banner

    Finans ve Sigorta Sektörlerinde Siber Güvenlik

    Finans sistemleri küresel ekonominin merkezindedir. Bu, finans sektöründe siber güvenlik uygulamalarını vazgeçilmez kılar.

    2013 yılında, J.P. Morgan uğradığı veri ihlali sonucunda ciddi kayıplarla karşılaşmıştır. Bu veri ihlali, 76 milyon ile ABD’deki hanelerin %65’inin verisinin ifşa olmasına sebep olmuştur. Firma, uğradığı veri ihlali sonucunda siber güvenlik önlemlerini güçlendirmek için yaklaşık 600 milyon dolar masraf etmek zorunda kalmıştır. J.P. Morgan’ın karşılaştığı durumdan yola çıkarak fintech şirketlerinin; bu tehlikeli siber saldırıların ana hedeflerinden bir tanesi olmaları sebebiyle, müşterilerinin verilerini korumaya ekstra özen göstermek zorunda olduğunu söylemek yanlış olmaz.

    Sigorta sektörünün ise geçmişte modern teknolojiye adapte olmakta güçlük yaşadığı bir gerçektir. Ancak, sigorta sektörü de son yıllarda şirket ve müşteri verilerini korumak adına siber güvenlik uygulamalarını güçlendirmek için sağlam adımlar atmaya başlamıştır. 

    COVID-19 pandemisi ile birlikte, dijital dönüşüm ve evden çalışma teknolojik ilerlemeyi hızlandırmıştır. Birçok pozitif sonucu doğuran bu teknolojik ilerleme, kötü amaçlı hackerlara da yarar sağlamış ve siber tehditler de artışa sebep olmuştur.

    Siber güvenlik uygulamalarının finans ve sigorta sektöründeki önemi hakkında daha fazla bilgi için blog postumuzu okumaya devam edin.

    Finans Sektöründeki Ana Siber Tehditler Nelerdir?

    Sektör, oltalamadan yapay zeka tabanlı saldırılara kadar birçok siber tehditle karşıya karşıya kalmaktadır. COVID-19 pandemisiyle finans sektörüne yapılan siber saldırılarda, 2019-2020 yılları arasında, %30 oranında artış gözlemlenmiştir. Gerçekleştirilen saldırılar; dolandırıcılık, veri ihlali ve işleyişi durdurma olarak kategorize edilmiştir.

    Yapay zekâ, finans şirketlerinde gerçekleşen birçok iş faaliyetinin arkasında yer alan teknoloji olarak karşımıza çıkmaktadır. Finans sektöründeki şirketlerin bu bağlamda karşılaştığı en önemli siber tehdit ise yapay zekânın silah haline getirilmesidir. Finans şirketlerinin kullandığı yapay zekâ algoritmalarının benzerleri, kötü niyetli hackerlar tarafından, ödeme altyapıları yoluyla finans şirketinin bütünlüğüne siber saldırı düzenleme amaçlı geliştirilmektedir. Kötü niyetli hackerlar hedeflerindeki finans şirketlerinin sistemlerindeki güvenlik zafiyetleri keşfetmek ve bu zafiyetleri kendi menfaatlerine çevirmek amacıyla yapay zekâ teknolojisini kullanmaktadırlar.

    Yapay zekâ insan davranışlarını taklit edebilir ve kullanıcıları hassas bilgilerini açıklamaya ikna ederek önemli yapıların ifşa edilmesini sağlayabilir. Bankalar, bu sahtekârlıkları önleyen araçların geliştirilmesi için yatırımlar yapmaktadır. Bu yatırımların amacı, kullanıcıların işlemlerini güvenli bir şekilde yaptıklarından emin olmalarını sağlayarak verilerini korumaktadır. Ancak yine de siber güvenlik önlemlerini güçlendirecek uygulamalara yapılan yatırım yapılmadan finans şirketlerinin şirket ve müşteri verilerini koruyabilmesi mümkün değildir.

    Finans sektörüne yönelik siber tehditler genel olarak organize olmasa da bazıları “APT (gelişmiş kalıcı tehdit)” olarak adlandırılan, bir grup tarafından tarafından desteklenen türde siber tehditler olabilirler. APT’ler, ağlara izinsiz erişim sağlayabilir ve uzun süre boyunca fark edilmeden sistemde kalabilirler. Bu tehditler, siber casusluğun bir formu olarak karşımıza çıkarlar ve bankacılık sektörü bu tehditlerin ilk hedeflerindendir.

