Satıcı ekosistemleri büyüdükçe, tedarik zincirleri genişledikçe ve yapay zeka iş operasyonlarında daha büyük bir rol oynadıkça üçüncü taraf siber riskleri güvenlik liderlerini endişelendirmeye devam ediyor. Panorays’ın ABD CISO’ları üzerinde yakın zamanda yaptığı bir anket, üçüncü taraf vakalarının ve düzenleyici ilginin arttığını, doğrudan satıcıların ötesinde görünürlük ve bu riski yönetmeye yönelik kaynakların yetersiz kalmaya devam ettiğini gösteriyor.
Diğer siber güvenlik risklerine kıyasla üçüncü taraf siber riskinin sıralaması
Üçüncü taraf riski en önemli endişe kaynağı olmaya devam ediyor
CISO’lar üçüncü taraf siber riskini en yüksek etkili tehditler arasında sıralıyor. Tedarikçi ilişkileri, bulut altyapısı ve yazılım geliştirmeden veri işleme ve yapay zeka hizmetlerine kadar neredeyse her temel iş fonksiyonuna dokunuyor. Eklenen her bağımlılık, saldırı yüzeyini genişletir ve hassas sistemlerin ve verilerin korunmasıyla ilgilenen kuruluşların sayısını artırır.
Güvenlik liderleri, üçüncü tarafların maruz kalmasını iş sürekliliğini etkileyen temel bir risk yönetimi sorunu olarak tanımlıyor. Bu görüş, kuruluş dışındaki başarısızlıkların iç operasyonları aksatabileceğine dair artan farkındalığı yansıtıyor.
Bildirilen üçüncü taraf olayları geçen yıl artmaya devam etti. CISO’lar bu olayların doğrudan satıcılardan ve daha derin tedarik zinciri ilişkilerinden kaynaklandığını söylüyor. Pek çok olayın izleri dördüncü taraflara veya taşeronlar ve bağlı kuruluşlar da dahil olmak üzere daha uzak bağlantılara kadar uzanıyor.
Bu model, saldırıların katmanlı ekosistemlerde nasıl ilerlediğini gösterir. Pek çok kuruluş, gözetimi doğrudan tedarikçilere odaklarken, daha sonraki faaliyetler daha az dikkat çekiyor. Saldırganlar, izleme ve sorumluluğun zayıfladığı bu daha az görünür bağlantılardan yararlanır.
Görünürlük doğrudan satıcıların ötesine geçiyor
Kuruluşların yalnızca küçük bir kısmı üçüncü, dördüncü ve n’inci taraf ilişkilerinde görünürlük bildirmektedir. Çoğu, doğrudan satıcılarla veya genişletilmiş tedarik zincirinin dar bir bölümüyle sınırlı kısmi içgörüyle çalışır.
CISO’lar, sınırlı görünürlüğün olaylara müdahaleyi, risk önceliklendirmesini ve uyumluluk planlamasını karmaşık hale getirdiğini söylüyor. Bilinen bir tedarikçiden birkaç katmanın kaldırıldığı bir ihlal ortaya çıktığında, güvenlik ekipleri maruz kalma durumunu, zaman çizelgelerini ve alt yöndeki etkiyi anlamakta zorluk yaşayabilir.
Veriler, genişletilmiş tedarik zinciri gözetiminin üçüncü taraf risk programlarındaki en kalıcı boşluklardan biri olmaya devam ettiğini gösteriyor.
Düzenleyici baskı hazırlıklılığın önüne geçiyor
CISO’lar, üçüncü taraf siber riskine bağlı olarak düzenleyici incelemelerin arttığını bildiriyor. Düzenleyici çerçeveler, kuruluşların dolaylı ilişkiler de dahil olmak üzere tedarikçi ekosistemleri genelinde gözetim sergilemesi konusunda daha büyük beklentiler doğurmaktadır.
