Düzenli içeriden gelen tehditler yeterince kötüdür; geleneksel güvenlik araçları bunları tespit etmez, nereden vurmanın zarar vereceğini bilir ve yönetim onlardan şüphelenmez. Ne yazık ki, içeriden gelen tedarik zinciri tehditleri genellikle daha kötüdür. İş dünyası liderleri kuruluşlarını korumak için ne yapabilir?
Şirketler İçeriden Gelen Tehditlere Karşı Neden Dikkatli Olmalı?
İçeriden gelen tehditler; güveni, erişimi, bilgisi veya nüfuzu olan herkes olabilir. İnsanlar bunları düşündüğünde, genellikle aklına kin besleyen hoşnutsuz bir eski çalışan ya da yakın zamanda bir terfi nedeniyle küçümsenen kinci bir meslektaş gibi figürler gelir. Ancak çoğu zaman bunlar, maliyetli hatalar yapan yalnızca çalışanlar veya yüklenicilerdir.
İçerideki kötü niyetli kişiler, genellikle zarar vermek veya bir şey kazanmak amacıyla kasıtlı olarak hareket ederler. Çoğunlukla kırgındırlar veya işverenleri tarafından görmezden gelindiklerini hissederler, bu da onları casusluk, sabotaj veya yolsuzluk gibi eylemlere sevk eder. Onlar için bir rakiple veya siber suçluyla çalışmak söz konusu değil
İçerideki ihmalkar kişiler genellikle dikkatsizlik veya ilgisizlik nedeniyle kasıtsız hareket ederler. Ancak yine de eylemlerinden sorumludurlar. İçerideki kasıtsız kişiler, bir e-posta adresini yanlış yazarak, kimlik avının kurbanı olarak veya beklenmedik şekilde davranan bir cihaz kullanarak kazara zarara neden olurlar.
Açık olmak gerekirse, sonuç aynı olduğunda içeriden birinin niyetinin pek bir önemi yoktur. Bu ayrım, yalnızca disiplin cezasına ve olay sonrası analize rehberlik etmek için mevcuttur. Küresel bir ankete göre, bilgi güvenliği yöneticilerinin %30’unun, bu tehdidin 2023 yılında kuruluşlarının en önemli siber güvenlik riski olduğu konusunda hemfikir olmasının nedeni bu olabilir.
Siber suçluların veya itibarsız rakiplerin aksine, iç tehditler göze çarpmaz. Meşru erişime sahip olduklarından, geleneksel izleme araçları ve güvenlik önlemleri onların faaliyetlerini işaretlemeyecektir. Dahası, meslektaşlarını kişisel olarak tanıdıkları için, göstergeler öyle olduğunu gösterse bile genellikle hemen şüpheli görünmüyorlar.
Daha da önemlisi, içeriden gelen tedarik zinciri tehditleri, farklı veri sistemlerine sahip oldukları, daha az gözetimle çalıştıkları ve farklı güvenlik protokollerine sahip oldukları için daha da ciddi bir tehlike oluşturuyor. Sözleşmeli olsalar bile, bu satıcılar kısayollardan yararlanarak veya siber güvenlik konusunda dikkatsiz davranarak paçayı kurtarabileceklerini hissedebilirler ve işletmeler muhtemelen çok geç olana kadar bundan habersiz olacaklardır.
İçeriden Tedarik Zinciri Tehditlerine Karşı Savunma Stratejileri
İçeriden gelen tedarik zinciri tehditlerine karşı korunmak için çeşitli stratejiler mevcuttur.
- Üçüncü Taraf Satıcıları İzleyin
İzleme, içeriden gelen tehditleri azaltmak için kritik öneme sahiptir. Sonuçta bilgi teknolojisi (BT) ekipleri görmedikleri şeyleri çözemezler. Son zamanlarda, dayanıklı bir tedarik zinciri geliştirmek için gerçek zamanlı görünürlük temel hale geldi. Aslında çoğu şirket önümüzdeki birkaç yıl içinde bu tür çözümlere yatırım yapmayı planlıyor.
Karar vericiler bu ilgi artışını tedarik zinciri tedarikçilerini izlemeye başlamanın bir işareti olarak değerlendirmeli. Periyodik denetimlere, duyarlılık analizi yazılımına veya radyofrekans tanımlama etiketi takibine karar vermeleri fark etmeksizin, artan gözetim, içerdeki en karmaşık kişiler dışındaki herkesi tespit etmelerine ve ortadan kaldırmalarına yardımcı olacaktır.
