Tatil sezonu yaklaşırken perakendeciler konteyner ithalatında tam bir fırtınayla karşı karşıya toplama 2,5 milyon TEU (Ağustos 2024’e göre %1,6 ve Ağustos 2019’a göre %17,6 artış) ve tahmini açık80.000+ yalnızca kamyon sürücüleri, öngörülemeyen gecikmeler ve son tarifelerden kaynaklanan daha yüksek maliyetler. Üstelik son zamanlarda tedarik zincirine yönelik siber saldırılarda da bir artış var. iki katına çıktı Nisan 2025’ten bu yana bilgisayar korsanları üçüncü taraf satıcıları giderek daha fazla hedef alıyor.
İşletmelerin bu ikili zorluğun üstesinden gelmesine yardımcı olmak için Eric Schmitt, CIPP/US/E, CISSP-ISSMP, GSLC, CRISC ve Global Baş Bilgi Güvenliği Sorumlusu Sedgwicksiber tehditlerin küresel tedarik zinciri zorluklarıyla nasıl birleştiğine ve perakendecilerin kendilerini korumak için neler yapabileceklerine dair bilgiler sunuyor. Odaklanılan temel alanlar şunlardır:
- Tedarik zinciri siber güvenliğinde neyin “zayıf halka” oluşturduğunu anlamak
- Siber riski daha geniş operasyonel ve kurumsal risk stratejilerine entegre etmek
- İşletmelerin tedarik zinciri güvenliğini güçlendirmek ve aksaklıkları en aza indirmek için atabileceği acil adımlar
Eric’in görüşleri, kritik tatil sezonunda operasyonlarını korumak isteyen perakendeciler için pratik bir yol haritası sağlıyor.
Perakendeciler zaten nakliye gecikmeleri, sürücü eksikliği ve tarifeler nedeniyle baskı altındayken, HTedarik zinciri siber saldırılarındaki artış perakendeciler için tatil sezonunu nasıl daha da karmaşık hale getiriyor?
Tedarik zinciri siber saldırıları, zaten zor olan bir sürece önemli bir öngörülemezlik ve risk katmanı ekliyor. Bu saldırılar envanter sistemlerini bozabilir, sevkiyatları geciktirebilir ve müşteri verilerini tehlikeye atabilir, bu da tüketici güvenini mümkün olan en kötü zamanda zayıflatabilir. Perakendeciler fiziksel lojistiği yakından yönetmeye devam etmeli, ancak artık satıcı ekosistemlerinde dijital esnekliği de sağlamaları gerekiyor. Tatil sezonu siparişlerinin uzun teslim süresi göz önüne alındığında, herhangi bir aksamanın süreç üzerinde geniş kapsamlı yankı etkileri olacaktır.
Tedarik zinciri saldırılarının Nisan 2025’ten bu yana iki katına çıktığı bildiriliyor. Üçüncü taraf satıcıları hedeflemedeki bu ani artışa hangi faktörler neden oluyor?
Çeşitli faktörler birleşiyor. Birincisi, saldırganlar giderek daha stratejik hale geliyor; üçüncü taraf tedarikçilerin genellikle daha zayıf savunmalara ve daha büyük ağlara ayrıcalıklı erişime sahip olduğunu biliyorlar. 2013 yılında Target’ın bir HVAC satıcısı aracılığıyla ihlali bunun mükemmel bir örneğidir. İkincisi, tedarik zincirlerinin hızlı dijitalleşmesi saldırı yüzeyini genişletti. Üçüncüsü, jeopolitik gerilimler ve ekonomik istikrarsızlık, özellikle siyasi veya sosyal açıdan aktif perakendecilere yönelik, devlet destekli ve mali motivasyonlu saldırıları körüklüyor. Son olarak, birçok tedarikçi hâlâ temel siber hijyen konusunda yetişiyor ve bu da onları cazip hedefler haline getiriyor.
