Finansal kurumlar her zaman siber saldırılar için değerli bir hedef olmuştur. Bankacılık ve finans kurumlarının sıkı düzenlemelere tabi olmasının ve diğer sektörlerin çoğuna göre daha fazla uyumluluk gereksinimlerine sahip olmasının nedeni kısmen budur.
Son yıllarda bu riskin sürekli olarak ölçülmesine ve yönetilmesine daha fazla vurgu yapmak üzere tasarlanmış bir dizi yeni kural uygulamaya konmuştur. Finansal kurumlar için bunu yapmanın yolu mutlaka yeni güvenlik araçlarına yatırım yapmak değildir; otomatik izleme ve optimizasyon yoluyla mevcut teknolojiden daha fazla değer elde etmektir.
Artı işaretlerinde
Neredeyse tüm sektörlerdeki emsalleri gibi finansal hizmet firmaları da maliyet verimliliğini, iş çevikliğini ve yenilikçiliği artırmak için çok sayıda buluta geçiyor. Bulut, ChatGPT tabanlı müşteri hizmetleri botları, dolandırıcılık tespit algoritmaları ve uyumluluk iş akışlarını kolaylaştırmak ve güncellemek için tasarlanmış araçlar gibi ilgi çekici yeni yapay zeka tabanlı hizmetlerin oluşturulabileceği temeldir.
Ancak aynı zamanda bu yatırımlar yeni riskleri de beraberinde getiriyor. Hassas veri depolarına ve kritik operasyonel sistemlere giderken hedeflenecek yeni varlıklar oluşturarak sözde “siber saldırı yüzeyini” genişletiyorlar. Bir bulut sunucusundan ev çalışanının akıllı telefonuna kadar her şey olabilir. Bu sistemlerin çoğu, rutin olarak istismar edilebilecek güvenlik açıkları içerir. Veya yalnızca kolayca kimlik avı yapılabilecek basit şifrelerle korunuyorlar. Diğerleri personel tarafından yanlış yapılandırılarak kötü niyetli faaliyetlere açık bırakılabilir.
İhlal edilen bankaların finansal ve itibar açısından maliyeti önemli olabilir. IBM, bunun veri ihlali başına 5,9 milyon dolar olduğunu hesaplıyor; finansal etki açısından dünya çapında sağlık sektöründen sonra ikinci sırada yer alıyor ve sektörler genelindeki ortalama olan 4,45 milyon dolardan çok daha yüksek. Ancak etkilenen işletmelerin doğrudan etkilenmesinin ötesinde, hükümetleri ve düzenleyicileri tedirgin eden daha ciddi bir risk var: Bankacılık sistemine yönelik ciddi bir saldırı, ulusal ve ekonomik güvenlik üzerinde zayıflatıcı bir etkiye sahip olabilir.
Düzenlemeler karmaşıklığı artırıyor
Bu tedirginliğin bir kısmı daha fazla düzenleyici eyleme dönüştü. Menkul Kıymetler ve Borsa Komisyonu (SEC) kısa süre önce halka açık şirketlerdeki yatırımcılar için şeffaflığı artırmak amacıyla tasarlanan siber risk ifşasına ilişkin yeni kuralların kabul edildiğini duyurdu. Listelenen firmaların ciddi siber güvenlik olaylarını dört gün içinde açıklaması ve siber konusunda uzman yönetim kurulu üyelerini piyasayı bilgilendirmesi gerekecek.
Başka bir yerde, New York Finansal Hizmetler Departmanı Haziran ayında siber güvenlik düzenlemelerinde güncellenen değişiklikleri duyurdu. Bunlar arasında çok faktörlü kimlik doğrulama (MFA), e-posta ve internet trafiğinin izlenmesi ve filtrelenmesi, kullanıcı eğitimi, olay müdahale planları, sızma testleri, uygulama güvenliği ve yıllık risk değerlendirmesiyle ilgili daha katı ve kapsamlı gereksinimler yer alıyor.
