Tedarik zinciri güvenliği, hem işletmeler hem de hükümetler için giderek daha kritik bir endişe haline geldi. Günümüzün birbirine bağlı dijital ekonomisinde tedarik zincirleri her zamankinden daha geniş ve karmaşık hale geliyor. Sonuç olarak, işletmeler ve ulusal altyapı ve hizmetlerin güvenliği açısından geniş kapsamlı sonuçları olan yıkıcı siber saldırıların en büyük hedefleri haline geldiler.
‘Tek vuruşta’ birden fazla sistemi ve ağı hedeflemek için tedarik zincirindeki güvenlik açıklarından yararlanmaya çalışan siber suçluların sayısının giderek artmasına rağmen, Birleşik Krallık hükümeti, 2024 Siber Güvenlik İhlalleri Araştırması Birleşik Krallık’taki yaklaşık 10 işletmeden yalnızca birinin, doğrudan tedarikçilerinin oluşturduğu siber riski değerlendirdiğini tespit etti. Aslında çok daha azı, kritik üçüncü ve dördüncü taraf sağlayıcıların yer aldığı genişletilmiş tedarik zincirlerinin potansiyel sonuçlarını değerlendirdi.
Buna yanıt olarak, kuruluşları tedarik zinciri siber güvenlik savunmalarını yeniden düşünmeye ve tedarik zincirlerinin dayanıklılığını artıracak uygun teknik ve operasyonel uygulamaları benimsemeye teşvik eden yeni düzenlemeler ve çerçeveler yürürlüğe girdi.
Mevzuat gerekliliklerine uygunluğun sağlanması işletmeler için en önemli öncelik olsa da, bu düzenleyici çerçeveler kuruluşlara tedarik zinciri güvenlik stratejilerini dayanıklılık göz önünde bulundurularak yeniden şekillendirmeyi mümkün kılan en iyi uygulama planlarını sunar.
AB’de revize edilen Ağ ve Bilgi Sistemleri Direktifi (NIS2) kritik altyapıların dayanıklılığını artırmak ve tedarik zinciri güvenliğini sağlamak için teknik standartlar ve önlemleri benimsemekle yükümlü sektörlerin listesini önemli ölçüde genişletti. Benzer şekilde, ISO 27001 gibi uluslararası standartlar artık tedarik zinciri esnekliğini en üst düzeye çıkarmak ve potansiyel istismarların yayılmasını önlemek amacıyla tedarikçi ve üçüncü taraf güvenlik kontrollerinin yönetimini iyileştirmeye odaklanıyor.
Finansal hizmetler sektöründeki kuruluşlar için AB’nin yeni Dijital Operasyonel Dayanıklılık Yasası (DORA) Finansal kuruluşların ve onların BİT üçüncü taraf tedarikçilerinin riski izlemesini ve proaktif bir şekilde yönetmesini gerektirecektir. Ocak 2025’te yürürlüğe girecek olan DORA, finansal kurumların siber saldırıları ve BT kesintilerini önlemek, tespit etmek, yanıt vermek ve bunlardan kurtulmak için atması gereken adımları ayrıntılarıyla anlatıyor. Üçüncü taraf risk yönetiminin iyileştirilmesi söz konusu olduğunda Kanun, üçüncü taraf hizmet sağlayıcılarla ilişkili siber güvenlik risklerini yönetmenin önemini vurguluyor ve finansal kuruluşların, tedarikçilerinin güvenlik uygulamalarını değerlendirmesini ve izlemesini zorunlu kılıyor.
Akılda tutulması gereken diğer önemli düzenlemeler ve standartlar şunları içerir: Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS 4.0), ödeme kartı verilerini işleyen kuruluşlara yönelik güvenlik önlemlerini belirler. Bu arada GDPR, verilerin güvenliği ve bütünlüğü ile veri sahiplerinin haklarıyla ilgili olarak üçüncü taraf risk ve olay müdahalesine ilişkin ayrıntılı gereklilikleri özetlemektedir.
Ortak bir hedefle oluşturulan tüm bu düzenlemeler, sektörler ve coğrafyalar genelinde siber güvenlik konusunda en iyi uygulamaları aşılamak için yola çıktı. Daha da önemlisi, tedarik zinciri güvenliği söz konusu olduğunda kolektif sorumluluğun artan önemini de aynı şekilde vurguluyorlar.