- Azaltma Bütçesi Geliştirin
Veri ihlallerinin %60’ına içeriden ihmalkar kişiler neden olsa da, bir şirketin siber güvenlik bütçesinin yalnızca %8’i bunları yönetmeye ayrılıyor. Bu sorun için bir hafifletme bütçesi geliştirmek, BT ekibinin normal sorumluluklarına ek olarak satıcılarla ilgilenmek için yeterli kaynağa sahip olmasını sağlar.
- Risk Değerlendirmeleri Yapın
Üst düzey yöneticiler hangi üçüncü tarafa güveneceklerini nasıl biliyorlar? Tedarik zinciri satıcıları için risk değerlendirmeleri yapmak tahminleri ortadan kaldırır. Kötü niyetli, ihmalkar veya kazara iç tehdit oluşturan bir kişiyi işe alma olasılıklarını belirler. Bu yöntem basit ve etkilidir; bu da onu zamana duyarlı durumlar veya büyük iş yükü olan BT ekipleri için ideal kılar.
Pek çok firmanın bu yöntemi kullanmaması dikkat çekicidir. 2.500’den fazla şirket üzerinde yakın zamanda yapılan bir ankette, üst düzey yöneticilerin %29’unun her satıcıya bir risk puanı vermediği bildiriliyor. İlave %13’lük bir kesim, herhangi bir üçüncü taraf risk yönetim sistemi kullanmadıklarını itiraf ederek, yaygın olarak benimsenme fırsatının altını çizdi.
Karar vericiler, güvenlik risklerinin nasıl azaltılacağını öğrenmek için Uluslararası Standardizasyon Örgütü 28000 veya tedarik zinciri tehditlerini yönetmek için Ulusal Standartlar ve Teknoloji Enstitüsü SP 800-161 gibi kılavuzlara bakmalıdır. Bu standartlar neye öncelik vereceklerini ve nasıl ilerleyeceklerini anlamalarına yardımcı olabilir.
Üçüncü Taraf İçeriden Gelen Tehditleri Ele Almada En İyi Uygulamalar
Sıfır güven mimarisi hızla siber güvenliğin temeli haline geliyor. Bundan yararlanmak, şirketlerin içeriden tehdit riskini en aza indirebilir ve potansiyel hasarın kapsamını azaltabilir. Tedarik zinciri satıcılarına işlerini yapmaları için gereken minimum erişim miktarını vermek, onların sorun yaratma fırsatlarına sahip olmalarını önler.
Bir diğer en iyi uygulama ise şifrelemeden yararlanmaktır. Tipik teknikler ihmalkar ve kasıtsız içerideki kişilerin verebileceği hasarı en aza indirirken, formatı koruyan şifreleme (FPE) kötü niyetli eylemleri önler. Şifreli metni, düz metinle aynı biçim ve uzunlukta olduğundan satıcıların verileri okumadan veya şifre çözme anahtarına sahip olmadan veriler üzerinde işlem yapmasına olanak tanır.
Karar vericiler aynı zamanda iç tehditleri BT ekibi tespit eder etmez ele alacak ve hasarın kapsamını en aza indirecek bir olay müdahale stratejisi geliştirmeyi de düşünmelidir. Sözleşmelerde bu tür bir eylemin gerekçelerinin, sınırlamalarının ve sonuçlarının ana hatlarıyla belirtilmesi, satıcılara uymaları için bir neden verirken, bunların gerektiği şekilde iletilmesine yardımcı olacaktır.
İçeriden Gelen Tehditlerin Azaltılması Devam Eden Bir Süreçtir
İnsan hatası ve hoşnutsuz çalışanlar iş yapmanın doğal bir parçasıdır. Başka bir deyişle, BT ekibi bunlarla ne sıklıkta ilgilenirse ilgilensin, içeriden gelen tehditler her zaman mevcut olacaktır. Bu gerçek cesaret kırıcı gibi görünse de uyanık kalmanız gerektiğini hatırlatıyor; tehdit azaltma, zamanla gelişen, devam eden bir süreçtir.
Yazar Hakkında
Zac Amos, ReHack’te Özellik Editörüdür ve burada siber güvenlik ve teknoloji endüstrisini ele almaktadır. İçeriğinin daha fazlası için onu takip edin heyecan veya LinkedIn.