- DORA’nın karşı koymak için oluşturulduğu tehdit
- DORA 9. Maddenin gereklilikleri
- Kimlik bilgisi ihlali ve operasyonel dayanıklılık başarısızlığı
- Üçüncü taraf boyutu: Satıcı kimlik bilgileri, sizin kimlik bilgilerinizdir
- DORA’ya uygun bir kimlik yönetimi oluşturma
- Passwork DORA uygunluğunu pratikte nasıl destekliyor
- Denetim öncesi harekete geçin
Yazar: Eirik Salmi, Passwork Sistem Analisti
Bir tehdit aktörü, geçerli bir kullanıcı adı ve şifre ile ağınıza girdiğinde, onu durduracak kontrol hangisidir? Çoğu finansal kurum için dürüst cevap: Hemen hiçbiri. Saldırgan, yetkili bir kullanıcı gibi görünür. IBM’in 2025 tarihli Veri İhlali Maliyet Raporu‘na göre, ihlalin tespitinden önce ortalama 186 gün boyunca hareket eder, yetki yükseltir ve kritik sistemleri haritalandırır.
O noktaya kadar operasyonel zarar verilmiştir ve düzenleyici saat başlamıştır.
17 Ocak 2025’te, Dijital Operasyonel Dayanıklılık Yasası (DORA), AB genelinde uygulanmaya başladı. Yönetmeliğin 9. Maddesi, kimlik bilgisi güvenliğini bağlayıcı bir finansal risk kontrolü haline getirir ve yetersiz kalan kuruluşlar için denetimsel sonuçlar doğurur.
Artık sorulması gereken, kimlik doğrulama yapınızın en iyi uygulamalara uygunluğu değil, yasalara uygunluğu ve bunu kanıtlayıp kanıtlayamayacağınızdır.
DORA’nın karşı koymak için oluşturulduğu tehdit
Çalınmış kimlik bilgileri, 2025’teki en büyük ilk erişim vektörüdür ve tüm veri ihlallerinin %22’sini oluşturmaktadır; bu, Verizon Veri İhlali Soruşturma Raporu‘na dayanmaktadır. Finansal kurumlar için bu maruziyetin sector-specific maliyeti, IBM’in Veri İhlali Maliyet Raporuna göre, her bir olay başına ortalama 5.56 milyon dolardır.
Kredili kimliklerin çalınması tamamen endüstrileşmiştir. İlk Erişim Aracıları, doğrulanmış kurumsal ağ erişimini ortalama 2,700 dolara satmakta ve bu listelemelerin %71’i ayrıcalıklı kimlik bilgilerini içermektedir.
Lumma, RisePro, StealC, Vidar ve RedLine gibi bilgi hırsızları, kimlik bilgilerini büyük ölçekte otomatik olarak toplar. IBM X-Force verileri, bu tür verilerin oltalama yoluyla iletiminin 2024 yılı itibarıyla %84 arttığını gösteriyor ve 2025 verileri daha da dik bir eğilim göstermektedir.
DORA’nın 9. Maddesi, tam da bu zinciri kesmek için vardır. Yönetmelik, Avrupa finansal pazarlarının operasyonel süreklilik için belgelenmiş ve sürekli bir tehdidi yansıtır.
DORA 9. Maddenin gereklilikleri
DORA’nın 9. Maddesi – “Koruma ve Önleme” başlığı altında, yönetmelik tarafından öngörülen ICT risk yönetimi çerçevesinde yer alır ve finansal kuruluşların uygulaması gereken belirli teknik ve prosedürel yükümlülükleri belirler.
- 9(4)(c) maddesi, finansal kuruluşların “bilgi varlıklarına ve ICT varlıklarına fiziksel veya mantıksal erişimi yalnızca meşru ve onaylanmış işlevler ve aktiviteler için sınırlayan politikalar uygulamasını” gerektirir. Bu, yasal bir zorunluluk olarak ifade edilen azami ayrıcalık ilkesidir.
- 9(4)(d) maddesi ise “güçlü kimlik doğrulama mekanizmaları için politikalar ve protokoller uygulamalarını ve verilerin onaylanmış veri sınıflandırmaları ve ICT risk değerlendirme süreçlerine dayanan ölçütler doğrultusunda şifreleme önlemleri almalarını” zorunlu kılar.
