BaFin, Finansal Firmalar Arasında BT Olaylarının Arttığını Bildirdi
BaFin, Finans Sektöründeki BT Olaylarından Kaynaklanan 52,7 Milyar Euro’luk Zarar Açıkladı.
Almanya’nın Federal Finansal Denetim Kurumu (BaFin), 2023 yılında ödeme hizmetlerini etkileyen BT olaylarında önemli bir artış olduğunu bildirdi. Bu durum, finans sektöründeki operasyonel risklerin arttığını gözler önüne seriyor.
BaFin, 2023 Yılında Finansal Firmalar Arasında BT Olaylarının Arttığını Bildiriyor
BaFin tarafından yayımlanan verilere göre, geçen yıl yaklaşık 235 ödeme olayı bildirildi ve bu, 2022’ye göre %17,5’lik bir artış anlamına geliyor. Bu olayların büyük çoğunluğu (%94,9) operasyonel olarak sınıflandırıldı ve dış güvenlik ihlallerinden ziyade iç hatalardan kaynaklandı.
“BaFin’in bakış açısına göre, BT riskleri finans sektörü için ana riskler arasında yer alıyor,” diye belirtti Alman düzenleyici. “Özellikle siber saldırılar finans şirketleri için ciddi sonuçlar doğurabilir. BT hizmetlerinin dış kaynak kullanımındaki yoğunlaşma bu riski artırıyor.”
Düzenleyicinin bulguları, olayların yaklaşık %78’inin süreç ve sistem arızalarından kaynaklandığını ve güçlü siber güvenlik önlemlerinin yanı sıra sağlam iç kontrol önlemlerinin önemini vurguladı. Olayların toplam raporların sadece %5,1’ini oluşturan güvenlik ile ilgili olaylar, örneğin siber saldırılar, olsa da genel artışa rağmen önemli bir tehdit olarak öne çıkıyor.
BaFin’in raporu, bu olayların etkisine de ışık tuttu. 2023 yılında kesintiler, 7,12 milyon ödeme hizmeti kullanıcısını etkiledi ve toplamda 52,74 milyar Euro’luk işlemi etkiledi. Ancak, otorite, çoğu olayın nispeten az sayıda kullanıcıyı veya işlem hacmini etkilediğini ve birkaç ciddi vakanın ortalamaları çarpıttığını belirtti.
Finans sektöründeki BT dış kaynak kullanımının artan eğilimi, önemli bir endişe olarak öne çıktı. Bildirilen ödeme olaylarının yaklaşık %40’ı, finansal kurumlar yerine hizmet sağlayıcılara atfedildi. Bu durum, BT hizmetlerinin dış kaynak kullanımındaki yoğunlaşmanın potansiyel zayıflıkları ortaya koyduğunu gösteriyor.
E-bankacılık ve Mobil Bankacılık En Çok Etkilenenler
BaFin verileri, ödeme endüstrisinde en çok etkilenen sektörlerin e-bankacılık ve mobil bankacılık hizmetleri olduğunu gösteriyor. Ayrıca, düzenleyicinin vurguladığı üzere, “diğerleri” kategorisinde de birçok olay kaydedildi ve bu genellikle işlem işleme gecikmelerini içeriyordu. Etkilenen fonksiyonel alanlar açısından, olayların %60’ından fazlası işlemlerin temizlenmesi ve doğrudan veya dolaylı olarak yerleşimleri içeriyordu.
“Ortalama olarak, bir olay 224 milyon Euro’luk işlem hacmini etkiledi,” diye açıkladı BaFin. “Tüm olayların yarısı bile 14 milyon Euro’dan daha az bir değere sahipti (medyan değer). Bu durum, birkaç özellikle ciddi olayın ortalama değere güçlü bir şekilde yukarı yönlü etki yaptığını gösteriyor.”
DORA
İleriye dönük olarak, BaFin, Dijital Operasyonel Direnç Yasası’nın (DORA) 17 Ocak 2025’ten itibaren uygulanmasının sektörün operasyonel direncini güçlendireceğini öngörüyor. Yeni düzenleme, ciddi BT olaylarının raporlama gereksinimlerini tüm finans sektörü için genişletecek ve tüm finansal şirketler için tek tip standartlar belirleyecek.
“DORA, ciddi BT olaylarının raporlama gereksinimini tüm finans sektörüne genişletir ve tüm finansal şirketler için tek tip raporlama gereksinimlerini tanımlar,” diye ekledi BaFin.
Düzenleyici, DORA kapsamında genişletilmiş raporlamanın olaylara daha kapsamlı bir bakış sağlayacağını ve finansal istikrarı sağlamak için daha hızlı müdahalelere olanak tanıyacağını bekliyor.
BaFin’in 2023 raporu, finans sektöründe artan BT risklerine dikkat çekiyor. İçsel hatalardan kaynaklanan operasyonel olaylar, sektördeki güvenlik açıklarının ne kadar ciddi olduğunu gösteriyor. Özellikle BT hizmetlerinin dış kaynak kullanımındaki yoğunlaşma, potansiyel zayıflıkları artırıyor. DORA’nın uygulanması, bu risklerle mücadelede önemli bir adım olacak. Finansal kuruluşların, bu yeni düzenlemelere uyum sağlamaları ve BT güvenlik önlemlerini güçlendirmeleri, gelecekteki olayları önlemek için kritik öneme sahip olacak.