine hizmet veren 140 satıcıyı analiz etti. Ne buldular:
- % 92’si bilgi ifşa riskinde bir C, D veya F aldı ve bu da satıcıların hassas verileri nasıl ele almasıyla ilgili yaygın sorunlar olduğunu gösteriyor.
- % 65’i güncel yama seviyelerini korumuyor, bunları bilinen güvenlik açıklarına ve bazı durumlarda sıfır günlere maruz bırakıyor.
- 31 satıcının CVSS skoru 8 veya daha yüksek olan en az bir kritik güvenlik açığı vardır. Bunlardan 15’inin 9’un üzerinde güvenlik açıkları vardı.
- 90 satıcı, bilinen sömürülen güvenlik açıkları (KEVS) ile etiketlenmiş 35 de dahil olmak üzere yüksek riskli tehdit kategorileri ile işaretlendi.
Cisos, satıcı güvenliğinin sadece satıcı finans sektöründe veya finansal sektörde çalıştığı için “yeterince iyi” olduğunu varsayamaz. Birçok satıcı temel güvenlik hijyeni standartlarını bile karşılayamıyor.
CISOS için öneriler
Ana paket açıktır: Güçlü iç savunmalar yeterli değildir. CISOS’un dikkatlerini üçüncü taraf risk yönetimine çevirmesi gerekiyor:
- Daha küçük sağlayıcılar ve altyapı ortakları da dahil olmak üzere tüm satıcı ilişkilerinin tanımlanması ve haritalanması.
- Hem risk derecelendirmelerini hem de gerektiğinde daha derin durum tespiti kullanarak satıcı güvenlik duruşunun düzenli olarak değerlendirilmesi.
- Sadece zaman içinde değerlendirmeler değil, satıcı riskindeki değişikliklerin izlenmesi.
- Satıcı sözleşmelerinde siber güvenlik standartlarını uygulamak için tedarik ve hukuk ekipleriyle işbirliği yapmak.