Bu dilin operasyonel terimlerle açılımları: Çok Faktörlü Kimlik Doğrulama (MFA) zorunludur. “İlgili standartlar” ifadesi, şu anda Adversary-in-the-Middle (AiTM) oltalama kitlerine karşı dirençli en yaygın kimlik doğrulama standartı olan FIDO2/WebAuthn ‘ya doğrudan işaret etmektedir. Şifreleme anahtarları yönetimi, düzenleyici bir gerekliliktir.
Ayrıca, özel ayrıcalıklı erişim yönetimi (PAM) araçları düzenlemede açıkça belirtilmemiştir; ancak sundukları kontroller, 9. Maddenin gerekliliklerine doğrudan karşılık gelmektedir.
Kimlik bilgisi ihlali ve operasyonel dayanıklılık başarısızlığı
DORA’nın belirtilen amacı, finansal kuruluşların ICT kesintilerine dayanma, yanıt verme ve kurtulma yeteneklerini artırmaktır. Bir kimlik bilgisi ihlali, bu perspektiften bakıldığında bir güvenlik olayı olarak görünmekten ziyade operasyonel süreklilik için devam eden bir tehdit olarak değerlendirilmelidir.
Ortalama 186 günlük bekleme süresiyle, çalınmış bir kimlik bilgisi, belli bir güvenlik olayı yaratmaz. Uzun vadeli görünmeyen bir tehdit üretir – bir saldırgan hareket eder, yetki yükseltir ve kritik sistemleri haritalandırır, tüm bunları meşru bir kullanıcı olarak yapar. Bu, DORA’nın korumayı hedeflediği operasyonel sürekliliğe doğrudan bir tehdittir.
Üçüncü taraf boyutu: Satıcı kimlik bilgileri, sizin kimlik bilgilerinizdir
DORA’nın V. Bölümü, finansal kuruluşlara ICT üçüncü taraf riskine ilişkin açık yükümlülükler yüklemektedir. Uygunluk çevresi, kuruluşa ait sistemlerle sınırlı değildir.
Mayıs 2024’teki Santander ihlali, Avrupa referans noktasıdır. Saldırganlar, Snowflake çalışanlarından çalınan kimlik bilgilerini kullanarak İspanya, Şili ve Uruguay genelindeki müşteri ve çalışan verilerini içeren bir veritabanına erişim sağlamıştır.
Kimlik bilgileri, yüklenici iş istasyonlarını etkileyen bilgi hırsızlığı yazılımı tarafından aylar önce toplanmıştır. Hiçbir compromis edilen Snowflake hesabında çok faktörlü kimlik doğrulama yoktu.
Giriş noktası, Santander sistemi değil, bir satıcının zayıf kimlik doğrulama durumuydu ve Avrupa’nın en büyük bankalarından birine ait verileri tek bir exploit yazılmadan açığa çıkardı.
DORA’ya uygun bir kimlik yönetimi oluşturma
9. Maddenin gerekliliklerini karşılamak, dört alan boyunca yapılandırılmış bir program gerektirir.
- Öncelikle oltalama direnci olan MFA dağıtın. FIDO2/WebAuthn tabanlı kimlik doğrulama – donanım güvenlik anahtarları, şifre anahtarları, platform kimlik doğrulayıcılar. SMS ve TOTP tabanlı geçici şifreler mevcut saldırı tekniklerine karşı yeterli değildir. Tüm kullanıcılar için, özellikle ayrıcalıklı hesaplar ve uzaktan erişim yollarında zorunlu mfA uygulayın.
- Araziye azami ayrıcalık erişimini zorlayın. Yalnızca belirli bir görev süresince yükseltilmiş erişim sağlayan anlık (JIT) provisioning, kimlik bilgisi çalınmasının bu kadar zararlı olmasını engeller. İşten ayrıldığında hesapları hemen devre dışı bırakın. Bırakılan hesaplar, en yaygın ve en önlenebilir saldırı vektörlerindendir.
- Tüm kimlik bilgilerini depolayın. Servis hesabı şifreleri, API anahtarları ve ayrıcalıklı kimlik bilgileri, şifrelenmiş ve erişim kontrolü olan bir kimlik bilgisi vault’u içinde saklanmalıdır. Manuel kimlik yönetimi, operasyonel olarak uygulanabilir bir yöntem olmayıp, denetim izi sağlamaz. Bir iş şifre yöneticisi Passwork – kurumun kendi altyapısında da konuşlandırılarak, şifrelerin şifrelenmesi, detaylı erişim kontrolleri ve tam aktivite geçmişi sağlar.
