Dijital dönüşümü benimseyen her sektörde olduğu gibi, siber suçlar da finans alanında daha belirgin bir tehdit haline geldi. VMware’in Modern Bank Heists araştırmasına göre, COVID-19 salgınından bu yana finans sektöründeki şirketlere yönelik %238 daha fazla siber saldırı gerçekleşti ve bu şok edici bir artış.
DeFi platformlarına yönelik son saldırı dizisi, fintech şirketlerinin kötü oyuncular için ne kadar büyük bir ödül olma eğiliminde olduğunu açıkça gösteriyor. Özellikle Fintech uygulamaları, büyük getiri potansiyeli sunma eğilimindedir. Saldırganlar ayrıca, daha az katı siber güvenlik önlemleri uygulayabilen teknoloji kullanıcılarını hedef alarak daha fazla hasara neden olabilir. Kötü amaçlı bir uygulama, fintech kullanıcılarının varlıklarını ellerinden alabilir ve fintech şirketini darmadağın bir itibarla bırakabilir.
Fintech şirketleri, platformlarına hem tüketiciler hem de işletmeler tarafından eşit derecede güvenilmesini sağlamak için kimlik ve erişim kontrolü stratejilerine nasıl yaklaştıklarını yeniden düşünmek zorunda kalıyor. Bu endüstri buluta uyum sağlamaya devam ederken, bir kuruluşun güvenlik duruşunu korumak için uygun kontrollerin devreye alınması zorunludur ve bu da kendi zorluklarını beraberinde getirir.
Fintech Uygulamalarının Güvenliğinin Sağlanması Neden Zor?
Bulut geliştirme, yeni uygulama türlerini mümkün kıldı ve mevcut uygulamalar her zamankinden daha iyi çalışıyor. Ancak yanlış yapılandırmalar, insan hatası ve kimlik yönetimi sorunları için yeni fırsatlar da yarattı ve potansiyel saldırı yüzeylerini hızla genişletti. Fintech uygulamaları çok çeşitli teknolojilerden yararlandığından, güvenlik söz konusu olduğunda bu, en zorlu alanlardan biri olmaya devam ediyor.
İster eski bir uygulamayı yeni ve daha iyi bir bulut tabanlı mimariye taşıyın, ister mevcut yetenekleri genişletin, her tür değişiklik bir kuruluşu bulut ölçeğinde savunmasız bırakır. Bir altyapının saldırı yüzeyi artık genişlediğinden ve bulutta dinamik olduğundan, bu, tek bir saldırının patlama yarıçapını çok daha büyük hale getirebilir.
Fintech uygulamaları aynı zamanda dünya genelinde farklılık gösteren katı düzenleyici standartları karşılamalıdır ve genellikle uyumsuzluk nedeniyle yüksek para cezalarıyla karşı karşıya kalır. Örneğin, 2019’da İspanyol DPA, Genel Veri Koruma Yönetmeliğini (GDPR) ihlal eden veri işleme için yetersiz yasal dayanak nedeniyle bir finansal hizmet sağlayıcısına 1 milyon avro para cezası verdi. Finansal alanda faaliyet göstermek, müşterilere ve sektör genelinde daha yüksek düzeyde hesap verebilirlik sağlamak anlamına gelir ki bu zor bir iş olabilir. Fintech, kuruluşların görünürlük, güvenilirlik ve doğru yapılandırma sağlamasını talep eder.
Bu çok kalabalık arenada rekabet edebilmek için fintech şirketlerinin, özellikle üçüncü taraf hizmetleri büyümeye devam ederken, geliştirmenin ilk gününden itibaren güvenlik ve mahremiyet konularını sıkı bir şekilde tutması gerekiyor.
Üçüncü Taraf Hizmetleri Güvenlik Sorunlarını Nasıl Artırabilir?
