Veracode’a göre, otomasyon, hedefe yönelik güvenlik eğitimi ve Uygulama Programlama Arayüzü (API) aracılığıyla tarama sayesinde, kusur içeren uygulamaların yüzdesinde yıldan yıla azalmaya katkıda bulunan finansal uygulamaların güvenlik performansı genel olarak diğer endüstrilerden daha iyi performans gösteriyor.
ABD Menkul Kıymetler ve Borsa Komisyonu siber güvenlik açıklama kuralları ve AB Dijital Operasyonel Dayanıklılık Yasası (DORA) dahil olmak üzere finansal hizmetler sektörünü etkileyen önemli düzenlemelerin olduğu bir ortamda Veracode’un çalışması, yazılımdaki güvenlik açıklarından kaynaklanan riski azaltmaya yönelik öneriler sunuyor.
Finansal hizmetler sektöründeki başvuruların yaklaşık %72’si güvenlik kusurları içerse de bu, analiz edilen tüm sektörler arasında en düşük seviye ve geçen yıldan bu yana bir gelişme.
Veracode’un Baş Araştırma Görevlisi Chris Eng, “Finansal hizmetler bu yılın analizinde genel olarak güçlü bir performans gösterdi” dedi.
“Artan rekabet ve müşteri beklentileri, sektör genelinde daha sıkı düzenlemelerle birleştiğinde, geliştiriciler ve güvenlik ekipleri üzerinde kusurları geniş ölçekte bulup düzeltme konusunda daha fazla baskı oluşturdu. Dahası, yapay zeka ve makine öğrenimindeki patlama, yazılım geliştirme hızını yeni bir seviyeye taşıyarak kusurların aşırı çoğalmasına yol açtı. Sektör, performansını iyileştirmek konusunda iyi bir ilerleme kaydetti ancak yapılması gereken daha çok şey var ve finansal kuruluşlar, güvenlik açıklarını her zamankinden daha hızlı önlemelerine, tespit etmelerine ve bunlara yanıt vermelerine yardımcı olmak için artan otomasyon ve güvenli kodlama tekniklerinden faydalanacak,” diye devam etti Eng.
API taraması ve eğitimi yoluyla hata olasılığını azaltma
Veracode’un araştırması, finansal hizmet kuruluşlarının, sektörler arası ortalamayla karşılaştırıldığında, API aracılığıyla tarama ve güvenlik eğitiminin olumlu unsurlarından daha güçlü etkiler gördüğünü ortaya çıkardı. API aracılığıyla tarama, bir yazılım güvenliği programındaki olgunluğun bir ölçüsüdür ve API kullanımını entegre eden kuruluşların, geliştirme hattı üzerinde muhtemelen daha fazla otomasyona ve kontrole sahip olmaları muhtemeldir.
Aslında, API aracılığıyla taramayı kullananlar, aylık kusur girişi söz konusu olduğunda finansal olmayanların temel olasılığından %11 daha iyi performans gösteriyor. Karışıma etkileşimli güvenlik eğitiminin eklenmesi bu durumu daha da azaltır; iki faktör, kusur oluşma olasılığını ayda %19 azaltır.
API aracılığıyla taramanın ve güvenlik eğitiminin, ortaya çıktıklarında kusurların sayısı üzerindeki etkisi daha da belirgindir. Finansal hizmetler ekipleri 10 etkileşimli güvenlik eğitim modülünü tamamladığında %26 daha az kusur ortaya çıkardılar ve sektörün performansını tüm sektör ortalamasının oldukça üzerine çıkardılar. Benzer şekilde, taramaların API aracılığıyla başlatılması, finansal hizmet uygulamalarında ortaya çıkan kusurların sayısı üzerinde diğer sektörlere göre daha güçlü bir etkiye sahipti.
“Veriler, finansal hizmet kuruluşlarının API kullanımı yoluyla otomasyondan önemli ölçüde yararlandığını gösteriyor. Otomasyona ulaşmak birçok kuruluş için büyük bir istektir, ancak taramaları API aracılığıyla başlatmanın, kusurların ortaya çıkma olasılığının daha düşük olması ve ardından yazılıma giren kusurların miktarında azalma ile ilişkili olduğunu görüyoruz. Şaşırtıcı olmayan bir şekilde, eğitimin aynı zamanda kusur oluşumunun azalmasıyla da doğrudan bir ilişkisi var,” diye bitirdi Eng.