Stephen Hawking, “Artık hepimiz dev bir beyindeki nöronlar gibi internete bağlıyız” derken, bu açıklamanın ciddiyetini çok az kişi anladı.
Ancak USA Today’e verdiği ünlü röportajın üzerinden on yıl geçtikten sonra Hawking’in haklı olduğunu söyleyebiliriz. Bugün web, organizasyonları birbirine bağlayan ve büyük ve küçük tüm işletmelerin coğrafi konumlarına bakılmaksızın yakın ilişkiler kurmasına olanak tanıyan küresel bir köy kurmuştur.
Ancak bu bağlantının bir dezavantajı siber suçtur: Dijital olarak birbirine bağlı kuruluşlar, suçlulara tek bir saldırıyla birden fazla işletmeye zarar verme potansiyeli sunar.
Tedarik saldırılarının yükselişi
Bunun yakın tarihli bir örneği, UnitedHealth Group’un bir yan kuruluşu olan Change Healthcare’e yapılan ve ABD’nin tamamındaki birçok sağlık hizmeti sağlayıcısının, sigorta şirketlerinden hizmetlerinin geri ödemesini alamamaları nedeniyle cebinden çıkmasına neden olan fidye yazılımı saldırısından sonra yaşandı.
Bu, dijital olarak bağlantılı kuruluşların birbirine ne kadar bağımlı olduğunu ve tedarik zincirindeki bir bağlantı koptuğunda bunun diğerleri üzerinde kademeli bir etki yaratabileceğini vurguluyor.
Bağlantıyla ilgili bir diğer önemli sorun ise veri paylaşımı ve ağ geçişleri etrafında yoğunlaşıyor.
Kuruluşlar hizmetlerinin bir kısmını bir tedarikçiye yaptırdığında veya başka bir kuruluşun hizmetlerine güvendiğinde neredeyse her zaman bir veri aktarımı olacaktır. Bazı durumlarda ortakların, görevlerinin bir parçası olarak bir kuruluşun ağına erişmeleri bile gerekebilir. Ancak bir kuruluşun verileri üçüncü bir tarafa geçtiğinde etrafındaki riskler artar.
Verilerin güvenliğine ilişkin sorumluluk hala veri sahibine aittir, ancak veriler altyapılarını terk ettiğinde birdenbire verileri güvende tutmak için ortaklarının güvenliğine güvenmeye başlarlar. Bu, verileri riske atabilir ve siber hırsızlığa maruz bırakabilir.
2023’te oldukça duyurulan siber saldırı olan MOVEit’e bakın.
Cl0p fidye yazılımı operasyonu, her yerde bulunan dosya aktarım hizmetindeki bir güvenlik açığından yararlanmayı başardı ve bu güvenlik açığı, yazılımı kullanan birçok kuruluşun dosyalarını çalmalarına olanak sağladı. Toplamda tahminler, 2.000’den fazla kuruluşun etkilendiğini, bunun 60 milyon kişiyi etkilediğini ve yaklaşık 10 milyar dolara mal olduğunu gösteriyor. Bu, web’in birbirine bağlanabilirliğinin kuruluşlara fayda sağlarken, özellikle veri güvenliği riske atıldığında yönetim zorluklarını da artırdığını gösteriyor.
Ne yazık ki, bu tür tedarik zinciri saldırıları daha belirgin hale geliyor ve kuruluşların sonuçlarına katlanmak için her zaman dijital olarak bağlı olmaları gerekmiyor. Kuruluşlar ölçeklendikçe bu genellikle ortak ekosistemlerini de büyütür. Bu, tüm tedarikçilerin kuruluşun ağına erişmesi gerektiği anlamına gelmez; yalnızca bir hizmet sağlıyor olabilirler. Ancak tedarik zincirindeki bir hizmet kesintisinin kuruluş üzerinde önemli bir etkisi olabilir.
Bu nedenle tüm kuruluşların, varlıklarını korumak için uyguladıkları kontrolleri anlamak amacıyla tedarikçilerine yönelik durum tespiti yapması önemlidir. Kuruluşlar ortaklıklara girdiğinde, tedarikçiye yapılacak bir siber saldırının onların hizmetlerini de kesintiye uğratmayacağından emin olmalıdırlar.
