Finans sektörünün karşılaştığı siber güvenlik riskleri ve zorlukları

Sonraki hikaye
Amer Owaida

Finans şirketlerinin karşılaştığı çeşitli tehditlerle ve kuruluşların bu zorlukları yenmek için yapabilecekleriyle ilgili bir yazı

Finans hizmetleri sektöründeki şirketler, çeşitli finans suçlarının ve dolandırıcılıkların hedefinde olmaya alışıktır. Ancak zaman içinde finans hizmetlerinin alanı değişti ve tehditleri düzenleyenler de dijital dünyaya daha iyi uyum sağlayabilmek için taktiklerini geliştiriyor. Günümüzde siber suçlular kendi ceplerini doldurmak üzere doğrudan şirketlere sızmanın yanı sıra farklı dolandırıcılık ve gasp yöntemleri kullanıyor.

Finans sektöründeki veri sızıntısının neden olduğu zarar, siber suçların finansal hizmetler sunan şirketler için ne kadar büyük bir tehdit oluşturduğunu gözler önüne seriyor. IBM tarafından düzenlenen Veri Sızıntısının Maliyeti, 2020 raporuna göre finansal hizmetler sektöründeki bir veri sızıntısının ortalama maliyeti 5,85 milyon Amerikan dolarıdır; ankete katılan diğer sektörlerde ise bu rakam 3,86 milyon Amerikan dolarıdır.

Ayrıca finans sektörü, özellikle müşterilerden topladığı bilgilerin türü ve miktarı göz önünde bulundurulduğunda kötü amaçlı kişiler için çok çekici bir hedeftir. Sızıntının başarılı olması durumunda ele geçirilen veriler, kimlik dolandırıcılığında kullanılabilir veya karanlık ağ pazarlarında satılabilir. Bu durum, sızıntıya uğrayan kuruluşların ününe zarar vermenin yanı sıra etkilenen müşterilerin maddi olarak zarara uğramasına da neden olabilir.

Verizon’un 2020 Veri Sızıntısı İncelemeleri Raporu’nda belirtildiği üzere finans kuruluşlarına karşı yürütülen saldırıların %63’ü maddi kazanç sağlamak isteyen dış tehdit unsurları tarafından düzenlenmiştir. Bu olaylarda kuruluşlar, siber suçluların kimlik hırsızlığıyla ilgili saldırılar, sosyal mühendislik saldırıları, dolandırıcılık, DDoS saldırıları ve kötü amaçlı yazılım saldırıları düzenlemesini bekleyebilir.

COVID-19 pandemisi, birçok zorluğu da beraberinde getiren uzaktan çalışmaya geçişle birlikte risklerin artmasına neden olmuştur. Uzaktan çalışmaya geçişin hızlı bir şekilde gerçekleşmesi nedeniyle şirketler, çalışanların evden çalışmasının neden olabileceği olası zayıf noktalarla başa çıkmayı sağlayacak siber güvenlik politikalarını gerektiği gibi devreye almak için yeterli zaman bulamamış olabilir.

Kuruluşların, karşılaştıkları birçok saldırıda kurban durumuna düşmesini engellemek için güvenlik önlemlerini artırmaları gerektiği apaçık ortadadır. Dünya genelinde 10.000 müşterinin ve üst düzey yöneticinin katıldığı, yakın zamanda düzenlenen ESET anketine göre şirketlerin %45’i bir sızıntıyla karşılaşmıştır.

İnsan unsuru 

Çalışanlar, kuruluşların en önemli yapıtaşıdır, ancak bu konuyu bir kez daha gözden geçirmekte yarar var. Çok bilindik bir deyimde de belirtildiği üzere “hatasız insan olmaz.” IBM raporuna göre, veri sızıntılarının başlıca nedenleri arasında %23’lük bir oranla insan hatası üçte biri oluşturuyor.

Çalışanların neden olduğu hatalar birçok farklı biçimde olabilir; kimlik avı hırsızlığının kurbanı olabilirler, sosyal mühendislik saldırılarının hedefinde olabilirler veya bir sistemi yanlış yapılandırmış olabilirler. Kimlik avı hırsızlığı ve sosyal mühendislik saldırıları, özellikle pandemi dolayısıyla uzaktan çalışmaya geçişle artan tehditlerdir. Şirketler böylesine hızlı ve beklenmedik bir geçişe hazırlıklı olmadıklarından, iyi düşünülmüş bir planı yürürlüğe sokmak yerine duruma uygun olarak hızlı bir şekilde uyum sağlamak zorunda kaldı ve bu durum çalışanların siber güvenlikle ilgili ek eğitim almadan uzaktan çalışmaya başlamasına neden oldu.

Saldırganlar, finansal açıdan en çok zarar verebilecek çevrimiçi suçlardan biri olan kurumsal e-posta tehdidini (BEC) kullanabilir. BEC saldırısı esnasında, kötü amaçlı kişiler daha kıdemli bir çalışanın veya bir iş ortağı şirketin çalışanının ihlale uğramış e-posta hesabını hedef alır. Dolandırıcı, bu kişilerden bir ürünü alması ve yollaması gibi yasal işlemleri gerçekleştirmesini ister, ancak yasal bir adres veya banka hesabı yerine şirketi dolandırmak amacıyla kendi hesaplarını veya adreslerini ekler. Başka bir yöntem olarak ise hedefe kötü amaçlı yazılımın gizlenmiş olduğu bir bağlantı veya ek içeren sahte bir e-posta gönderilir. Bu kötü amaçlı yazılımın indirilmesi durumunda çalışanın bilgisayarına virüs bulaşır ve bu virüs tüm ağa yayılabilir.

