Finans Sektöründe Siber Güvenlik

Finans Sektöründe Siber Güvenlik

Ağu 01, 2021 / Kron

Siber güvenlik tehditlerine sıkça maruz kalan finans sektörü, gerekli veri güvenliği önlemleri alınmadığı takdirde büyük sorunlarla karşılaşabiliyor. Finans alanındaki siber tehditler veri ihlali yaşanmasını hedefliyor. Siber saldırgan tarafından hedef olarak belirlenen kurumun çalışanlarının ve müşterilerinin kimlik bilgilerinin çalınması karşılaşılan temel sorunlar arasında yer alıyor.

Öte yandan finans sektöründe yaşanması muhtemel veri sızıntısı durumları, şirketleri ciddi finansal kayıplarla uğraşmak zorunda bırakıyor. Bunun sonucunda da güven ve imaj kaybı yaşanması kaçınılmaz hâle geliyor. Finans sektörünü siber saldırganlar açısından cazip kılan ve bahsettiğimiz zararların meydana gelmesine zemin hazırlayan faktörler ise doğrudan sektörün doğası ile ilgili.

Finans Sektörü Neden Cazip Bir Hedef?

Dijital dönüşümün özellikle finans sektörünü önemli ölçüde etkilemesi sonucu bilgisayar korsanlarının söz konusu sektöre olan ilgilerinin her zamankinden daha fazla olduğunu söylemek mümkün. Siber saldırı yapmak isteyen kişiler için yüksek profilli bir hedef konumundaki finans sektöründe yaşanan bir veri ihlali IBM Security tarafından hazırlanan Cost of a Data Breach Report isimli çalışmaya göre 233 günlük yaşam döngüsüne sahip.

2013’ten bu yana her yıl 4600 ile 4900 arasında veri ihlali olayı yaşanan finans sektörünün neden tehdit altında olduğu birkaç farklı başlık altında rahatlıkla açıklanabilir. Öncelikle yetkisiz hesap aktarımları ve kimlik hırsızlığından bahsetmek gerekiyor. Yetkisiz transferler aracılığıyla iyi yapılandırılmamış erişim güvenliği katmanlarını kolayca aşabilen siber saldırganlar, müşteri hesaplarına erişerek kasayı dakikalar içinde boşaltabiliyor. Ayrıca kimlik hırsızlığı saldırıları, şirketlere uzun vadede hem kurumsal imaj hem de yasal yükümlülükler açısından önüne geçilemeyecek zararlar verebiliyor.

Bunların yanı sıra devletlerin kişisel verilerin yeterince başarılı şekilde korunmaması nedeni ile verdiği para cezaları ve adli cezalar da şirketlerin siber güvenliği ciddiye almaları için belli başlı sebeplerden biri. Yine finans kuruluşlarının kullanıcı erişilebilirliğini artırmak amacıyla web sitesi ve mobil uygulama hizmetini aynı anda sunmaları, saldırı yüzeyinin artması nedeniyle siber tehditlere açık hale gelmelerine neden olabiliyor. Bilgisayar korsanları için saldırı noktası şansı arttıkça hassas veri sızıntılarının önüne geçmeniz için yetkili hesaplar ile ilgili erişim sürecini sorunsuz biçimde yönetmeniz gerekiyor.

Özetle finans sektörü, para ve özel veriler açısından büyük bir zenginlik vadettiği için saldırganların gözdesi durumunda. Ayrıca dijital çağın ayak izlerini takip eden şirketlerin tamamen çevrim içi ortamda hizmet vermeleri de hedef hâline gelmelerini önemli ölçüde kolaylaştırıyor. Finans sektörü çoğunlukla fidye yazılımı saldırıları (ransomware), bot saldırıları ve sosyal mühendislik sonucu yapılan kimlik avı saldırıları ile karşı karşıya geliyor.

Kritik Veri ve Kurumsal Varlıkların Korunması

Verizon tarafından hazırlanan 2021 Data Breach Investigations Report, kritik veri ve kurumsal varlıklar açısından zengin kaynakları bünyesinde barındıran finans sektöründeki ihlallerin %55’inin yanlış dağıtımdan kaynaklandığını ortaya koyuyor.

