1965’te Ralph Nader’in çığır açan kitabı Herhangi bir hızda güvensiz otomobil üreticilerinin, sürücülerin ve yolcuların güvenliği üzerindeki stil, performansa ve kârın nasıl öncelik verdiğini ortaya koydu. Anlatısı, emniyet kemerlerinin ve diğer güvenlik yeniliklerinin yaygın olarak benimsenmesi de dahil olmak üzere kamu öfkesini teşvik etti ve kapsamlı değişiklikleri katalize etti. Eski CISA Direktörü Jen’in bu yılın başlarında belirttiği gibi, bugün kendimizi yazılım geliştirme alanında benzer bir bükülme noktasında buluyoruz.
Öncelik hızı ve ürün özellikleri, güvenli yazılım geliştirme genellikle sonradan düşünülür. Siber tehditler daha sofistike hale geliyor ve kuruluşlar yazılım tedarikçilerinden erken tanıtım ve güvenlik önlemlerinin daha iyi entegrasyonunu talep etmiyorlarsa, ciddi sonuçlarla karşılaşabilirler.
Üçüncü Taraf Tedarikçileri Birinci Parçalı Riskinizi
Günümüzde kuruluşlar giderek daha ucuz ve daha verimli olduğu için altyapılarına ve iş operasyonlarına derinlemesine yerleştirilen bir hizmet olarak yazılıma (SAAS) güvenmektedir. Her ne kadar bu çözümler ölçeklenebilirlik ve verimlilik sunsa da, önemli riskler de getirirler. Yine de, şimdi geleneksel güvenlik sınırlarının atıldığı yapay zekanın (AI) egemen olduğu bir dönemde yaşıyoruz. Sistemler ve tedarik zincirinde yer alan çok sayıda aktör arasında değiş tokuş edilen çok miktarda veri göz önüne alındığında, yazılım geliştirme kusurlarıyla ilgili bir siber olayın etkisi artık her zamankinden daha fazladır.
AI artık kuruluşlar ve üçüncü taraflar arasında çok miktarda veri ürettiği, topladığı ve paylaştığı için koruma gerektiren verilerin ölçeği ve karmaşıklığı hızla artmıştır.
Verizon’un 2024 Veri ihlali soruşturmaları raporu, ihlallerin% 15’inin yazılım tedarik zincirleri, barındırma ortak altyapıları veya veri gözaltları gibi bir üçüncü taraf veya tedarikçi içerdiğini ortaya koyuyor. Bu sayı yıldan yıla artmaktadır ve kuruluşların üçüncü taraf risk yönetimine yaklaşımlarını yeniden düşünmeleri için acil ihtiyacını vurgulamaktadır.
Şirketlerin satıcı değerlendirmelerindeki en büyük hatalardan biri, ürün güvenliği yerine yalnızca satıcı güvenliği uyumluluğuna odaklanmaktır. Birçok kuruluş, bilgi güvenliği yönetim sistemi (ISMS) hakkında satıcılara uzun anket gönderir, ancak başvuru ve ürün güvenliğini incelememektedir. ISO 27001, SOC 2, PCI DSS ve GDPR gibi sertifikalar ve uyum onayları genellikle güvenlik ölçütleri olarak görülür, ancak sürekli güvenli yazılım geliştirme uygulamalarını garanti etmezler.
Bazı satıcılar bu sertifikaları tutabilir; Bununla birlikte, portföylerinin belirli ürünleri bu güvenlik standartları ve çerçevelerinin kapsamı dışında olabilir. Göz ardı edilirse, bu kör nokta önemli güvenlik risklerine yol açabilir. Bir kuruluş, sertifikalı bir satıcının sağlam güvenlik önlemlerine sahip olduğunu varsayabilir, ancak daha sonra kullandıkları belirli ürünün temel güvenlik kontrollerinden yoksun olduğunu keşfetmek için.