Bu nasıl başarılabilir?
Tedarik zincirinin incelenmesi
Tedarik zinciri siber güvenliğinin risklerine rağmen kuruluşların iş ortaklarını incelemek ve üçüncü taraf saldırılarına karşı dayanıklılıklarını artırmak için atabilecekleri birçok adım var.
En önemli adımlardan bazıları şunlardır:
1. Envanter tedarik zinciri:
Organizasyonlar için en önemli adım ortaklarının kim olduğunu anlamaktır. Bunun, tüm departmanlardaki tüm ortakların bir envanteri olması gerekir ve verilerin ortakla paylaşılıp paylaşılmadığını, iç sistemlere ne tür erişime sahip olduklarını ve kuruluşun düzgün çalışması için başka bir tedarikçinin hizmetlerine bağımlı olup olmadığını değerlendirmelidir. veya bir hizmet gerçekleştirin.
2. Kritik tedarikçileri belirleyin:
Bu ilk envanter tamamlandıktan sonra kuruluşlar kritik tedarikçilerini tanımlamalıdır. Bunlar, kuruluşların ihtiyaç duyduğu hizmetleri sağlayarak veya kuruluş adına bir hizmet sağlayarak, olağan iş operasyonlarını destekleyen ortaklardır.
Bu tedarikçiler belirlendikten sonra kuruluşun, ağlarına ne tür erişime sahip olduklarını ve verilerin tedarikçiyle nasıl paylaşıldığını anlamak için çok çalışması gerekir. Bir iş ortağı üzerindeki bir ihlalin işletme üzerindeki etkisini anlamak da önemlidir.
Kritik bir hizmeti riske atabilir mi? Mali etkisi ne olurdu? Müşteriler nasıl etkilenecek? Bu soruların yanıtlanması gerekiyor.
3. Anketler ve kontrol değerlendirmeleri:
Tüm tedarikçiler belirlendikten sonra onlardan siber güvenlik uygulamaları ve mevzuat uyumluluğuna ilişkin anketleri doldurmalarını istemek önemlidir.
Sorular çalışanların siber farkındalık eğitimine, yama yönetimine ve NIST veya ISO27001 gibi ortak güvenlik kontrollerine bağlılıklarına odaklanmalıdır.
Bu anketlerde kırmızı bayraklar olmamalıdır. İş ortakları kapsamlı güvenlik önlemlerini almıyorsa bağlantıyı kesmenin zamanı gelmiştir. Kritik tedarikçiler için daha ayrıntılı kontrol incelemeleri önerilir.
İşletmeler için en önemli şey, ortaklarının siber dirençli olduğuna dair güvenceye sahip olmalarıdır. İş ortakları, yalnızca saldırganların sistemlerine sızmasını engellemekle kalmayıp aynı zamanda hizmetleri veya iş ortaklarını etkilemeden saldırıları hızlı ve etkili bir şekilde azaltmalarına olanak tanıyan stratejilerinin olduğunu göstermelidir.
4. Teknik önlemler:
Ağa doğrudan erişime ihtiyaç duyan iş ortaklarının güvenli bir ağ bağlantısına sahip olmalarını sağlamak önemlidir.
Buna ek olarak, tedarikçilerin kritik görev verilerine ulaşmaması için mümkün olan yerlerde ağı bölümlere ayırmak önemlidir. Odak noktası, ortakların gereksiz yere maruz kalmasını sınırlamak olmalıdır; böylece suçlular, kendilerine ve verilerine ulaşmak için ağdan yararlanamaz.
Çözüm
Daha fazla tedarik zinciri saldırısı ortaya çıktıkça, üçüncü taraf güvenliği tüm işletmeler için kritik hale geliyor. Kuruluşlar, tedarikçilerini incelemeli, iyi siber güvenlik hijyeni uygulamalarını sağlamalı ve aynı zamanda ortaklarına yönelik saldırılar meydana geldiğinde maruz kalmayı sınırlamaya çalışmalıdır.
Bu adımları atmak günümüzün dijital dünyasında çok önemlidir. Tıpkı Stephen Hawking’in öngördüğü gibi internet hepimizi birbirimize bağladı ve altı derecelik ayrılığa ilişkin teoriler geçmişte kaldı.