Finans kurumları ve finans teknolojisi (fintech) için siber güvenlik manzarası son birkaç yılda önemli ölçüde değişti ve 2023 de muhtemelen farklı olmayacak.
Örneğin, Finansal Hizmetler Bilgi Paylaşımı ve Analiz Merkezi (FS-ISAC) tarafından yayınlanan ortak bir rapora göre, 2022’de finansal firmaları hedef alan dağıtılmış hizmet reddi (DDoS) saldırıları dünya çapında bir önceki yıla göre %22 arttı. ) ve internet altyapı şirketi Akamai. Rapora göre, Avrupa’daki finans kurumları %73 daha fazla DDoS saldırısıyla daha da büyük bir sıçrama gördü.
FS-‘nin küresel istihbarat başkanı Teresa Walsh, pek çok işletme DDoS saldırılarını internette gürültü olarak görmezden gelirken, bu tür taktiklerin, özellikle Rusya’nın Ukrayna’yı işgalinden bu yana yüksek seyreden jeopolitik gerilimlerle birlikte, giderek daha fazla bir saptırma aracı olarak kullanıldığını söylüyor. ISAC.
Finans kurumlarının “sistemlere sızma ve kötü amaçlı yazılım yükleme gibi daha zarar verici siber faaliyetler için bir tuzak olarak kullanılacak DDoS saldırılarının potansiyelini” ölçmesi gerektiğini söylüyor. “Finansal kurumlara sunulan çok çeşitli standart savunma önlemleri nedeniyle DDoS saldırılarının kendisi büyük kesinti sürelerine neden olma eğiliminde olmasa da, aynı uygulamalar bir sis perdesi olarak kullanılan DDoS için o kadar kolay mevcut değil.”
DDoS saldırılarındaki artış, finansal hizmetlerin ve fintech şirketlerinin artan düzeyde tehditle karşı karşıya kaldığı alanlardan yalnızca biri. Rusya-Ukrayna savaşında taraf tutan ulus-devlet grupları tarafından yönlendirilen fidye yazılımları daha yıkıcı hale gelirken, finansal verilere yönelik saldırılar her türden kuruluşun karşılaştığı bir sorun haline geliyor. Buna ek olarak, saldırganlar, erişim aracıları ve hizmet olarak fidye yazılımı gibi siber suç hizmetlerini kullanıyor ve bu da finansal kurumlara ve kripto para birimi hizmetlerine karşı daha özel ve karmaşık operasyonlara yol açıyor.
Düzenlemeler aynı zamanda finans firmaları için siber güvenlik manzarasını da değiştiriyor ve siber olayları – 1 Mayıs 2022 itibarıyla – olayın ABD bankacılık sistemini etkileme olasılığı varsa, siber olayları ABD’deki düzenleyicilerine 36 saat içinde ifşa etmesi gerekiyor. Aynı zamanda, türev hizmet sağlayıcısı ION Group’a yapılan son fidye yazılımı saldırısı ve iş e-postası ele geçirme (BEC) şemalarının devam eden popülaritesi, finansal tedarik zincirinin kırılganlığını gösteriyor.
Contrast Security’de siber stratejiden sorumlu kıdemli başkan yardımcısı Tom Kellermann, finans şirketlerinin en iyi siber güvenliklerden bazılarına sahip olmasına rağmen, saldırganların başarılı olmanın yollarını bulmaya devam ettiğini söylüyor.
“Siber güvenliğe diğer sektörlerden çok daha fazla yatırım yaptılar, en iyi teknolojilere sahipler ve dünyanın en iyi insanlarından bazılarına sahipler” diyor. “Ancak, sadece ekonomik casusluk amacıyla değil, ekonomik yaptırımları dengelemeye yardımcı olmak için sektörü hacklemek isteyen haydut ulus devletlerin istihbarat servisleriyle birlikte dünyadaki en organize ve sofistike siber suç kartelleri tarafından avlanıyorlar.”
Jeopolitik ve Siber Suç Uzmanlığı Değişiklikleri Teşvik Eder
İki büyük güç, genel siber güvenlik manzarasını değiştiriyor. Rusya’nın Ukrayna’yı işgali, fiziksel çatışmadan farklı olarak bu iki ülkenin sınırlarının dışına taşan paralel bir siber savaşa yol açtı. Rusya-Ukrayna çatışması, daha fazla sayıda saldırganın, para çalmanın veya kar amaçlı fidye yazılımı dağıtmanın yanı sıra yıkıcı operasyonlara odaklanmasına yol açtı.
Contrast Security’nin görüştüğü finans şirketlerinin yarısından fazlası (%54) Rusya’dan gelen siber saldırıları en büyük tehdit olarak görüyor ve dörtte biri Kuzey Kore’yi en büyük endişeleri olarak gösteriyor.
Kellermann, “Ruslar bu kurumlarla en çok ilgileniyor çünkü Rus siber suç kartelleri, yalnızca nasıl çalıştığı ve neyin en değerli olduğu konusunda finans sektörü hakkında değil, aynı zamanda sektörde var olan karşılıklı bağımlılıklar konusunda da çok daha bilgili.” diyor. “API’lere yönelik bu saldırı artışını ve adaya atlama ve sulama deliği saldırılarında artışı görmenizin nedeni de bu.”