Bunlara benzer senaryoların gerçekleşme olasılığını engellemek için şirketler, çalışanlarına yeterli siber güvenlik eğitimi sağlamalıdır. Çalışanlara sosyal mühendislik tehditlerini veya kimlik avı hırsızlığını nasıl fark edebileceğini öğreten alıştırmalar düzenli olarak yapılmalıdır. Ayrıca çalışanlara düzenli olarak güvenli ve emniyetli uzaktan çalışma için ipuçları sağlamanın yanı sıra görüntülü konuşma araçlarını güvenli bir şekilde kullanarak nasıl iletişim kurulabileceği veya şirket sistemlerine güvenli uzaktan erişimin nasıl sağlanabileceği hakkında rehberlik etmek iyi bir önlem olabilir.  

Şirketler şu an gerekli güvenlik önlemlerini alarak ileride maddi ve manevi zararlara neden olabilecek saldırılara karşı kendini koruyabilir. Birçok kişi uzaktan çalışmaya devam edeceğinden bu siber güvenlik uygulamalarının pandemi sonrasında da yararlı olacağı aşikardır.

Teknik etken

Siber güvenliğinizi arttırmak üzere çalışanlarınızı eğitmenin yanı sıra teknik çözümler de bu konuda büyük rol oynar. Siber tehditlere karşı en iyi savunma, şirket altyapısında uyguladığınız teknik çözümlerdir. Bu konuya büyük yatırımlar yapma konusunda bazı şirketler çekimser davransa da, en kötüsüne hazırlıklı olmak her zaman en iyi taktiktir. ESET anketine göre şirketlerin %28’i finansal bilgilerini güvende tutmak için yeni teknolojilere aktif olarak yatırım yapmıyor veya yatırım yapıp yapmadıklarını bilmiyor.

Büyüklüğü fark etmeksizin tüm şirketler, bir siber saldırı durumunda yapılacaklara dair bir iş süreklilik planına sahip olmalıdır. Düzgün bir plan, veri yedeklemelerini, hatta bütçe elveriyorsa bütün altyapının yedeklenmesini içermelidir; bu yedeklemeler, özellikle fidye yazılım saldırısı gerçekleştiğinde oldukça kullanışlı olabilir. Ancak yedeklerin etkili olması için düzenli olarak güncellenmesi ve düzgün çalıştığından emin olmak amacıyla sıklıkla test edilmesi gereklidir.

Tüm işletim sistemleriniz ve yazılımınız güncel olmalı ve yamalar düzenli olarak yüklenmelidir. Siber güvenlikle ilgili uzman bir çalışanınız veya bölümünüz bulunuyorsa, bu uzman veya bölüm büyük olasılıkla bu güncellemeleri düzenli olarak yönetiyor ve sistemlerinizin mevcut en yeni sürüme otomatik olacak güncellenmesini gerçekleştirecek şekilde ayarlıyordur. Sistemleriniz bir üçüncü taraf hizmeti tarafından yönetiliyorsa da aynı durum söz konusudur. Bu adımın önemi göz ardı edilmemelidir. Yama uygulanmamış makineler yoluyla yayılan, kötü bir üne sahip WannaCryptor veya diğer adıyla WannaCry sayesinde bu güncellemelerin yapılmamasının ne kadar büyük bir zarar verebileceği anlaşılmıştır.

Hedefin hizmet sağlama olanağını engellemeyi hedef alan Dağıtık Hizmet Aktarma (DDoS) saldırıları, şirketlerin karşılaşabileceği başka bir tehdittir. Bir şirketin DDoS saldırısı kurbanı olması durumunda, şirket sistemleri birçok taleple karşılaşarak yoğun talebe karşılık veremez hale gelir ve tüm talepleri çevrimdışı hale getirir. Bu durum hedef alınan şirketin yüz binlerce dolar kaybetmesiyle sonuçlanabilir. Bu tür saldırıların gerçekleşme olasılığını azaltmak üzere şirketler DDoS önleme hizmetlerinden yardım almanın yanı sıra bu saldırılarla başa çıkacak ve kötü trafik akışını engelleyecek yeterli bant genişliğine, ekipmana ve becerilere sahip bir internet hizmet sağlayıcı kullanmalıdır.

Özet olarak

Finans kuruluşları birçok siber suçlu için cezbedici bir hedeftir, ancak bu kuruluşlar tehditlere karşı gerekli önlemleri alarak bu saldırıların kurbanı durumuna düşmeyi önleyebilir. Yeterince güçlü savunma mekanizmaları oluşturmak amacıyla şirketler bütünsel ve dengeli bir yaklaşım izlemelidir; çalışanların eğitimine yatırım yapmanın yanı sıra doğru teknolojik çözümlere ve iş sürekliliği planlarına yatırım yapmalıdır.