Tedarik zinciri saldırılarının artmasının iki ana nedeni var. Birincisi, şirketlerin daha kritik iş fonksiyonlarını dış tedarikçilere yaptırması yönünde genel bir eğilim vardır ve bunu yapmak çoğu zaman iş açısından mantıklıdır.
İkincisi, tehdit aktörlerinin odak noktası ve yöntemleri aynı kalırken en zayıf halkayı hedef alıyorlar. Dış kaynak kullanımı, artık bir kuruluşun en zayıf halkası haline gelen tedarikçilerin artmasına yol açtı ve tehdit aktörleri de bunu biliyor.
Çoğu kuruluş, doğrudan kontrollerinin dışında oldukları için tedarikçileri zorlayıcı buluyor. Çevrenin içindeyken bakmak ve kontrol etmek çok daha kolaydır. İş yaptığımız üçüncü tarafların güvenliğini sağlamak çok daha zordur.
Üçüncü Taraf Risk Yönetimi ile ilgili sorun.
İnsanların TPRM programlarını yürütme şekliyle ilgili zorluk, bunun genellikle bir yönetişim ve uyumluluk uygulaması olarak ele alınmasıdır. O zaman genel amaç, güvenlik risklerini azaltmak temel amacını takip etmek yerine yeterli güvence sağladığımızı göstermek olur.
Bu, insanların bunu yapıcı ve değerli görmediği anlamına gelir, bu da insanların bunu uyum için bir gereklilik olarak gördükleri için gereken çabayı göstermedikleri bir kısır döngü yaratır, bu da değerin değer kaybetmesi anlamına gelir. Bu kısır döngüden kurtulmamız, bunu daha etkili hale getirmek ve zorlukları azaltmak için farklı bir yaklaşım benimsememiz gerekiyor.
Tedarikçilerimizle Daha Sağlam ve İşbirlikçi Bir Yaklaşımı Benimsetmek.
Tedarikçilerimizle ilişkinin erken safhalarında açık ve şeffaf iletişim kanallarıyla başlamamız gerekiyor. Tedarikçilerle yaptığımız görüşmelere denetim güvence süreci açısından yaklaşmak, onları, özellikle güvenlik zayıflıkları tartışılırken, bilgileri konusunda daha az açık sözlü olmaya teşvik eder. Bir sözleşmeyi kazanmaya veya sürdürmeye çalıştıkları için genellikle zayıf noktalarını açmak istemezler ve güvenlik duruşlarına ilişkin doğru bir görüş elde edemezsiniz.
Yani bu iletişim kanallarını oluşturmak, tedarikçilerinizle en başından itibaren güvenilir bir ilişki oluşturmak, böylece bir şey olduğunda bu ilişkileri yürürlükte tutuyoruz ve ortaya çıktıklarında tehditler üzerinde hızlı bir şekilde işbirliği yapabiliyor ve olayların etkisini mümkün olduğunca azaltabiliyoruz. . Ancak bu ilişkilerin, geleneksel TPRM programlarının veya satın alma ekiplerinin esas olarak etkileşimde bulunduğu müşteri başarı ekipleriyle değil, doğal müttefiklerimiz olan tedarikçilerimizin güvenlik ekipleriyle kurulması gerekir.
Üçüncü Taraf Risk Yönetimini SecOps’a Taşımak.
Ancak en önemlisi, TPRM’ye salt yönetişimden ziyade operasyonel bir zorluk olarak yaklaşmaya başlamamız ve Güvenlik Operasyonları ekiplerimizi dahil etmemiz gerekiyor. İlk çağrı noktası kurum içi tehdit istihbarat ekipleriyle veya dış sağlayıcılarla konuşmaktır. Tedarikçilerimizin nerede bulunduğunu ve hangi risklerle karşı karşıya kalabileceklerini anlamak için kritik tehdit istihbaratı verilerini toplamak ve kullanmak, saldırılara operasyonel bir şekilde yanıt vermek açısından inanılmaz derecede faydalıdır.
Üçüncü taraf risk yönetimi ve olay müdahalesi genellikle Yönetişim ve SecOps ekipleri arasında bölünmüştür; bu, kurumsal tedarik zincirlerimize yönelik saldırıların olasılığının ve etkilerinin nasıl azaltılacağı sorununa bakmanın yararlı bir yolu değildir. Bu şu soruyu gündeme getiriyor: Bir tedarik zinciri olayı meydana geldiğinde ne yaparız? Söz konusu tedarikçilerle ilişkileri olması gerektiği için Yönetişim, Risk ve Uyumluluk (GRC) ekiplerimizle iletişime geçmemiz gerekiyor mu, yoksa bu ekipler olay müdahalesinden sorumlu SecOps ekiplerimiz mi olmalı?