Genel olarak, sektördeki siber saldırılar daha karmaşık hale geldi, geleneksel olarak bağımsız saldırıların çoğu artık daha karmaşık operasyonların bir parçası olarak kullanılıyor ve saldırı zincirinin bazı bölümlerinin yerini “hizmet olarak” modeller alıyor. Siber güvenlik firması Kaspersky, finansal hizmetler sektörünü hedef alan siber tehditler listesinde, Emotet hizmet olarak kötü amaçlı yazılım operasyonunun büyümesinin gösterdiği gibi, erişim aracılarının çok daha popüler hale geldiğini söyledi.
Kaspersky’de kıdemli bir güvenlik araştırmacısı olan Marc Rivero, “Bu erişim aracısı siber suç grupları, temelde ellerinden geldiğince hackliyorlar ve sonra bize erişimimizi satın almak isteyen herkese satıyorlar” dedi. tahminler. “Bu, diğer grupların hedeflerinden ödün vermek için daha az zaman harcamasına izin veriyor.”
Şirket finans ve muhasebe departmanları bile artan riskler görüyor. Bir araştırmaya göre, kuruluşların üçte birinden fazlasının (%35) muhasebe ve finansal verileri son 12 ayda bir siber olayda saldırganlar tarafından hedef alındı ve yaklaşık yarısı (%49) gelecek yıl benzer saldırılarda artış bekliyor. Danışmanlık şirketi Deloitte tarafından yürütülen anket.
Deloitte’un risk ve finansal danışmanlık grubu müdürü Daniel Soo, saldırganların giderek artan bir şekilde kurumsal kullanıcılar ile finansal kurumlar ve finansal firmalar ile bunların satıcıları arasındaki finansal işlemleri ele geçirmeye odaklandığını söyledi.
“Bu saldırganlar, bazı mali verilere girebilecekleri ve bu firmaların her birinin altında yatan şeyi görebilecekleri yerde biraz daha hedefli hale geliyor” diyor. “Ve bu biraz ürkütücü, çünkü finansallara bakarak kuruluşlar hakkında çok şey öğrenebilirsiniz.”
Daha Fazla Yönetmelik, Uyumluluk Riskleri
Finansal kurumlar ayrıca birden fazla yetki alanında artan düzenlemelerle uğraşmak zorundadır. Genel Veri Koruma Yönetmeliği’ne (GDPR) uymak için veri ihlallerinin Avrupa makamlarına bildirilmesi gerekir ve Amerika Birleşik Devletleri, Kaliforniya liderliğindeki eyalet ve federal düzeyde gözetimi artırıyor. Amerikan Veri Gizliliğini Koruma Yasası (ADPPA) Kongre’den geçmedi, ancak finans firmaları için 36 saatlik raporlama gerekliliği de dahil olmak üzere federal standartlar ilerlemeye devam ediyor.
FS-ISAC’tan Walsh, artan düzenlemelerin, herhangi bir finans kuruluşunun, özellikle çok uluslu kurumların, değişen düzenlemeleri karşılama esnekliğine sahip olmak için bütünsel bir siber dayanıklılık programı oluşturması gerektiği anlamına geldiğini söylüyor.
“Bu, uzun yıllardır önemli bir öncelik olmuştur, bu nedenle düzenlemeye yanıt olarak çok az kurumun siber yönetim veya raporlama altyapılarında önemli değişiklikler yapmak zorunda kalmasını bekliyoruz” diyor.
Kellermann, “Makul inkar edilebilirlik öldü. Şimdi rapor vermeleri gerekecek.”
Finansal Güvenlik Duruşunda Gerekli İyileştirme
Contrast Security’nin araştırmasına göre, finansal hizmetler firmaları genellikle siber güvenliği benimseyen gruplar arasında başı çekerken, ödeme teknolojilerindeki hızlı inovasyon temposu, finansal kurumların bu teknolojileri güvence altına almak için hızla hareket etmesini gerektiriyor. Ankete göre, 2023’te finans kuruluşlarının %72’si uygulamalarının güvenliğine yaptıkları yatırımları artırmayı planlarken, %64’ü tedarikçileri için zorunlu siber güvenlik gereksinimleri ortaya koyuyor.
Ek olarak, siber güvenlik ve siber suçun tanımı yeni kategorilere doğru genişlemektedir. Ocak 2023’te yayınlanan bir raporda, Mali Sektör Düzenleme Kurumu (FINRA), siber güvenlik ve teknoloji yönetişimi bölümünde mali suçlar için yeni bir bölüm ekledi.
Deloitte’den Soo, finans sektörünün çoğunlukla bilgi altyapısını ve süreçlerini daha dayanıklı hale getirmesi gerektiğini söylüyor – yalnızca bir saldırıya direnmek için değil, aynı zamanda kuruluşun bir saldırıdan sonra kendini toparlayabilmesi için de. Deloitte raporunda, şu anda şirketlerin yalnızca %26’sının belirli siber olay türlerinden kaynaklanan zararları tahmin etmek için bir süreci olduğunu ve diğer %17’sinin önümüzdeki 12 ay içinde bir tane başlatmayı hedeflediğini belirtti.
Soo, “Kesinlikle bir tür siber olayla ilgili bir kesinti olacak ve dayanıklılık, ‘çok yapılandırılmış bir şekilde hızlı bir şekilde nasıl iyileşirsiniz’ ile ilgili” diyor. “Nasıl iyileşebilirsin ve patlama yarıçapını nasıl sınırlayabilirsin, [so] herhangi bir hasarın yerini tespit ettin mi?”