Dünyanın en büyük 2.000 şirketinden 1.980’inin, yakın zamanda siber güvenlik olayı veya veri ihlali yaşayan bir teknoloji tedarikçisiyle doğrudan bağlantısı bulunuyor. Bu durum, çok taraflı tedarik zinciri saldırılarının küresel ekonomiye yönelik artan risk seviyelerini vurguluyor.
SecurityScorecard ve Cyentia Enstitüsü, Black Hat güvenlik konferansının açılış günü dolayısıyla yayınladıkları araştırmada, Forbes’un Global 2000 listesinde yer alan kuruluşların %99’unun (AstraZeneca, BP, Diageo, HSBC ve Vodafone gibi birçok İngiliz çokuluslu şirketin yer aldığı) bu tür bir riske maruz kaldığını tespit ettiklerini açıkladı.
Global 2000’i etkileyen ihlallerden kaynaklanan kayıplar halihazırda milyarlarca ABD dolarına ulaşmış durumda ve son 15 ayda 80 milyar dolara kadar çıkmış olabilir. Ortak araştırma, Global 2000’in %20’sinin 1.000 veya daha fazla BT ürünü kullandığını, yani aynı sayıda potansiyel giriş noktasıyla karşı karşıya olduklarını ortaya koydu.
Cyentia ortağı ve kurucu ortağı Wade Baker, buna ek olarak, bu organizasyonlar ağı arasındaki önemli karşılıklı bağımlılığın bu riski yoğunlaştırdığını söyledi.
“Global 2000 51,7 trilyon dolar gelir elde ederken, bunların birbirleriyle bağlantılı olması onları ciddi siber risklere maruz bırakıyor. Bunların %99’u doğrudan ihlal edilen satıcılarla ve onlarca milyar dolara varan olaylarla bağlantılı” dedi.
SecurityScorecard Tehdit Araştırmaları ve İstihbaratı Kıdemli Başkan Yardımcısı Ryan Sherstobitoff ise şunları söyledi: “Dünya, yoğunlaşma riskinin neden olduğu kaos potansiyelini henüz kavramaya başlıyor.
“Tedarik zincirinizi anlamak ve yönetmek, iş sürekliliğini korumak için kritik öneme sahiptir. Bu sadece kesintileri önlemekle ilgili değil; aynı zamanda birbiriyle bağlantılı ekonomimizin temellerini korumakla ilgilidir.”
CrowdStrike olayı bir uyarıdır
SecurityScorecard, son haftalarda, siber olaylardan (Progress Software’in MOVEit ürünü aracılığıyla düzenlenen 2023 ihlalleri gibi) veya sonuçları sektörde yankı bulmaya devam eden Temmuz 2024 CrowdStrike olayı gibi diğer yollarla kaynaklanan BT sorunlarından kaynaklanan dünya çapında önemli kesintilere yol açma potansiyeli nedeniyle giderek daha fazla tedirgin olan kuruluşlar arasında yer aldı.
CrowdStrike krizinin ardından konuşan SecurityScorecard CEO’su Alex Yampolskiy, kritik öneme sahip hizmetlerin birkaç büyük tedarikçi arasında yoğunlaşmasının, küresel BT sistemlerini “bir uçurumun kenarındaki tehlikeli bir ev” kadar kırılgan hale getirdiğini söyledi ve daha fazla CrowdStrike’ın önümüzde olduğunu söyledi.
Tedarik zincirinizi tanıyın
SecuritySorecard, tedarik zincirinizi tanıma (KYSC) ilkelerinin artık bir işletme dayanıklılık stratejisinin kritik bir unsuru olarak acilen yaygın bir şekilde benimsenmesi gerektiği yönündeki genel rehberliğini yineledi.
Bir organizasyon içindeki bağımlılıkların nerede olduğunu anlamak, BT ve güvenlik ekiplerinin bir şeyler ters gittiğinde etkili bir şekilde yanıt verebilmeleri için kritik öneme sahiptir.
Böyle bir stratejinin özünü oluşturması gereken birkaç temel adım vardır:
- Tedarikçi, acente ve ortak ortamlarında BT ve siber riskleri belirlemek ve azaltmak için otomatik tarama da dahil olmak üzere sürekli dış saldırı yüzeyi izleme;
- Kritik iş süreçlerini ve teknolojilerini haritalayarak potansiyel patlama noktalarını tespit etmek ve daha fazla dikkat için bir izleme listesi oluşturmak üzere ilgili tedarikçilerle iş birliği yaparak tekil arıza noktalarını belirlemek;
- Tedarikçinizin kendi BT dağıtımlarını takip ederek tedarik zincirlerindeki gizli riskleri belirleyin ve çözün.