Tedarik zinciri siber saldırıları, 2021-2023 yılları arasında şaşırtıcı bir% 431 patladı ve bir zamanlar yönetilebilir bir riski geceleri uyanık tutan kritik bir tehdide dönüştürdü.
Kuruluşlar üçüncü taraf satıcıların ve tedarikçilerin karmaşık ağlarına giderek daha fazla güvenirken, siber suçlular bu birbirine bağlı ilişkileri yıkıcı etki için kullanıyor ve şirketleri üçüncü taraf risk yönetimine yaklaşımlarını temelden yeniden düşünmeye zorluyorlar.
Birbirine bağlı güvenlik açığının yeni gerçekliği
Bugünün dijital tedarik zincirleri, uzmanların “karışık, hiper -bağlantılı bir karmaşa – daha çok düzgün bir zincirden daha çok düğümlü kablolarla dolu bir çekmeceye” göre basit doğrusal ilişkilerin çok ötesinde gelişti.
.png
)
Bu karmaşıklık, kötü niyetli aktörler için çok sayıda giriş noktası yarattı, tüm ihlallerin yaklaşık% 15’i şu anda üçüncü taraf uzlaşmaları içeriyor.
İmalat sektörü, otomasyona ve hassas fikri mülkiyete ağır güvenmesi nedeniyle küresel ortalamanın% 11,7 altında siber risk puanlarını gösteren özellikle savunmasız olarak ortaya çıkmıştır.
Tehdit ölçeği, kuruluşların risklere nasıl öncelik verdiği konusunda önemli bir değişime neden olmuştur.
500 yöneticinin yakın tarihli bir araştırmasına göre, operasyonel risk şimdi üçüncü taraf risk yönetiminde en büyük endişe haline geldi ve bunu finansal, siber güvenlik, gizlilik ve düzenleyici riskler yakından takip etti.
Bu, öncelikle finansal etkiye odaklanan geleneksel risk modellerinden temel bir değişikliği temsil eder.
Yüksek profilli saldırılar yaygın etki gösteriyor
Son olaylar tedarik zinciri saldırılarının yıkıcı potansiyelinin altını çizmektedir. Bilgisayar korsanlarının şirketin Orion BT izleme yazılımına sızdığı 2020 Solarwinds ihlali, devlet kurumları ve Fortune 500 şirketleri de dahil olmak üzere 18.000’den fazla kuruluşu etkiledi.
Benzer şekilde, 2021 Kaseya saldırısı, uzaktan yönetim yazılımında sıfır günlük bir kırılganlıktan yararlandı ve Yeni Zelanda’daki okullar ve İsveç’teki süpermarketler de dahil olmak üzere küresel olarak 800 ila 1.000 işletmeyi etkiledi.
Son zamanlarda, GitHub Eylem’in TJ-Actions/Değiştirilmiş Dosya bileşenine karşı bir tedarik zinciri saldırısı, 23.000’den fazla depo boyunca sırları açıkladı ve yazılım geliştirme ekosisteminde tek bir uzlaşmanın ne kadar hızlı bir şekilde artabileceğini gösterdi.
Olay, AWS erişim anahtarlarını, Github kişisel erişim belirteçlerini ve özel RSA anahtarlarını ortaya çıkardı ve sayısız kuruluşu acil güvenlik incelemeleri yapmaya zorladı.
Kuruluşlar daha sıkı kontroller uygular
Bu artan tehditlere yanıt olarak, şirketler üçüncü taraf gözetim uygulamalarını önemli ölçüde sıkılıyor.
Üçüncü taraflar güvenlik anketlerine yanıt veremediğinde kurumsal süreçleri artırmaya istekli kuruluşların yüzdesi% 70’den% 87’ye yükselirken, operasyonları durdurmaya hazırlananlar tamamen% 17’den% 29’a yükselmiştir.
Değerlendirmeler sırasında riskler tespit edildiğinde, şirketlerin% 57’si 2023’te sadece% 17’ye kıyasla iyileştirme seçmektedir. Kuruluşlar da daha karmaşık risk katmanlama yaklaşımlarını benimsemekte ve satıcıları kritiklik ve risk seviyelerine dayalı üç kategoriye ayırır.
Seviye 1 satıcılar-yüksek kritik ve yüksek riskli olanlar-şimdi derinlemesine değerlendirmeler, yerinde güvenlik ekipleri ve “One Strike and Defed” politikaları dahil olmak üzere yoğun incelemelerle karşı karşıya.
Düzenleyici ve çerçeve yanıtı
Devlet kurumları kapsamlı rehberlik çerçeveleri ile yanıt vermiştir.
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), 2022 yılında özel yayınını 800-161 güncelledi ve kuruluşlara ayrıntılı siber güvenlik tedarik zinciri risk yönetimi uygulaması sağladı.
Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), küçük ve orta ölçekli işletmeler için özel el kitapları yayınladı ve tedarik zincirlerinin sadece en zayıf bağlantıları kadar güçlü olduğunu kabul etti.
Başkan Biden, müttefikler ve ortaklarla daha yakın işbirliği yoluyla “esnek, çeşitli ve güvenli tedarik zincirleri” oluşturma hedefleri ile, tedarik zinciri esnekliği üzerine bir Beyaz Saray konseyi kurarak sorunu daha da artırdı.
En iyi uygulamalar risk azaltma için ortaya çıkar
Endüstri uzmanları üçüncü taraf risk yönetimine çok katmanlı bir yaklaşım önermektedir.
Anahtar stratejiler, yalnızca periyodik değerlendirmelere güvenmek, tüm satıcı sözleşmelerinde net güvenlik gereksinimleri oluşturmak ve tüm üçüncü taraf ilişkilerinin ve bunların ilişkili risklerinin ayrıntılı belgelerinin korunması yerine sürekli izleme sistemlerinin uygulanmasını içerir.
Kuruluşlar ayrıca, satıcıların finansal sağlığı ve siber güvenlik duruşundaki değişiklikleri gerçek zamanlı olarak izlemek için tehdit istihbarat platformlarına ve otomatik izleme hizmetlerine yatırım yapıyorlar.
Üçüncü taraflarla düzenli iletişim ve diyalog, proaktif katılım, güvenlik olaylarına dönüşmeden önce potansiyel sorunların belirlenmesine yardımcı olduğu için gerekli olduğunu kanıtlamıştır.
İleriye Bakış
Dijital dönüşüm üçüncü taraf ekosistemleri genişletmeye devam ettikçe, şirketler giderek daha fazla bulut hizmetlerine, hizmet olarak yazılım sağlayıcılarına ve özel dijital platformlara dayanıyor.
Siber güvenlik artık tarifeleri, tedarik zinciri liderleri için en büyük endişe olarak aştı ve acil öncelikli kuruluşların genişletilmiş ağlarını korumaya katıldığını yansıttı.
Tedarik zinciri saldırılarındaki% 431 artış, birbirine bağlı dijital ekonomimizde bir kuruluşun güvenliğinin sadece en savunmasız satıcı kadar güçlü olduğunu hatırlatıyor.
2025’e daha derine doğru ilerledikçe, üçüncü taraf riskleri etkili bir şekilde yönetme yeteneği, hangi kuruluşların geliştiğini ve hangi büyük tedarik zinciri uzlaşmasına kurban düştüğünü giderek daha fazla belirleyecektir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!