- Sürekli izleme yapılmalıdır. Anomalik giriş davranışları – alışılmadık coğrafi konumlar, mesai saatleri dışında erişim ve yan hareket desenleri – otomatik uyarıları tetiklemelidir. 186 günlük ortalama bekleme süresini azaltmak, hem finansal maruziyeti hem de DORA olay bildirim yükümlülüklerini azaltmanın en etkili yoludur.
Tüm dört kontrol aynı temele dayanır: kimlik bilgilerin nasıl saklandığı, paylaşıldığı, erişildiği ve izlendiğidir. Bu katmanda yapı olmadan, iyi tasarlanmış politikalar bile uygulamada başarısız olur.
Passwork DORA uygunluğunu pratikte nasıl destekliyor
Passwork, ISO/IEC 27001 sertifikalı bir kurumsal şifre yöneticisidir ve kendi kendine konumlandırma seçeneğiyle sunulmaktadır – yani kimlik bilgisi verileriniz kendi altyapınızdan ayrılmaz.
DORA’nın V. Bölümü tedarik zinciri yükümlülükleriyle başa çıkarken, bu ayrım önemlidir: bir üçüncü taraf SaaS kimlik depolayıcısı, yan yönetmeliklerin gerektirdiği türde bir ICT bağımlılığı getirir.
Yukarıdaki dört kontrol üzerinden çalışırken, Passwork, her birinin kimlik yönetimi boyutunu ele almaktadır.
- Bütüncül kimlik doğrulama katmanında MFA zorunluluğu. Passwork, kurumsal ortamlarda SAML SSO ve LDAP entegrasyonu ile birlikte biyometrik, şifre anahtarı ve güvenlik anahtarı MFA desteği sunmaktadır.
- Rol tabanlı erişim kontrolü ve azami ayrıcalık. İzinler, vault ve klasör seviyesinde atanmakta, AD veya LDAP gruplarından devralınmakta ve dizin değişikleriyle otomatik olarak güncellenmektedir. İşten ayrıldığında paylaşılan kimlik bilgilerine erişim, tek bir işlemle devre dışı bırakılır – kaydedilir ve zaman damgaları ile belgelenir.
- Ayrıcalıklı hesap envanteri ve güvenli paylaşım. Passwork, tüm kurumsal kimlik bilgilerini, paylaşılan yönetici hesaplarını içeren yapılandırılmış, aranabilir bir depo sağlamaktadır. Şifreli vault paylaşımı, denetim izi bırakmayan ve geri alınamayan resmi olmayan kanalları yerle bir eder.
- Uygunluk belgelemeleri için denetleme kayıtları. Her kimlik bilgi erişimi, izin değişikliği, şifre sıfırlama ve paylaşım olayı, kanıtlayıcı bir kayıtta, dışa aktarılmak üzere kaydedilir; bu da özel bir etkinlik geçmişi oluşturur.
DORA uyumluluğu, teknik bir sorun olduğu kadar bir belge sorunudur. En etkili uygulayıcılar, talep üzerine belge sunabilenlerdir.
Denetim öncesi harekete geçin
DORA, kimlik yönetimini güvenlik en iyi uygulamalarından bağlayıcı bir finansal risk kontrolüne dönüştürmüştür. 9(4)(c) ve 9(4)(d) maddeleri açıktır: azami ayrıcalık erişimi, güçlü kimlik doğrulama ve şifreleme anahtarları koruma yasal yükümlülüklerdir.
Operasyonel dayanıklılık, kimlikle başlar – ve kimlik, anahtarları kimin tuttuğuna dair kontrol ile başlar.
Kimlik kontrolünüzü 9. Maddeye karşı denetleyin, bulguları belgeleyin ve bir düzenleyici incelemeden önce kanıtınızı hazır bulundurun. DORA kapsamında, belgelerin yokluğu kendisi bir bulgudur.
Passwork, tam işlevsellikte, sınırsız deneme imkanı sunar.
Bu yazı Passwork tarafından sponsor edilmiştir ve yazılmıştır.