Kuruluşların yalnızca küçük bir kısmı, büyük değişiklikler olmadan yaklaşan gereksinimleri karşılamaya hazır hissediyor. Çoğu raporda ilerleme devam ediyor; süreçleri, araçları ve iç koordinasyonu uyumlu hale getirmek için daha fazla çalışmaya ihtiyaç var.
Üçüncü taraf risk yönetimi, güvenlik ekiplerinin yanı sıra hukuk, satın alma, uyumluluk ve idari liderliği de içerir. CISO’lar, tedarikçi olayları sırasında belgelenmiş gözetim ve daha hızlı müdahale konusunda artan beklentilere işaret ediyor.
Ortak araçlar katmanlı riskle mücadele ediyor
Yönetişim, risk ve uyumluluk platformları satıcı riskini yönetmek için yaygın olarak kullanılmaktadır. CISO’lar, bu araçların raporlamayı ve uyumluluk takibini desteklediğini ancak karmaşık tedarik zincirlerinde hızla değişen koşulları yansıtmada genellikle başarısız olduklarını söylüyor.
Geleneksel satıcı güvenlik anketleri de benzer sınırlamalar göstermektedir. CISO’lar bunları statik ve devam eden değerlendirmeye pek uygun olmayanlar olarak tanımlıyor. Periyodik incelemeler, özellikle satıcılar kendi genişletilmiş ağlarına güvendiklerinde, döngüler arasında meydana gelen değişiklikleri sıklıkla gözden kaçırır.
Satıcı sayısı yüzlere veya binlere ulaştıkça, manuel iş akışları güvenlik ekiplerinin yükünü artırıyor ve ortaya çıkan risklerin gözden kaçma olasılığını artırıyor.
Yapay zeka, kuruluşların satıcı riskine bakış açısını değiştiriyor
CISO’lar yapay zeka sağlayıcılarının farklı bir risk profili taşıdığını düşünüyor. Endişeler, veri işleme uygulamalarına, modellerde sınırlı şeffaflığa ve yapay zeka odaklı sistemlerde öngörülemeyen davranışlara odaklanıyor.
Bu farkındalığa rağmen birçok kuruluş hâlâ yapay zeka sağlayıcılarını genel üçüncü taraf süreçleri aracılığıyla kabul ediyor. Yapay zeka satıcılarına yönelik özel katılım politikaları, özellikle küçük işletmelerde sınırlı kalıyor.
Panorays CEO’su Matan Or-El şöyle konuştu: “Yapay zekanın yükselişi, tedarik zincirlerini daha karmaşık hale getirdi ve bu verilere bağımlı sistemlerin bağlantılı doğası, saldırı yüzeyini genişletiyor. CISO’lar, gelişen tehdit ortamında netliği artırmak için yapay zeka odaklı çözümlerin değerini giderek daha fazla görüyor.”
Aynı zamanda, satıcı risk yönetimi kapsamında yapay zekanın benimsenmesi de hızlanıyor. Kuruluşlar, değerlendirmeleri ve izlemeyi desteklemek için yapay zeka tabanlı araçlar kullanır. CISO’lar, bu araçların tekrarlanan işleri azalttığını ve ekiplerin satıcı ekosistemleri genişledikçe daha yüksek riskli bulgulara odaklanmasına olanak tanıdığını söylüyor.
Kuruluşların yalnızca küçük bir kısmı üçüncü taraf ihlallerine karşı kapsamlı, test edilmiş bir yanıt planına sahip olduğunu bildiriyor. Çoğu sınırlı kapsamlı planlara güveniyor veya geliştirilme aşamasında kalıyor.
CISO’lar bu boşluğu daha uzun kontrol zaman çizelgelerine ve satıcı olayları sırasında daha fazla operasyonel kesintiye bağlamaktadır. Daha büyük kuruluşlar daha yüksek düzeyde hazırlıklı olduklarını bildiriyor, ancak müdahale planlaması şirket boyutlarına göre dengesiz kalıyor.