Finansal hizmetler sektörü liderleri için siber güvenlik rehberi
Geçtiğimiz yıl Avrupa Birliği Konseyi Başkanlığı ve Avrupa Parlamentosu, Avrupa’daki finansal kurumların siber güvenliğini artırmak için Dijital Operasyonel Dayanıklılık Yasası (DORA) üzerinde geçici bir anlaşmaya varmıştı. DORA, AB ülkeleri tarafından kabul edilince, finans şirketlerinin siber tehditleri önleme ve azaltma nihai hedefiyle her türlü bilgi ve iletişim teknolojisi (BİT) aksaklıklarına ve tehditlerine karşı koyabilmelerini, bunlara yanıt verebilmelerini ve bu tehditlerden kurtulabilmelerini sağlamaları gerekecek. Düzenleme, küçük, mikro ve birbirine bağlı kuruluşların düzenlenmesine yönelik farklılaştırılmış bir yaklaşım benimsiyor.
Esnekliğin Test Edilmesi
Avrupa Denetim Otoriteleri (ESA’lar), yani Avrupa Bankacılık Otoritesi (EBA), Avrupa Menkul Kıymetler ve Piyasalar Otoritesi (ESMA) ve Avrupa Sigorta ve Mesleki Emeklilik Otoritesi (EIOPA)- “tüm finansal hizmet kurumlarının uyması gereken teknik standartları” geliştiriyor. Ayrıca, AB’deki finansal kuruluşlara bulut sağlayıcıları başta olmak üzere kritik üçüncü taraf bilgi ve iletişim teknolojisi hizmet sağlayıcılarının, uygun gözetim için AB içinde bir yan kuruluş kurmaları gerekecek ve denetçiler de yönetmeliğin gelecekteki incelemelerine dahil olacak.
Yeni yasa, AB’deki FSI şirketlerini, kuruluşlarının dayanıklılıklarını test etmeye zorlayacak; yani DORA’nın taleplerinin karşılanması için temel olarak riskleri yönetmeleri ve risk yönetişim çerçevesi kullanmaları gerekecek. Bu nedenle, tüm finans sektörü CISO’larının DORA konusunda tamamen güncel olan siber güvenlik tedarikçileri ve ortaklarıyla çalışmayı düşünmeleri tavsiye ediliyor.
2023’ü planlayan finans sektörü kuruluşları için daha somut başka tavsiyeler de veriliyor. Finansal hizmetler sektöründe çalışan CISO’ların (Bilgi Güvenliği Başkanları), 2023’ün 2022 gibi olmayacağını anlaması gerekiyor; büyük değişimler yaşanıyor ve siber risk artıyor. Fidye yazılımlarında bir artış görülüyor ve bu sadece finansal kurumlar için değil, tüm kurumlar için en önemli konu.
Finans sektöründeki CISO’ların hızla değişen tehdit ortamını anlaması ve daha dayanıklı olmaya odaklanması gerekiyor. Bu durum, bir finans sektörü kurumunun stratejisinin tüm risklerden kaçınmaya çalışmak yerine, bir saldırının ardından hızlı bir şekilde geri dönebilmeye geçmesi gerektiği anlamına geliyor. Bu da doğal olarak uç nokta algılama ve yanıtlama (EDR), genişletilmiş algılama ve yanıtlama (XDR) ve güvenlik düzenleme, otomasyon ve yanıtlama (SOAR) gibi işlevleri mümkün kılan platformlara yatırım yapılmasına yol açacak.
Gömülü Finansman ile Gelen Riskler
2023’te finans kuruluşlarındaki CISO’ların düşünmesi gereken bir diğer konu da giderek yükselen gömülü finansı trendi. “Gömülü finans, geleneksel kuruluşlarla uğraşmak yerine tüm finansal hizmetleri tek bir yerde entegre etme süreci. Bir perakendecinin kullanabileceği tüm hizmetleri tek ve yönetimi kolay bir modelde toplayarak güvenli, basit ve verimli bir yol sunuyor. Finansal çözümler bir işletmenin altyapısına entegre edilebiliyor ve insanları üçüncü taraf hedeflere yönlendirmeden kredi verme, sigorta veya ödeme işlemleri gibi finansal hizmetlere erişimi kolaylaştırıyor. Bu, uğraşılacak daha az uygulama, parayla ilgilenen daha az kişi, endişelenecek daha az şey ve finansal lojistiğe ayak uydurmak için daha az zaman harcanması anlamına geliyor. Bu sektöre olan ilgi son birkaç yılda hızla arttı. ABD gömülü finans pazarı 2020 yılında 22,5 milyar dolara ulaştı ve 2025 yılında on kat büyüyerek 230 milyar dolara ulaşması bekleniyor.” (NCR, 8 Ağustos 2022)
2023 ve sonrasının dünyasında finans daha yaygın hale gelecek. Örneğin, geleneksel olmayan kuruluşların “şimdi al sonra öde” satışları için finans ürünlerini kullandığı gömülü finansmanı düşünün. Bu yöntem satışları artırıyor ama aynı zamanda kuruluşlar için riski de artırıyor. Gömülü finans, hizmet olarak bankacılık (BaaS) ve uygulama programlama arayüzü (API) teknolojileri tarafından kolaylaştırılıyor. Bu yöntemin 2026 yılına kadar bankalar için yıllık 25 milyar dolardan fazla gelir yaratması ve 2025 yılına kadar yerleşik bankaların küçük ve orta ölçekli işletme gelirlerinin yüzde 25’ini yerleşik kanallara kaydırması bekleniyor. (Embedded Applications: New Revenue and New Risks for Banks (garp.org)
2023 ve sonrası için FSI’daki CISO’ların aşağıdaki noktalara özellikle dikkat etmeleri gerekiyor:
• Kurumların, veri ihlallerini ve hassas bilgilere yetkisiz erişimi önlemeye yönelik tedbirler de dahil olmak üzere sağlam siber güvenlik ve veri koruma politikalarına sahip olduğundan emin olması gerekiyor.
• Kurumların finansal hizmetlerde aynı düzeyde uzmanlığa veya deneyime sahip olmayabilecek finansal olmayan ortaklarla çalıştığı durumlarda, verilerin kötüye kullanımı veya suistimaliyle ilgili potansiyel riskleri izlemesi şart.
• Finansal ürün ve hizmetleri finansal olmayan ürünlere veya platformlara entegre ederken çıkar çatışması potansiyeline bakılmalı ve kurumlar bu ürün ve hizmetlerin hüküm ve koşulları konusunda müşterilere karşı şeffaf olmalı.
• Gömülü finansla ilgili düzenleyici gelişmeler konusunda güncel kalınması ve kuruluşun ilgili tüm yasa ve yönetmeliklerle uyumlu olduğundan emin olunması gerekiyor.
• Kurumun gömülü finans bağlamında siber güvenlik ve gizlilik risklerini etkin bir şekilde yönetmek için gerekli bilgi ve kaynaklara sahip olduğundan emin olmak için uzman firmalarla ortaklık kurması veya bu alandaki uzmanlara danışmayı düşünmesi gerekiyor.
Farkındalık da önemli çünkü teknoloji tek başına bunu başaramaz. Finans kuruluşlarının DevSecOps, yapay zeka, makine öğrenimi ve API güvenliği konularında çalışanlarını eğitmeye başlaması gerekiyor. Bu noktada Fortinet, TAA girişimi ve Eğitim Enstitüsü programları aracılığıyla siber beceri açığını kapatmaya ve siber farkındalığı artırmaya yardımcı olmaya kararlı olduğunu vurguluyor.