Neredeyse her şirket, güvenlik risklerini artıran bir uzlaşmaya varan üçüncü bir tarafla iş yapar veya ürünlerini kullanır.
Bu, siber güvenlik risk yönetimi firması SecurityScorecard tarafından sağlanan 230.000’den fazla kuruluştan alınan harici güvenlik ölçümlerini içeren bir analiz yayınlayan veri bilimi firması Cyentia Institute’a göre. Ortalama bir firmanın yaklaşık 10 üçüncü şahıs ilişkisi ve yüzlerce dolaylı dördüncü şahıs ilişkisi olduğunu, tipik bir firmanın üçüncü şahıslardan 60 ila 90 kat daha fazla dördüncü şahıslara sahip olduğunu buldu. Rapora göre, neredeyse tüm firmaların (%98) ihlale uğramış en az bir üçüncü taraf ortağı vardı.
Bilişim sektörü ortalama 25 ile en fazla üçüncü partiye sahipken, finans sektörü 6,5 ile en az üçüncü partiye sahiptir. Bu rakamlar, riskleri gibi, dördüncü taraf ilişkileri de dahil edildiğinde hızla yükselir. Analize göre, ortalama bir firmanın ihlali olan 200 dördüncü tarafla dolaylı bir ilişkisi var.
Cyentia Enstitüsü’nün kurucusu ve ortağı Wade Baker, araştırma, şirketler için üçüncü ve dördüncü taraf ilişkilerinin genişleyen doğasının ve bunların neden olabileceği risklerde dramatik artışın altını çiziyor.
“Risk yokuş aşağı gidiyor” diyor. “İlk tarafların iyi bir güvenliğe sahip olma olasılığı daha yüksektir [risk] üçüncü taraflardan daha fazla puan alıyor ve dördüncü taraflarla sayılar gerçekten patlıyor. beklemen gerek [these firms and products] güvenlik standartlarınıza uymamak.”
Cyentia ve SecurityScorecard’ın analizde belirttiğine göre, birçok kuruluş kendi siber riskleri konusunda daha olgun hale gelirken, çok azı genişletilmiş risklerin farkında.
Raporda, “Pek çok kuruluş, üçüncü taraf ilişkilerine özgü bağımlılıkların ve risklerin hâlâ farkında değil ve yalnızca kendi güvenlik duruşlarını yönetmeye odaklanıyor.” “Diğerleri bu sorunların farkındadır, ancak satıcı kararlarını güvenliğe dayalı olarak vermez ve/veya satıcıların belirli standartları karşılamasını gerektirmez. Üçüncü taraf güvenlik gereksinimleri belirleyen firmalar bile uyumluluğu ve ilerlemeyi sürekli olarak izlemek için mücadele edebilir.”
Üçüncü taraf ve tedarik zinciri riski, son yıllarda önemli konular haline geldi. Ve bir HVAC tedarikçisinin tavizi, perakende devi Target’in ihlaline yol açtığından beri, CISO’lar üçüncü taraf sağlayıcılarına karşı giderek daha temkinli hale geldi.
Analiz üçüncü taraf riskine bakarken, üçüncü tarafın ne olduğunun tanımı yalnızca satıcıları ve ortakları değil, yazılım sağlayıcıları ve açık kaynak projelerini de kapsar. SolarWinds gibi yazılım tedarikçilerine yönelik kötü şöhretli saldırılar ve Log4J gibi yaygın olarak kullanılan yazılım bileşenlerindeki güvenlik açıkları, bu alanın oluşturduğu riskin görünürlüğünü artırdı.
Veriler içindeki üçüncü taraf ilişkilerine dahil edilen ilk 5 teknoloji, tümü üçüncü taraf ilişkilerinin üçte ikisinde (%68) yer alan Google Analytics, Google Etiket Yöneticisi, Amazon Web Hosting, PHP ve Facebook ürünleridir. rapor belirtti.
“Bu üçüncü ve dördüncü taraf ilişkilerinin çoğu [involve us] her ikisi de sadece bir ürünü kullanarak belirli politikalara uymayı kabul ediyor ve şimdi kendimi belirli bir derecede riske açıyorum” diyor Baker.
Risk Her Atlamayla Artar
Analiz ayrıca, üçüncü tarafların genellikle hizmet verdikleri şirketlerden daha zayıf bir güvenlik duruşuna sahip olduğunu da ortaya çıkardı. Genel olarak, üçüncü tarafların güvenlik sorunları yaşama olasılığı çok daha yüksektir, bu da şirketlerin tüm üçüncü taraflarının güvenlik konusunda aynı derecede titiz olduğunu varsayamayacağı anlamına gelir.
Baker, “Çok fazla ayrıcalığımız olduğunu bildiğimiz gibi, genel olarak insanların işlerini yapmak için ihtiyaç duyduklarından daha fazla veriye erişimi var” diyor. “Üçüncü şahısların sayısını azaltmak, özellikle de ihtiyaç yoksa ve biraz daha seçici olmak iyi olur.”
Ancak veriler, sorunun daha fazla farkına varmanın yanı sıra ileriye doğru net bir yol önermemektedir. Örneğin Baker, kuruluşların üçüncü taraflarının en dipteki %25’ini işlerinden kesmelerini zorunlu olarak önermez. Ancak bunları daha yakından veya daha sık değerlendirmek daha gerçekçi olabilir diyor.
Baker, “Tedarik zincirlerimizi gerçekten korumak istiyorsak, en zayıf halkayı daha güçlü hale getirmeliyiz” diyor. “Ve bence analiz, üçüncü taraflar ve dördüncü taraflar arasında pek çok zayıf bağlantı olduğunu gösteriyor ve zorluk da burada yatıyor.”