2020’de artan ve yaygınlaşan dijitalleşmeyle beraber, siber saldırı tür ve sayılarında yükselişler dikkat çekiciydi. Bu çerçevede, İngiltere’de finansal hizmet sektörü odaklı araştırmalar yapıldı. Yazımızda Birleşik Krallık uzman kuruluşlarından Finansal Hizmetler Bilgi Paylaşım ve Analiz Merkezi (FS-ISAC)’ne ait verilere değineceğiz. Raporda özetle, 2021 siber saldırı oranlarının artışını, üçüncü taraf saldırganların en çok hangi sektörü hedef aldıklarını ve sebeplerini, yoğunlukla rastlanan saldırı türlerini ve 2022 tahminlerini ele alıyor. Ele alacağımız diğer veriler ise Picus Security’nin, Finansal Davranış Otoritesi’ne (FCA) Bilgi Edinme Özgürlüğü (FOI) talebinin üzerine FCA’in yayınladığı ihlalleri içeriyor olacak.
FS-ISAC raporunda, genel olarak siber saldırı risklerinin yılda bir kez arttığı gözlemlenirken, 2021 için bu oranın bir sene içerisinde üç kez arttığını, saldırı türlerinin de çoğunlukla fidye yazılımı, üçüncü taraf siber saldırıları ve sıfır gün riskleri içerdiğine yer verdi. FS-ISAC, saldırıların 2022’de daha yoğun olacağı konusunda uyardı. Ayrıca, siber güvenliğin artık şirketlerde profesyonel bir birim haline getirilmesi gerektiğini, olası siber saldırılar sonucunda şirketlerin kredi notlarının düşürülmesi gibi kritik iş riskleri olduğu konusunda uyarıda bulundu.
FS-ISAC, söz konusu artışların, “pandemi sırasında hızlanan finansal hizmetlerin birden dijitalleşmesi” ve bilgisayar korsanlarının yararlanabileceği giriş noktalarının aniden çeşitlenmesi ve ayrıca tanımlanan “sıfır gün” güvenlik açıklarında keskin bir yükseliş olması sebebiyle, çeşitli faktörlerden kaynaklandığını belirtti. Sıfır gün, geliştiricilerin ve siber güvenlik uzmanlarının bilmediği yazılım ve donanım kusurlarıdır, yani bir bilgisayar korsanı bunlardan birini kullandığında, geliştiricilerin ve siber güvenlik uzmanlarının durumu düzeltmek için sıfır günleri vardır. FS-ISAC’in küresel istihbarat ofisinin başındaki Teresa Walsh, “Baş döndürücü sayıda güvenlik açığı var” diye ekliyor.
Bir FS-ISAC sözcüsüne göre; üçüncü taraf saldırganlar, birçok finans şirketine hizmet veren yazılım tedarik şirketlerine yaptıkları saldırılarla bir kaynaktan çok fazla hedefe ulaşmalarının mümkün olduğunu söyledi. “Bu yolla Finans firmaları siber saldırıların potansiyel bir hedefi haline geliyor” diye ilave ediyor. Konuya örnek olarak raporda, SolarWinds Corp. ve Accellion Inc.’deki ihlaller gibi yazılım tedarik zincirine yönelik son zamanlarda yapılan birkaç saldırının “bir kaynaktan çok fazla hedefe ulaşma zincirinin mümkün olduğunu” gösterdiği belirtildi.
2021’de, özellikle Mayıs ayında Colonial Pipeline Co.’ya yapılan ve yakıt ikmalini zora sokan yıkıcı bir saldırının ardından, yasa uygulayıcıların fidye yazılımlarını ortadan kaldırmak için gösterdiği ortak çabaya rağmen, FS-ISAC’in raporu, üyelerin fidye yazılımıyla ilgili olaylarda düşüş beklendiği yerde artış olduğunu kaydetti. Walsh, artan inceleme nedeniyle fidye yazılımı saldırılarında ölçülebilir bir değişiklik görmeyi beklediğini söyledi. Ama “hiç düşmedi” diye ekliyor.
Birleşik Krallık Finansal Hizmet Sektöründe %50 Siber Saldırı Artışı
Finansal hizmet firmaları siber suçluların öncelikli hedefleri arasında yer alıyor. Siber saldırılara karşı farkındalığımız son yıllarda ciddi bir şekilde gelişti. Buna koşut, sektör risklere karşı güvenlik önlemlerini alıyor; ancak, alınan önlemler siber suçluları yeni ve daha güçlü yollar bulmaktan alıkoymuyor. Gelişen siber suçlular ve gelişen güvenlik önlemleri bizlere burda bir kedi fare avını anımsatıyor.
Birleşik Krallık’taki finans hizmet firmalarının verilerinin incelenmesi üzerine Picus Security, Finansal Davranış Otoritesi’ne (FCA) Bilgi Edinme Özgürlüğü (FOI) talebinde bulundu. Gerçek ve tüzel kişiler, FCA’den birtakım verileri paylaşmasını, anılan talep aracılığıyla talep edebiliyor.
FCA, 50.000’den fazla finansal hizmet firmasının faaliyetlerini düzenliyor ve yetkisi altındaki herkesin ‘maddi’ siber güvenlik olaylarını bildirmesi gerektiğini zorunlu kılıyor.
FOI Talebi sonucu elde edilen bazı verileri paylaşmak gerekirse:
- 2021’de bildirilen siber olayların yaklaşık üçte ikisi siber saldırılardan kaynaklandı
- Olayların yaklaşık üçte biri, şirket veya kişisel verilerin gizliliğinin ihlal edilmiş veya ihlal edilmiş olabileceğine dair bildirimler içeriyordu.
- 2021’de FCA’ya bildirilen beş olaydan biri fidye yazılımı içeriyordu.
- 2021’de 2020’ye kıyasla %50’den fazla maddi siber güvenlik olayı FCA’ya bildirildi.
Son maddeye örnek vermek gerekirse;
- Siber saldırı sonucu veri kaybı yaşanması.
- Bilgi Teknolojileri (BT) sistemine erişimin sağlanamaması veya BT sisteminin çökmesi.
- Siber saldırı sonucunda kişisel verilerin kaybı.
- Bilgi sistemine erişim yetkisi olmadan gerçekleştirilmiş bir girişin tespiti.
Sonuç:
Siber saldırıların, güvenlik açıkları sonucu meydana geldiğini görüyoruz bu açıkların tespiti ve iyileştirilmesi mümkün.
Şirketinizin PCI DSS standartlarına göre uyumluluk durumu hakkında bilginiz var mı? Dışarıya dönük bütün online yüzeylerin güvenliğinden ne kadar eminsiniz? PCI Checklist dışarıya dönük online yüzeylerin otomatik tespiti, bütün yüzeylerde tespit edilen e-ticaret altyapılarını, ödeme biçimlerini, kişisel veri girişi sağlanan yüzeylerini, fatura bilgisi paylaşılan servisleri, e-posta konfigürasyonları gibi noktaları aktif ve pasif tarama yöntemleriyle değerlendiriyor. Şirketinizin PCI DSS standartlarına göre uyumluluğunu inceleniyor. Bütün yüzeyin değerlendirilmesi, siber güvenlik uzmanlarımızla birlikte aylık olarak Farkındalık Raporu kapsamında sunuluyor. PCI Checklist ile verileriniz güvende kalır, PCI DSS standartlarına uyumluluğunuz sağlanır.
