Bankalardan kişisel veri ihlal bildirimleri gelmeye devam ediyor. Kurum çalışanlarının yetkilerini kötüye kullanarak ihlale yol açmasından etkilenen ING ve TEB’den sonra Denizbank oldu. Müşteri ve İşlem Sorumlusu olarak görev yapan banka personelinin kişisel verileri içeren sorgu ekranları aracılığıyla, gereğinden fazla sorgu yapmasından kaynaklanan bir ihlal gerçekleşmiştir. Sektör ve senaryonun birebir aynı olması bir tesadüften ziyade, buralarda kullanılan ortak sorgu sistemlerindeki erişim yetkilendirmesinin hatalı ve yetersiz olduğunu açıkça göstermektedir. Finans kurumlarının düzenli teftişleri, tüm sektörlerden daha fazla siber güvenlik yatırımları, uymakla yükümlü oldukları bir çok standart, çerçeve ve politika olmasına karşın, maalesef bunların uygulanmasındaki eksiklikler bu gibi veri ihlallerini doğurmaktadır. Kurumların, veri riski analizlerinde çoğunlukla dışarıdan gelen atakları göz önünde bulundurduğu gerçeğiyle de karşı karşıyayız. Bu örneklerle şunun farkına varılmadır: Riskin yaklaşık %80’ini kurum içerisindeki kullanıcılar ve sistemlerin hatalı ve yanlış kullanılması durumu taşır. Erişim yetkileri uygun yapılmamışsa ve kullanıcı logları önleyici ve tespit edici sistemler ile analiz edilmiyorsa, kurumun içeride çok fazla zafiyet barındırdığı gerçeği kabul edilmeli ve gerekli kontroller geliştirilmelidir. Neyse ki, yaklaşık 11 ay süren bu ihlal Denizbank Teftiş Kurulu tarafından yapılan düzenli teftişler sırasında tespit edilmiştir. Kurul sayfasında da belirtildiği gibi, Denizbank’ta incelemeler devam etmektedir.
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.