Siber güvenlik tartışmalarında sıklıkla “tedarik zincirinin zayıf halkası” ifadesi kullanılıyor. Bu bağlamda zayıf halkayı nasıl tanımlarsınız ve kuruluşlar kendi zayıf halkalarını nasıl tanımlayabilir?
Zayıf halka, tehditleri önlemek, tespit etmek veya bunlara yanıt vermek için gerekli siber güvenlik kontrollerine sahip olmayan veya bir saldırı sonrasında hızla toparlanmak için siber dayanıklılığa sahip olma yeteneklerine sahip olmayan herhangi bir kuruluştur. Kuruluşlar, kapsamlı üçüncü taraf risk değerlendirmeleri, sürekli izleme yoluyla ve tedarik zincirleri genelinde veri akışlarını ve erişim ayrıcalıklarını haritalandırarak bu güvenlik açıklarını belirleyebilir. Birçok farklı tedarikçiyi hızlı bir şekilde kıyaslamaya yardımcı olan bir dizi üçüncü taraf risk değerlendirme hizmeti mevcuttur; örnekler BitSight ve Güvenlik Puan Kartı olabilir. Bu hizmetler seçilen satıcıları inceleyecek ve kamuya açık verilere dayanarak bir kıyaslama ve risk derecelendirmesi sağlayacaktır.
Birçok işletme hâlâ siber riski operasyonel riskten ayrı görüyor. Bunları entegre etmek neden önemlidir ve bu entegrasyon pratikte nasıl görünür?
Siber risk öyle operasyonel risk. Bir fidye yazılımı saldırısı, üretimi durdurabilir, lojistiği bozabilir ve diğer üretim kesintileri kadar hızlı bir şekilde müşteri ilişkilerine zarar verebilir; çoğu zaman daha uzun vadeli etkiler doğurur. Bu gerçeğin kabul edilmesi, siber güvenliğin kurumsal risk yönetimi çerçevelerine dahil edilmesi, siber ölçümlerin iş KPI’larıyla uyumlu hale getirilmesi ve BT, hukuk, satın alma, risk yönetimi ve operasyonlar arasında işlevler arası işbirliğinin sağlanması anlamına gelir. Aynı zamanda hem siber hem de operasyonel aksaklıkları simüle eden ve tüm uygun disiplinlerden kilit paydaşları içeren senaryo planlamayı ve masa üstü tatbikatları da içerir. Bir siber güvenlik veya siber risk ekibi, şirketlerini başarılı bir şekilde korumak istiyorsa boşlukta çalışamaz.
Şirketler, tedarikçilerinin ve iş ortaklarının, özellikle de sağlam güvenlik programlarına sahip olmayan küçük satıcıların siber olgunluğunu nasıl değerlendirebilir?
Kademeli risk temelli bir yaklaşımla başlayın. Yüksek etkili sağlayıcılar, ilk katılım sırasında ve sonrasında düzenli olarak güvenlik anketleri, denetimler ve sızma testleri dahil olmak üzere sıkı değerlendirmelerden geçmelidir. Düşük etkili tedarikçiler, kuruluşa yönelik riske dayalı olarak uygun takiplerle uygun değerlendirmelere tabi tutulmalıdır. Küçük satıcılar için temel konulara odaklanın: uç nokta koruması, fidye yazılımı korumalı yedekleme protokolleri ve olay müdahale planları var mı? Önemli tedarikçilerle iş ortaklığı yapın ve NIST CSF veya ISO 27001 gibi endüstri standartlarının benimsenmesini teşvik edin ve onların güvenlik duruşunu iyileştirmek için destek veya ortak hizmetler sunmayı düşünün. Kritik tedarikçiler için bu kesinlikle birlikte daha iyi bir durumdur.
Şirketlerin yoğun sezon faaliyetleri öncesinde tedarik zinciri güvenliğini güçlendirmek için atabileceği acil ve pratik adımlar nelerdir?
1. Üçüncü taraf risk değerlendirmelerini gözden geçirin ve güncelleyin.
