Tedarik zinciri sektörü her zaman hırsızlık ve dolandırıcılık için bir mıknatıs olmuştur, ancak bu riskler Endüstri 4.0 çağında katlanarak artmaktadır. İçeriden gelen tehditlere, soyguna ve olağan aldatmacaya ek olarak, günümüz şirketleri aynı zamanda bir dizi siber güvenlik endişesiyle de karşı karşıyadır.
İşte 2023’te izlenmesi gereken en büyük tedarik zinciri güvenlik tehditlerinden bazılarına bir göz atın. En önemli şey, bir olay müdahale planı kullanarak bu risklerin her birini değerlendirmektir. 2021’de ankete katılan üst düzey yöneticilerin yaklaşık %63’ü ve küçük işletme sahiplerinin %67’si sahip olmadıklarını söyledi.
Tedarik zinciri risklerinizi incelemek, bunları ciddiye almak ve aksiliklerden önce iyileştirme planları yapmak, işletmenizi diğerlerinden ayırabilir.
1. Üçüncü Şahıs Riskleri
Navlun, dağıtım ve sipariş karşılama şirketlerinin uzun bir değer zincirindeki tek halkalar olduğunu unutmak kolaydır. Üçüncü şahıs iş ortaklarının operasyonunuzu nasıl riske attığının farkında olmak, tedarik zinciri güvenliğini desteklemek için kritik bir ilk adımdır. Üçüncü şahısların temsil ettiği risk sınıflarından bazıları şunlardır:
- Siber güvenlik açıkları: Donanım ve yazılımları saldırılara karşı sağlamlaştırıldı mı?
- Uyumluluk ve düzenleyici riskler: Siz ve ortaklarınız yerel yasaları ve raporlama gerekliliklerini anlıyor musunuz?
- Kritik tedarik riskleri: İklim olayları veya jeopolitik entrikalar ürün veya malzeme arzını tehdit ediyor mu?
- Yolsuzluk ve kültür: Ortaklarınız yasal olarak iş yapıyor mu?
Bu riskleri güvenle nasıl ele alabilirsiniz? Zorluklarını ve bunları yönetmek için neler yaptıklarını anlamak için potansiyel ortaklarınızla görüşerek başlayın. Şunun gibi sorular sorun:
- Teknolojileri uç nokta tespiti ve yanıtı (EDR) içeriyor mu?
- Planlanmış güvenlik açığı değerlendirmeleri yapıyorlar mı?
- Kaç tane özel güvenlik personeli var?
- Teknolojilerini ve gerçekleştirme ortaklarını incelemek için hangi adımları attılar?
- Hangi düzenlemeler onları yönetiyor ve bu gereklilikleri tutarlı bir şekilde nasıl karşılıyorlar?
Tedarik zinciri rekabetçidir, ancak aynı zamanda bir topluluktur. Toyota’nın 2022’nin başlarında ilk elden öğrendiği gibi, bir zayıf halka diğerlerini tehdit ediyor. Şirketin tedarikçilerinden biri olan Kojima Industries’e yapılan bir saldırı, şirketin Japonya’daki operasyonlarını durdurmasına ve yaklaşık 13.000 araba üretim kaybetmesine neden oldu. Bunun gibi büyük şirketlere yönelik başarılı saldırılar, 2023’te daha da fazla üçüncü taraf saldırısını teşvik edebilir.
2. Uygulama Programlama Arayüzleri (API’ler)
Gartner ve diğer araştırma firmaları, tedarik zinciri boyunca en sık kullanılan saldırı vektörü olma yolunda olduklarını söyleyerek API’ler konusunda yıllardır alarm veriyorlar. API’ler, farklı teknoloji platformlarının birlikte doğru şekilde çalışmasını sağlayan güçlü araçlardır. API’leri kötüye kullanma eğilimi, çoğalmaya devam ettikçe 2023’te de pes etmeyecek.
