Son yıllarda, Okta ve MOVEit hack’leri gibi yüksek profilli olayların, işletmelerin güvendiği tedarikçiler ve ortaklar ağında var olan güvenlik açıklarını vurgulaması nedeniyle, üçüncü taraf ihlalleri önemli ölçüde dikkat çekti.
Kuruluşların genellikle genişletilmiş ağları üzerinde sınırlı görünürlük ve kontrolleri vardır, bu da anında ulaşamayacakları veri ve sistemlerin güvenliğini sağlamayı zorlaştırır.
Ayrıca tedarik zinciri bilgi güvenliği, yetersiz tedarikçi güvenliği uygulamaları, zayıf kimlik doğrulama mekanizmaları, güncel olmayan yazılımlar ve hatta doğal afetler veya jeopolitik olayların neden olduğu potansiyel tedarik zinciri kesintileri gibi güvenlik açıklarıyla karşı karşıyadır.
Birleşik Krallık’taki işletmeler için, tedarik zincirleri her zamankinden daha karmaşık ve dijitalleştikçe bu saldırılarla ilişkili riskler de artıyor. Siber suçlular, en zayıf halkaları hedeflemek için bu karmaşıklıklardan yararlanıyor ve bu da siber olaylarda artışa neden oluyor. Bu, bir kuruluştaki bir ihlalin zincir içindeki birden fazla kuruluş üzerinde kademeli etkilere sahip olabileceği, potansiyel zararı artırabileceği, operasyonları kesintiye uğratabileceği ve müşterilerin ve paydaşların güvenini zedeleyebileceği anlamına gelir.
ISMS.online’ın ‘Bilgi Güvenliğinin Durumu’ raporundaki son bulgular durumun ciddiyetini vurguluyor. Rapor, Birleşik Krallık’taki işletmelerin %79’unun geçtiğimiz yıl tedarik zincirlerinden veya üçüncü taraf satıcılardan kaynaklanan güvenlik olayları yaşadığını ortaya koyuyor; bu, önceki yıla göre %22 gibi çarpıcı bir artış anlamına geliyor. Belki daha da endişe verici olanı, bu işletmelerin %41’inin iş ortağı verilerinin tehlikeye girdiğini görmesidir. Bu büyüyen trend, kuruluşların güvenlik stratejilerini yeniden değerlendirmeleri ve savunmalarını güçlendirmek için somut adımlar atmaları yönündeki acil ihtiyacın altını çiziyor.
Tedarik zincirlerinin birbirine bağlı doğası hem fırsat hem de risk yaratır. İşletmeler, bulut depolamadan yazılım hizmetlerine kadar her şey için giderek daha fazla üçüncü taraf satıcılara güveniyor. Bu ara bağlantılar verimliliği ve maliyet tasarrufunu artırırken aynı zamanda potansiyel saldırı yüzeyini de genişletir. Siber suçlular bu dinamiğin çok iyi farkındadır ve “adadan adaya atlama” olarak bilinen yöntemle daha büyük, daha kazançlı organizasyonlara geçiş kapısı olarak daha küçük, daha az güvenli satıcıları hedef alırlar.
Birçok tedarik zincirinin küresel yapısı güvenlik çabalarını daha da karmaşık hale getiriyor. Farklı bölgelerin farklı siber güvenlik düzenlemeleri ve standartları olması, tüm ortaklarda tek tip güvenlik önlemlerinin uygulanmasını zorlaştırıyor. Saldırganlar bu tutarsızlıklardan yararlanır ve genellikle saldırılarını başlatmak için daha az düzenlemeye sahip yetki alanlarına odaklanır. Örneğin Okta ihlali, bilgisayar korsanlarının hassas müşteri destek verilerine erişim sağlamak için üçüncü taraf bir yüklenicinin sistemlerini tehlikeye atmasına neden oldu.
Riskler yüksek. Tedarik zincirindeki ihlaller ciddi mali, itibari ve operasyonel zararlara yol açabilir. ISMS.online’ın araştırması, Birleşik Krallık’taki işletmelerin %70’inin veri ihlalleri nedeniyle 100.000 £’u aşan para cezalarıyla karşı karşıya kaldığını ve ortalama ceza miktarının 258.000 £’a yükseldiğini ortaya çıkardı. Harekete geçmenin aciliyeti hiç bu kadar belirgin olmamıştı.
Tedarik zinciri saldırılarındaki artış, siber güvenliğe kapsamlı bir yaklaşım gerektiriyor. İlk savunma hattı, ilişki kurmadan önce tedarikçileri ve ortakları dikkatli bir şekilde incelemektir. İşletmeler, potansiyel iş ortaklarının siber güvenlik önlemlerini değerlendirmeli, güvenlik geçmişlerini ve ISO 27001 gibi ilgili standartlarla uyumluluklarını incelemelidir. Daha da önemlisi, bu, iş ortaklarının güvenlik duruşlarının düzenli olarak yeniden değerlendirilmesiyle devam eden bir süreç olmalıdır.
