Yazan Boris Khazin, Yönetişim, Risk ve Uyumluluk Başkanı, EPAM Systems, Inc.
Piyasa oynaklığı, likidite yönetimi ve fintech kesintilerine ilişkin endişeler, finansal hizmet kuruluşlarının dikkatli bir şekilde yönetmesi gereken birçok zorluk arasında yer alırken, operasyonel esneklik ve siber güvenlik, bugün karşı karşıya kaldıkları en önemli iki finansal olmayan risk olarak ortaya çıkıyor. Finans sektöründeki siber saldırıların gerçek dünyadaki etkileri bilançoların çok ötesine uzanıyor; kişisel verileri hain aktörlerin hedefine yerleştiriyorlar, potansiyel olarak finansal hesapları tehlikeye atıyorlar ve tüm kuruluşların istikrarını ciddi şekilde tehlikeye atıyorlar. Bu sonuçların muazzam etkisinin farkına varan uluslararası mevzuat ve düzenlemeler nihayet devreye giriyor.
Buraya Nasıl Geldik?
Sigorta tazminat talepleri incelendiğinde, siber saldırıların finans sektöründeki değer kaybının başlıca nedeni olduğu ortaya çıkıyor; bu da durumun genel aciliyetinin sarsıcı bir göstergesi. COVID-19 salgını, dijitalleşmeye doğru durdurulamaz geçiş ve uzaktan çalışmanın küresel olarak kabul edilmesi gibi faktörlerin bir kombinasyonu, topyekun bir dijital suç dalgasına zemin hazırladı. Operasyonel sürekliliğe yönelik ortaya çıkan tehditler, siber saldırılardan sistemik arızalara, veri hırsızlığından fidye yazılımlarına kadar uzanıyor; mağdur finansal kurumların mali açıdan neden olduğu itibar zedelenmesinden bahsetmiyorum bile.
Dijital Operasyonel Dayanıklılık Yasası (DORA): Bir Umut Feneri
Siber hırsızların yol açtığı hasara yanıt olarak, Avrupa Birliği’nin (AB) yeni düzenleyici çerçevesi, finansal kurumlara çok ihtiyaç duydukları gönül rahatlığı sağlamayı amaçlıyor. Kısaca DORA olarak adlandırılan Dijital Operasyonel Dayanıklılık Yasası, şirketlerin siber güvenlik olaylarını belgeleme ve bilgi ve iletişim teknolojileriyle (BİT) ilişkili üçüncü taraf risklerini yönetme biçimine özellikle odaklanarak dijital dayanıklılık çerçevelerinin standartlarını güçlendirmenin yollarını araştırıyor.
Geçtiğimiz Kasım ayında Avrupa Konseyi tarafından resmi olarak kabul edilen DORA, kuruluşlara güvenlik açıklarını tespit etmek ve etkili bir şekilde azaltmak için kapsamlı stratejiler uygulamaya çağırıyor. Mevzuat aynı zamanda BİT olay raporlamasının önemini vurgulamakta ve hızlı müdahale ve sınırlama önlemlerine olanak sağlamak için siber güvenlik olaylarının derhal rapor edilmesini savunmaktadır.
DORA ayrıca, sistemlerin siber saldırılara ve operasyonel aksaklıklara dayanabilecek uygun güvenlik mekanizmalarına sahip olmasını sağlamak için dijital operasyonel dayanıklılık testlerinin yapılmasını da zorunlu kılar. Kolektif tehdit istihbaratı siber düşmanlara karşı mücadelede güçlü bir silah olduğundan, bilgi ve istihbarat paylaşımına yönelik işbirlikçi çabalar oldukça teşvik edilmektedir.
Son olarak, BİT üçüncü taraf risk yönetimi DORA kapsamında tartışılamaz. Bu nedenle, üçüncü taraf sağlayıcıların tüm ekosistemin bütünlüğünü korumak için finansal kurumlarla aynı katı siber güvenlik standartlarına uyması gerekiyor.
