Yazan: Stefan Auerbach, Utimaco CEO’su
Finansal hizmetler sektörünün siber güvenliğe yaptığı yıllık harcamanın yıllık 600 milyon dolara ulaşmasına rağmen (bu rakam her yıl artıyor) finansal kurumlara (FI) olan güven nispeten düşük kalıyor. Amerika Birleşik Devletleri, Meksika, Almanya ve İngiltere gibi çeşitli ülkelerdeki tüketicilerle anket yapılan yeni araştırmaya göre, dünya çapında insanların yalnızca %13’ü finansal kuruluşlara tamamen güvenirken, %5’i onlara hiç güvenmiyor. Dünyanın dört bir yanındaki insanların çoğunluğu finansal kuruluşların dijital güvenliğine yalnızca ‘bir miktar’ güvendiklerini söylüyor.
Sonuç olarak, nakit paranın en güvenilir ödeme seçeneği olmaya devam ettiğini ve insanların %36’sı tarafından güvenli olduğuna inanıldığını gördük. Öte yandan katılımcıların yalnızca %12’si kredi ve banka kartlarının güvenli olduğuna inandığını söyledi. Dijital güvenlik konusunda ihtiyatlı olmak elbette her zaman mantıklıdır, ancak müşterilerden gelen bu ihtiyatlılık bir FI’nin kârlılığını doğrudan etkileyebilir. FI’ların bireysel kart işlemlerinden aldıkları küçük işlem ücretleri genellikle gelirlerinin büyük bir bölümünü oluşturur; bu nedenle güven kaygısı nedeniyle nakit kullanan müşteriler sorunlu olabilir.
Bu aynı zamanda yeteneklerini ve hizmetlerini genişletmeye çalışan şirketler için de bir sorun teşkil ediyor: Araştırmamızdaki tüketicilerin kripto para birimine olan güveni en düşük seviyedeydi; örneğin dünya çapında yalnızca %2’lik bir kesim kripto paranın güvenli olduğunu belirtti. Güven, son kullanıcıya sağladığı faydalardan bağımsız olarak, yeni ödeme yöntemlerinin kitlesel olarak benimsenip benimsenmeyeceği konusunda çok önemli bir rol oynuyor. Her ne kadar bizim anketimiz açık bankacılığı kapsamasa da, benzer anketler güvenin daha geniş çapta benimsenmemesinde önemli bir faktör olduğunu ortaya çıkardı.
Sıfır Güven Nedir?
Bilgisayar korsanlarının sistemi ihlal etmeleri durumunda bir şirkete tam erişime sahip olmaları nedeniyle günümüzün birçok güvenlik sistemi yeterli değildir. Bu arada çelişkili gibi görünse de sıfır güven adı verilen yeni bir güvenlik çerçevesi aslında çözüm olabilir. Sıfır güven ile herkesin tesisin yalnızca işiyle ilgili bölümlerine girmesine izin veren kendi biyometrik profili veya şifresi vardır ve yeni bir alana her girişte kimliklerinin doğrulanması gerekir.
Sıfır güven, hassas finansal sistemlere ve verilere yalnızca yetkili kuruluşlar tarafından erişilmesini sağlamak için temel olarak sağlam erişim kontrolleri ve sürekli kimlik doğrulama mekanizmaları kullanır. Bu, çok faktörlü kimlik doğrulama (MFA) yoluyla titiz bir kullanıcı kimliği doğrulamayı ve kullanıcı erişimini yalnızca görevleri tamamlamak için gereken kaynaklarla sınırlayan en az ayrıcalık ilkesini gerektirir.
Bu yaklaşım modern tehditlere karşı daha güçlüdür. Hesabın ele geçirilmesinden karmaşık kötü amaçlı yazılım saldırılarına kadar her şey, diğer güvenlik türlerini yetersiz hale getiriyor. Bankacılık truva atları müşterilerin banka hesaplarını saniyeler içinde boşaltma kapasitesine sahiptir ve güçlü güvenliklerine rağmen bankalar siber saldırılara karşı bağışık değildir. Örneğin 2021’de Flagstar Bank, bir saldırı nedeniyle ihlal edilmesinin ardından üyelerinin sosyal güvenlik numaralarını kaybetti. Mali şirketlere yönelik kötü amaçlı yazılım saldırıları son derece sık görülüyor ve bu nedenle sektörün önümüzdeki beş yıl içinde siber suçlara 700 milyon dolar kaybedebileceği belirtiliyor.
Sıfır güvenin segmentasyon stratejisi ağı farklı bölgelere ayırırken, her segment belirli tehditleri önlemek için izole edilebilir ve güçlendirilebilir. Ağ mikro bölümlemesi, bu engelleri güçlendirmek için güvenlik duvarlarından, izinsiz giriş tespit sistemlerinden ve şifrelemeden yararlanır.
Sıfır güven yaklaşımı, veri ihlallerini azaltmak, müşteri mali bilgilerini korumak ve PCI DSS ve GDPR gibi düzenleyici uyumluluk standartlarını desteklemek için FI’ler tarafından uygulanabilir. Dijital kanallar ve uzaktan çalışma düzenlemeleri giderek yaygınlaştıkça, sıfır güvenin bütünsel ve uyarlanabilir siber güvenlik yaklaşımı, sektörün gelişen tehdit ortamına karşı direncini güçlendirmede bir temel taşı olarak ortaya çıkıyor.
