HP’ye göre, PC’lerin, dizüstü bilgisayarların ve yazıcıların donanım ve ürün yazılımının güvenliğini sağlayan platform güvenliği genellikle göz ardı ediliyor ve siber güvenlik duruşu önümüzdeki yıllarda zayıflıyor.
800’den fazla BT ve güvenlik karar vericisi (ITSDM) ve 6000’den fazla her yerden çalışabilen (WFA) çalışanın katıldığı küresel bir araştırmaya dayanan rapor, ITSDM’lerin %81’inin donanım ve güvenlik konusunda hemfikir olmasıyla platform güvenliğinin büyüyen bir endişe olduğunu gösteriyor. Saldırganların savunmasız cihazlardan yararlanamamasını sağlamak için ürün yazılımı güvenliği bir öncelik haline gelmelidir.
Ancak %68’i, donanım ve ürün yazılımı güvenliğine yapılan yatırımın, cihazların toplam sahip olma maliyetinde (TCO) genellikle göz ardı edildiğini bildiriyor. Bu durum, maliyetli güvenlik sorunlarına, yönetim masraflarına ve daha sonraki aşamalarda verimsizliklere yol açmaktadır.
Cihaz yaşam döngüsünün beş aşaması
Tedarikçi seçimi – Ayrıca %34’ü bir PC, dizüstü bilgisayar veya yazıcı tedarikçisinin son beş yılda siber güvenlik denetiminde başarısız olduğunu, %18’i ise başarısızlığın o kadar ciddi olduğunu ve sözleşmelerini feshettiklerini söylüyor. ITSDM’lerin %60’ı, cihaz tedarikinde BT ve güvenlik katılımının eksikliğinin kuruluşu riske attığını söylüyor.
Ekleme ve yapılandırma – ITSDM’lerin %53’ü BIOS (Temel Giriş/Çıkış Sistemi) şifrelerinin paylaşıldığını, çok geniş çapta kullanıldığını veya yeterince güçlü olmadığını söylüyor. Üstelik %53’ü, bir cihazın kullanım ömrü boyunca BIOS şifrelerini nadiren değiştirdiklerini itiraf ediyor.
Devam eden yönetim – ITSDM’lerin %60’ı, dizüstü bilgisayarlar veya yazıcılar için ürün yazılımı güncellemelerini hazır olur olmaz yapmaz. ITSDM’lerin %57’si daha donanım yazılımıyla ilgili güncelleme yapmaktan korktuklarını söylüyor. Ancak %80’i yapay zekanın yükselişinin, saldırganların açıklardan yararlanmayı daha hızlı geliştireceği anlamına geldiğini ve bu nedenle hızlı güncellemenin hayati önem taşıdığını düşünüyor.
İzleme ve iyileştirme – Her yıl, kaybolan ve çalınan cihazların kuruluşlara maliyeti tahmini olarak 8,6 Milyar Dolardır1. Beş WFA çalışanından biri bilgisayarını kaybetti ya da çaldırdı; BT’ye bildirimde bulunması ortalama 25 saat sürdü.
Second Life ve hizmetten çıkarma – ITSDM’lerin %47’si, PC’lerin veya dizüstü bilgisayarların yeniden kullanılması, yeniden satılması veya geri dönüştürülmesi söz konusu olduğunda veri güvenliği endişelerinin büyük bir engel olduğunu söylerken, %39’u bunun yazıcılar için büyük bir engel olduğunu söylüyor.
“PC, dizüstü bilgisayar veya yazıcı satın almak, bir kuruluşun uç nokta altyapısı üzerinde uzun vadeli etkisi olan bir güvenlik kararıdır. Tedarik sırasında donanım ve ürün yazılımı güvenlik gereksinimlerine öncelik verilmesi veya bunların eksikliği, güvenlik ve yönetilebilirlik gereksinimlerinin de ayarlanması durumunda, artan riske maruz kalmaktan maliyetlerin artmasına veya olumsuz kullanıcı deneyimine kadar bir cihaz filosunun tüm ömrü boyunca sonuçlar doğurabilir. HP Inc. Güvenlik Araştırmaları ve İnovasyondan Sorumlu Baş Teknoloji Uzmanı Boris Balacheff, mevcut en son teknolojiyle karşılaştırıldığında düşük” diye uyarıyor.
