Kaspersky tarafından gerçekleştirilen yeni bir global araştırma, nitelikli BT güvenliği çalışanı eksikliğinin ve global tertiplerin tedarik zinciri ile inanç bağına dayalı hücum risklerini azaltmak için çeşitli güvenlik misyonlarına öncelik verme gereksiniminin altını çiziyor. Türkiye’deki iştirakçilerin %44’ü her iki faktörü de temel maniler ortasında gösteriyor.
Kaspersky’nin tedarik zinciri ve itimat bağı risklerine odaklanan son araştırmasına* nazaran, tedarik zinciri hücumları şirketler için en kritik tehditlerden biri haline gelmiş durumda. Son bir yıl içinde her üç kurumdan biri bu tıp bir akına maruz kaldığını belirtiyor. Kelam konusu hücumların artan sıklığı ve tesiri, şirketlerin bu riskleri faal halde yönetmesini zorlaştıran temel nedenlerin anlaşılmasını zarurî kılıyor.
Anket sonuçlarına nazaran, tedarik zinciri ve inanç bağından kaynaklanan risklerin azaltılmasının önündeki en büyük mahzurlardan biri uzman iş gücü eksikliği. Bu yetersizlik, tertiplerin kendi ekosistemlerindeki potansiyel üçüncü taraf zafiyetlerini tertipli olarak tespit etme ve izleme kapasitesini kısıtlıyor. İştirakçilerin belirttiği bir öbür kritik mani ise birden fazla siber güvenlik önceliği ortasında istikrar kurma mecburiliği. Bu durum, güvenlik takımlarının tıpkı anda çok fazla misyonla ilgilenmek zorunda kaldığını ve bunun sonucunda tedarik zinciri tehditlerinin gözden kaçabildiğini gösteriyor.
Kaynak kısıtlılığının ötesinde, iştirakçiler yapısal problemlere da dikkat çekiyor: Türkiye’deki işletmelerin %46’sı, yüklenicilerle yapılan mukavelelerde net BT güvenliği yükümlülüklerinin bulunmadığını belirtiyor. Ayrıyeten iştirakçilerin %35’i, BT dışı güvenlik çalışanının bu riskleri tam olarak kavramadığını lisana getiriyor.
Araştırmaya nazaran Türkiye’deki işletmelerin %93 üzere ezici bir çoğunluğu, tedarik zinciri ve itimat ilgisi risklerine karşı muhafaza tedbirlerini yükseltmeleri gerektiğini kabul ederken; mevcut güvenlik tedbirlerini kâfi bulanların oranı sırf %7’de kalıyor.
Aynı vakitte araştırma sonuçları, üçüncü taraf risklerine yönelik mevcut risk idaresi uygulamaları modüllü kaldığını ve hiçbir muhafaza sisteminin kullanıcılar ortasında %42’den fazla bir benimsenme oranına ulaşamadığını gösteriyor. En yaygın esirgeyici tedbir olan iki faktörlü kimlik doğrulama (2FA) bile Türkiye de’ki iştirakçilerin sırf %26’sı tarafından kullanılıyor. Ayrıyeten, kuruluşların yalnızca %42’si yüklenicilerin siber güvenlik duruşlarını tertipli olarak gözden geçiriyor. Sonuç olarak, işletmelerin yaklaşık üçte ikisi iş ortaklarının güvenliği konusunda daima görünürlük sağlayamıyor; bu da onları ekosistemlerindeki gelişen zafiyetlere karşı savunmasız bırakıyor.
Küresel ölçekte dikkat alımlı bulgular ise, halihazırda tedarik zinciri ve itimat ilgisine dayalı akınlara maruz kalmış şirketlerin daha güçlü güvenlik alışkanlıkları edinme eğiliminde olmasıdır. Tedarik zinciri olaylarından etkilenen şirketlerin sızma testi sonuçlarını talep etme mümkünlüğü daha yüksekken (%56); itimat bağlantısı ihlali mağdurları sanayi standartlarına uyumluluk denetimlerine (%56) ve yüklenicilerin kendi tedarik zinciri siyasetlerine (%53) öncelik veriyor.
Kaspersky Güvenlik Operasyonları Merkezi (SOC) Başkanı Sergey Soldatov konuyla ilgili şu değerlendirmede bulunuyor: “Güvenlik takımları kapasitelerinin üzerinde çalıştığında, işçi eksikliği yaşandığında ve uzun vadeli dayanıklılık stratejileri yerine acil vazifelere öncelik vermek zorunda kaldığında; tertipler, tedarikçi ekosistemi içinde sessizce ilerleyebilen tehditlere karşı müdafaasız kalıyor. Bu döngüyü kırmak için sanayinin; standartlaştırılmış yüklenici değerlendirmelerinden takımlar ortası farkındalığın artırılmasına kadar daha bütünleşik ve dengeli hafifletme stratejilerini benimsemesi gerekiyor. Tedarik zinciri güvenliği, tüm iş ağı genelinde paylaşılan ve hesap verebilir bir sorumluluk haline gelmelidir.”
Şirketlerin tedarik zinciri risklerini azaltabilmesi ve iş sürekliliğini garanti altına alabilmesi, lakin tertip genelinde önleyici önlemlerin uygulanması ve tedarikçi–yüklenici alakalarının stratejik bir bakış açısıyla ele alınmasıyla mümkün.
Kaspersky, bu riskleri azaltmak için şu adımları öneriyor:
- Yönetilen güvenlik hizmetlerinden yararlanın: Siber güvenlik kaynakları hudutlu olan kurumlar için dış kaynak kullanımı kritik değer taşır. Kaspersky Managed Detection and Response (MDR) ve Incident Response gibi tahliller, tehdit tespitinden müdahaleye ve daima müdafaaya kadar tüm olay idaresi sürecini kapsar.
- Siber güvenlik eğitimlerine yatırım yapın: Çalışanların bilgi düzeyini artırmak için uygulamaya dönük, kendi kendine ilerlemeli veya Kaspersky Siber Güvenlik Eğitimleri tercih edilmelidir. Bu sayede güvenlik gruplarının teknik yetkinlikleri gelişir ve şirketler daha karmaşık ataklara karşı korunur.
- Tedarikçileri mutabakat öncesinde kapsamlı biçimde değerlendirin: Siber güvenlik siyasetleri, geçmiş olay kayıtları ve dal standartlarına ahenk üzere kriterler kesinlikle incelenmelidir. Yazılım ve bulut hizmetleri için ayrıyeten zafiyet bilgileri ve penetrasyon test sonuçları değerlendirilmelidir.
- Sözleşmelere güvenlik gerekliliklerini dahil edin: Tedarikçi mukaveleleri; nizamlı güvenlik kontrolleri, kurum siyasetlerine ahenk ve olay bildirim süreçleri üzere açık bilgi güvenliği yükümlülüklerini içermelidir.
- Tedarikçilerle güvenlik konusunda iş birliği yapın: Koruma düzeyini her iki taraf için de güçlendirmek ve güvenliği ortak bir öncelik haline getirmek kritik kıymet taşır.
Kaynak: (BYZHA) Beyaz Haber Ajansı
