Dijitalleştirilmiş Finans Sektöründe Güvenlik ve Uyumluluğun Sağlanması

Charbel Khneisser, Bölge Direktörü – Teknik Satış, META – Riverbed

Güvenlik ve uyumluluk, son derece hassas veriler ile çalışan finans sektörü için her zaman en önemli öncelik olmuştur. Ancak sektör, dâhili iş modellerini modernize etmek ve hem dijital hem de müşteri odaklı deneyimler oluşturmak için bulut teknolojisine yöneldiği oranda siber güvenlik tehditleri artar ve mevzuata uygunluk ihtiyaçlarını yönetmek zorlaşır. Uzaktan çalışmaya geçiş süreci, bulut ve Hizmet Olarak Yazılım (SaaS) uygulamaların yaygınlaşması, VDI’nin benimsenmesi, kişisel cihazların iş için kullanılması ve benzeri gelişmeler, BT ekiplerinin temel güvenliği dahi sağlamada sıkıntılar yaşamasına yol açmaktadır.

Güvenliği sağlamak yeterince zor bir iş olduğu halde, siber suçlular taktiklerini hızla geliştirmekte ve geleneksel tehdit önleme yöntemleri bu duruma ayak uydurmak için mücadele etmektedir. Bu durum, çalışanları ve müşterileri saldırılara karşı savunmasız bırakır. Tespit edilemeyen tehditler ve olasılıklar, finans kuruluşlarının itibar ve istikrarına onarılamaz oranda zarar verebilir. Havanın bulutlarla kaplı oluşu görüşümüzü engelledikçe, tam uyumlu görünürlüğün önemi hızla artmaktadır.

Bu konuyu detaylandırmadan önce, pandeminin finans sektöründeki ticari operasyonları nasıl etkilediğini ve güvenlik ve uyumluluk konularında ortaya çıkan karmaşıklığı inceleyelim.

Şirket içi uygulamalardan buluta geçiş

Geleneksel olarak, finansal kurumların çoğunluğu şirket içi uygulamalardan faydalanır. Ancak, son beş yılda, pandemi tarafından tetiklenen değişimle birlikte bulut eğilimi istikrarlı bir şekilde arttı. Düşük ekonomik aktiflik ve kredi kayıplarının yol açtığı finansal baskılar, bankaları maliyetleri düşürme yolları aramaya teşvik etti. Bulut, esnek maliyet modeliyle uygun bir fırsattır. Üstelik bulut, karantina kısıtlamaları kapsamında verimli ve etkili uzaktan çalışma süreçlerini kolaylaştırır.

Santander Bank, henüz salgının başlarında Microsoft Teams dağıtımını tamamlayarak diğer bankalar için örnek teşkil etmişti. Dolayısıyla Goldman Sachs ve Deutsche Bank, Google ile ortaklık kurarken, HSBC geçen yılın Temmuz ayında Amazon Web Services ile bir anlaşma imzaladı.

Bulut, evden çalışılırken dâhili operasyonların sürdürülebilmesini sağladığı gibi, finans kuruluşlarının inovasyon yapmasına ve şubeler kapalıyken dahi müşterilere dijital bankacılık hizmetleri sunmasına olanak sağladı. Şüphesiz bu eğilim, pandemi sona erdikten sonra da devam edecek, Emirates NBD gibi şirketler Amazon Web Servislerinde kişiselleştirilmiş perakende bankacılık deneyimleri oluşturacak. Tüm bunlar göz önüne alındığında, pek çok bankanın, işlerin önemli bir kısmını gelecek yıla kadar genel buluta geçirme hedefi olması şaşırtıcı değildir.

Bulut, SaaS ve ev cihazları kullanımına ilişkin güvenlik ve uyum sorunları

Basitçe ifade etmek gerekirse, buluta geçiş, bir şirket verilerinin başka birinin altyapısına geçirilmesi anlamına gelir. Bulut sağlayıcıları güçlü güvenlik önlemleri sunar. Ancak, yine de ekosistemdeki veriler, şirket içinde olduğundan daha yüksek oranda risk altındadır. Bunun nedeni, hizmetler buluta taşındıkça ve çalışanlar ofisten çıktıkça, değerli görünürlük azalırken, bulut öncelikli bir uzaktan çalışma ortamında, tespit edilmesi daha zor olan karmaşık fidye yazılımı ve kimlik avı saldırıları gibi siber güvenlik tehditleri vardır. Muhtemelen, son birkaç yılda büyük küresel bankalarda karşılaşılan ve önemli düzenleme, finans ve itibar sonuçları doğuran ihlallerde görüldüğü gibi, içeride oluşan tehditler riski de daha büyüktür.