“Son kullanıcı cihaz altyapılarının siber risklere karşı dayanıklı hale gelmesi çok önemli. Bu, donanım ve donanım yazılımının güvenliğine öncelik vermek ve filodaki cihazların tüm yaşam döngüsü boyunca bunların yönetilme biçiminin olgunluğunu artırmakla başlıyor” diye ekledi Balacheff.
Tedarikçi seçim sürecindeki gözetimler
ITSDM’lerin %52’si, tedarik ekiplerinin tedarikçilerin donanım ve ürün yazılımı güvenlik iddialarını doğrulamak için BT ve güvenlikle nadiren işbirliği yaptığını söylüyor. ITSDM’lerin %45’i, RFP’lerdeki donanım ve ürün yazılımı güvenlik iddialarını doğrulama araçlarına sahip olmadıkları için tedarikçilerin doğru söylediğine güvenmeleri gerektiğini itiraf ediyor. Hatta ITSDM’lerin %48’i, satıcıların söylediği her şeye inanacakları için tedarik ekiplerinin “kesimlik kuzular” gibi olduğunu söylüyor.
BT uzmanları aynı zamanda cihazları donanım ve ürün yazılımı düzeyine kadar sorunsuz bir şekilde ekleme ve yapılandırma becerilerinin sınırlamalarından da endişe duyuyor.
ITSDM’lerin %78’i, güvenliği artırmak için donanım ve ürün yazılımı güvenlik yapılandırmasını içerecek şekilde bulut aracılığıyla sıfır dokunuşla katılım istiyor. ITSDM’lerin %57’si, cihazları bulut aracılığıyla sisteme dahil edemedikleri ve yapılandıramadıkları için hayal kırıklığı yaşıyor.
Evlerine cihaz teslim edilen WFA çalışanlarının %48’i, katılım ve yapılandırma sürecinin aksatıcı olduğundan şikayet etti.
“Her zaman güvenebileceğiniz teknoloji sağlayıcılarını seçmeniz gerekecek. Ancak BT altyapınıza giriş noktası olarak hizmet veren cihazların güvenliği söz konusu olduğunda, bu körü körüne güven olmamalıdır,” diyor HP Inc. Tedarik Zinciri Siber Güvenliği Ticari Bilgi Güvenliği Sorumlusu Michael Heywood.
Cihazların sürekli yönetimi, izlenmesi ve iyileştirilmesiyle ilgili zorluklar
ITSDM’lerin %71’i, her yerden çalışma modellerindeki artışın platform güvenliği yönetimini daha da zorlaştırdığını, çalışan üretkenliğini etkilediğini ve riskli davranışlara yol açtığını söylüyor.
Dört çalışandan biri, kesinti süresini karşılayamayacakları için BT’nin tamir etmesini veya değiştirmesini istemek yerine, düşük performanslı bir dizüstü bilgisayara katlanmayı tercih ediyor.
Çalışanların %49’u dizüstü bilgisayarlarını tamire gönderdi ve cihazın tamir edilmesinin veya değiştirilmesinin 2,5 günden fazla sürdüğünü, bunun da birçok kişinin kişisel dizüstü bilgisayarını iş için kullanmaya veya ailesinden ya da arkadaşlarından ödünç almaya zorladığını, bunun da kişisel ve kişisel arasındaki çizgiyi bulanıklaştırdığını söylüyor. ve profesyonel kullanım.
%12’si, yetkisiz bir üçüncü taraf sağlayıcının iş cihazını onarmasını sağladı; bu da potansiyel olarak platform güvenliğini tehlikeye attı ve BT’nin cihaz bütünlüğüne ilişkin görüşünü gölgeledi.
