Veracode’a göre, bu rapor için bir yıldan daha uzun süre sabit kalan kusurlar olarak tanımlanan güvenlik borcu, finansal hizmetler sektöründeki kuruluşların %76’sında mevcuttur ve kuruluşların %50’si kritik güvenlik borcu taşımaktadır.
Finans sektörü uygulamaları daha fazla güvenlik borcu biriktiriyor
Finans sektöründeki bir veri ihlalinin ortalama maliyetinin 6,08 milyon dolar olduğu tahmin edilirken, araştırma, gelişmiş tehdit aktörleri tarafından en çok hedef alınan sektörlerden biri için kritik bir zamanda gerçekleşti. ABD Hazine Bakanlığı’nın Mart 2024’teki raporuna göre tehdit aktörleri, yazılımdaki güvenlik açıklarını bulmak ve bunlardan yararlanmak için yapay zeka tabanlı araçlar kullanıyor. Aynı zamanda artan endüstri rekabeti ve müşterilerin kolaylık beklentileri, kuruluşların inovasyonu hızlandırmasını gerektiriyor.
“Finans sektöründeki yüksek orandaki menkul kıymet borcu, hızlı bir şekilde ele alınmazsa kuruluşlar ve müşterileri için önemli riskler oluşturuyor. Yapay zeka destekli siber saldırıların gücü ve sayısı artmaya devam ettikçe ve kuruluşlar mevcut güvenlik borçları nedeniyle gelişen düzenlemelere ayak uydurmaya çalışırken, mevcut ortam tehdit aktörlerinin güvenlik açıklarından endişe verici bir hızla yararlanmasına olanak tanıyor” dedi. Veracode’da Güvenlik Evangelisti.
“En son Yazılımın Durumu araştırmamız, finansal kurumların hem birinci taraf hem de üçüncü taraf kod güvenlik açıklarını hemen ele almalarının kritik ihtiyacını vurguluyor. Kusurlarını bir yıldan daha uzun bir süre boyunca çözümsüz bırakan kuruluşlar, uzun süreli ve tehlikeli tehditlere maruz kalıyor” diye ekledi Wysopal.
Veracode araştırmacıları, finans sektöründeki tüm uygulamaların %40’ının güvenlik borcuna sahip olduğunu ve bunun sektörler arası ortalama olan %42’den biraz daha iyi olduğunu buldu. Ayrıca, diğer sektörlerdeki %5,9’a kıyasla finans sektörü uygulamalarının yalnızca %5,5’i kusursuzdur. Finans sektörü başvurularının biraz daha azında teminat borcu bulunurken, daha fazlası biriktiriliyor.
Birinci taraf ve üçüncü taraf kodundaki güvenlik borcu dikkat gerektirir
Raporda ayrıca finansal hizmet kuruluşlarının hem birinci taraf hem de üçüncü taraf kodundaki güvenlik borcunu ele alma ihtiyacının altı çiziliyor. Tüm güvenlik borçlarının %84’ü birinci taraf kodunu etkiliyor, ancak kritik güvenlik borcunun %78,6’sı üçüncü taraf bağımlılıklarından geliyor. Bu, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın Açık Kaynak Yazılım Güvenliği Yol Haritası ve Tasarım Yoluyla Güvenlik Taahhüdü ile açık kaynak ekosisteminin güvenliğinin sağlanmasına yardımcı olma çabalarının önemini güçlendiriyor.
Analiz ayrıca finansal hizmetler sektöründeki iyileştirme zaman çizelgelerini de araştırıyor. Araştırmacılar, finans kuruluşlarının birinci taraf kusurlarının yarısını ilk dokuz ayda düzelttiğini, üçüncü taraf kusurlarının ise 13 ayda giderdiğini buldu. Bunlardan üçüncü taraf kusurlarının %52’si menkul kıymet borcuna dönüşürken, birinci taraf kusurlarının %44’ü menkul kıymet borcuna dönüşüyor.
Finansal hizmetler sektörünü hedef alan tedarik zinciri saldırılarının yaygınlaşması, yazılım güvenliğine daha fazla odaklanan siber güvenlik düzenlemelerinin sayısını artırdı. Örneğin, ISO 20022, Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS), NIS2 ve Dijital Operasyonel Dayanıklılık Yasası (DORA) gibi düzenleyici çerçeveler, kuruluşların uygulamalarda güvenlik açıklarının yayılmasını önlemesini gerektirir.
Bu durum, mevcut güvenlik borcu ve güncelliğini yitirmiş iyileştirme stratejileri nedeniyle kuruluşları uyumsuzluk riskiyle karşı karşıya bırakıyor. Araştırmalar, kuruluşların kritik güvenlik borcunu oluşturan kusurların %3,3’ünü önceliklendirerek bu riski ortadan kaldırabileceğini ortaya koyuyor. Öncelikle en tehlikeli kusurların düzeltilmesi, finansal kuruluşların daha sonra diğer kritik veya kritik olmayan kusurların üstesinden gelebileceği anlamına gelir.
“Finansal hizmetler sektörü için, gelişen siber güvenlik tehditlerinin önünde kalmak, özellikle de varlıkların güvenliğini tehdit eden giderek daha karmaşık hale gelen yapay zeka odaklı saldırılar nedeniyle, hiç bu kadar önemli olmamıştı. Finansal kurumları, güvenlik açıklarını saniyeler içinde tespit edebilen, önceliklendirebilen ve düzeltebilen yapay zeka destekli iyileştirme ve ASPM araçlarını benimseyerek güvenlik borcunun zamanında azaltılmasına öncelik vermeye çağırıyorum” diye tamamladı Wysopal.