Bu Help Net Security röportajında, Ferrari Group Grup CISO’su Andrea Succi, siber güvenliğin lojistik sektörünün her yönüne nasıl entegre edildiğini anlatıyor. Verilerin korunmasının neden fiziksel varlıkların güvenliği kadar kritik olabileceğini ve katmanlı savunma yaklaşımının her ikisinin de korunmasına nasıl yardımcı olduğunu açıklıyor. Succi, farkındalığın, işbirliğinin ve esnekliğin müşteri güvenini ve operasyonlarını tutarlı kıldığını ekliyor.
Yüksek değerli taşımacılıkta veriler kargodan daha değerli olabilir. Rotalar, zamanlama, sigorta ayrıntıları ve müşteri kimlikleri de dahil olmak üzere bir gönderiyle ilgili istihbaratın silah haline getirilmesini nasıl korursunuz?
Verilerin ve özellikle müşteriyle ilgili bilgilerin korunmasının, kargonun kendisini korumak kadar kritik olduğuna inanıyorum.
Bir an için biraz teorik konuşmam gerekirse, risk yönetimi açısından bakıldığında, siber uzaydaki kullanıcı kimliklerini kapsayan ‘kişilik’ katmanından daha somut ‘fiziksel’ ve ‘coğrafi’ katmanlara kadar koruduğumuz birden fazla katman var. İşimizi özellikle zorlaştıran şey, bu katmanların nasıl kesiştiğini yönetmektir. Saldırganlar amaçlarına ulaşmak için bu katmanlardan birini veya birkaçını hedef alabilirler.
Ben bu zorluğun iki boyutu olduğunu düşünüyorum.
İlk olarak, müşterilerin dijital bilgilerinin güvenliğinin sağlanması, çünkü herhangi bir veri sızıntısı, muhtemelen bir gönderinin parasal kaybından daha büyük itibar etkisine sahip bir ihlali temsil edecektir.
İkincisi, fiziksel konumların ve organizasyon süreçlerinin güvence altına alınması. Adresleri veya zamanlamayı içeren bir istihbarat sızıntısı, gönderileri hedefli hırsızlığa veya sahtekarlığa maruz bırakabilir. Bu risklere karşı savunma temel ilkelerle başlar: MFA, uç nokta koruması, zamanında yama uygulama ve sürekli çalışan eğitimi.
Eğer bir öncelik seçmem gerekse, eğitimi seçerdim. Tehditler genellikle sosyal mühendislik çağrıları veya teslimat ayrıntılarında değişiklik talep eden e-postalar yoluyla gelir. Güçlü bir güvenlik kültürü bu girişimleri tespit etmeye ve durdurmaya yardımcı olur.
Bazı güvenlik liderleri, lüks lojistiğin “karşı istihbarat zihniyeti” gerektirdiğini, sürekli olarak kimin ve neden izlediğini düşündüğünü savunuyor. Bu fikir yaklaşımınıza uyuyor mu?
Bu terim hoşuma gitti. Daha önce kullanmadım ama mükemmel uyuyor. Hem lüks lojistiğe özgü hem de daha geniş siber tehditlere odaklanan günlük istihbarat beslemelerini sürdürüyoruz. Ayrıca sektörümüzü hedef alan saldırıları da düzenli olarak analiz ediyoruz.
Düşmanların sürekli olarak güvenlik açıklarını araştırdığını anlamak, saldırıları erkenden tahmin etmemize ve engellememize yardımcı olur. Teknik girişimler başarısız olduğunda saldırganlar genellikle sosyal mühendisliğe yönelir, dolayısıyla farkındalık hayati önem taşır. Aslında teknoloji tek başına yeterli değil. İnsan hatası hâlâ olayların önde gelen nedeni olmaya devam ediyor, bu nedenle farkındalığa ve benim “pozitif şüphecilik” dediğim şeye, yani güven ama doğrula’ya büyük yatırım yapıyoruz.
Akranlar arasındaki bilgi paylaşımı da çok değerlidir. Örneğin, geçen yıl akran paylaşımı yoluyla, deepfake CEO dolandırıcılık saldırılarının işleyiş tarzını bize ulaşmadan önce öğrendik. Bu hazırlık büyük bir fark yarattı.
Bu da “Bizi kim hedef alabilir, bir sevkiyatı gözlemliyor olabilir mi, nasıl?” gibi soruların sorulduğu proaktif bir duruşa yol açıyor. güvenlik planlama sürecimizin bir parçası haline gelir.
Bu zihniyeti NIST Siber Güvenlik Çerçevesinin tüm alanlarında uyguluyoruz: Yönetin, Tanımlayın, Koruyun, Tespit Edin, Yanıtlayın ve Kurtarın. Her biri siber güvenlik riskini yönetmek ve azaltmak için temel bir işlevi temsil eder. Çerçeve bizim yol gösterici yıldızımız gibi davranır; onu savunma stratejimizi ve önceliklerimizi yönlendirmek için kullanırız ve gerçek dünyadaki gelişmeler doğrultusunda odak noktamızı sürekli olarak geliştiririz.
