Nisan ayında Marquis Software altyapısını kullanan yetmişten fazla finans kurumu, tek bir VPN güvenlik açığı nedeniyle veri ihlali yaşadı. Bu kurumların düzenli penetrasyon testleri yaptırmış olmasına rağmen, yamalar mevcuttu ancak uygulanmamıştı. Standart bir yıllık harici penetrasyon testi yalnızca iki ila üç haftalık aktif test süresi içeriyor, geriye kalan 345 gün boyunca operasyonel gerçeklik hiçbir şekilde doğrulanmamış oluyor.

Düzenleyiciler Yıllık Testleri Yeterli Bulmuyor

Birçok finans kurumu, yılda bir kez yaptırdığı penetrasyon testinin düzenleyici gereksinimleri karşılamak için yeterli olduğunu düşünüyor. Ancak PCI DSS, FFIEC ve NYDFS gibi düzenleyici çerçeveler, yıllık testin tek başına yeterli olmadığını açıkça ortaya koyuyor. PCI DSS 4.0, bankaların önemli bir altyapı veya uygulama değişikliği yaptıktan sonra mutlaka yeni bir test yaptırmasını zorunlu kılıyor. FFIEC ise penetrasyon testini yılda bir kez yapılan bir işlem olarak değil, sürekli devam eden bir güvenlik yönetimi sürecinin parçası olarak görüyor.

NYDFS düzenlemesi de benzer şekilde, finans kurumlarının sadece yıllık test yaptırmasını değil, aynı zamanda sistemlerini sürekli izlemesini de zorunlu kılıyor. Dijital bankacılık sürümleri, bulut geçişleri, fintech API entegrasyonları ve üçüncü taraf portal lansmanları, yıllık testler arasında test edilmemiş saldırı yüzeyleri oluşturuyor. Düzenleyici uyumluluk artık kurumun geçen yıl test yaptırıp yaptırmadığına değil, değişen sistemlerini test edip etmediğine bakıyor.

Yakın tarihli bir olayda, bir bölge bankasının müşteri cepheli ipotek başvuru portalında ciddi bir güvenlik açığı tespit edildi. Platform, kiracı kimliği verildiğinde kurum kayıtlarını döndüren ve hiçbir kimlik doğrulama gerektirmeyen bir API uç noktası açığa çıkarıyordu. Kiracı kimliği portalın kendi dosyalarında görünür durumdaydı ve bu kimliği bir artırarak ilerletmek, paylaşılan platformdaki her finans kurumunun kayıtlarına erişim sağlıyordu.

👉️ İlginizi Çekebilir: Acer Wave 7 Kullanıcılarına Acil Uyarı: Router’ınız Uzaktan Ele Geçirilebilir

Açığa çıkan kayıtlar, personelin iş e-posta adreslerini, telefon numaralarını, iş unvanlarını ve başvuru atıflarını içeriyordu. Bu kodlara sahip herhangi bir kişi, bir memurun adına kurumuna sahte başvuru gönderebiliyordu. Banka bu zafiyeti kendisi oluşturmamıştı; platform satıcısı oluşturmuştu ancak risk yine de bankanın alan adı üzerinden yönlendiriliyordu. Yıllık test bu açığı yakalayamamıştı çünkü test yapıldığında bu hostname mevcut değildi.

Sürekli Test Finans Sektörü İçin Artık Bir Zorunluluk

Yıllık penetrasyon testi modeli üç temel nedenden dolayı bu tür zafiyetleri gözden kaçırıyor. İlk olarak, yeni hostname’ler test kapsamı belirlendikten sonra ortaya çıkıyor ve bir sonraki yıla kadar test edilmiyor. İkincisi, satıcılar tarafından işletilen ancak bankanın kendi alt alan adında sunulan portallar, kapsam belirleme görüşmelerinde genellikle atlanıyor. Üçüncüsü, bu zafiyet aktif insan testi gerektiriyordu; otomatik tarayıcılar yetkilendirme eksikliğini işaretleyip dururken, bir testçi kiracı kimliklerini gezerek çapraz veri sızıntısını doğrulayabiliyor.

Mandiant’in M-Trends 2026 raporuna göre saldırganların sistemde tespit edilmeden kalma süresi on dört güne yükselirken, casusluk aktörleri ortalama 122 gün kalabiliyor. CrowdStrike’ın 2026 Küresel Tehdit Raporu, finans sektörünü hedef alan saldırılarda dördüncü sırada olduğunu gösteriyor. Yıllık testler bu gerçeklik karşısında tamamen yetersiz kalıyor.

Türkiye’deki Finans Kurumları Da Aynı Risklerle Karşı Karşıya

Türkiye’de faaliyet gösteren bankalar ve finans kurumları da benzer risklerle karşı karşıya. Bankacılık Düzenleme ve Denetleme Kurumu’nun bilgi sistemleri yönetmeliği, finans kurumlarının düzenli güvenlik testleri yaptırmasını zorunlu kılıyor. Ancak bu düzenlemeler de çoğunlukla yıllık test periyotlarını esas alıyor. Türkiye’de son yıllarda artan siber saldırılar, özellikle bankacılık sektörünü hedef alan fidye yazılımı kampanyaları ve kimlik avı girişimleri, finans kurumlarının güvenlik testlerini sürekli hale getirmesi gerektiğini gösteriyor.

ITSTACK Sürekli Güvenlik Testiyle Finans Kurumlarının Yanında

ITSTACK, finans sektörüne özel olarak tasarlanmış sürekli güvenlik testi ve zafiyet yönetimi çözümleri sunuyor. Geleneksel yıllık penetrasyon testlerinin bıraktığı 345 günlük kör noktayı kapatmak için geliştirilen ITSTACK platformu, finans kurumlarının altyapılarındaki her değişikliği anlık olarak analiz ediyor ve potansiyel zafiyetleri gerçek zamanlı olarak raporluyor.

ITSTACK’in sunduğu hizmetler arasında harici saldırı yüzeyi yönetimi, otomatik zafiyet taraması, penetrasyon testi ve kırmızı takım simülasyonları bulunuyor. Özellikle üçüncü taraf entegrasyonlarının oluşturduğu riskleri tespit etmek için geliştirilen özel test senaryoları, platform sağlayıcılarındaki zafiyetlerin bankanın itibarını etkilemesini engelliyor. Finans sektöründe sürekli testin gerekliliğini bugün öğrenmek ve ITSTACK’in güvenlik çözümleri hakkında detaylı bilgi almak için itstack.com.tr adresini ziyaret edebilirsiniz.