TPRM programlarının tedarikçilerden oluşan kapsamlı bir veritabanı oluşturması ve güvenlik ekipleriyle işbirliğine dayalı ilişkiler kurması halinde işe yarayabilir. Her tedarikçi güvence incelemesi, tedarikçilerimiz hakkında tehdit istihbaratı verileri toplamak ve güçlü ilişkiler geliştirmek için gerçek bir fırsattır; bu da kapsamlı güvenlik verileri veritabanını oluşturmamıza ve ittifaklar oluşturmamıza yardımcı olur.
Dolayısıyla, gelecekte bir olay meydana geldiğinde, ister özellikle söz konusu tedarikçide bir olay olsun, ister MOVEit Transfer saldırısı gibi daha sektör çapında bir olay olsun, herhangi bir soruna hızlı bir şekilde ulaşabilecek ve onunla ortaklık kurarak iş birliği içinde çözebilecek konumdayız. tedarikçi. Ayrıca, ekosisteminizdeki hangi tedarikçilerin belirli bir saldırıya karşı en savunmasız olabileceğini veya etkilenmeleri durumunda bize ne tür riskler oluşturabileceklerini belirlemek için veritabanlarımızda hızlı bir şekilde arama yapıp içgörüler elde edebileceğiniz bir sistem oluşturmanıza da olanak tanır. Saldırılara hızlı bir şekilde saldırdıklarında karşılık verme yeteneğimizi daha da artırın.
Çözüm.
Bir sektör olarak, ister sektör içindeki ister farklı coğrafyalar veya sektörler çapındaki kuruluşlar arasındaki ve en önemlisi tedarikçilerimizle olan işbirliğinin yalnızca önemli değil, aynı zamanda bir güvenlik olayıyla uğraşırken başarının anahtarı olduğunu öğreniyoruz.
Birkaç yıl önce Solarwinds saldırısı gerçekleştiğinde büyük bir değişime tanık olduk ve güvenlik uzmanları tek bir kuruluşun bu sorunu tek başına çözemeyeceğini fark etti. SolarWinds olayına bakarsak, tedarik zinciri ekosistemindeki çok sayıda kuruluşun serpintiden etkilendiğini ve yalnızca aralarında tuttukları verileri derleyerek saldırganların izlediği rotaları ve neler olduğunu öğrenebildik.
Özellikle günümüzde iş süreçlerinin hızla dijitalleşmesi bağlamında bu kadar çok dış kaynak kullanımının gerçekleştiği bir ortamda, daha etkili işbirliği yapmanın yollarını bulmamız ve bu işte hep birlikte olduğumuzun farkına varmak için kuruluşlarımız arasındaki ticari rekabet ve yasal engeller gibi engelleri aşmamız gerekiyor. Giderek daha karmaşık hale gelen tehdit aktörlerine ve sürekli büyüyen saldırı yüzeyine karşı bir şansa sahip olmak için Tek Olarak Savunma yapmalısınız.
Son olarak, tedarik zinciri güvenliğini yalnızca bir uyumluluk uygulaması olarak değil, aynı zamanda kritik bir operasyonel sorun olarak da düşünmeliyiz. Tedarik zinciri olaylarını önleme ve meydana geldiğinde bunlara müdahale etme yeteneğimiz üzerinde yalnızca TPRM’yi operasyonel alana kaydırarak somut bir etki yaratabiliriz.
Yazar Hakkında
Emily Hodges, küresel tedarik zinciri ekosistemini güvence altına almak için çalışan İngiltere merkezli bir girişim olan Risk Ledger’da Operasyon Direktörüdür. Matematik ve kriptografi alanında geçmişi olan Emily, güvenlikte somut iyileştirmeler yapmak için insan anlayışını kullanmayı amaçlayan yeni bir danışmanlığa başlamadan önce PwC’nin siber güvenlik danışmanlığı uygulamasında birkaç yıl geçirdi. Kendisi şu anda Risk Ledger ile statükoya meydan okuyarak tedarik zinciri güvenliğinde bir adım değişime öncülük ediyor.
Emily Hodges’a şu adresten çevrimiçi olarak ulaşılabilir: [email protected]https://www.linkedin.com/in/emhodges/ ve şirketimizin web sitesinde https://riskledger.com/index.html