Lojistik sektörü güven ve takdirle çalışır. Sıkı güvenlik kontrolleri ile markanızı tanımlayan beyaz eldivenli müşteri deneyimi arasında nasıl bir denge kurarsınız?
Bunları aynı madalyonun iki yüzü olarak görüyorum. Sorunsuz ve gizli bir şekilde ulaşan güvenli bir gönderi, beyaz eldiven deneyiminin özüdür.
Müşteriler bizden sıkı güvenlik standartlarıyla çalışmamızı bekliyor. Detaylara değer verirler ve çok düşük bir risk iştahına sahiptirler ve haklı olarak da öyledirler.
Amaç, güvenliği sorunsuz bir şekilde operasyonlara dahil etmektir; böylece müşteriler kendilerini güvende hisseder, mallarının korunduğundan emin olurlar ve hiçbir rahatsızlık hissetmezler. Şeffaf iletişim bu güveni güçlendirir; müşterilerin güvenliği ne kadar ciddiye aldığınızı anlaması, operasyonlarınıza olan güvenlerini güçlendirir.
Kısacası güvenlik, lüksü karmaşıklaştırmamalı, geliştirmeli. Takdir, gizlilik ve yanıt verme, hem birinci sınıf hizmet hem de güvenlik beklentilerini anlayan müşteri bağlantılarıyla doğrudan ilişkilerle desteklenen temel ilkeler olmaya devam etmektedir.
Lojistikteki siber saldırıların çoğu; sistemlerin, satıcıların ve insanların kesiştiği “son kilometreyi” istismar ediyor. Zincirin en insani ve en öngörülemeyen kısmını güvence altına almak için stratejiniz nedir?
Bu sadece lojistiğe özgü değildir; her organizasyonun en zayıf halkası genellikle tedarik zinciridir. Saldırganlar, güvenlik açıklarından yararlanarak veya personeli aldatarak sistemleri ihlal edemediğinde, özellikle finansal motivasyon gördükleri yerlerde genellikle tedarikçilerin peşine düşerler.
Önemli olan tedarikçi ekosisteminizi derinlemesine anlamak ve en büyük risklerin nerede yattığını belirlemektir.
Her satıcı aynı riske sahip değildir; bir kırtasiye tedarikçisi, temel altyapı üzerinde çalışan bir sistem entegratörü ile aynı değildir. Bu bağımlılıkları anlamak, kaynakların en yüksek potansiyel etkiye ve hassasiyete sahip alanlara odaklanmasına yardımcı olur. Pratik olarak bu şu anlama gelir:
- Satıcı seçiminde birden fazla metriğin entegre bir şekilde kullanılması. Siber güvenlik de bunlardan biri; ESG, finansal istikrar ve mahremiyetin yanı sıra dikkate alınması gereken konular.
- Sürekli izleme ile bir satıcı risk yönetimi programının yürütülmesi.
- Tedarikçilerin MFA, XDR, uç nokta koruması ve daha fazlası gibi güvenlik kontrollerini benimsemesini gerektiren sözleşme yükümlülüklerini uygulamak.
Tedarik zincirinde güvenliğin sağlanması zaman ve işbirliği gerektirir. Tedarikçilerle kendi savunmalarını geliştirme konusunda yapılan görüşmeler genellikle denetimden daha fazla değer katar. Sonuçta dayanıklı bir ekosistem, müşterilerden satıcılara kadar entegrasyona, şeffaflığa ve ortak hesap verebilirliğe bağlıdır.
Bu sektörde, küçük operasyonel aksaklıkların bile itibar üzerinde dalgalanma etkileri olabilir. Sadece sistemlerde değil, aynı zamanda bir olay sırasında karar alma ve iletişimde de dayanıklılık nasıl geliştirilir?
Dayanıklılık bir yönetişim uygulamasıdır ve teknik bir uygulamadır. Yönetişim perspektifinden bakıldığında olay yönetimini iş sürekliliği, kriz iletişimi ve tanımlanmış yükseltme yolları ile entegre etmekle ilgilidir. Ancak bu planların gazetenin ötesinde yaşaması gerekiyor. Bunların prova edilmesi gerekiyor. Eğer bunları hiç uygulamadıysanız, baskı altında iyi ve hızlı kararlar veremezsiniz. Simülasyonlar bu yüzden bu kadar önemli; “kas hafızası” oluşturmamıza olanak sağlıyorlar. Aynı zamanda, hiçbir olay simüle edilen planlarla mükemmel şekilde eşleşmeyeceğinden, enjekte edilen değişkenler uyum yeteneğinin geliştirilmesine yardımcı olur.
Teknik açıdan dayanıklılık, yedeklilik, yük devretme ve algılama özelliklerine sahip sistemler tasarlamak anlamına gelir. İster izleme sistemlerinden ister insanlardan gelen zayıf sinyalleri erken tespit etmek, hızlı ve akıllıca hareket etmenin anahtarıdır.
Sonuçta dayanıklılık bir zihniyettir. Bu, aksaklıkları karşılayabilmek, hızla uyum sağlayabilmek ve zorlukla kazanılan güveni kaybetmeden çalışmaya devam edebilmek anlamına gelir.