Finansal hizmetler sektörünün karşı karşıya olduğu güvenlik riskleri, bulut tabanlı yapıları nedeniyle aynı zamanda harici sunucularda da çalıştırılan SaaS uygulamalarına geçişle daha da artıyor. Özellikle dâhili operasyonlara bakacak olursak, finans kurumları iş operasyonlarını sürdürmek ve müşterilerin iyi bir hizmet almasını sağlamak için Office365, Salesforce ve Slack gibi uygulamalara güveniyor, çünkü bunlar sayesinde çalışanlar uzaktan çalışmaya devam edebiliyor. Gartner, SaaS gelirinin 2019 yılı 102,1 milyar USD seviyesinden, 2022 yılına kadar 140,6 milyar USD seviyesine çıkacağını tahmin ediyor. Bu durum bankaların görünürlüklerini en aza indirirken, kurumsal verilere giden yolda güvenlik alanını da genişletmelerini gerektiriyor.

İşlerin karmaşıklığını artıran bir başka konu ise çalışanların, üretkenliği sürdürmek için kendi uygulama yollarını tercih etmeleridir. Örneğin, kurumsal VPN üzerinden dosya paylaşımının fazla zaman aldığı durumlarda, çalışanlar kendilerine WeTransfer hesabı açarak, dosya paylaşımı için kullanıyorlar. Küçük gruplar tarafından ücretsiz olarak kullanılabilen Slack gibi birçok uygulamada da benzer kullanımlar ortaya çıkabilir. Buradaki sorun, kurumun görünürlüğünün olmadığı ve bu nedenle güvenliği sağlayamadığı modern bir gölge BT biçimi yaratılması ve tehdit alanının genişlemesidir.

Karmaşıklığın bir başka nedeni ise çalışanların, kişisel ev cihazlarından Zoom veya iş e-postasına erişmeleri ve kurum tarafından yönetilmeyen sistemler aracılığıyla bulut tabanlı uygulamalara giriş yapmalarıdır.

İş süreçlerindeki tüm bu değişiklikler ve çalışanların bireysel yaklaşımları sonucunda, uçtan uca bilgi trafiği düzeni, çalışanlar tam zamanlı olarak ofisteyken olduğu gibi izlenemeyecektir. Bu nedenle, BT ekiplerinin çalışma rutinlerini değerlendirmesi ve güvenlik / uyum ihlali belirtilerini fark etmesi daha zordur.

Tam uyumlu görünürlüğü yeniden kazanma

Ağ üzerinde tam uyumlu görünürlüğü ve ağ üzerindeki etkinliği kurtarmak için, finans kurumları hangi bulut tabanlı uygulamaları dağıttıklarını dikkatlice düşünmeli, çalışanlar tarafından yapılan uygulama tercihleri ve kişisel cihaz kullanımı hakkında net kurallar oluşturmalıdır. Ayrıca, hem şirket içi hem de bulut altyapısı genelinde tüm dijital varlıklarının bütünsel bir görünümünü oluşturmak için sanal kuruluş genelinde veri toplamalı ve kaydetmelidirler. Bulut VPC’lerinden, VDI uç noktalarından, veri merkezlerinden ve geleneksel ağ sınırından akışları, paketleri ve verileri toplama yeteneğine sahip Ağ Performansı İzleme (NPM) çözümleri bu konuda kritik öneme sahiptir.

Akıllı analitiğin gücünden yararlanan bu çözümler, “normal” aktiviteler için eşikler oluşturur ve BT’yi aykırı değerler ve şüpheli görünen aktiviteler hakkında pro-aktif olarak uyarır. Veriler ayrıca tehdit avcılığı, olaylara müdahale ve adli inceleme alanında yardımcı olarak siber güvenlik risklerini belirlemek ve azaltmak için manuel olarak da analiz edilebilir. Riverbed, NPM müşterilerinin çoğunun bu görünürlük yeteneğinden yararlandığını görüyor. Ayrıca bankalar, düzenli risk değerlendirmeleri yapmak ve uyumluluğu sağladıklarından emin olmak için NPM gibi tam uyumlu görünürlük araçlarından elde edilen bilgileri kullanabilir. Buna, çalışan parolalarının ne zamandır kullanıldığını görüntülemek, kurumsal kullanım süresine göre değerlendirmek ve çalışanlardan parolalarını güncellemelerini istemek örnek olarak verilebilir.

Dijitalleşmenin ortasında güvenli ve uyumlu kalmak

Finans sektörü dijital dönüşümü benimsemeye devam ettikçe, veriler üzerindeki kontrolü yeniden kazanmak, güvenli ve uyumlu kalmak gibi temel ihtiyaçlar her şeyden önemlidir. Bunları başarmanın en önemli adımı, müşterileri, banka şubelerini ve uzaktan çalışanları kapsayan tüm BT altyapısında tam uyumlu görünürlük elde etmektir. Bu bilgilerle donanan finans kuruluşları, herhangi bir güvenlik tehdidini hızla tespit edip giderebilir ve etkili adli inceleme yapıp, olaylara müdahale edebilir. Bunlar deneyimlenirken, aynı zamanda çalışanlar güvenli ve üretken bir şekilde çalışmaya devam edebilir, kurumsal ve müşteri verileri başarıyla korunabilir, bankalar ve diğer finansal kurumlar bulutun avantajlarından yararlanıp uyumlu kalabilir.