Finansal kuruluşlar, karşılaştıkları siber tehditler sonucu ortalamada neredeyse bir milyon dolar kayıp yaşıyor.
Bu şaşırtıcı seviyedeki maliyet seviyesi, finans sektörü profesyonellerinin katılımıyla dünya çapındaki banka ve finansal kuruluşların karşılaştığı en önemli güvenlik zorluklarını ve spesifik siber saldırıların maliyetlerini gösteren, Finansal Kuruluşların Güvenlik Riskleri 2016 adlı anketin bir parçası olarak ortaya çıktı. Finansal kuruluşlar için en maliyetli olan olayların, POS sistemlerindeki açıklardan faydalanan tehditler olduğu görülüyor. Böyle bir durumda kuruluşlar ortalama 2.086.000 dolar kaybediyor. Mobil cihazlara düzenlenen saldırılar ikinci sırada gelirken (1.641.000$) hemen ardından hedefli saldırılar geliyor (1.305.000$).
Bankalarda ve finansal kuruluşlarda BT güvenliğine yapılan yatırımların artmasının arkasındaki asıl itici güç, uyumluluk. Ancak araştırmanın ortaya çıkardığına göre, kuruluşların %63’ü uyumlu olmanın güvende olmaya yetmediği kanaatinde. Güvenliğe daha fazla para harcamanın bir diğer dikkate değer sebebiyse artan altyapı karmaşıklığı. Örneğin, ortalama bir finansal kuruluş sanal masaüstü altyapısına (VDI: Virtual Destktop Infrastructure) geçerken, yarısı akıllı telefon ve tabletlerden oluşan yaklaşık 10 bin son kullanıcı cihazı yönetmek durumunda oluyor.
Şirket içi uzmanlığın yetersizliği, üst yönetimin direktifleri ve şirketlerin büyümesi de bütçelerin artmasında rol oynayan en büyük etmenler arasında sayılıyor. Genel olarak bakıldığında, finansal kuruluşların %83’ü BT güvenliği bütçelerinde artış beklediği için güvenliğe daha fazla yatırım yapmaları büyük çoğunluğu açısından kaçınılmaz görünüyor.
Kaspersky Lab’ın 1000+ Kullanıcılı İşletmeler Bölüm Başkan Yardımcısı Veniamin Levtsov, konuyla ilgili olarak şu yorumu yapıyor: “Siber saldırılardan kaynaklanan kayda değer miktardaki maddi kayıplar göz önüne alındığında, finansal kuruluşların güvenliğe daha fazla bütçe ayırmak istemeleri sürpriz değil. Finansal kuruluşlar için başarılı güvenlik stratejilerinin kaynakları daha dengeli yönetmekten geçtiğine inanıyoruz. Yani sadece uyumluluğa bütçe ayırmak yerine, gelişmiş hedefli saldırılara karşı korunmaya da daha fazla yatırım yapmak, kişisel güvenlik farkındalığına daha fazla önem göstermek ve sektör özelindeki tehditler konusunda daha iyi bilgilenmek.”
Araştırmaya göre finans şirketleri, güvenlik konusundaki zorlukları daha fazla tehdit istihbaratı alarak ve güvenlik denetimleri gerçekleştirerek ele alıyor ve %73’ü bu önlemlerin etkili olduğunu düşünüyor. Fakat, üçüncü tarafların sunduğu güvenlik hizmetlerini alma eğilimleri düşük olan finansa şirketlerinin sadece %53’ü bu tür hizmetleri etkili bir yaklaşım olarak değerlendiriyor.
Kaspersky Lab uzmanları 2017 özelinde finansal kuruluşlar tarafından benimsenen güvenlik stratejileri için 5 önemli noktanın altını çiziyor:
- Hedefli saldırılara karşı dikkatli olun
Finansal kuruluşları hedef saldırılar yüksek ihtimalle üçüncü tarafları veya üstlenicileri kullanarak gerçekleştirilir. Bu şirketlerin genellikle daha zayıf bir korunması vardır veya hiç yoktur ve zararlı yazılımlar veya oltalama girişimleri için giriş noktası olarak kullanılırlar.
- Daha az karmaşık olan tehditleri küçümsemeyin
Dolandırıcılar çok basit araçlar kullanıp kitlesel vurgunlar yaparak operasyonun büyüklüğü sayesinde karlı çıkabilirler. Dolandırıcılık vakalarının %75’i sosyal mühendislik destekliyken sadece %17’si zararlı yazılım sebeplidir.
- Uyumluluğu korunmaya tercih etmeyin
Bütçeler genellikle uyumluluk için ayrılır fakat güvenliği güçlendirmek ve yeni korunma teknolojilerini kullanıma sokmak, daha dengeli bir kaynak yönetimi gerektirir.
- Düzenli penetrasyon testleri yapın
Bazı zayıf noktalar görünmeseler de gerçektirler. Sofistike tespit araçları ve penetrasyon testleri kullanıldığında zayıf noktalar ortaya çıkacaktır. Çok geç olmadan, gözünüzün tüm zayıf noktalar ve tehditler karşısında açık olduğundan emin olun.
- İç tehditlere dikkat edin
Çalışanlar siber suçlular tarafından kötüye kullanılabilir, hatta birer suçlu olmaya karar verebilir. Etkili güvenlik stratejileri şirket içerisindeki şüpheli aktiviteleri tespit edebilecek teknikleri de içermelidir.