Son yıllarda kolektif savunma kavramı, tedarik zinciri güvenliğini yükseltmenin son derece etkili bir yolu olarak ortaya çıktı ve bu yaklaşımı desteklemek ve teşvik etmek için artık çeşitli endüstri ve hükümet öncülüğündeki girişimler mevcut. Örneğin, AB Siber Dayanışma Yasası Bilgi paylaşımını, ortak tatbikatları ve kapasite geliştirme programlarını teşvik ederek AB üye ülkeleri arasında işbirliğini ve siber hazırlığı güçlendirmeyi amaçlamaktadır.
Kolektif siber güvenlik duruşunu güçlendirmek için tasarlanan bir dizi temel temel üzerine kurulan kolektif savunma modeli, tüm tedarik zinciri paydaşlarını, ekosistemin genel direncini düşük maliyetli bir şekilde artıracak tehdit istihbaratını, en iyi uygulamaları ve kaynakları paylaşmaya teşvik ediyor.
Kuruluşlar, toplu savunma yaklaşımını benimseyerek tehdit bilgilerini ve uzlaşma veya saldırı göstergelerini neredeyse gerçek zamanlı olarak paylaşabilir. Bunu yaparak, yalnızca tehditlerin erken tespitini geliştiren gelişmiş durumsal farkındalıktan faydalanmakla kalmayacaklar. Ayrıca, son derece koordineli ve işbirlikçi bir olay müdahalesi ve hafifletme çabalarına katılabilecekler.
Toplu savunma stratejisine başlamadan önce dikkate alınması gereken birkaç en iyi uygulama vardır. İlk olarak, tüm katılımcı kuruluşların hassas verilerinin ve çıkarlarının korunması için açık politikaların, yasal çerçevelerin ve teknik önlemlerin uygulanması gerekecektir. Bunun gerçekleşmesi için tüm taraflar arasında güven oluşturmanın başarı açısından hayati önem taşıdığını söylemeye gerek yok.
Daha sonra, tüm boşlukları ortadan kaldırmak ve bunların birlikte çalışabilir ve mevcut siber güvenlik araçları ve süreçleriyle uyumlu olmasını sağlamak için toplu savunma mekanizmalarının gözden geçirilmesi gerekecektir. Güvenlik protokollerinin standartlaştırılması, güncellenmesi ve API’lerin dağıtılması, paydaşlar arasında kusursuz entegrasyonun sağlanmasına yardımcı olacaktır.
Uzmanlık, görev ve sorumlulukların işbirliğine dayalı paylaşımını teşvik etmek amacıyla güvenlik ekipleri, güvenlik operasyonlarını kolaylaştırmak ve tehditleri kontrol altına alma çabalarını hızlandırmak amacıyla SOAR (Güvenlik Düzenleme, Otomasyon ve Yanıt) platformlarının otomasyon özelliklerinden yararlanabilir. Etkinliği korumak için, düzenli incelemeler ve güvenlik testleri, savunmaların her zaman uygun şekilde optimize edilmesini sağlamak açısından hayati önem taşıyacaktır. Bu kritik önem taşıyor ve saldırı tekniklerinin nasıl geliştiğine ilişkin bilgi birikiminin bir araya getirilmesi, tüm kolektif savunma katılımcılarının ortaya çıktıkça yeni tehditler ve güvenlik açıklarıyla mücadele etmeye hazır olmalarını sağlayacak.
Kuruluşlar, DORA ve NIS2 gibi yönetmeliklerden rehberlik alarak tedarik zinciri güvenlik stratejilerini standartlaştırabilir ve herkes için daha dayanıklı bir ekosistem sağlayan kolektif savunma yaklaşımının temellerini atabilir. Ama hepsi bu değil.
Hazır otomasyon platformlarını kullanarak kendi tedarikçi bilgi paylaşım ağlarını etkinleştiren kuruluşlar, tehdit istihbaratını yayma ve gerçek zamanlı güvenlik işbirliğini ve coğrafyaları geliştirme yöntemlerinde devrim yaratabilecektir. Hem kendi operasyonlarını koruyacak hem de genişletilmiş tedarik zincirinin daha geniş bütünlüğünü artıracak bir yetenek.
Sonuçta bir işletmenin savunması ancak en duyarlı tedarikçisi kadar iyidir. Kuruluşlar, sektör çapında işbirliği girişimlerine aktif olarak katılarak, paylaşım ağındaki en küçük kuruluşların bile kendilerini ve dolayısıyla daha geniş ekosistemdeki diğer tüm katılımcıları ciddi tehditlerden ve siber risklerden koruyabilmesini sağlayabilecek.
