Siber tehdit ortamı hızla gelişmeye devam ediyor. Yıl henüz sona ermedi ancak değişen mevzuat ortamında artan sayıda mevcut ve yeni tehdide tanık olduk. Bu durum küresel firmaları, özellikle finansal hizmetlerde, risk yönetimi çabalarını geliştirmeye zorluyor ve sağlam bir güvenlik matrisinin artık şirketin DNA’sının bir parçası olmasını sağlıyor.
2024 tarihli bir IBM raporu, bir veri ihlalinin küresel ortalama maliyetinin, geçen yıla göre %10 artışla şimdiye kadarki en yüksek toplam olan 4,88 milyon ABD Doları olduğunu ortaya çıkardı. Siber suçlar artmaya devam ettikçe bu maliyetler de artmaya devam edecektir.
Dünya Ekonomik Forumu’nun siber suçlarla ilgili değerlendirmesi, genel tespit ve kovuşturma oranının yalnızca %0,05 kadar düşük olabileceğini gösteriyor; bu da neredeyse her sektörü yeni çözümleri benimsemeye ve sistemlerini ve güvenlik çerçevelerini geleceğe hazır hale getirmek için hızlı hareket etmeye zorluyor.
Sağlam bir risk yönetimi çerçevesi oluşturmak ve sürdürmek, sürekli gelişen bir süreçtir. Standard Chartered’da altı yıllık çalışmanın ardından siber tehditleri yönetmek için daha karmaşık bir yaklaşım uygulamaya koyduk.
Bir finansal hizmet firmasının bakış açısından, uygun ve sağlam bir risk yönetimi sistemi aşırı derecede bilimsel değildir; daha ziyade, dünyaya kapsamlı bir makro bakış açısıyla tehdit senaryolarını hafifletmekle ilgilidir. Bunu üç ana bölüme ayırdık: veri kaybı, fon kaybı, hizmet kaybı veya yukarıdakilerin tümü. Bu, yalnızca siber güvenliğe değil, aynı zamanda fiziksel güvenliğe ve mali suç faaliyetlerine de mevcut telemetriyi yakalamak için gelişmiş analitik ve yapay zekayı kullanan bütünsel bir mercek aracılığıyla baktığımız, firma genelinde birleşik bir yaklaşımla gerçekleştirilir.
Yapay zeka (AI), kendi tehdit rejimini oluştururken, şirketlerin güvenlik sistemlerini büyük bir hızla güçlendirmelerine yardımcı oluyor. Makine öğrenimi teknolojisinin kullanılması, firmaların daha karmaşık algılama araçlarını kullanabileceği ve yaklaşan tehditleri, mevcut otomasyon araçları paketi mevcut olmadan önce elde edilemeyecek kadar büyük bir hızda ve ölçekte anlayabileceği anlamına gelir. Bununla birlikte yapay zeka, daha inandırıcı derin sahtekarlıkların oluşturulması ve bireyleri hedef alan giderek daha fazla hedeflenen kimlik avı girişimleri de dahil olmak üzere çeşitli tehdit aktörleri karşısında da kullanılabilir. Bu, savunmaya bütünsel bir yaklaşım sağlayan, yalnızca BT uzmanlarını değil, tüm çalışan ağını kapsayan sağlam bir güvenlik çerçevesinin önemini vurgulamaktadır.
Standard Chartered’ın tehdit ortamı düzeyine ilişkin mevcut değerlendirmesinin bir parçası olarak, harici tedarikçiler gibi üçüncü taraflardan gelen tehditlerin sayısında iki haneli bir artış gördük.
