SecurityScorecard’a göre, tedarik zinciri riskleri CISO’ların ve siber güvenlik liderlerinin büyük çoğunluğu için akılda kalıyor. Bulguları, çoğu kuruluşun tedarik zinciri siber riskini yönetme şeklinin genişleyen tehditlere ayak uydurmadığını ortaya koymaktadır.
Genişleyen satıcıların ağı tedarik zinciri siber risklerini arttırır
2025 Verizon DBIR’a göre, üçüncü tarafların ihlallere katılımı iki katına çıktı,% 15’ten yaklaşık% 30’a yükseldi. Küçük bir üçüncü taraf sağlayıcı grubu, dünya teknolojisinin ve altyapısının çoğunu destekleyerek aşırı bir risk konsantrasyonu yaratıyor. Bu sağlayıcılardan biri bile tehlikeye atıldığında, dalgalanma etkileri binlerce kuruluşu aynı anda bozabilir.
Saldırganlar bu kaldıraçları anlıyor ve tedarik zincirini giderek daha çekici bir giriş noktası haline getiriyor. Her satıcı ilişkisi potansiyel saldırı yüzeyini genişletir. Asimetri keskindir: savunucular her bağlantıyı üçüncü ve n-partili ağlarında güvence altına almalıdır, saldırganlar ise erişim elde etmek için yalnızca tek bir güvenlik açığından yararlanmalıdır.
Açık risklere rağmen, çoğu şirket siber güvenlik tehditleri için tedarik zincirlerinin daha derin katmanlarını yakından izlemiyor. Sonuç olarak, birçok kuruluşun işletmelerini çalıştıran sistemler üzerinde çok az görünürlüğü veya kontrolü vardır. Bu koruma eksikliği özellikle üçüncü taraf ihlalleri artmaya devam ettikçe ilgilidir.
En azından, üçüncü ve N-Party satıcılarınızın şirketinizin güvenlik protokollerine uymasını beklersiniz. Ama durum böyle değil. Kuruluşların% 62’si tedarik zinciri ekosistemindeki satıcıların yarısından azının şirketlerinin siber güvenlik gereksinimlerini karşıladığını söylüyor.
“Tedarik zinciri siber saldırıları artık izole olaylar değildir; günlük bir gerçekliklerdir. Yine de ihlaller devam etmektedir çünkü üçüncü taraf risk yönetimi büyük ölçüde pasif kalır, eylemden ziyade değerlendirmelere ve uyum kontrol listelerine odaklanmıştır. Bu modeli yaklaşım, ulaştığı görüşleri operasyonel hale getiremez” dedi.
Risk azaltma stratejileri yetersiz kalabilir
Dayanıklılık, üçüncü taraf riskleri değerlendiren, sürekli izleme, tehdit azaltma ve olay tepkisini değerlendiren eksiksiz bir tedarik zinciri siber güvenlik yaklaşımı gerektirir.
Bazı kuruluşlar zaten stratejilerinde olay tepkisi içeriyor olsa da, çoğu geride kalıyor. Birkaç kişi, resmi satıcı yerleşik, simülasyonlar veya yükseltme yollarına sahip özel satıcı-yanıt planları gibi önleyici tedbirlere yatırım yapmaktadır. Çok fazla kişi hala sadece önyargılı anlık görüntüler sunan bir kerelik öz değerlendirme anketlerine güveniyor. Çoğu şirketin temel risk yönetimi programlarına sahip olmasına rağmen, asıl zorluk gerçek, gerçek zamanlı olay yanıtı sağlamaktır.
Veri aşırı yükü ve tehdit önceliklendirmesi
Çoğu kuruluş, Güvenlik Operasyon Merkezi’nin (SOC) üçüncü taraf risk yönetiminde (TPRM) önemli bir rol oynadığını, bu da risk ekipleriyle liderlik ettiğini veya sorumluluğu paylaştığını söylüyor. Ancak, SOC ekipleri bunalmıştır. Birçoğu yüksek stres, artan iş yükleri ve yetersizliği bildirmektedir.
SOC ve TPRM ekipleri arasındaki işbirliği bozulduğunda sorunlar ortaya çıkar. SOC ekipleri, verilerin aşırı yüklenmesi ile karşı karşıya kalır, bu da tehditlere öncelik vermeyi zorlaştırır ve sınırlı satıcı katılımıyla mücadele eder. Tedarikçiler genellikle değerlendirmelere yanıt vermezler, SOC ekiplerini üçüncü taraf riskleri değerlendirmek için ihtiyaç duydukları görünürlük olmadan bırakırlar.
“İhtiyaç duyulan aktif savunmaya geçiştir: Tedarik zinciri olayı yanıt yetenekleri, üçüncü taraf risk ekipleri ve güvenlik operasyonları merkezleri arasındaki boşluğu kapatarak, sürekli izleme ve tehdit istihbaratını gerçek zamanlı eyleme dönüştürmek. Statik kontroller dinamik tehditleri durdurmayacak, sadece entegre tespit ve yanıt olacaktır,” dedi Sherstobitoff.