Yazılım geliştiricilerin yaklaşık %70’i, 2022’de API bağımlılıklarını %63 artırdıktan sonra bile, 2023’te 2022’den daha fazla API kullanmayı planlıyor. Hızlanan bu büyüme, API’leri siber suçlular için daha da belirgin bir hedef haline getirecek. Bir tedarik zinciri şirketi kendini nasıl koruyabilir? Bunun bir yolu, hangi kaynaklara sahip olduğunuzu bilmek ve tehdit ortamını anlamak için bunları düzenli olarak incelemektir:
- NIST ve CVE raporları ve veritabanları: Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve Ortak Güvenlik Açıkları ve Riskler (CVE) projesi, bilinen ve yeni ortaya çıkan siber güvenlik açıklarının halka açık bir veri tabanıdır.
- Hata ödül programları ve raporları: BugCrowd, HackerOne gibi gruplar ve tedarik zinciri teknolojisinin yayıncıları ve geliştiricileri, dijital istismarları bulmak ve yamalamak için sık sık hata ödüllerine sponsor olur.
- Birinci taraf satıcı bültenleri: Bayiler tarafından yayınlanan güvenlik bültenleri gözden kaçırılmamalıdır.
- GitHub: GitHub ve benzeri kod havuzlarındaki genel danışma veritabanlarını inceleyin.
- Sosyal medya: Dikkatlerinin nereye odaklandığını görmek için önde gelen güvenlik araştırmacılarını ve sektör uzmanlarını sosyal medyada takip edin.
2022’de Forbes, 190’dan fazla bireysel API tabanlı güvenlik açığını manuel olarak belirlemek için bu tür kaynakları kullandı. Aynısını etkileşimde bulunduğunuz ürünler ve platformlar için de yapabilirsiniz.
3. Sosyal Mühendislik
Haraç, phishing, sfishing ve vishing’e dayalı başarılı kampanyalar artıyor. ABD Federal Ticaret Komisyonu, 2020 ile 2021 arasında dolandırıcılık nedeniyle kaybedilen fonlarda 2,4 milyar dolarlık bir artış gözlemledi ve 2022-2023, bu eğilimin tekrarı gibi görünüyor. Bu, Amerikan işletmelerine ve tüketicilere bu rakamlara göre yılda 5,8 milyar dolara mal oluyor.
Daha fazla insan kimlik avının farkına varıyor, bu nedenle siber suçlular belirli kişileri hedef alan hedef odaklı kimlik avına doğru kayıyor. Bu daha kişiselleştirilmiş saldırıların sahte olduğunu tespit etmek daha zordur, bu da onları kimlik avı eğilimlerini anlayan insanlara karşı bile daha etkili kılar. Yakın tarihli bir raporda, ankete katılan kuruluşların %79’u, 2020’ye göre %10’dan fazla bir artışla hedef odaklı kimlik avı saldırıları bildirdi.
Sosyal mühendislik saldırıları, bu dolandırıcılık ve şantaj girişimlerini gerçekleştirmek için tercih edilen araçlardır. Sosyal mühendislik şunları içerir:
- Kimlik avı e-postaları, hedefi kandırarak para, kimlik bilgileri veya fikri mülkiyet sağlamaya yönelik meşru bir tedarikçi veya iş lideri gibi görünecek şekilde tasarlanmıştır.
- Smishing girişimleri kimlik avına benzer, ancak 2022 Twilio saldırısı gibi bilinen bir varlığın kimliğine bürünmek için SMS metin mesajları kullanır. Bu durumda saldırganlar, çalışanların oturum açma kimlik bilgilerini açıklamalarını sağlamak için metin yoluyla Twilio’nun BT departmanının kimliğine büründü.
- Vishing, hassas bilgileri ifşa etmesi için hedefi kandırmaya çalışmak için telefon aramalarının veya sesli posta mesajlarının kullanılmasını içerir.
Bazı nakliye ve dağıtım yöneticileri, toplum mühendisliğinin bu alanda şirketlerin karşı karşıya olduğu “ana risk” olduğuna inanıyor. Tedarik zinciri işinizi korumak için şu adımları atın:
- Veri erişimini, işlevlerini yerine getirmek için ihtiyaç duyan kişilerle sınırlayın.
- Yeni işe alınanlar için kapsamlı sosyal mühendislik ve genel siber güvenlik eğitimi yürütün ve mevcut çalışanlar için planlanmış tazeleme bilgileri sağlayın.