Tehdit aktörleri giderek daha fazla eylemlerinin etkisini en üst düzeye çıkarmaya çalışıyor. Tek bir kuruluşu hedeflemek yerine, dosya paylaşımı veya uygulama programlama arayüzü (API) hizmetleri gibi kurumsal ekosistemlerde kullanılan araçlara sızarak birden fazla kuruluşu hedef alacaklar. Bu, TA’ların diğer firmalara erişim için üçüncü tarafları bir kanal olarak kullanması nedeniyle ekstra durum tespiti ve değerlendirmeler gerektiren üçüncü taraf etkileşimleriyle sonuçlanır. Yazılım tedarik zinciri, siber saldırganların giderek birincil hedefi haline geliyor; 2019’dan bu yana bu tür saldırılarda yıllık ortalama yüzde 742 artış görüldü.
Firmalar bu kaynaktan gelen tehditlerin arttığını bildirdikçe, yakın çalıştığımız üçüncü taraflara ilişkin değerlendirmemizi güçlendirmek giderek daha önemli hale geliyor. İç güvenlik uzmanlarından oluşan ekipler, bu gelişen tehdide odaklanan ve üçüncü taraflarla iletişim hatlarını iyileştiren simülasyonları artırıyor. Bu, bankanın güvenlik sorumluluklarının daha fazla farkında olmasını ve Banka ile etkileşimde bulunurken temel güvenlik kriterlerine uymanın sadece gerekli değil aynı zamanda zorunlu olmasını sağlar.
Verileri elde eden ve bunları diğer tehdit aktörlerine satan ilk erişim aracılarının tehditleri, fidye yazılımı saldırılarındaki artışla birlikte, yaklaşmakta olan tehdit ortamına hakim olmaya devam ediyor. Varsayılan olarak güvenliği oluşturmak için çalışıyoruz ve risk yönetimi sistemlerini güçlendirmenin bir parçası olarak tüm teknolojimizin tasarım gereği güvenli olmasını sağlıyoruz.
Başarılı bir risk yönetimi sisteminin uygulanması sürekli gelişen bir süreçtir. Monolitik yapılardan uzaklaşıyor ve Bankadaki belirli tehditleri hedef alan gelişmiş analitiklere odaklanıyoruz.
Firmalar için yeni güvenlik duvarı görevi görecek kimlik korumasına yoğun yatırım yapmak şu anda öncelikli odak noktasıdır. Banka verilerine ve sistemlerine yönelik bireysel izinler, erişimin yalnızca belirli bir ihtiyaca ihtiyaç duyan kişilere verilmesini sağlamak için daha dikkatli bir şekilde denetleniyor. Erişimin tanımlanması ve izin verilmesi yoluyla hiçbir güvenlik açığının bulunmadığından emin olmak, güvenlik ekipleri için en büyük zorluklardan biridir ve tüm iş birimleri arasında yakın işbirliği gerektirir.
Güvenlik ve risk yönetimine yönelik herhangi bir yaklaşımda, mevcut ve ortaya çıkan tehditler hakkındaki bilgilerin eşler arasında paylaşıldığı bir sektör işbirliği unsuru bulunmalıdır. Güvenlik ekipleri arasında, sektöre en iyi hizmetin, tehdit ortamına ilişkin sürekli bilgi paylaşımı yoluyla sağlanacağı konusunda kolektif bir anlayış var. Sektörün tehdit aktörlerinden bir adım önde olması isteniyorsa, tüm finansal kurumlardaki tehditleri tüm boyutlarıyla değerlendiren sektör birlikleri büyük önem taşıyor.
Etkin risk yönetimi genel verimliliği artırmanın anahtarıdır. Bir firma varlık varlığını rasyonelleştirirse, daha az kaynak varsa doğal olarak güvenlik tehdidi potansiyeli de azalır, bu da risk yönetiminin daha etkili ve sürdürülebilir bir şekilde uygulanabileceği anlamına gelir.
Etkin risk yönetimini geliştirmek için herhangi bir firma arasındaki iş birliği bir zorunluluktur; aynı şekilde, kötü aktörlerin saldırma şansına sahip olmadan önce tehditleri ikiye katlamak için uyum içinde çalışmaya yönelik daha geniş bir endüstri isteği de vardır.