2. Satıcı erişim noktalarında ve harici veya internete açık HERHANGİ BİR ŞEY genelinde çok faktörlü kimlik doğrulamanın uygulandığından emin olun.
3. Potansiyel ihlallerin patlama yarıçapını sınırlamak için ağları bölümlere ayırın.
4. Kilit tedarikçilerle net olay müdahale protokolleri oluşturun.
5. Özellikle kritik sistemler etrafındaki anormal etkinlikleri gerçek zamanlı olarak izleyin.
Sedgwick’teki bakış açınıza göre, tedarik zincirleri daha dijitalleştikçe ve birbirine bağlı hale geldikçe risk yönetimi ile siber güvenlik arasındaki kesişimin nasıl geliştiğini görüyorsunuz?
Sedgwick olarak siber güvenliği kurumsal risk yönetiminin temel bir unsuru olarak görüyoruz. Siber, operasyonel, yasal ve itibar riski arasındaki çizgiler hızla aşınıyor ve biz, ortaya çıkan tehditlere bütünsel olarak yanıt vermemize olanak tanıyan entegre risk platformlarına, işlevler arası yönetim modellerine ve emsal ekipler içindeki derin ortaklıklara yatırım yapıyoruz. Amaç sadece iyileşme değil, savunma ve dayanıklılıktır.
Jeopolitik gerilimler ve yeni tarifeler küresel tedarik zincirlerinin siber riske maruz kalmasını nasıl etkiliyor?
Jeopolitik gerilimler genellikle casusluk, sabotaj veya ekonomik aksama yoluyla siber operasyonlarda kendini gösterir. Tarifeler, şirketleri tedarikçileri veya bölgeleri değiştirmeye zorlayarak, tedarik zincirine yeni, denetlenmemiş ortaklar katmaya zorlayabilir; bu da genellikle sıkı bir zaman çizelgesi içinde, derinlemesine durum tespiti fırsatını azaltır. Bu geçiş dönemi sömürü için olgunlaşmıştır. Kuruluşların uygun durum tespiti yapma, jeopolitik gelişmeleri izleme ve esnek, güvenli tedarik zinciri mimarilerini sürdürme konusunda kararlı olmaları gerekir.
Kesintilerin giderek birbirine bağımlı hale geldiği (siber, operasyonel ve lojistik) bir ortamda kuruluşlar, tedarik zincirlerinin tüm katmanlarında dayanıklılığı nasıl oluşturabilir?
Dayanıklılık görünürlük, çeviklik ve işbirliği gerektirir. Şirketler:
• Gerekirse dördüncü taraf ilişkileri de dahil olmak üzere tüm tedarik zincirlerinin haritasını çıkarın.
• Gerçek zamanlı izlemeye ve tehdit istihbaratı paylaşımına yatırım yapın.
• Acil durum planları geliştirin ve tedarikçileri çeşitlendirin.
• Tüm ortaklarda bir güvenlik kültürünü teşvik edin.
• Tehditleri daha hızlı tespit etmek ve bunlara yanıt vermek için otomasyondan ve yapay zekadan yararlanın.
• Siber güvenlik veya siber dayanıklılık beklentilerinize uygun olduklarından emin olmak için kritik tedarikçilerle yakın işbirliği yapın.
2026’ya baktığınızda, şirketlerin küresel tedarik zincirlerindeki siber ve operasyonel riskleri yönetme biçimini en çok hangi trendlerin veya gelişen teknolojilerin etkileyeceğini düşünüyorsunuz?
Tehdit aktörleri saldırılarını geliştirmeye devam ettikçe, otomatik tehdit tespiti ve müdahalesine, fidye yazılımı korumalı yedeklemelerle güçlü siber esnekliğe ve iyi bölümlere ayrılmış OT ağlarının daha kritik hale gelmesine yoğun bir vurgu yapılmasıyla üçüncü taraf risk yönetimi daha da kritik hale gelecektir.
