Fintech güvenliğine yönelik kısa bir rehber

2019’da küresel borsalar 17 trilyon dolar büyüdü. En hafif tabirle pandemi, dünya piyasalarını hırpalamış olmasına rağmen, yatırıma olan ilgi hâlâ devam ediyor. 2020’nin başından bu yana, borsa uygulaması kullanıcılarının sayısı artmaya devam ediyor.

E-satıcıların varlıkları ve kişisel verileri siber suçlular için cazip bir av hâline gelmesi işin olumsuz tarafı. Beklenmeyen bir olay yaşanırsa da bunun sonuçlarıyla uğraşmak zorunda olan borsa platformu operatörleri oluyor. Bu yazıda, şirketlerin karşılaştığı başlıca tehditlerden ve bunların nasıl üstesinden gelineceğinden bahsediyoruz.

Uygulama güvenlik açıkları

Bütün yazılımlar gibi, borsa platformlarının da güvenlik açıkları vardır. 2018’de siber güvenlik uzmanı Alejandro Hernandez, veri depolaması veya iletimi için şifreleme kullanmama (herkes parolayı görebilir veya değiştirebilir) ve bir süre işlem yapılmadığında kullanıcıların oturumunu kapatmama dahil olmak üzere 79 uygulamada açık buldu. Tasarım düzeyindeki kusurlar, zayıf parolalar için zemin hazırlıyordu.

Bir yıl sonra, ImmuniWeb’deki analistler benzer bir araştırma yaptılar. Aynı şekilde, onlar da olumsuz bir sonuca vardılar: Test ettikleri 100 fintech geliştirmesinin hepsi bir ölçüde savunmasızdı. Üçüncü taraf uygulamaları ve programcılar tarafından kullanılan araçlardan kaynaklanan birçok hatayla, hem web arayüzünde hem de mobil uygulamalarda birçok sorunla karşılaşıldı. Bazı güvenlik açıkları için uzun zamandır mevcut yamalar vardı ancak bunlar yayınlanmamıştı. Böyle bir yama 2012’de yayınlandı, ancak fintech uygulaması geliştiricileri onu kurmayı asla başaramadı.

Gün gibi ortada olan bir gerçek: Bir ürünün güvenlik sorunları varsa, bunlar duyulacak, şirketlerin itibarına zarar verme potansiyeli taşıyacak ve müşterileri korkutacaktır. Ve uygulamadaki bir hatanın sonucunda, kullanıcılar bir veri sızıntısı veya mali kayıp yaşarsa, geliştirici büyük bir para cezasıyla karşı karşıya kalabilir veya tazminat ödemek zorunda kalabilir.

Bazen tek kurban, bizzat platformun geliştiricisi olur. Örneğin, Robinhood ticaret uygulamasının geliştiricileri, premium kullanıcıların hisse senedi alım satımı yapmak için platformdan sınırsız para ödünç almalarına izin veren bir hatayı fark edemediler. Bunun sonucunda, bir kullanıcı sadece 4.000 $’lık bir depozito karşılığında bir milyon dolar borç aldı. Satıcılar bunu “sonsuz para hile kodu” olarak adlandırdılar.

Hatalar ve güvenlik açıklarıyla ilişkili kayıpları önlemek için, borsa platformu kodlayıcılarının, kullanıcı oturumunu otomatik kapatma, şifreleme ve zayıf parolaların yasaklanması gibi unsurları önceden düşünerek, geliştirme aşamasında güvenliği göz önünde bulundurmaları gerekir. Ayrıca, hatalar için kodu düzenli olarak gözden geçirmeli ve hemen düzeltmeliler.

Tedarik zincirlerine yapılan saldırılar

Zaman ve paradan tasarruf etmek için, çoğu şirket yalnızca kendi kodlarını yazmakla kalmaz, aynı zamanda üçüncü taraf geliştirmeleri, çerçeveleri ve hizmetleri de kullanır. Bir sağlayıcının altyapısı ele geçirilirse, onu kullanan şirketler de zarar görebilir.

Aracı Pepperstone‘un başına gelen de buydu. Ağustos 2020’de, siber suçlular bir şirket yüklenicisinin bilgisayarlarına virüs bulaştırarak Pepperstone’un CRM sistemindeki hesabına erişim sağladı. İzinsiz erişim hızla etkisiz hale getirilse de, saldırganlar yine de bazı müşteri verilerini çalmayı başardı. Aracı, finansal sistemlerin ve borsa sistemlerinin etkilenmediğini söylüyor. Bununla birlikte, olaydan üçüncü taraf kodu sorumlu olsa bile veri sızıntılarının şirketler için oldukça maliyetli olabileceğini hatırlayın.

Olası tuzaklardan kaçınmak için her zaman güvenilir, güvenliğe önem veren iş ortakları seçin ve sadece onların koruma mekanizmalarına asla güvenmeyin. Finans alanında faaliyet gösteren her bir şirket, sıkı bir güvenlik politikası benimsemelidir.