Tedarikçilerinizden daha iyi talep edin
Tedarik zinciri saldırılarına direnmek ve ilişkili riskleri azaltmak için kuruluşlar, tedarikçilerini güvenli yazılım geliştirmeye öncelik vermeye itmelidir. Bu, satıcıların sadece güvenlik uyumluluğunu değil, aynı zamanda kalkınma uygulamalarını güvence altına almak için açık bir kanıt ve bağlılık göstermelerini gerektirmesi anlamına gelir. Kuruluşların etkili bir üçüncü taraf değerlendirme programı oluşturmak için uygulamaları gereken bazı önemli girişimler şunlardır:
- Geleneksel satıcı güvenlik değerlendirmelerini genişletin: Temel siber güvenlik anketlerinin ötesine geçin ve satıcılara başvuru ve ürün güvenliği önlemlerine meydan okumak. Programı kuruluşunuzun özel gereksinimlerine ve dinamiklerine göre uyarlayın ve AI gibi gelişmekte olan teknolojilerle ilgili soruları dahil etmeyi düşünün.
- Güvenli Yazılım Geliştirme Yaşam Döngüsü (SDLC) uygulamalarından emin olun: Tedarikçilerin, tasarımdan dağıtıma kadar gelişimin her aşamasında güvenliğin dahil edildiğine dair kanıtlar sunmalarını gerektirir.
- Üçüncü taraf risk yönetimi alandan kontrole kaydırın: Üçüncü taraf risk yönetimi nihayetinde sadece güvenlik risklerini değil, iş risklerini yönetmekle ilgilidir. Özünde, bu bir veri sorunudur. Bu nedenle, kuruluşlar veri sahiplerini ve ilgili paydaşları sürece dahil etmeli ve bunları net iş açısından ilişkili riskler hakkında eğitmelidir.
- Şeffaflık talep etmek: Yalnızca uyumluluk sertifikalarına güvenmek yerine yazılım ürünlerine uygulanan güvenlik kontrollerine görünürlük alın.
- Sürekli üçüncü taraf risk değerlendirmesi yapın: Güvenlik riskleri zamanla geliştikçe, üçüncü taraf satıcıları sürekli olarak izleyin.
- Sıfır tröst zihniyetini benimseyin: Her üçüncü taraf bağlantısının potansiyel bir risk olabileceğini ve mümkün olduğunda katı erişim kontrollerini uygulayabileceğini varsayalım.
2025’teki dijital manzara, yazılım güvenliğine yaklaşma şeklimizde temel bir değişim gerektirir. Emniyet kemerleri ve güvenlik standartları otomobil endüstrisinde devrim yarattığı gibi, güçlü güvenlik uygulamaları yazılım geliştirmede norm haline gelmelidir.
Kuruluşlar üçüncü taraf riskinin kendi riski olduğunu kabul etmelidir. Artık satıcı güvencelerine veya uyumluluk onay kutularına güvenmek yeterli değildir. Bunun yerine, işletmeler şeffaflık talep ederek, titiz güvenlik standartlarını uygulayarak ve güvenli gelişimin sıfırdan bir öncelik olmasını sağlayarak proaktif bir duruş almalıdır. Tedarikçileri güvenli bir şekilde geliştirmeye itersek, sonuçlar sadece bireysel şirketleri değil, tüm dijital ekosistemi de etkileyecek.
Ejona Prebi bir Isaca üyesi ve gönüllü ve uzun süredir devam eden bir siber liderdir. Hamburg merkezli ambalaj ürünleri üreticisi Lindal Group’ta Global Ciso olarak çalışıyor ve aynı zamanda Siber Güvenlik Kadınları (WICYS) Almanya’nın başkanı. Ejona, güvenliğe çeşitliliğe ve dahil edilmeye kararlıdır ve yapay zeka (AI) ve siber güvenlik çözümlerinin adalet, hesap verebilirlik ve toplumsal refahı önceliklendirdiği ve inovasyon ve etik arasındaki boşluğu doldurduğu bir geleceği şekillendirmeyi umuyor. Bu onun haftalık güvenlik düşünce kuruluşuna ilk katkısıdır.