Cyber Essentials ve ISO 27001 gibi yerleşik çerçeveleri benimsemek, işletmelerin siber güvenlik çabalarını yapılandırmasına yardımcı olabilir. Birleşik Krallık’ın Ulusal Siber Güvenlik Merkezi (NCSC) aynı zamanda üçüncü taraf risklerinin yönetilmesine yönelik kapsamlı öneriler sağlayan Tedarik Zinciri Güvenlik Rehberi de sunmaktadır. Bu standartlar, tedarik zincirlerini güvence altına almak için net bir yol haritası sağlayarak işletmelerin güvenlik açıklarını sistematik bir şekilde azaltmalarına yardımcı olur.
ISO 27001, işletmelerin risk değerlendirmeleri, sözleşmelerde öngörülen güvenlik gereksinimleri ve sürekli performans izleme dahil olmak üzere tüm üçüncü taraf etkileşimlerinin kayıtlarını tutmasını gerektirir.
Açıkça tanımlanmış siber güvenlik beklentileri tüm ortaklık anlaşmalarının temel taşı olmalıdır. Sözleşmeler belirli güvenlik gerekliliklerini, düzenli güvenlik raporlama yükümlülüklerini ve açık olay müdahale prosedürlerini özetlemelidir. Güvenlik standartlarına uyulmaması nedeniyle verilen cezalar veya fesih hükümleri, satıcıların sıkı güvenlik önlemlerini sürdürmeleri için güçlü teşvikler olarak da hizmet edebilir. ISO 27001 çerçevesinin kullanılması, sıkı ortak ve tedarikçi inceleme süreçlerinin, sağlam ortaklık anlaşmalarının ve sürekli iyileştirme kültürünün temellerinin atılmasına yardımcı olur.
Aynı şekilde, üçüncü taraf satıcıları yüksek standartlarda tutmak çok önemli olsa da işletmelerin kendi içlerine de bakmaları gerekiyor. Dahili güvenlik protokollerinin güçlendirilmesi ve bunların tedarik zincirinin tamamına yayılmasının sağlanması, risklerin azaltılmasına yardımcı olabilir. Bu, düzenli güvenlik denetimlerinin gerçekleştirilmesini, çok faktörlü kimlik doğrulamanın uygulanmasını, hassas verilerin şifrelenmesini ve özellikle tedarik zinciri ihlallerine göre uyarlanmış sağlam olay müdahale planlarının geliştirilmesini içerir.
Kurum içine bakıldığında çalışanların herhangi bir kuruluşun savunmasının en kritik bileşenlerinden biri olmaya devam ettiğini unutmamak önemlidir. Kimlik avı tespitini, en iyi veri işleme uygulamalarını ve şüpheli etkinlikleri bildirme prosedürlerini kapsayan kapsamlı eğitim programları önemlidir. İşletmeler ayrıca çalışanların gelişen risklere uygun şekilde yanıt verecek donanıma sahip olmasını sağlamak için tedarik zincirine özgü tehditlere ilişkin farkındalığı da vurgulamalıdır.
Bu eğitim, yapay zeka (AI) ve makine öğrenimi (ML) gibi yeni ve gelişen teknolojileri kapsayacak şekilde genişletilmelidir. Yapay zeka destekli araçlar hızla artıyor ve tehdit tespitini geliştirip potansiyel ihlallere verilen yanıtları otomatikleştirerek hem hızı hem de doğruluğu artırabiliyor. Makine öğrenimi aynı zamanda tedarik zincirindeki anormalliklerin tespit edilmesine de yardımcı olabilir ve potansiyel güvenlik açıklarını saldırganlar bu güvenlik açıklarından yararlanmadan önce işaretleyebilir.
Belki de savunmayı güçlendirmenin en önemli adımı güvenlik bilincine sahip bir kültür yaratmaktır. Bu, siber güvenliğin yönetim kurulu düzeyinde bir öncelik haline getirilmesini, potansiyel tehditler hakkında açık diyaloğun teşvik edilmesini ve güçlü güvenlik uygulamaları sergileyen çalışanların takdir edilmesini içerir. Güvenliği ön planda tutan bir kültür, yalnızca dayanıklılığı artırmakla kalmaz, aynı zamanda iş ortakları ve müşteriler arasında güveni de geliştirir.
Önümüzdeki yol zorlu olabilir ancak tedarik zinciri güvenliğine yapılan yatırımların artmasıyla Birleşik Krallık’taki işletmeler savunmalarını güçlendirebilir ve siber saldırı riskini azaltabilir. ISMS.online’ın araştırmasına göre İngiltere’deki şirketlerin yaklaşık %38’i siber güvenlik bütçelerini önümüzdeki yıl %25’e kadar artırmayı planlıyor. Bu, daha dayanıklı ve güvenli bir dijital ekosistem oluşturmaya yönelik olumlu bir adımdır.
Tedarik zinciri güvenliği yalnızca bir BT meselesi değildir; bu, tüm işletme genelinde temel bir öneme sahiptir. Kuruluşlar, ISO 27001’e dayalı bir BGYS uygulamak gibi proaktif adımlar atarak, tedarik zinciri risk yönetimi uygulamalarını güçlendirebilir ve artan tedarik zinciri siber saldırı tehdidinden kendilerini korumak için operasyonlarını koruyabilirler.