[ This article was originally published here ]
Geçen yıl siber güvenlik dünyasındaki en büyük zorluklardan bazıları, kurum genelinde yazılım tedarik zincirinin güvenliğini sağlama etrafında dönen zorluklar oldu. Kuruluşların müşterileri tarafından iç kullanım ve dış tüketim için oluşturduğu yazılımlar, uygun şekilde korunmadıkları takdirde uygulamaları riske atabilecek üçüncü taraf bileşenlerden ve kodlardan oluşuyor.
Bu, her sektörü etkileyen bir sorundur, ancak üreticiler yalnızca yazılım tedarik zincirini değil, fiziksel tedarik zincirini de güvence altına almakla görevli oldukları için bunu özellikle şiddetli bir şekilde hissediyorlar. Üreticiler için iki büyük nedenden dolayı çok katmanlı bir risk sorunudur.
Her şeyden önce, bugün üreticilerin ürettikleri şeyler, her zamankinden daha fazla bağlantılı ve daha fazla yazılıma bağımlı hale geliyor. Her zaman üçüncü taraf üreticilerin kendileri tarafından üretilen bir dizi özel silikon ve dijital bileşene bağımlıdırlar ve riskleri yönetmek şöyle dursun izlemesi bile zor olan iç içe geçmiş bir üçüncü, dördüncü ve N’inci taraf bağımlılıkları zinciri oluştururlar.
İkincisi, fabrika katının kendisi, BT ağıyla daha karmaşık bir şekilde yakınsayan ve üçüncü taraf ekipmanına, yazılımına ve uzak bağlantılara büyük ölçüde bağımlı olan tedarik zincirinin bir parçasıdır.
Bu faktörler göz önüne alındığında, tedarik zinciri boyunca siber güvenlik riskini yönetmenin, üreticilerin üçüncü taraf tedarikçileri ve yüklenicileri tarafından masaya getirilen risklerle dikkatli bir şekilde ilgilenmelerini gerektireceği açıktır. Öte yandan, aynı zamanda üretici olan müşterilere bileşen sağlayan birçok üretici, ürünlerini başka bir yerden kapıdan içeri sokmak için gerekenler konusunda güvenlik standartları yükseldikçe tetikte kalmalıdır.
“Bizim için derinlemesine görüşmeler yaparken ve aynı zamanda müşteri görüşmeleri yaparken, tedarik zincirindeki üreticiler hakkında gözlemlediğim şeylerden biri, daha küçük olsalar bile – örneğin, 50 ila 100 kişi AT&T güvenlik evanjelisti Theresa Lanowitz, “Güvenlik bizim için çok önemlidir” diyorlar. “Müşterilerinin güvenlik yönergelerine, harici kurallara ve düzenlemelere uymak ve tüm tedarik zincirini güvende tutmak için gereken riski azaltmak için ellerinden gelen her şeyi yapmaları gerektiğini biliyorlar.”
Bu, Lanowitz ve Palo Alto Networks’tekiler gibi AT&T’deki siber güvenlik uzmanlarının, üretim müşterilerinin kuruluşlarında ele alınmasına yardımcı olmak için giderek artan bir şekilde işbirliği yaptıkları bir sorundur. Aşağıda, tedarik zincirinde üçüncü taraf siber risklerini yöneten üreticilere önerdikleri bazı ipuçları yer almaktadır.
Dijital bileşenler ve donanım, tedarik zinciri sağlayıcılarının üretim müşterilerine sunduğu ürünlere o kadar dokunmuş olduğundan, risk puanları ve sinyaller her zamankinden daha önemli. Palo Alto Networks’te üretim, Nesnelerin İnterneti ve ulaşım için dünya çapında endüstri güvenliği mimarı olan Dharminder Debisarun’a göre, özellikle tedarik zincirine ne sunduklarına bağlı olarak, sağlayıcıları için risk iştahlarının ne olduğunu şirketler belirliyor. bu konuda şeffaflık elde etmenin yollarını bulmaya başlayın.
“’Birlikte çalıştığımız tedarikçiler için risk alma iştahımız nedir?’ diye kendinize sorun” diyor. “Onlarla ilişki kurmadan önce bunu bilmek istiyorsun. O zaman ‘Hey, bu şirket iş yapmak için yeterince güvenli’ diyen bir tür çerçeve veya sertifika olması gerekiyor.”
