Hiçbir kuruluş bir ada değildir. Geçen ay maaş bordrosu yazılımı Zellis’e yapılan saldırı, bize bir ihlalin etkilerinin iş ağında nasıl çok hızlı bir şekilde üçüncü taraflara yayılabileceğini ve bunun çok daha fazla sayıda kurbanla sonuçlanabileceğini hatırlatıyor. Ve zarar gören sadece iş dünyası değil.
Yazan Guy Golan, Performanta CEO’su
Hiçbir kuruluş bir ada değildir.
Geçen ay maaş bordrosu yazılımı Zellis’e yapılan saldırı, bize bir ihlalin etkilerinin iş ağında nasıl çok hızlı bir şekilde üçüncü taraflara yayılabileceğini ve bunun çok daha fazla sayıda kurbanla sonuçlanabileceğini hatırlatıyor. Ve zarar gören sadece iş dünyası değil.
Hükümetin en son ihlal anketine göre umut verici bir şekilde, büyük işletmelerin çoğunluğu (%55) tedarik zinciri risklerini ilk kez inceliyor. Ancak bu, genel olarak kuruluşlar arasında hala nispeten nadir görülen bir durumdur.
On işletmeden sadece biri (%13) yakın tedarikçilerinin oluşturduğu riskleri incelediklerini söylüyor.
Sektörün zihniyetini güvenlikten emniyete değiştirmesi gerekiyor. Bir kuruluşun uyumluluk ve sektör standartlarına göre ‘güvenli’ kabul edilip edilmediğini belirlemek için her gün değerlendirmeler yapılıyor ancak bu, ilgili tüm tarafların güvende olduğu anlamına gelmiyor.
Tedarik zincirinin tamamında siber güvenlik söz konusu olduğunda, her işletmenin ve dahil olan her bireyin yararına, doğruluk, şeffaflık ve bağlama öncelik veren küresel, veri odaklı bir stratejiye ihtiyacımız var.
Anlaşma bir ortaklıktır
İşletmeler bir tedarik zincirinin parçası olduklarında aslında bir endüstri ortaklığına imza atarlar; bu da dijital güvenliğin sorumluluğunu paylaştığınız anlamına gelir.
İlk adım olarak kuruluşun siber güvenliğin yalnızca uyumlulukla ilgili olmadığını kabul etmesi gerekir; operasyonlarının güvenliğini ve dayanıklılığını sağlamakla ilgilidir. Siber endüstri büyümeye ve uyum sağlamaya devam ettikçe kuruluşların karşılaştığı tehditler daha karmaşık ve yaygın hale geliyor; bu da tedarik zincirindeki bir ihlalin sayısız işletme için sorun yaratabileceği anlamına geliyor.
Siber endüstri dinamiktir ve sürekli olarak ortaya çıkan yeni teknolojiler, uygulamalar ve tehditlerle doludur. Siber tehditlerin gelişen doğasının kabul edilmesi, dijital tedarik zincirlerinde güvenliğin teşvik edilmesi açısından hayati öneme sahiptir.
Hala siber evrimin ilk aşamalarındayız; Sektörün henüz ortaya çıkaramadığı teknoloji alanları ve yeni risk türleri var. Yalnızca bunun farkına varılarak ve gelecek değişikliklere hazırlanılarak gerçek güvenliğe ulaşılabilir.
İşletmeler, organizasyonun tüm seviyelerine nüfuz eden bir güvenlik kültürü yaratmayı hedeflemelidir. Bu kültür, proaktif risk değerlendirmesini, sürekli izlemeyi ve çalışanlar için sürekli eğitim ve öğretimi içerir.
Tedarik zinciri boyunca güvenlik zihniyetini aşılamak
Sektörün yaygın bir uygulama olarak görmeye başladığı bilinmeyene karşı savunma uzun süredir imkansız olarak görülüyordu, ancak artık hazırlıklılığımızı artırmak için dijital tedarik zincirlerinde proaktif önlemler alabiliyoruz.
Her ne kadar endüstri, siber alanda ‘güvenli’ olmanın ne anlama geldiğine dair henüz resmi bir tanım oluşturmamış olsa da, uyumluluk standartlarına dayalı değerlendirmeler tek başına ilgili tüm taraflar için güvenliği garanti etmez. Bununla birlikte sektör, güvenlikten güvenliğe geçişi gerçekleştirmek için halihazırda iyi bir konuma sahip.
Kapsamlı bir siber güvenlik stratejisini üç temel unsur şekillendirir: doğruluk, şeffaflık ve bağlam.
Gelişen risk ortamında etkili bir şekilde ilerlemek için dijital tedarik zincirlerinin potansiyel riskleri doğru bir şekilde tanımlaması, bu tehditlerin etkisini anlamaları ve uygun çözümler geliştirmeleri gerekiyor. Bu, ekiplerin etkili yanıt vermesini kolaylaştıran gerçek zamanlı, kesin veriler ve kullanıcı dostu değerlendirme ve sunum yöntemlerini gerektirir.
Veri doğruluğu arttıkça şeffaflık da doğal olarak takip eder. Şeffaf iletişim ve paylaşılan içgörüler, hem iç hem de dış siber güvenlik stratejisi kapsamındaki tüm paydaşlar için hayati öneme sahiptir. Bir tedarik zincirinde şeffaflık, tüm tarafların uyum içinde olması ve tehditlere etkili bir şekilde yanıt verilmesi açısından en önemli husus haline gelir.
Ayrıca, güvenlik içgörülerinin yalnızca siber güvenlik uzmanlığına sahip olanlar için değil, dijital tedarik zincirinin tüm alanları için erişilebilir olmasını sağlamak zorunludur. Verileri CEO’lar ve CFO’lar gibi paydaşlar için anlaşılır terimlere dönüştürmek, şirket genelinde risklere ilişkin farkındalığı artırır. Bu yaygın anlayış, katılımın sağlanması ve kapsamlı bir güvenlik stratejisinin uygulanması için gereklidir.
Hayatlarımız ve kimliklerimiz dijital alanla giderek daha fazla iç içe geçtikçe, güvende hissetmek çok önemli. İşletmeler için artık yalnızca uyumluluğa ulaşmak yeterli değil. Güçlü güvenlik savunmalarıyla korunduğunu iddia eden kuruluşlar bile defalarca güvenlik açıklarıyla karşı karşıya kaldı.
Tedarik zincirleri içindeki bağlantılar kolaylıkla bir iş avantajı olmaktan çıkıp yıkıcı bir güvenlik açığına dönüşebilir. Sonuçta Zellis’in ihlali BBC, Boots ve British Airways gibi büyük kuruluşlardan müşteri verilerinin çalınmasına neden oldu.
Açıkçası, geleneksel güvenlik yaklaşımı sınırlarına ulaştı. Sektör, dijital tedarik zincirlerinin bütünsel refahına öncelik vererek güvenlik bayrağı altında birleşmek için bu uygun anı değerlendirmelidir.
yazar hakkında
Guy Golan, sektörde 20 yılı aşkın deneyime sahip bir Siber Güvenlik Uzmanıdır. Kariyerine İsrail Savunma Kuvvetleri İstihbarat Tugayı’nda başladı ve daha sonra CISO olarak birçok büyük kuruluşa liderlik etti. Kendisi şu anda üç kıtaya yayılan 150’den fazla güvenlik profesyoneliyle küresel siber güvenlik firması Performanta’nın CEO’su ve Kurucusu.