Ancak bu yeni güvenlik çerçevesinin uygulanmasıyla ilgili bazı maliyetler veya dezavantajlar vardır. Bankalar da dahil olmak üzere pek çok mali kurum hâlâ eski sistemleri kullanıyor, bu da ekstra güvenlik kontrollerine ihtiyaç duyulduğu anlamına geliyor. Bu, müşteri deneyimini engelleyebilir ve kullanıcı hatası olasılığını artırabilir. Finansal kuruluşların ağlarının ‘bulut’ta yer alması nedeniyle tam kontrole sahip olmak da zor olabilir. Her ne kadar sağlam bir sıfır güven ortamı oluşturulabilse de, çalıştıkları şirketler aynı yeteneklere sahip olmayabilir.
Sıfır güven ortamını nasıl yaratırsınız?
Bir finansal hizmet şirketinde başarılı bir sıfır güven ortamı yaratmaya yönelik bazı adımlar şunlardır:
- Çevrenizi tanımlayın: Günümüzde FI’lerin karmaşıklığı, birleşme ve satın alma faaliyetleri ve bulut bilişim bunları daha da karmaşık hale getiriyor; bu da şirketin sıfır güven politikası kapsamında neyin olup olmadığını tanımlamamız gerektiği anlamına geliyor.
- Mikro bölümleme: Sıfır güven kullanıldığında şirketinizin dijital operasyonlarını bölümlere ayırmak faydalıdır. Bir şirket kötü amaçlı yazılım saldırısıyla tehlikeye girerse ancak veriler şifrelenirse, zarar ancak belli bir yere kadar yayılabilir.
- Cihazları sürekli izleyin: FI’lar tarafından kullanılan cihazlar sürekli olarak bağlanıyor/yeniden bağlanıyor ve düzinelerce (yüzlerce olmasa da) bileşenden oluşuyor ve birçok üçüncü tarafın güvenlik uygulamaları olmayabilir. Bu nedenle her cihazın, güvenlik kontrollerinden geçtikten sonra bile sürekli olarak izlenmesi gerekir.
- Veri envanteri: Şirket verilerinizi önemine göre kategorilere ayırmanız ve uygun koruma düzeylerini tahsis etmeniz, aynı zamanda da bu verilerin ihtiyaç duyanların kullanımına sunulmasını sağlamanız gerekir. İleriye dönük olarak her yeni veri parçasının sınıflandırılabilmesi için güçlü yönetişim protokollerinin olması gerekecektir.
- Güvenlik kontrollerini uygulayın: Son olarak, sıfır güven sistemini etkinleştiren, her bir ‘kontrol noktası’ için hangi doğrulama yöntemlerinin uygun olduğuna, çok faktörlü kimlik doğrulamanın nerede kullanılacağına, hangi veriler için hangi şifreleme türlerinin kullanılacağına karar veren sistemler yerleştirilebilir. ve kuantum hesaplama gibi gelecekteki tehditlere nasıl uyum sağlanacağı.
Verileri şifreleyen ve dijital anahtarları yöneten donanım ve yazılım sistemleri, her kullanıcının ve cihazın sistemin erişmesi gereken bölümlerine erişmesine izin verdiği için sıfır güven ortamının temellerini oluşturur, ancak daha fazlasını değil.
Sıfır güven ortamını uygulamaya koymak için en iyi konumda olan kuruluşlar genellikle bu sistemleri 40 yılı aşkın süredir inşa eden ve entegre eden bir iş ortağının deneyimine sahiptir.
Yazar hakkında
Stefan Auerbach, Utimaco’nun CEO’su. 2018 yılında Danışma Kurulumuz Başkanı olan Stefan Auerbach, Ocak 2019’da CEO pozisyonunu devraldı. Stefan’ın Bilgi Teknolojileri ve Mobil Güvenlik için Küresel Satış Organizasyonlarının Ar-Ge, Hizmet, Pazarlama ve Yönetimi alanında 30 yılı aşkın bir geçmişi vardır. . Kariyerine Nixdorf Computer’da başladı, Siemens Nixdorf’ta çeşitli kilit yönetici pozisyonlarında bulundu ve Wincor Nixdorf ve Giesecke & Devrient’te uzun vadeli Yönetim Kurulu Üyesi olarak görev yaptı.
UTIMACO Hakkında
UTIMACO, genel merkezi Aachen (Almanya) ve Campbell, Kaliforniya’da (ABD) bulunan, güvenilir Siber Güvenlik ve Uyumluluk çözümleri ve hizmetleri sunan küresel bir platform sağlayıcısıdır. UTIMACO, şirket içi ve bulut tabanlı donanım güvenlik modülleri, anahtar yönetimi, veri koruma ve kimlik yönetimi çözümlerinin yanı sıra düzenlenmiş kritik altyapılar ve Kamu Uyarı Sistemleri için veri zekası çözümleri geliştirmektedir. UTIMACO, ana pazar segmentlerinde dünyanın önde gelen üreticilerinden biridir.
Dünya çapında 550’den fazla çalışan, küresel müşterilere ve vatandaşlara karşı sorumluluk bilinciyle verileri, kimlikleri ve iletişim ağlarını korumaya yönelik yenilikçi çözümler ve hizmetler yaratıyor. Birçok farklı sektördeki müşteriler ve ortaklar, UTIMACO’nun yüksek güvenlikli ürün ve çözümlerinin güvenilirliğine ve uzun vadeli yatırım güvenliğine değer veriyor. Daha fazla bilgiyi www.utimaco.com adresinde bulabilirsiniz.