- Çalışan işten ayrıldıktan hemen sonra dijital ve fiziksel kimlik bilgilerini iptal edin.
- Çalışanların sahte e-postalara kanıp kanmadığını görmek için rastgele kimlik avı testleri yapın.
- Telefon görüşmeleri sırasında tedarikçileriniz ve ortaklarınızla gerçekten konuştuğunuzu doğrulamak için bir anahtar kelime öbeği kullanmayı düşünün.
Bu proaktif önlemler, dikkatli, bilgili ve yatırım yapan çalışanlarla güvenlik bilincine sahip bir şirket kültürü oluşturmanıza olanak sağlamalıdır.
4. Veri İhlalleri
Sıradan veri ihlalleri, tedarik zincirine yönelik en yıkıcı tehditlerden bazılarıdır çünkü çoğu zaman en kötü zarar verilene kadar fark edilmezler. Araştırmalar, bir ihlali tespit etmek ve kontrol altına almak için ortalama müdahale süresinin 277 gün olduğunu gösteriyor.
Bir sosyal mühendislik saldırısı veya ifşa edilmiş bir üçüncü taraf güvenlik açığı ile karşılaştırıldığında, sizi uyaracak şüpheli bir olay olmayabilir. Verileriniz arka planda tehlikeye girebilir, ekibiniz bundan daha akıllı değildir. Aralık 2022’de binlerce müşterinin bilgilerinin açığa çıkmasına neden olan potansiyel bir veri ihlalini fark eden Crane Worldwide Logistics’in başına da aynısı geldi. Şirket, hassas bilgilerin yetkisiz üçüncü şahısların eline geçtiğini keşfetti, ancak olayın nedeni veya zamanı belirsizdi.
Kendinizi veri kaybına karşı korumak, kurum içi güvenlik personeli veya dikkatle incelenmiş bir üçüncü taraf güvenlik danışmanı için tam zamanlı bir taahhüttür. Bilgilerinizi korumanın genel hatları şunlardır:
- Sıfır güven güvenlik çerçevesini benimseyin.
- Tüm bireysel ve şirket hesaplarında iki faktörlü kimlik doğrulama (2FA) kullanın.
- Zayıflıkları bulmak için şirket ağlarına ve veritabanlarına düzenli olarak sızma testi yapın.
- Şüpheli bulut ve yerel ağ olayları hakkında daha proaktif olmak için saldırı yüzeyi izleme yazılımı satın alın veya bu yazılıma abone olun.
- Bekleyen ve iletilen tüm verileri şifreleyin. Buluta bağlı bilgileri yüklenmeden önce şifreleyin.
- Üçüncü taraf lojistik ortaklarınız arasında risk değerlendirmelerinde ısrar edin.
Fiziksel güvenlik, veri ihlali güvenliğinin sıklıkla gözden kaçan bir parçasıdır. Sunucu dolaplarını kilitlemeye özen göstermek ve hassas ekipmanlara erişimi kısıtlamak, kuruluşu güvende tutmanın büyük bir parçasıdır.
Ayrıca, üzerinde veya üzerinde çalışan herhangi bir çalışan için açık ve ayrıntılı prosedürler olduğundan emin olun.
bilgisayarlar veya sürücüler gibi şirket verilerini içeren taşıma cihazları. Son olarak, şirket iş akışlarında kişisel cihazlara izin veriliyorsa, bunları hem fiziksel hem de dijital olarak korumak için eşit derecede kapsamlı gereksinimler bulunduğundan emin olun.
Tedarik Zinciri Güvenliği Elinizde
Güvenlik söz konusu olduğunda bazen ellerimiz direksiyondan çekilmiş gibi hissedilebilir, ancak kaderci düşünce bizi daha güvenli yapmaz. Sosyal mühendislik ve diğer manipülasyon biçimleri, tedarik zincirinde cesaret kırıcı bir şekilde yaygın olabilir, ancak hiç kimse çaresiz değildir. Hesap erişimini sınırlamak ve 2FA kullanmak gibi en basit önlemler bile kuruluşları güvende tutmada çok yol kat edecektir.
