3. Taraf Risk Yönetimi, Finans ve Bankacılık, Yönetişim ve Risk Yönetimi
Finansal Hizmetler Uzmanları Üçüncü Taraf Risk Yönetimine Daha Güçlü Odaklanma Çağrısında Bulunuyor
Chris Riotta (@chrisriotta) •
8 Kasım 2024
Bankaların çevrimiçi tahkimatlarından rahatsız olan bilgisayar korsanları, finansal veri hazinelerine ulaşmak için daha kolay bir yol izliyor: Bulut sağlayıcıları ve veri depolama platformları da dahil olmak üzere daha az iyi korunan üçüncü taraflar.
Ayrıca bakınız: 2024 Finansal Hizmetlerde Kimlik Güvenliğinin Durumu
Uzmanlar Perşembe günü New York City’de düzenlenen Bilgi Güvenliği Medya Grubu finansal hizmetler zirvesinde satıcı riskinin finansal kurumları üçüncü taraf yükleniciler ve hatta dördüncü taraf satıcılar için sıkı risk yönetimi çerçeveleri uygulamaya ittiğini söyledi.
MassMutual’ın CISO’su Eric Boateng, infosec liderlerinin değişen sorumluluklarına ilişkin bir açılış oturumunda şunları söyledi: “Ne zaman bir veri ihlali duysanız, bu işinizi kolaylaştıran üçüncü bir taraftan gelir” dedi (bkz: Kanada Polisi, Snowflake Saldırılarıyla Bağlantılı Şüpheli Hacker’ı Tutukladı).
Boateng, uzaktan çalışma ve artık kritik operasyonların merkezinde yer alan bulut platformlarına olan bağımlılığın artmasıyla birlikte saldırı yüzeyinin küresel yeni koronavirüs pandemisinden bu yana önemli ölçüde genişlediğini söyledi. Genişletilmiş saldırı yüzeyi, “tipik risk yönetiminden” daha proaktif, çok katmanlı bir yaklaşıma geçişi gerektirir.
“Saldırganlar, bu üçüncü tarafların kontrol alanını güçlendirmek için yeterince çaba göstermediğinin farkına varıyor ve kendilerinin sömürülmesine izin verdikleri ölçüde onlara saldırmaya devam edecekler.”
Robinhood Markets CSO’su Erika Dean, finansal hizmetler sektöründe üçüncü tarafların kullanımının iş gücü içinde de arttığını, kuruluşların çalışanların giderek genişleyen bir dizi cihaz aracılığıyla ağlarına bağlanmalarına giderek daha fazla izin verdiğini söyledi.
Dean, “İnsanlar sahip olduğumuz en önemli varlıklardan biri olmasına rağmen aynı zamanda en kolay manipüle edilen varlıklardır” dedi. Üçüncü taraflara artan bağımlılık, CISO’ları yalnızca tedarikçilerinin siber güvenliğini değil aynı zamanda uzaktan çalışma uygulamalarını ve iç güvenlik politikalarını da dikkate almaya zorluyor.
KnowBe4’ün stratejik öngörüler ve araştırmalardan sorumlu kıdemli başkan yardımcısı Joanna Huisman’a göre, çalınan kimlik bilgileri, sosyal mühendislik ve ayrıcalıklı suiistimal gibi kazara yapılan eylemler olayların %68’ine katkıda bulunurken, insan hatası siber saldırılarda kritik bir faktör olmaya devam ediyor. Ancak Huisman, araştırmaların, çalışanların güvenlik farkındalığı programlarına ve kaynaklarına daha iyi erişim yoluyla kuruluşlar içinde “hazırlık düzeyini yükseltmede ileriye yönelik önemli bir rol” oynayabileceklerini gösterdiğini de sözlerine ekledi.
Tam gün süren finansal hizmetler zirvesi, artan siber tehditlerle mücadeleye yönelik en son stratejileri tartışmak üzere Hazine Bakanlığı ve FBI’dan siber suç uzmanlarının yanı sıra Google Cloud Security’den yenilikçiler de dahil olmak üzere hükümet, finans ve teknolojiden uzmanları bir araya getirdi (bkz.: ISMG’nin NYC Zirvesi için En İyi Finans ve Siber Uzmanlar Bir Araya Geliyor).
Zirvede ayrıca Apple Bank Kıdemli Başkan Yardımcısı Anthony Scarola ve Helaba ISO Vekili Carlos Suarez’in katıldığı ve hesap ele geçirme mekanizmalarını, ortaya çıkan kimlik tabanlı saldırı eğilimlerini ve stratejilerini tartışan “Dijital Kimliğin Korunması: Finansal Hizmetlerde Hesap Devralmalarıyla Mücadele” başlıklı bir oturum da yer aldı. Sağlam kimlik yönetimi çerçeveleri için. “Yeni Ödeme Dolandırıcılığı Çağı: Bilgisayar Korsanları Kahramanlara Karşı” başlıklı bir başka panelde Hunton & Williams ortağı Aaron Simpson, ABD Hazine Bakanlığı Siber Soruşturmalar Birimi denetleyici özel ajanı Seth Rose ve Sonesta Hotels bilgi güvenliği direktörü Michael Woodson yer aldı. Sentetik kimlik dolandırıcılığı ve gelişmiş sosyal mühendislik saldırıları gibi artan tehditler.