Güvenlik Sorunları Asya’nın Dijital Bankacılık Hikayesini Tehdit Edebilir

Boston Consulting Group, 2021’de dünyadaki dijital bankaların %20’sinin Asya-Pasifik bölgesinde bulunduğunu ve Vietnam, Filipinler ve Endonezya’daki bankacılık sektörünün 2024 yılına kadar çift haneli büyüme yaşayabileceğini söyledi.

Endonezya’nın 2021’de yedi lisanslı dijital bankası vardı. Malezya’nın merkez bankası Bank Negara Malaysia, Nisan 2022’de ülkenin ilk yalnızca dijital bankası olarak faaliyet göstermeleri için beş konsorsiyuma lisans verdi. BNM, bu kuruluşların bulut risk yönetimi, iş sürekliliği ve siber risk yönetimini desteklemek için sağlam temel teknolojilere sahip olduklarını gösterdiğini söyledi.

Ancak bazı güvenlik gözlemcileri, bu kuruluşların müşterileri siber suçlulara karşı koruyacak sağlam korumalardan yoksun olabileceğinden korkuyor.

Web Uygulama Saldırılarının Tehdidi

Web uygulaması saldırıları, yalnızca dijital bankaların karşılaştığı en endişe verici zorluklar arasındadır. Verizon’un Veri İhlali Araştırmaları Raporu 2023, web uygulaması saldırılarının yanı sıra sisteme izinsiz giriş ve sosyal mühendisliğin, 2022’de Asya-Pasifik bölgesindeki ihlallerin %93’ünden sorumlu olduğunu buldu.

Verizon’un CSIRT ve APJ bölgesindeki soruşturma müdahalesi direktörü Anshuman Sharma, Information Security Media Group’a web uygulaması saldırılarının yalnızca siteler arası komut dosyası oluşturma ve SQL enjeksiyonu gibi gelişmiş teknikleri değil, aynı zamanda bilgisayar korsanlarına anahtarları veren kimlik bilgisi hırsızlığını da kapsadığını söyledi. bir kuruluşun dijital altyapısı.

Küresel teknoloji danışmanlık firmasında BT ve bilgi güvenliği kıdemli direktörü Umesh Bhapkar, günümüzün yalnızca dijital bankalarının, belirli saldırı vektörleri için özel olarak hazırlanmış çok sayıda güvenlik çözümüne sahip olmadıkları sürece web uygulaması saldırılarına karşı güçlü bir şekilde savunma yapamayacaklarını söyledi. senkronizasyon.

Yalnızca dijital bir bankanın siber güvenlik stratejisi, kötü amaçlı trafiği, SQL enjeksiyon girişimlerini ve DoS saldırılarını tespit etmek ve engellemek için bir web uygulaması güvenlik duvarı içermelidir; düzenli güvenlik açığı değerlendirmesi ve kalem testleri; güvenli kimlik doğrulama ve yetkilendirme; güvenli kodlama uygulamaları; hız sınırlaması ve hizmet reddi koruması; izleme ve günlüğe kaydetmeyi etkinleştirmek için giriş doğrulama ve sanitasyon; ve genellikle zincirin en zayıf halkası olan çalışan farkındalığı ve eğitimi.

Bhapkar, “Proaktif güvenlik önlemleri, güçlü geliştirme uygulamaları, sürekli izleme ve iyi tanımlanmış bir olay müdahale planı, yalnızca dijital bankaların web siteleri ve mobil uygulamaları genelinde güvenliği önemli ölçüde artırmalarına yardımcı olabilir ve bu da onları çeşitli web uygulaması saldırılarına karşı dayanıklı hale getirir” dedi. . “Siber güvenliğin devam eden bir süreç olduğunu ve sürekli dikkat ve uyum gerektirdiğini belirtmek önemlidir.”

API Güvenliği: Bir Sonraki Sınır

Günümüzün dijital bankaları, fon transferlerini, çevrimiçi satışları ve satın almaları etkinleştirmek ve yatırımları ve kredileri işlemek için üçüncü taraf uygulamalarla birden çok API entegrasyonuna sahiptir. Açık bir bankacılık API’si, üçüncü taraf finansal hizmet sağlayıcıların, bir kişinin bankalar ve diğer banka dışı finansal kurumlarla olan işlemlerini ve sözleşmelerini izleyerek müşteri profilleri oluşturmasına ve seçilmiş ürünler sunmasına olanak tanır.

Bununla birlikte, API’ler genellikle yanlış yapılandırmalar, yetersiz günlük kaydı ve izleme, aşırı veri ifşası ve bozuk kullanıcı düzeyinde yetkilendirme gibi birçok güvenlik açığı içerir. Kötü niyetli bir aktör, bankacılık uygulamalarına erişmek, kullanıcıların kişisel ve finansal bilgilerini çalmak veya daha fazla hasara neden olacak kötü amaçlı yazılım enjekte etmek için bu kusurlardan herhangi birini kullanabilir.