Finans sektörünün önemli bir kolunu oluşturan bankacılıktaki kuruluşların korumakla yükümlü olduğu kişisel veriler belirli regülasyonlara tabi tutuluyor. Türkiye’de GDPR ve KVKK ile güvence altına alınan söz konusu verilerin uluslararası düzeyde daha farklı kapsamları işaret eden farklı türleri de mevcut:

  • ISO/IEC 27001: Information Security Management ismiyle de bilinen ISO/IEC 27001, geniş bir siber güvenlik önlem protokolünün parçası olarak ifade edilebilir. İlgili yönetmelik finans sektöründeki güvenlik risklerini minimize etmek için gerekli tavsiye ve prosedürleri içeriyor.
  • Sarbanes-Oxley (SOX): Kurumsal açıklamaların doğruluğunu ve güvenilirliğini destekleyerek yatırımcıları korumayı amaçlayan SOX, manipülasyonun önüne geçmek üzere geliştirilmiştir.
  • PCI-DSS (Payment Card Industry Data Security Standard): Kredi kartları üzerinden yapılan veri ihlali girişimlerini engellemek için kart sahibinin verilerinin kontrolünü üst seviyeye taşıyan PCI-DSS mali kayıpların önüne geçilmesini hedefliyor.
  • GDPR/KVKK: GDPR (Genel Veri Koruma Yönetmeliği) daha geniş bir uygulama alanına sahip olduğu için daha geniş yetki alanı sunuyor. Bu nedenle Avrupa Birliği sınırları içinde kişisel verileri işleyerek faaliyet gösteren her şirket GDPR’ye tabi tutuluyor. KVKK (Kişisel Verilerin Korunması Kanunu) ise Türkiye’de kişisel verileri toplayan, işleyen ve saklayan gerçek ve tüzel kişilerin uyması gereken kurallar bütününü ifade ediyor.

Ayrıcalıklı Erişim Yönetimi (PAM)

PAM (Privileged Access Management), Türkçe tanımıyla Ayrıcalıklı Erişim Yönetimi, yetkili hesaplar ve yetkili oturumlar ile ilgili tüm erişimleri denetleyerek üst düzey erişim güvenliği sağlıyor. Finans sektöründeki şirketlerin kendilerini etkin şekilde korumalarına imkân tanıyan PAM, bir siber saldırganın şirket ağı içinde yer edinse bile hareket alanını sınırlıyor. Böylece siber saldırıyı gerçekleştiren kişinin kritik sistemlere erişim şansı hatırı sayılır seviyede azalıyor.

PAM bünyesinde yer alan çeşitli modüller sahip oldukları gelişmiş özellikler ile yetkili hesapların erişimini de kontrol ederek şirketinizin veri güvenliğini garanti altına alıyor. Bu noktada hangi modülün ne işe yaradığını detaylandırmak yararlı olabilir:

  • Yetkili Oturum Yöneticisi (Privileged Session Manager): Şirket ağı içindeki tüm oturumları farklı seviyelerde yetkilendirmeye yarayan ilgili modül, erişim yönetimi konusunda yaşanması muhtemel karışıklık ve manipülasyon girişimlerine karşı bariyer oluşturuyor.
  • Merkezi Parola Yönetimi (Dynamic Password Controller): Söz konusu modül sistem içindeki yetkili oturumların doğrulanmasına imkân tanıyor. Uçtan uca şifrelenmiş bir altyapı ortaya koyan Merkezi Parola Yönetimi, şifre kasası (password vault) özelliği ile de yetkili hesapların şifrelerini genel ağdan izole ve güvenli şekilde muhafaza ediyor.
  • Two-Factor Authentication (2FA): İki Faktörlü Kimlik Doğrulama, eş zamanlı olarak zaman ve konum bilgisi doğrulaması yapabiliyor. Bu sayede sistemden ayrıcalıklı erişim izni talep edildiğinde aynı anda iki farklı doğrulama girdisi oluşturabiliyor.
  • Database Access Manager: Sistem yöneticilerinin ağ üzerinden yaptıkları faaliyetleri denetleyen modül, hiyerarşik düzenin en üstünden aşağısına kadar ayrıcalıklı erişimi denetleme olanağı ortaya koyuyor.
  • Data Masking: Dinamik Veri Maskeleme ile veri tabanı yöneticilerinin ağda yaptıkları her hareket denetleniyor ve kontrol altına alınıyor. İşlemleri kayıt altına alırken aynı zamanda maskeleyen özellik sayesinde sistem anlık olarak takip edilebiliyor.

Kron olarak geliştirdiğimiz PAM çözümümüz Single Connect finans sektöründeki kuruluşların siber güvenlik konusundaki endişelerini gidermek için biçilmiş kaftan niteliğinde.

Gartner tarafından hazırlanan 2021 Magic Quadrant for PAM raporunda yer alarak dünyanın önde gelen PAM çözümlerinden biri olduğunu tekrar kanıtlayan Single Connect, Ölçeklenebilirliği, Veritabanı Denetimi konusundaki özellikleri ve gelişmiş Oturum Denetimi kabiliyetleri ile bu raporda üst üste iki yıldır yer alma başarısı göstermiştir. Single Connect, gelişmiş modülleri ve uçtan uca ayrıcalıklı erişim yönetimi uygulamalarıyla finans sektörünün veri güvenliği ihtiyaçlarına cevap vermeye hazır.

Siz de Single Connect hakkında daha detaylı bilgiye sahip olmak için bizimle temas kurabilir ve merak ettiğiniz her şeyi uzman ekibimiz ile paylaşabilirsiniz.

Diğer Bloglar