Fintech kuruluşları satıcılara ve üreticiler, tedarikçiler ve taşeronlar gibi diğer ortaklara ve giderek daha karmaşık hale gelen tedarik zincirlerine daha bağımlı hale geldikçe, saldırganlara karşı daha açık hale geliyorlar. CRA İş Zekası’nın yakın tarihli Üçüncü Şahıs Risk Anketi’ne katılanlar, BT güvenlik olaylarının giderek daha fazla nedeninin üçüncü taraflar olduğuna inanıyor ve tüm katılımcıların yarısından fazlası (%57) bir BT güvenlik olayının – bir saldırı veya bir saldırı – kurbanı olduklarını bildiriyor. ihlal — son 24 ay içinde üçüncü taraf bir iş ortağıyla ilgili.
Kuruluşlar genellikle üçüncü ve dördüncü taraf iş ortaklarına ve bununla birlikte erişebilecekleri geniş veri kapsamına ilişkin görünürlükten yoksundur. Günümüzün yazılım merkezli dünyasında birlikte çalışabilirlik çok önemlidir, ancak genellikle kuruluşları saldırganlara karşı daha da savunmasız bırakır. Fintech geliştiricileri, olası yazılım tedarik zinciri sorunları ve üçüncü taraf hizmetlerinin kuruluşlarına getirebileceği güvenlik sorunları konusunda sürekli tetikte olmalıdır.
Sıkı Mevzuat Standartları Arasında Uyumlu Kalma
Kripto para birimindeki son zamanlardaki yüksek profilli dolandırıcılık vakalarına doğrudan yanıt olarak, düzenleyiciler zaten yüksek oranda düzenlenmiş alana daha da fazla dikkat etmeye başlıyor ve bu da fintech uygulamaları ve şirketlerin bu değişikliklerin nabzını tutması ve uyumlu ve koruyucu kalması için bir zorluk yaratıyor. onların hassas bilgileri. Gartner’ın 2022’de Fintech Raporuna göre, fintech liderleri şu anda işlerine yönelik en büyük tehdit olarak düzenleyici zorlukları sıraladı.
Ödeme Kartı Endüstrisi Veri Güvenliği Standartları (PCI-DSS), Kara Para Aklamayı Önleme (AML)/Müşterinizi Tanıyın (KYC) ve yeni kurulan California Gizlilik Hakları Yasası dahil olmak üzere, dünya çapında değişen bu değişen düzenlemeler ve gereksinimlerin ortasında (CPRA) düzenlemeleri, şirketler veri koruma ve gizlilik standartlarını yükseltmeye zorlanıyor. Peki, işletmeler nasıl uyumlu kalabilir?
Her kuruluş, verilere ve uygulamalara kimin erişimi olduğunu, bunların konumunu ve bunlarla ne yaptıklarını bilmelidir. Fintech’te tehditler katlanarak artmaya devam ederken, kimlik ve erişim yönetimi (IAM) araçlarının uygulanması çok önemli olacaktır.
Bir kuruluşun, yalnızca endüstri düzenlemelerine uyumlu olmalarını sağlamakla kalmayıp, aynı zamanda özellikle bulutta olmak üzere hassas verileri için tutarlı koruma sağlaması için uygun teknolojiye ve süreçlere sahip olması önemlidir. Örneğin, IAM araçları, kuruluşlara geliştirmeyi yavaşlatmayan veya ekiplerine daha fazla iş eklemeyen güvenlik sağlar.
Finansal motivasyona sahip siber suçluların oluşturduğu güvenlik tehditleri ne yazık ki giderek daha karmaşık hale gelecek. Fintech endüstrisi, hassas müşteri verilerini koruma konusunda büyük bir baskıyla karşı karşıyadır ve günümüzün bulut güvenliği zorluklarının karmaşıklığı ve ölçeğiyle başa çıkabilecek proaktif bir güvenlik duruşu ve sağlam bir kimlik ve erişim yönetimi stratejisi oluşturarak siber tehditlere karşı hazırlıklı olması gerekmektedir.