    2015 yılında, Carbanak vakasında APT yoluyla dünya genelindeki bankalardan 800 milyon ila bir milyar dolar çalınmıştır. Bu kötü amaçlı yazılım saldırısı, banka çalışanlarının şifrelerine erişmiş ve çok sayıda hesabın kontrolünü ele geçirmiştir.

    Sigorta Sektöründe Siber Suç Ne Anlama Gelir?

    Poliçe sahiplerinin kişisel bilgilerinin saklandığı sigorta sektörü, kötü niyetli hackerların ilgisini en çok çeken hedeflerden bir tanesidir. COVID-19 pandemisi sebebiyle kişisel bilgileri hedef alan saldırılarda yüksek oranda artış gözlemlenmiştir. Bu sebeple sigorta sektörü siber güvenlik açısından baskı altındadır.

    Aplikasyonlar müşterilerin mobil cihazları aracılığıyla dijital bankacılık işlemlerini yapabilmesi ve sigorta poliçelerini görüntüleyebilmesine olanak sağladığından dolayı şirketlerin müşterilerine yarattığı en önemli değerlerden bir tanesidir. Bu aplikasyonların 7/24 ulaşılabilir olmasını sağlarken bir yandan da müşterilerin bilgi güvenliğini sağlamak sigorta şirketinin sorumluluğundadır. Sigorta şirketleri tarafından sağlanan poliçelerin müşterilerin iletişim, finans ve sağlık gibi hassas bilgileri barındırması, kötü niyetli hackerların ilgisini çekmektedir.

    İhmal Kaynaklı Siber Saldırıların Sonuçları

    İnsan hataları ve şirketlerden kaynaklanan ihmalkârlık, yaşanan veri ihlallerinin başlıca sebeplerindendir. Marka değerini kurmak yıllar sürerken, bu değer insan hataları ve ihmaller sebebiyle saniyeler içinde yerle bir olabilir. Siber saldırganlar son zamanlarda şirketler tarafından yapılan ihmallere güvenerek veri ihlallerini gerçekleştirmektedirler.

    Siber güvenlik uygulamalarının temel prensiplerinden bir tanesi de müşteri verisini depolamanın şirkete yüklediği sorumluluğun büyüklüğünü anlamaktır. Basit bir linke tıklamak şirketin veritabanında bulundurduğu hassas bilgilerin kopyalanmasına ve kötü amaçla kullanılmasına olanak sağlayabilmektedir. Birden fazla çevrimiçi platformda aynı şifrenin kullanılması, tek bir veri ihlali sonucunda bütün hesapların hacklenmesi gibi hesabı verilemeyecek ölçüde riskler yaratabilmektedir.

    Bütün sistemlere erişimi olan yüksek yetkili hesapların güvenlik önlemlerinin sürekli olarak güncellenmesi finans şirketlerinin başlıca sorumlulukları arasında yer almaktadır. Yüksek yetkili admin hesaplarının şifrelerinin ve diğer güvenlik önlemlerinin çoğunlukla güncel tutulmaması, bu hesapları kötü niyetli hackerlar için kolay hedef haline getirmektedir. Siber ihmalkârlık getirdiği maddi zararın yanında finans ve sigorta şirketlerinin kamuoyu karşısında imajlarının zedelenmesine ve hukukî alanda da büyük kayıplar yaşamlarına sebep olmaktadır.

    Siber Güvenlik Sağlayıcısından Neler Beklenmeli?

    İlk adım siber güvenlik uygulamaları açısından inovasyon ve güçlü bir stratejinin oluşturulması olmalıdır. Siber güvenlik sağlayıcısının “sistematik” ve “aşırı katı” olmak yerine risk yönetimi stratejisi belirlerken istenilen sonuca ulaşabilmek için birden fazla yol çizmesi gerekmektedir. Ek olarak; belirlenen siber güvenlik stratejisinin karar verme mekanizmasıyla bütün olması ve çevik olması önemlidir.