AB’de faaliyet gösteren kuruluşların yeni Dijital Operasyonel Dayanıklılık Yasası’na (DORA) dikkat etmesi gerekecek. Bu, BT riskinin sorumluluğunu sıkı bir şekilde yönetim kuruluna yükler ve kapsam dahilindeki tüm finansal kuruluşların sürekli siber dayanıklılığı sağlamak için risk temelli politikalar oluşturmasını, geliştirmesini ve kanıt sunmasını zorunlu kılar.
Bu arada Sarbanes-Oxley Yasası, ABD’deki tüm halka açık şirketlerin ve bunların tamamına sahip olduğu yan kuruluşlarının kimlik doğrulama ve veri güvenliği gibi alanlarda en iyi uygulamalara uymasını zorunlu kılıyor.
Daha fazlası da gelecek. ABD Ulusal Siber Güvenlik Stratejisi, önümüzdeki aylarda kritik ulusal altyapı sektörlerinde faaliyet gösteren kuruluşların güvenliğinin artırılmasına yardımcı olacak yeni gereksinimler ve düzenlemeler vaat ediyor.
Otomasyon uyumluluğu kolaylaştırır
Bu tür uyumluluk gerekliliklerini karşılamak için insanlar ve süreç son derece önemli olsa da, üçüncü sütun olan teknoloji belki de en kritik olanıdır. Kuruluşların siber riski daha iyi yönetmek ve en aza indirmek için dikkatle tasarlanmış güvenlik politikalarını uygulayabilmelerini sağlayan, uç nokta tespiti ve yanıtı (EDR) veya veri kaybı önleme (DLP) gibi güvenlik kontrolleridir.
Nispeten sağlıklı siber güvenlik bütçeleri göz önüne alındığında, finansal kurumların artan uyumluluk zorunluluklarına daha fazla kontrole yatırım yaparak tepki vermesi cazip gelebilir. Ancak bunu yapmak akıllıca olmayabilir. Son Panaseer araştırması, büyük kuruluşların artık ortalama 76 ayrı güvenlik aracı çalıştırdığını gösteriyor; bu, 2019’dan bu yana %19 artış gösterdi. Bu, bazı alanlarda işlevlerin kopyalanmasına, diğerlerinde ise tehlikeli kapsam boşluklarına yol açabilir.
Daha da kötüsü, yönetilecek araç sayısı arttıkça küresel siber güvenlik kuralları ve düzenlemelerinin gelişen yama yapısına uygunluğu kanıtlamak da o kadar zor olabilir. Bu, özellikle kuralcı teknoloji kontrollerine daha az odaklanan ve politikaların neden uygulamaya konduğuna, nasıl geliştiklerine ve kuruluşların amaçlanan sonuçları sağladıklarını nasıl kanıtlayabileceklerine dair kanıt sağlamaya odaklanan DORA gibi yasalar için geçerlidir.
Aslında riski en aza indirmek için güvenlik ve BT araçlarının sürekli olarak izlenmesi ve kontrol edilmesi gerektiğini açıkça belirtiyor. Kuruluşlar manuel kanıt toplama yöntemine güvendiğinde bu zor bir durumdur. Panaseer araştırması, %82’sinin uyumluluk son tarihlerini karşılayabileceklerinden emin olduğunu, %49’unun ise çoğunlukla veya yalnızca manuel, belirli bir zamanda yapılan denetimlere güvendiğini ortaya koyuyor.
Yönetmeleri gereken güvenlik kontrollerinin sayısı, ürettikleri veri hacmi ve sürekli, risk bazlı uyumluluk gereklilikleri göz önüne alındığında, bu durum BT ekipleri için sürdürülebilir değildir. Tüm güvenlik kontrollerindeki KPI’ları ve ölçümleri sürekli olarak ölçmek ve kanıtlamak için daha otomatik bir yola ihtiyaçları var. Bu şekilde kontrol boşluklarını daha iyi tespit edebilir, güvenlik duruşunu etkin bir şekilde geliştirebilir ve düzenleyicilere politikalara bağlılık konusunda kanıt sunabilirler.