Uluslararası Bir Standart
Finansal hizmetler sektöründe operasyonel dayanıklılık için küresel bir referans noktası olmayı amaçlayan DORA, Avrupa’nın çok ötesine uzanan, finansal kuruluşların dünya genelindeki tüketicilere yönelik kritik verileri ve hizmetleri koruma konusunda karşılaştığı büyük zorlukları ele alan uygulamalara sahiptir. Gelişmiş dayanıklılığa duyulan ihtiyaç, özellikle üçüncü taraf yazılımlardaki güvenlik açıklarından yararlanan SolarWinds ihlali gibi olaylar ışığında önem taşıyor. DORA, siber güvenliğe yönelik kapsamlı yaklaşımıyla, dış ortakların daha fazla incelenmesine yönelik hayati ihtiyacın altını çiziyor.
Dayanıklılık için En İyi Uygulamalar
DORA, AB Siber Güvenlik Yasası, Siber Dayanıklılık Yasası, NIS 2 ve Genel Veri Koruma Yönetmeliği (GDPR) ile birlikte, finansal hizmetler sektöründeki operasyonların güvenliğini ve istikrarını artırmak için tasarlanan çok sayıda AB önleminden biridir. Ancak mevzuat tek başına bildiğimiz şekliyle siber suçların sona ermesini garanti etmeyecektir. Siber güvenlik risklerine maruz kalmayı en aza indirmek için finansal kurumlar aşağıdaki en iyi uygulamaları benimseyebilir:
- Bireysel Farkındalık: Çalışanların sistemlerini güvenli bir şekilde çalıştırmasını sağlayacak tam kapsamlı eğitim ve kaynaklar sağlayın.
- Sistem ve Platform Güvenliği: Güvenlik yeteneklerini özenle ve tutarlı bir şekilde gözden geçirip geliştirecek bir süreç oluşturun. En az ayrıcalık ilkesini uygulamak, işi daha küçük birimlere bölmek, erişimi her zaman doğrulamak ve mikro segmentasyonu uygulamak gibi Sıfır Güven ilkelerini uygulayın.
- İş Sürekliliğini Sağlayın: Sorunsuz işlevselliği sürdürmek için operasyonları kesintiye uğratabilecek alanlara öncelik verin.
Öndeki yol
Finansal kurumlar siber güvenlik ve operasyonel dayanıklılıkla ilgili sorunlarla uğraşırken DORA, olay raporlama, üçüncü taraf risk yönetimi ve işbirliğine dayalı tehdit istihbaratı paylaşımına vurgu yaparak bu konuları ele almak için bütünsel bir çerçeve sunuyor. Finans sektörünün ayrıca bireysel farkındalığı teşvik etmek, sistemleri güvence altına almak ve iş sürekliliğini birinci öncelik haline getirmek de dahil olmak üzere en iyi uygulamaları benimsemesi ve hayata geçirmesi gerekiyor. Mevzuata uygunluk ve proaktifliğin bu birleşimi sayesinde finansal kuruluşlar, operasyonlarının güvenliğini ve müşterilerinin güvenini sağlayabilirler.
yazar hakkında
Boris Khazin, EPAM Systems’de Dijital Risk Yönetimi/Yönetim, Risk ve Uyumluluk Küresel Başkanıdır ve burada iş değeri sağlayan ve insanların, süreçlerin ve sistemlerin kesişiminde var olan çözümler sağlama konusunda tutkuludur.
Bay Khazin, finansal hizmetler ve fintech sektörlerinde 20 yıldan fazla yönetim, danışmanlık ve ürün geliştirme deneyimine sahiptir. EPAM’deki görev süresi boyunca, müşterilerin kendilerini gelecekte arzu edilen bir duruma doğru yönlendirecek çerçeveleri belirlemesine, tanımlamasına ve önceliklendirmesine yardımcı olmak amacıyla çeşitli GRC, iş zekası, kurumsal analitik ve organizasyonel yetenek/olgunluk değerlendirmelerine liderlik etmiştir. Bundan yola çıkarak, organizasyonların değişime uyum sağlamasıyla ortaya çıkan fırsatlar ve zorluklara dair keskin bir anlayış geliştirdi. Bay Khazin daha önce UBS, S&P ve Bloomberg dahil olmak üzere birçok finans firmasında çalışmıştı. Ayrıca TD Ameritrade’de Yatırım Gözetim Görevlisi olarak görev yaptı.
Bay Khazin’in Pensilvanya Devlet Üniversitesi’nden Davranışsal İktisat alanında lisans diploması ve Pace Üniversitesi’nden MBA derecesi vardır.