Hedef odaklı kimlik avı

Genellikle siber olayların sebebi, insan faktörüdür. Bu nedenle saldırganlar, kurumsal altyapılara sızmak için şirket çalışanlarını kullanır.

Bu bağlamda, bu yılın Temmuz ayında, siber güvenlik araştırmacıları AB, İngiltere, Kanada ve Avustralya’daki fintech kurumlarına yönelik bir dizi saldırıyı APT grubu Evilnum ile ilişkilendirdi. Siber suçlular, şirket çalışanlarına yasal bir bulut hizmetindeki bir ZIP arşivine bağlantı içeren e-postalar gönderdi. Mesajlar, ticari yazışma olarak ve arşiv içeriği de belge veya resim olarak gizlendi. Sözkonusu belge veya resim ekranda görünmesine rağmen, açılması virüs zincirini harekete geçirdi.

Bazen saldırganlar kurumsal e-posta hesaplarına sızar. Bu da, kimlik avını daha ikna edici bir hale getirir. Bu yılın Ağustos ayında, benzer bir saldırı borsa şirketi Virtu’ya yapıldı. Şirket temsilcilerine göre, siber suçlular üst düzey bir yöneticinin posta kutusuna sızdılar. Sonraki iki haftayı muhasebe birimine Çin’e büyük miktarda para transferi talimatları içeren e-postalar göndererek geçirdiler. Körü körüne güvenmek, şirkete yaklaşık 11 milyon dolara mal oldu.

Bu tür saldırılardan korunmak için siber güvenlik personelinin düzgün bir eğitime ihtiyacı vardır. E-postalardaki kimlik avı kırmızı bayraklarının bir listesini derleyin. Daha sonra, bunu bir iş arkadaşınızın, ortağınızın veya müşterinizin sizden Jane Doe’ya birkaç milyon ya da bundan biraz daha az bir miktar göndermenizi istediği (veya istiyor gibi görünmesi) bir plan yapın.

Müşteri sorunları

Bazen kullanıcılar, kötü amaçlı yazılım indirerek, kimlik avı sitelerine parolalarını girerek veya başka bir şekilde sorumsuzca hareket ederek, sizin şirketinizin veya uygulamanızın hatası olmadan para kaybederler. Bu durumda da ne yazık ki borsa platformunun aleyhine iddialarda bulunabilirler. Bazı ülkelerde, şirketler yasal olarak en azından ne olduğunu çözmekle yükümlüdür. Bu nedenle, zaman zaman satıcıları potansiyel tehlikeler konusunda uyarmak ve onları kendilerini (ve dolayısıyla sizi) korumak konusunda uyarmak önemlidir.

Ayrıca, müşterilere herhangi bir üçüncü taraf yazılımın, özellikle korsan olması veya şüpheli kaynaklardan edinilmesi durumunda bir tehdit oluşturabileceğini periyodik olarak hatırlatmak da iyi bir fikir. Örneğin, bosa hesaplarınınkiler de dahil olmak üzere parolaları çalabilir.

Müşterileri, siber suçluların onların kimlik bilgilerini almak için sizin hizmetinizi taklit edebilecekleri konusunda uyarın. Hizmetle ilgili sorunlar hakkında e-postalara çok dikkat etmelerini, gönderenin adresini ve iletiyi yazım hataları ve yanlış dil bilgisi açısından dikkatlice kontrol etmelerini tavsiye edin. Herhangi bir şüphe durumunda URL’yi bir tarayıcıya manuel olarak girmelerini, uygulamayı açmalarını veya müşteri desteğini aramalarını önerin.

Paranızı ve itibarınızı nasıl korursunuz

Parayı idare etmek büyük sorumluluk gerektirir. Güvenliği ihmal etmek de fintech şirketlerine çok pahalıya mal olabilir. Bu nedenle:

• Uygulamalarınızın ve programlarınızın güvenliğinin takipçisi olun. Güvenlik açıklarına karşı taramanızı yapın, hatalara ve sorunlara karşı sıfır tolerans gösterin.
• İş cihazlarına bir güvenilir güvenlik çözümü kurun. Bulut tabanlı ve tek bir kontrol panelinden en iyi şekilde yönetilen bir çözüm.
• Çalışanlarınıza, siber güvenliğin temelleri konusunda eğitim verin. Böylece size ve müşterilerinize para ve strese mal olacak hataların önüne geçmiş olursunuz.
• Çalışanlar ve üçüncü taraf sağlayıcılar için uygulanabilir en katı güvenlik politikasını uygulayın.
• Müşterilere paralarının güvenliğinin büyük ölçüde onlara bağlı olduğunu hatırlatın. Borsa işlemleri için kullandıkları cihaza bir güvenlik çözümü yüklemelerini ve bu cihazda gereksiz hiçbir uygulama kullanmamalarını önerin.
• 1. günden itibaren geliştirmelerinizde güvenlik mekanizmaları uygulayın. Bu, öncelikle zayıf parolaları engellemek, şifreleme yapmak ve oturumu etkin olmayan kullanıcıların oturumlarını otomatik olarak kapatmaya başlamak anlamına geliyor.