225.000’den fazla Birleşik Krallık askeri personelinin verilerini açığa çıkaran bir ihlalin ifşa edilmesi, dış yüklenicilerin savunma kuruluşlarına yönelik küresel güvenlik risklerinin altını çiziyor.
Bu hafta ortaya çıkan ifşa, bir tehdit aktörünün İngiliz Ordusu, Deniz Kuvvetleri ve Kraliyet Hava Kuvvetleri’nin mevcut, eski ve yedek üyelerinin isimlerine, banka hesap ayrıntılarına ve diğer bilgilere bir şirketten erişmesinden kaynaklandı. Birleşik Krallık Savunma Bakanlığı (MoD) için bordro hizmetlerinin yürütülmesi.
Arızalı Harici Yüklenici
BBC ve diğer Birleşik Krallık medya kuruluşları, harici yüklenicinin Shared Services Connected Ltd olduğunu tespit etti ve ihlal edilen maaş bordrosu sisteminin askeri personel hakkında birkaç yıl öncesine ait bilgiler içerdiğini söyledi. İçinde Milletvekillerine açıklamalarİngiltere’nin Savunmadan Sorumlu Dışişleri Bakanı Grant Shapps, saldırıyı büyük olasılıkla ulus devlet destekli “kötü niyetli bir aktörün” işi olarak tanımladı. Bazı üst düzey hükümet yetkilileri en olası şüpheli olarak Çin’i işaret ederken, Shapps’ın kendisi de saldırıyı ismen herhangi birinin üzerine atmaktan kaçındı.
Bunun yerine üçüncü taraf yükleniciyi, sistemlerini saldırılara karşı korumak için yeterli çabayı göstermediği için suçladı. Shapps, kötü niyetli aktörlerin, Savunma Bakanlığı çekirdek ağından tamamen ayrı ve ana askeri İK sistemine bağlı olmayan harici bir sistem aracılığıyla silahlı kuvvetler ödeme ağının bir kısmına erişim elde ettiğini söyledi. “Bir müteahhit tarafından işletiliyor ve onların potansiyel başarısızlıklarına dair kanıtlar var, bu da kötü niyetli aktörün içeri girmesini kolaylaştırmış olabilir” diye vurguladı. Shapps, Birleşik Krallık hükümetinin yüklenici ve operasyonları hakkında özel bir güvenlik incelemesi başlattığını da sözlerine ekledi.
Son olay, bir yıldan kısa bir süre içinde Birleşik Krallık ordusuyla ilgili verilerin ifşa edilmesinden harici bir yüklenicinin sorumlu olduğu ikinci olaya işaret ediyor. Geçen Ağustos ayında LockBit fidye yazılımı çetesi, Birleşik Krallık askeri tesisleri için ağ çit hizmetleri sağlayan Zaun şirketinden yaklaşık 10 GB veri çalmayı başardı. Zaun ihlali anlattı ağındaki sahte bir Windows 7 sisteminin sonucu olarak. Şirket, LockBit oyuncularının “tarihi e-postalar, siparişler, çizimler ve proje dosyaları” içeren ancak gizli bilgi veya askeri sır içermeyen bir sisteme eriştiğini iddia etti.
Savunma Sektöründe Tedarik Zinciri Riskleri
Bu gibi ihlaller, dış yüklenicilerin askeri ve savunma verilerini ve sistemlerini hedeflemek isteyen saldırganlara sunduğu zayıf ortamın altını çiziyor. Haziran 2023’te Adlumin, bir tehdit aktörünün yeni bir arka kapı açtığını bildirdi. Güç Düşüşü en az bir ABD savunma yüklenicisine ait sistemlerde. Ve geçen ay, ABD hükümeti çok yıllı bir çabanın ayrıntılarını açıkladı. İran siber casusları ABD’nin askeri sırlarını çalacak Savunma müteahhitlik firmalarında üst düzey güvenlik izinlerine sahip çalışanları hedef alarak.
CyberSheath CEO’su Eric Noonan, orduyla çalışan üçüncü taraf yüklenicilerin çekici bir hedef olduğunu, çünkü bu kuruluşların genellikle hayati güvenlik önlemlerini gözden kaçırdığını söylüyor. “ABD’de Savunma Bakanlığı’nın, üçüncü taraf yüklenicilere asgari güvenlik standartlarını dayatmak için on yıldan fazla süredir verdiği bir mücadele var. [Cybersecurity Maturity Model Certification] programı” diyor. “Ancak müteahhitler zayıf güvenlik nedeniyle sözleşmeleri kaybetme tehlikesiyle karşı karşıya kalana kadar pek bir şeyin değişeceğini beklemiyorum.”
Noonan şunu işaret ediyor: araştırma Geçtiğimiz yıl yapılan CyberSheath, Savunma Sanayii Üssü’nün büyük bir kısmının temel siber güvenlik kontrollerine sahip olmadığını ve tüm Pentagon tedarik zincirini riske attığını gösterdi. Örneğin CyberSheath’in araştırmasındaki yüklenicilerin %81’inin resmi bir güvenlik açığı yönetim sistemi yoktu; %75’i çok faktörlü kimlik doğrulamayı uygulamadı; ve %75’inin bir yedekleme planı yoktu.
Tarafından Mayıs 2022’de yapılan bir araştırma Siyah Uçurtma En büyük 100 ABD savunma müteahhitinden biri benzer sorunları ortaya çıkardı: örneğin %72. önceki 90 gün içinde en az bir kimlik bilgilerinin sızdırıldığını deneyimlemiş; %32’si fidye yazılımı saldırılarına karşı savunmasızdı; ve %17’si güncel olmayan ve dolayısıyla desteklenmeyen sistemler kullanıyordu.
Zorunlu Asgari Standartların Zamanı mı?
Noonan, “Savunma ve diğer kritik altyapı sektörleri gibi endüstrilerin zorunlu minimum siber güvenlik standartlarını uygulayacak şekilde düzenlenmesi gerekiyor” diyor. “Bu sektörlerde faaliyet gösteren özel şirketler siber güvenliğe gerekli yatırımları yapmadılar ve CMMC gibi düzenlemelerle zorlanmadıkça da yapmayacaklar.”
Horizon3.ai’nin güvenlik konusunda sorumlu KOBİ’si Stephen Gates, üçüncü taraf siber riskinin genel olarak hiç bu kadar yüksek olmadığını söylüyor. “Kuruluşların artık üçüncü taraf tedarikçilerine, risklerini başkalarına, özellikle de alıcılarına aktarmadıklarından emin olmak için kendi altyapılarında sürekli siber risk değerlendirmeleri yapmalarını neredeyse zorunlu hale getirmelerinin nedenlerinden biri de bu.”
Kuruluşlar için zorluk, sürekli siber değerlendirmelerin nasıl yürütüleceğidir. Gates, Checkbox öz değerlendirme uygulamalarının ve ağın yalnızca küçük bir bölümünü test eden harici sızma testlerinin büyük ölçüde başarısız olduğunu söylüyor. “Bu nedenle, siber riskin sürekli değerlendirilmesinde artış çağrısında bulunan girişimler ortaya çıkıyor” diyor.
Örnek olarak Gates bir girişime işaret ediyor: ABD Donanması Güvenlik korumalarının otomatik ve manuel olarak test edilmesi yoluyla gerçekçi siber değerlendirmeler sağlamak amacıyla Kasım 2023’te başlatıldı ve ABD Savunma Bakanlığı’ndan bir başkası da şu adı verdi: Siber Operasyonel Hazırlık Değerlendirmesi (CORA) programı.