CrowdStrike BT kesintisinin ardından, yeni bir araştırma, tedarik zinciri dayanıklılığı konusunda finansal kurumlarda kritik bir güvenlik açığını ortaya çıkardı. Kesinti, özellikle finansal hizmetler gibi hayati sektörlerde daha fazla dijital tedarik zinciri dayanıklılığına ihtiyaç olduğunu gösterdi.
Şirket içi ve bulut uygulamalarına yönelik yaklaşımlardaki farklılıkların ana hatları (Kaynak: Escode ve CeFPro raporu)
Ancak finansal düzenleyicilerin bunu her seviyede uygulamaya koyma yönündeki güçlü baskısına rağmen, şu anda finansal kuruluşların yalnızca azınlığı üçüncü taraf risk yönetimiyle ilgili düzenleyici gerekliliklere uyuyor.
Escode ve CeFPro’nun raporuna göre, finans profesyonellerinin yalnızca %20,8’i yazılım tedarikçileriyle yapılanlar da dahil olmak üzere üçüncü taraf anlaşmalarının çoğunda çıkış planlarına vurgu yaptığını bildiriyor.
Finansal hizmetler giderek karmaşık üçüncü taraf BT ekosistemlerine bağımlı hale geldikçe, tedarikçi kesintileriyle ilişkili riskler artmıştır. İngiltere Merkez Bankası’ndan Para Birimi Denetçisi Ofisi’ne kadar dünya çapındaki düzenleyici kurumlar, üçüncü taraf risk yönetimini geliştirmek ve nihayetinde finans sektöründe daha iyi operasyonel dayanıklılık sağlamak için katı yönergeler yayınlamıştır.
En derinlemesine örneklerden biri Avrupa Birliği’nin Dijital Operasyonel Dayanıklılık Yasası’dır (DORA). Tedarikçi başarısızlığının (bulut kesintilerinden yazılım şirketlerinin iflas etmesine kadar) finansal hizmet sektörünü büyük ölçüde sekteye uğratmasını önlemek için tüm ICT üçüncü taraf lisans anlaşmalarına vurgulu çıkış planlarının dahil edilmesini savunur.
Ancak bu küresel düzenleyici baskıya rağmen -DORA’nın 17 Ocak 2025’te uygulanması bekleniyor- yeni anket, sektörün daha hazırlıklı olması gerektiğini gösteriyor. Ankete katılan küresel profesyonellerin yalnızca beşte biri, lisans anlaşmalarının %76-100’ü için çıkış planlarını vurguladıklarını bildirirken, neredeyse yarısı bunların anlaşmaların %0-10’u için yürürlükte olduğunu bildirdi. Katılımcıların yalnızca %18,7’si, mevcut üçüncü taraf vurgulu çıkış planlarına ‘tam güven’ duyduğunu ifade etti.
Bu haber, finans kuruluşlarının tedarik zincirindeki aksaklıklar nedeniyle potansiyel olarak yıkıcı maddi etkilerle karşı karşıya kalmasıyla geldi.
Yaklaşık bir ay önce, Avustralyalı bir emeklilik fonu olan UniSuper’ın 500.000 üyesi, Google Cloud’daki ‘benzersiz’ bir yanlış yapılandırma sonucu sağlayıcının özel bulut hesabının silinmesinin ardından hesaplarına erişememişti.
Finans sektörü tedarik zinciri yönetimi uygulamalarını güçlendirmek için kritik bir an ile karşı karşıya. Düzenleyici baskılar yoğunlaşıyor ve kurumları ve müşterilerini zorlayan zorluklar yaratıyor. Üçüncü taraf yönetiminin sektör genelinde nasıl ele alındığı konusunda hala önemli bir değişkenlik olması endişe verici – özellikle CrowdStrike kesintisi gibi olaylar ışığında. Bu kurumlar dijital olarak daha bağımlı hale geldikçe, genellikle birden fazla üçüncü taraf tedarikçiye, tedarik zincirinin bir noktasındaki kesintinin etkisini azaltmak için harekete geçilmelidir” dedi Escode’da Düzenleyici Uyumluluk Çözümleri Lideri Wayne Scott.
“Kurumların yalnızca bir kısmının sağlam vurgulanmış çıkış planlarına sahip olması gerçek bir endişe kaynağıdır. Bu, önerileri ihmal etme meselesi değil, daha ziyade bu kritik önlemlerin uygulanması konusunda daha iyi destek ve eğitime ihtiyaç duyulmasıdır. Bu, tedarikçi arızaları sırasında hayati bilgilere erişimin sağlanmasından ve zayıflıkları belirlemek için titiz senaryo testlerinden, yazılım tedarikçileriyle çalışırken emanet sözleşmelerinin kullanılmasına kadar – düzenleyicilerin önerilerinde ‘aktif değerlendirme’ olarak belirttiği gibi. Bu, önleyici, dedektif bir yaklaşım benimsemekle ilgilidir – nihayetinde sektörün karşı karşıya kaldığı giderek karmaşıklaşan risk manzarasına dayanabilmesinin tek yolu budur.”