banner

    Ödül Avcılığı, Finteklerin ve Yeni Nesil Finansal Teknolojilerin Siber Tehlikelere Karşı En Etkili Korunma Yöntemi Oluyor

    Artık dijital işlemlerin payı artıyor. Bu yüzden finteklerin de bug bounty programlarıyla siber savunmalarını güçlendirmesi gerekiyor.

    Dünyada artık nakit kullanımı azalıyor ve dijital ödeme seçenekleriyle yapılan işlemlerin sayısı artıyor. Öncü analitik firması GlobalData’nın tahminlerine göre siber güvenlik çözümlerine yönelik talep artacak ve 2019 yılında perakende bankacılığındaki hacmi 7,9 milyar dolar olan siber güvenlik harcamaları 2024’te 9,8 milyar dolara ulaşacak.

    Her geçen gün siber güvenlik şirketler ve kurumlar için çok daha önemli hale geliyor. 2020’de fidye yazılımları yüzde 150 arttı ve her 39 saniyede yeni bir saldırı gerçekleştirildi. Bu saldırılardan birinin başarıya ulaşması, bankalar ve fintekler için büyük sorunlar oluşturabilme potansiyeline sahip.

    Finans sektöründe faaliyet gösteren şirketlerin müşteri verilerini koruması gerektiği gibi kendilerini de siber saldırganlara karşı güvende tutması gerekiyor. Siber saldırılar da yapay zeka ve kendi kendine öğrenen kötü amaçlı yazılımlarla çok daha etkili hale geliyor. Ana hedef finansal kuruluşların müşterileri ile etkileşimi oluşturduğu web ve/veya mobil uygulamaları oluyor. Öte yandan kimlik doğrulama alanındaki tek seferlik şifreler (OTP) ve bilgi tabanlı doğrulamalar (KBA) siber saldırganların en çok başvurduğu saldırı alanları olarak öne çıkıyor.

    Bankaların veya finteklerin verileri ihlal edilirse ne olur?

    Verileri birçok şekilde ihlal etmek mümkün. Ancak hepsinin ortak sonucu ise finansal kayıp oluyor. Finansal işlemlerin dijital platformlardan yapılması, mobil bankacılık ve bulut hizmetlerinin daha fazla kullanılması ise veri ve işlem güvenliğinin sağlanmasını daha da zorlaştırıyor. Sürekli geliştirilen ve güncellenen uygulamalar siber suçluların, müşterilerin hassas finansal verilerine ulaşabilmesini sağlayacak potansiyel açıklarla birlikte geliyor.

    Finansal kuruluşların BT harcamalarını sınırlandırması gerekebildiği için, buradaki yazımızda belirttiğimiz gibi tercih edilebilecek çözümler olmasına rağmen siber güvenliği sağlamak her zaman kolay olmuyor. Bu yüzden de bankalar ve fintek gibi şirketler veri ihlalleri yaşarsa zarar çok büyük oluyor.

    Bankaların ve finansal kuruluşların yaşadığı veri ihlallerine örnekler

    Yıllar boyunca yaşanan veri ihlalleri birçok bankayı ve finansal kuruluşu etkiledi. Mesela Mart 2019’da Capital One isimli banka, 100 milyon müşterinin sosyal güvenlik numarasını, ismini, adreslerini ve kredi bilgilerini içeren verilerin ele geçirildiği büyük çaplı bir ihlalin hedefi oldu. Web uygulamalarının yanlış yapılandırılmış güvenlik duvarını kendi avantajına çeviren siber saldırganlar, bu şekilde genel bulutta bulunan sunuculara erişebildi.

    Mayıs 2019’da ise bir saldırgan First American Financial Corp.’u hedef aldı ve 855 milyondan fazla gayrimenkul ve ipotek belgelerini sızdırdı. Veri yönetimindeki hatadan ötürü kullanıcılar kişisel bilgilere hızlıca bakabildi. Bu bilgiler arasında da sosyal güvenlik numaraları, ipotek ve vergi kayıtları, ehliyet numarası ve çok daha fazlası yer alıyordu.