Bazı hükümetlerin bu tür bir temel sağladığını söylüyor; örneğin Almanya’da otomotiv endüstrisi, temel güvenlik yeterliliğini kanıtlamak için buna güveniyor. Bunun dışında, büyüyen üçüncü taraf risk yönetimi izleme dünyası, şeffaflık kazanmaya başlamak için başka bir yerdir. Nihayetinde amaç, tedarikçiler tarafından bir üreticinin tedarik zincirine veya üretim akışlarına sağlanan her bir kodlama veya bağlantı parçasının üçüncü taraf taramasından geçirilmesidir.
Debisarun’a göre daha da önemlisi, üreticilerin siber güvenlik standartlarının sözleşmeye dayalı olarak uygulanmasını sağlaması.
“Bunu sadece sözleşmeli olarak çözebilirsin. Yürürlüğe koyduğunuz tüm tedarikçi sözleşmelerine siber güvenlik ve siber risk gerekliliklerinin dahil edilmiş olması gerekir” diyor. “Bu, üreticilerin gerçekten yapmayı düşünmesi gereken bir şey.”
Uygulanması gereken şeylerden bazıları, büyük güvenlik olaylarının veya önemli yazılım açıklarının ifşasını, tedarikçi ile üretici arasında uzaktan erişimin nasıl kurulduğunu ve sürdürüldüğünü, güvenlik denetimlerinin veya sertifikalarının nasıl ve ne zaman sağlandığını vb. içerir.
Bu arada, kuruluşların gerçek üretim kapasitesi üçüncü taraflarla çok iç içe olduğundan, fabrika katındaki satıcıları güvenli bir şekilde yönetmek çok önemlidir. Debisarun, günümüzde montaj hattı zemininin neredeyse hiçbir zaman üreticinin kendisi tarafından yönetilmediğini açıklıyor.
“Siemens, Rockwell veya ABB tarafından yürütülen bir montaj hattı katı olacak. Ve bu montaj hatları, üretici ekosisteminin bu devleri tarafından teslim edildiğinde, müşterinin o montaj hattında bakım yapmasına asla izin vermeyecekler” diyerek, büyük satıcıların sözleşmeye bağlı olarak bu ekipmanın bakımını kendilerinin yapmasını istediğini açıklıyor.
Çoğu durumda bu, özellikle şimdi bu COVID sonrası dünyada uzaktan erişim gerektirir.
“Bu noktada üretici kör uçuyor” diyor.
Bu, güvenli uzaktan erişim ve üreticinin en azından ağlarındaki trafiği kontrol etmesi için bir yol oluşturan mimari gibi hafifletici kontroller kurmanın önemini vurgulamaktadır. SASE’nin temelinde, her yerde tüm kullanıcıları, cihazları, uygulamaları ve verileri basit bir birleşik üründen korumak için ayrıntılı, en az ayrıcalıklı erişimi sürekli güven doğrulaması ve derin, devam eden güvenlik denetimiyle birleştiren Sıfır bulunur. Bu, üretim dünyasında üçüncü taraf riskini yönetmenin ayrılmaz ve genellikle unutulan bir parçasıdır.
Son olarak, kuruluşlar, siber dayanıklılığı akıllarında tutmak için tedarik zincirlerini yapılandırmalı ve satıcı yönetimini koordine etmelidir. Lanowitz’e göre anahtar, ‘tek başarısızlık noktalarını’ ortadan kaldırma kavramını hatırlamaktır.
“Örneğin, büyük bir araba üreticisiyseniz ve arabalarınızı yapmanıza yardımcı olması için küçük tedarikçiler kullanıyorsanız, bunların iflas etmesi, fabrikasında yangın çıkması veya operasyonlar fidye yazılımı tarafından kesintiye uğrarsa, onları beklerken montaj hattınızı durdurmanıza gerek kalmayacak” diyor.
Debisarun, tedarikçilerdeki siber güvenlik olaylarının aşağı yönde etki yarattığı zamanlar için her üreticinin bir B ve C planı olması gerektiğini açıklayarak aynı fikirde.
“Bir tedarikçi ihlal ederse, çözülmesi için ne kadar beklemeniz gerekir?” Ve bu, temel olarak imzaladığınız sözleşmelere geri dönüyor; bir siber olayı veya fiziksel bir olayı halletmeye tek bir tedarikçinin hazır olmasına bağımlı kalmamanız için planın buna göre inşa edilmesi gerekiyor” diyor.
reklam