Tehdit aktörlerinin hassas verilere ve kritik sistemlere erişmesini önlemek için donanım ve ürün yazılımı tehditlerini izlemek ve düzeltmek hayati önem taşıyor. Ancak ITSDM’lerin %79’u donanım ve ürün yazılımı güvenliğine ilişkin anlayışlarının, yazılım güvenliğine ilişkin bilgilerinin gerisinde kaldığını söylüyor. Üstelik filoları genelinde donanım ve ürün yazılımı güvenliğini yönetmek için istedikleri görünürlük ve kontrolü sağlayacak olgunlaşmış araçlardan yoksunlar.
ITSDM’lerin %63’ü, cihaz donanımı ve ürün yazılımındaki güvenlik açıkları ve yanlış yapılandırmalar konusunda birden fazla kör noktayla karşılaştıklarını söylüyor. %57’si, risk altındaki cihazları değerlendirmek için geçmiş güvenlik olaylarının donanım ve ürün yazılımı üzerindeki etkisini analiz edemiyor.
%60’ı donanım veya ürün yazılımı saldırılarının tespit edilmesinin ve azaltılmasının imkansız olduğunu ve ihlal sonrası iyileştirmeyi tek yol olarak gördüğünü söylüyor.
HP Güvenlik Laboratuvarı Baş Tehdit Araştırmacısı Alex Holland, “İhlal sonrası iyileştirme, donanım ve ürün yazılımı saldırıları söz konusu olduğunda kaybedilen bir stratejidir” diye uyarıyor.
İkinci hayat ve hizmetten çıkarma
Platform güvenliği endişeleri aynı zamanda kuruluşların kullanım ömrü sona eren cihazları yeniden kullanma, geri dönüştürme veya yeniden satma becerisini de engelliyor.
ITSDM’lerin %59’u cihazlara ikinci bir hayat vermenin çok zor olduğunu söylüyor ve bu nedenle genellikle veri güvenliği endişeleri nedeniyle cihazları imha ediyorlar. %69’u, sterilize edilebilirlerse başka amaçlarla kullanılabileceğini veya bağışlanabilecek önemli sayıda cihaz üzerinde oturduklarını söylüyor. ITSDM’lerin %60’ı, mükemmel şekilde kullanılabilen dizüstü bilgisayarları geri dönüştürme ve yeniden kullanma konusundaki başarısızlıklarının bir e-atık salgınına yol açtığını itiraf ediyor.
Pek çok çalışanın eski iş cihazlarının üzerinde oturması durumu daha da karmaşık hale getiriyor. Bu, yalnızca cihazların yeniden kullanılmasını engellemekle kalmaz, aynı zamanda hâlâ kurumsal veriler taşıyabilen artık cihazlar etrafında veri güvenliği riskleri de oluşturur.
WFA çalışanlarının %70’inin evinde veya ofis çalışma alanında en az 1 eski iş bilgisayarı/dizüstü bilgisayarı bulunmaktadır. WFA çalışanlarının %12’si, cihazlarını hemen iade etmeden işten ayrıldı ve bunların neredeyse yarısı hiç ayrılmadıklarını söylüyor.
“BT ekipleri, tüm hassas şirket verilerinin veya kişisel verilerin tamamen silindiğine dair güvenceden yoksun oldukları için kullanım ömrü sona eren cihazları istifliyor; bu da başlı başına veri güvenliği riskleri oluşturabilir ve ESG hedeflerini olumsuz etkileyebilir. HP Çözümleri Operasyonlar ve Portföy Kıdemli Başkan Yardımcısı Grant Hoffman, “En son endüstri standardı silme veya ortam imha süreçlerini kullanan ve uyumluluk gereksinimlerini karşılayabilmeniz için veri temizleme sertifikası sağlayan saygın bir BT varlık imha satıcısı bulmak çok önemli” diyor.
Kuruluşların %69’u, cihaz donanımı ve ürün yazılımı güvenliğini yönetme yaklaşımlarının, yaşam döngülerinin yalnızca küçük bir bölümünü kapsadığını söylüyor. Bu, cihazları açığa çıkarır ve ekiplerin, tedarikçi seçiminden kullanımdan kaldırmaya kadar platform güvenliğini izleyip kontrol edememesine neden olur.