    Son hedef ise şirket herhangi bir tehdit karşısında savunmaya geçtiğinde sistemlerinin ve kritik altyapıların müşteriler tarafından aksama olmadan kullanılabilmesini sağlamaktır.

    Finans ve Sigorta Şirketlerinin Alması Gereken Siber Güvenlik Önlemleri Nelerdir?

    Siber saldırganların yetkinlikleri ve çeviklikleri arttıkça finans ve sigorta şirketlerini siber güvenlik önlemlerini geliştirmeli ve saldırganlardan bir adım önde olmalıdır. İlerleyen teknoloji, şirketlerin aradığı siber güvenlik çözümlerini barındırmaktadır.

    Siber Güvenlikte Yapay Zekâ ve Makine Öğrenmesi

    Yapay zekâ ve makine öğrenmesi teknolojileri, siber güvenlik uzmanlarının siber tehditleri daha iyi anlamasını ve fidye yazılımları gibi kötü niyetli yazılımlara karşı savunma teknikleri geliştirmelerine yardımcı olmaktadır. Sapmalarına belirlemeye uygun olan bu iki teknoloji, yüksek miktarda verinin analiz edilmesine olanak sağlamaktadır. Ayrıca daha güçlü koruma için sapmaları tepki vermeye ve daha hızlı yanıt vermeye programlanabilmektedirler.

    Modern Teknoloji ve Yapılar

    Blockchain teknolojisi ile şirketlerin sistemlerinde ve alt yapılarında bulunan güvenlik zafiyetleri veri sömürüsüne karşı test edilip belirlenebilir. Teknolojideki modernleşme yeni yazılım ve cihazları benimsemekle kalmaz, etik hackerlarla şirketin sistemlerinde periyodik değerlendirmeler yapmak ve siber güvenlik önlemlerini test etmeyi de mümkün kılar.

    Bu testlere ek olarak; bug bounty uygulamaları şirketlerin sistemlerindeki ve kritik alt yapılarındaki güvenlik zafiyetlerini keşfetmelerini ve bu zafiyetlere karşı erken önlem almalarına olanak sağlamaktadır. Siber güvenlik araştırmacılarının oluşturduğu kitle kaynaklı (crowdsource) bug bounty platformları şirketlere bu hizmeti sağlamaktadırlar.

    Siber Güvenlik Farkındalığı

    Farkındalık yaratmak siber suçlarla mücadele ederken kaçınılabilir hataları en aza indirmeyi sağlar. Finans ve sigorta şirketleri bu bağlamda çalışanları arasındaki işbirliğini sağlamakla yükümlüdürler. Hata riskini sıfıra indirmemesine rağmen farkındalık yaratmak siber saldırıya yanıt süresini kısaltmaktadır. Siber saldırılar hakkında bilgi paylaşımı yapmak ve şirket içi “hackathonlar” düzenlemek, şeffaf bir şekilde ilerlemesi gereken siber güvenlik sürecinde hataların minimum seviyeye indirilmesi açısından doğru bir adımdır.

    Güvenlik tedbirleri vakit kaybetmeden uygulamaya konulmalıdır. Konu hakkında uzman kişilerin sürece dahil edilmesi her zamankinden daha önemli bir hâl almıştır.

    BugBounter Finans ve Sigorta Şirketlerine Siber Güvenlik Süreçlerinde Nasıl Destek Olabilir?

    BugBounter; 2500’den fazla siber güvenlik araştırmacısına ev sahipliği yapan, blockchain tabanlı bug bounty platformuyla finans veya sigorta sektöründeki şirketinizin sistemlerindeki güvenlik zafiyetlerini raporlamaya 7/24 hazır. 

    Farklı ülkelerden farklı yetkinliklere sahip siber güvenlik araştırmacılarından oluşan bug bounty platformumuzda ilk rapor, şirketiniz programı açtıktan sonraki ilk 24 saatte çıkar. Bu şekilde sistemlerinizdeki güvenlik zafiyetlerini erken keşfederek hızlıca önlem alabilirsiniz.

    En iyi kısmı ise araştırmacılara verilecek ödülü kendiniz belirleyebilirsiniz ve onaylanmış bir rapor oluşmadan hiçbir ödeme yapmazsınız.

    Bugün BugBounter ile iletişime geçin ve sizin için en uygun çözümü birlikte bulalım.