    Eylül 2017’de ise tüketici kredisi raporlama kuruluşu Equifax’ı hedef alan saldırı sonucunda 147 milyon bireyin kişisel bilgileri internete sızdırıldı. Saldırganlar, Equifax’ın sistemlerine müşterilerin şikayetlerini iletebildiği bir web portalı üzerinden erişti. Daha sonra birbirinden yeterli düzeyde ayrıştırılmamış diğer sunuculara geçiş yaptı. Yapılan detaylı zafiyet analizleri ise sisteme bu kadar kolay erişilebilmesine veri yönetimi faaliyetlerinin yeterli düzeyde olmamasının sebep olduğunu ortaya çıkardı.

    Buradaki yazımızda, veri güvenliğini herhangi bir veri ihlaline uğramadan önce sağlamanın ipuçları yer alıyor.

    Bir bankanın veya finansal kuruluşun veri ihlali nasıl bir zarara yol açıyor?

    Finansal sektördeki veri ihlallerinin tüm dünyada neden olduğu kayıp, 2020’ye kıyasla 2021’de biraz daha az. Ancak bankacılık ve finansal veri ihlalleri maliyet açısından veri ihlallerinden en çok etkilenen ikinci sektör olmaya devam ediyor. 2021’de finansal kuruluşlar, veri ihlalleriyle doğrudan bağlantılı ortalama 5,72 milyon dolar kayıpla karşı karşıya kaldı. IBM Security tarafından analiz edilen ve yayınlanan Cost of a Data Breach Report 2021 araştırmasına göre bir veri ihlalini tespit etmek ve kontrol altına almak ortalama 287 gün sürüyor. Ortalama bir veri ihlali de dokuz aydan uzun süre fark edilmiyor. Bu da tehlike altında olan bankacılık kayıtlarından ve çalınan kayıtlardan ötürü oluşan mali etkiyi ciddi oranda artırıyor.

    Riskler ve zorluklar

    Veri ihlallerinin yarattığı maliyet 2021’de yeni bir rekor kırdı. Bu yüzden bankaları ve fintekleri yeni zorluklar bekliyor. 2019’dan beri uzaktan işlem yapmaya imkan tanıyan bankacılık hizmetlerine yönelik talep artıyor ve bu hizmetler veri tabanının güvenliğindeki sorunları çoğaltıyor. Bunun sonucunda ele geçirilen bilgiler de arttı.

    Yapay zekanın daha fazla kullanılması da finansal sektördeki şirketlerin sorunlarına yenilerini ekliyor. Yapay zeka, müşterilerin daha memnun olmasını ve süreçlerin iyileşmesini sağlıyor. Ancak saldırganlar da yapay zekaya önemli ölçüde yatırım yaparak açıklarını keşfediyor. Böylece oluşturduğu kullanıcı isimleri ve şifrelerle online bankacılık sistemlerine ve mobil uygulamalara giriş yapmaya çalışıyor.

    Bankaların ve finteklerin en büyük yardımcısı: Bug bounty programları

    Ödül avcılığı (bug bounty), beyaz şapkalı hackerlar tarafından siber güvenliğinizi denetlemek için uygulanan bir yöntem. Türkiye’de öncülüğünü üstlendiğimiz bu yöntemle 1500’den fazla uzman, şirketlerin belirlediği uygulamaları ve hedeflenen adresleri 7/24 denetleyebiliyor ve açıkları bulduğu anda raporluyor. Şirketler ödül avcılığı programını oluştururken ödülleri kendisi belirliyor. Böylece şirketler kendi imkanlarına ve önceliklerine göre bir program kurgulayabiliyor. Bug bounty programları siber saldırganlarla aynı becerilere sahip kişilerin sistemi çok daha uzun süre test etmesini sağlayarak, regülasyonun şart koştuğu sızma testlerinin (pentest) mükemmel bir tamamlayıcısı oluyor.

    Bug bounty programları hakkında daha fazlası için buraya, ödül avcılığı programına dahil olarak sistemleri denetleyen siber güvenlik uzmanları hakkında daha fazla bilgi için buraya, bug bounty programlarının penteste kıyasla avantajları için buraya, ödül avcılığı programının siber güvenliğe sağladığı katkılar için de buraya tıklayabilirsiniz.