Bhapkar, olağan dışı oturum açma girişimleri veya veri hırsızlığı gibi tüm şüpheli etkinlikler için API’lerin sürekli izlenmesinin, yalnızca dijital bankaların yazılım aracılarıyla güvenli bir şekilde iletişim kurmasına yardımcı olabileceğini söyledi. Bu kuruluşlar ayrıca güvenlik açıklarını belirleyip düzeltmek için güvenli kodlama yöntemlerini benimsediklerinden ve API’lerinde düzenli güvenlik değerlendirmeleri yaptıklarından emin olmalıdır.

İki faktörlü kimlik doğrulama kullanmak, hassas verileri şifrelemek, kötü niyetli trafiği filtrelemek için API ağ geçitlerini kullanmak ve API altyapısına yönelik siber güvenlik riskleri konusunda çalışanların farkındalığını artırmak gibi ek güvenlik önlemlerinin de dijital bankaların kötü niyetli faaliyetleri önlemesine yardımcı olabileceğini söyledi.

Artan Tedarik Zinciri Saldırıları Tehdidi

Günümüzün dijital bankaları, operasyonel verimliliği sağlamak ve müşterilere en iyi finansal hizmetleri sağlamak için çeşitli üçüncü taraf uygulamaları ve yazılımları kullanıyor, ancak bu aynı zamanda onları tedarik zinciri saldırılarına maruz bırakıyor. South Bend, Indiana merkezli finansal hizmetler şirketi 1st Source, Temmuz ayında Progress Software’in MOVEit Transfer uygulamasını içeren bir ihlalde yaklaşık 450.000 veri kaydının ele geçirildiğini duyurdu.

Siber güvenlik şirketi Checkmarx da Temmuz ayında ilk kez özellikle bankacılık sektörünü hedef alan birkaç açık kaynaklı yazılım tedarik zinciri saldırısı tespit ettiğini bildirdi. Bu saldırılardan ikisi, bilgisayar korsanlarının belirli işlevlere sahip önceden yüklenmiş komut dosyaları içeren kötü amaçlı açık kaynak paketlerini NPM platformuna yüklemesini içeriyordu.

Checkmarx ayrıca, Windows Defender’ı atlamak ve bankalara yönelik saldırıları yönetmek, koordine etmek ve değiştirmek için Havoc Çerçevesi olarak bilinen gelişmiş bir istismar sonrası komuta ve kontrol çerçevesini kullanan tehdit aktörlerini de gözlemledi.

Checkmarx’ta CxDustico başkanı Tzachi Zornstein, “Geleneksel olarak, kuruluşlar öncelikle yapı düzeyinde güvenlik açığı taramasına odaklandı – günümüzün gelişmiş siber tehditleri karşısında artık yeterli olmayan bir uygulama” dedi. “Kötü amaçlı bir açık kaynak paketi bir kez boru hattına girdiğinde, bu aslında anlık bir ihlaldir ve sonraki karşı önlemleri etkisiz hale getirir. Diğer bir deyişle, hasar verilmiş olur.

“Giderek büyüyen bu boşluk, stratejimizi yalnızca kötü amaçlı paketleri yönetmekten, ilk etapta yazılım geliştirme yaşam döngümüze sızmalarını proaktif olarak engellemeye kaydırmanın aciliyetini vurguluyor. SDLC” dedi.

Çözüm Bulut Depolama mı?

Bulut, şirket içi veri depolama ve yönetimini aşırı derecede pahalı ve verimsiz bulan dünya çapındaki kuruluşlar için başvurulacak platform haline geldi. Kuruluşlar, tek veya çoklu bulut stratejileri arasında seçim yapar ve maliyete, sunulan özelliklere ve benzersiz gereksinimlerine göre bulut satıcılarını seçer.

Günümüzün bulut sağlayıcıları birçok yerel güvenlik özelliğinin reklamını yapmaktadır, ancak bulut müşterileri depolanan verilerin güvenliğinden sorumludur ve yanlış yapılandırmalara veya yanlışlıkla veri ifşasına karşı koruma sağlamalıdır. Birçok geleneksel banka, veri kaybı, satıcı bağlılığı ve potansiyel veri ihlalleri gibi riskler nedeniyle çekirdek sistemler için bulutu benimseme konusunda yavaş kaldı.

Bhapkar’a göre, yalnızca dijital bankaların temel verilerini bulutta depolama olasılığı daha yüksektir. Bunun nedeni, geleneksel bankalarla aynı düzenleyici gerekliliklere tabi olmamaları ve bulut bilgi işlemin güvenliği konusunda daha rahat olmalarıdır.

Bhapkar, “Hızlı ölçeklenebilirlik, esneklik, olağanüstü durum kurtarma ve yıllık maliyet tasarrufları dahil olmak üzere temel verileri bulutta depolamanın çeşitli faydaları var” dedi. “Genel olarak, çekirdek verileri bulutta depolamanın hem yararları hem de riskleri var. Yalnızca dijital bankaların, temel verilerini bulutta depolayıp depolamamaya karar vermeden önce ihtiyaçlarını ve risklerini dikkatlice değerlendirmesi gerekiyor.”