Kaspersky’nin yeni araştırmasına nazaran, Türkiye’deki şirketlerin %55’inden fazlası siber taarruzlara karşı daha güçlü bir muhafaza sağlamak hedefiyle iş ortakları ve tedarikçilerinin güvenliğine yatırım yapmaya istekli. Buna ek olarak, şirketlerin dörtte biri halihazırda bu tarafta adım atmış durumda. Bu eğilim, iş dünyasının artık tedarikçileri tekil birer dış paydaş olarak değil, bütünleşik bir güvenlik ekosisteminin kesimi olarak gördüğüne işaret ediyor.
Son bir yılda neredeyse her üç şirketten birini etkileyen tedarik zinciri ataklarındaki artış ve global ölçekte şirketlerin dörtte birini amaç alan inanç bağlantısı istismarına dayalı saldırılar*, kurumları iç güvenlik yaklaşımlarını tekrar değerlendirmeye yönlendiriyor. Kuruluşlar, kendi siber risk düzeylerinin; altyapı ve sistemlerine erişimi olan tüm tedarikçi ve iş ortaklarının güvenlik düzeyine direkt bağlı olduğunu daha net bir formda kavrıyor ve bu doğrultuda harekete geçmeye hazırlanıyor.
Kaspersky’nin araştırmasına nazaran, Türkiye’deki iştirakçilerin %55’i kendi siber dayanıklılıklarını artırmak hedefiyle iş ortaklarının güvenliğine yatırım yapmayı kıymetlendiriyor. Bölgesel bir karşılaştırma yapıldığında ise bu yaklaşımın Orta Doğu genelinde daha yaygın olduğu görülüyor: Şirketlerin güvenlik maliyetlerini paylaşma isteği Orta Doğu genelinde %71, Suudi Arabistan’da %73, Birleşik Arap Emirlikleri’nde %69 ve Mısır’da %71 düzeylerine kadar çıkıyor. Öteki yandan, Türkiye’deki şirketlerin %31’i şimdiden niyet kademesini geçerek maliyetleri iş ortaklarıyla paylaşmaya başlamış durumda.
Kaspersky Güvenlik Operasyonları Merkezi Başkanı Sergey Soldatov konuyla ilgili olarak şunları söylüyor: “Günümüzde şirketler, güvenliğin sırf kendi tertiplerinin sonları içinde kalamayacağını; tüm ekosisteme yayılması gerektiğini fark etmiş durumda. Küçük ölçekli şirketler, hizmet verdikleri büyük kurumların güvenlik yetkinliklerine her vakit sahip olmayabiliyor ve bu durum ek riskler doğuruyor. Daha büyük şirketlerin kaynak ve uzmanlıklarını paylaşması, bu boşluğu kapatarak bağımlılık zincirindeki zayıf halkaları güçlendirir ve global siber dayanıklılığın kıymetli bir itici gücü haline gelir.”
Kaspersky, tedarik zinciri risklerini azaltmak için şirketlere organizasyonel tedbirlerle güvenliklerini güçlendirmelerini öneriyor. Bu kapsamda, yazılım sağlayıcılarının titiz ve ispata dayalı prosedürlerle kıymetlendirilmesi büyük kıymet taşıyor. Tedarikçilerin güvenlik uygulamalarının incelenmesi, yazılım geliştirme süreçlerinin gözden geçirilmesi ve yapılandırılmış kıymetlendirme çerçevelerinin kullanılması sayesinde şirketler, sırf inançlı ve güçlü eserlerin kendi altyapılarında yer almasını sağlayabilir. En uygun eserin nasıl seçileceğine dair ayrıntılı rehbere ilgili bağlantı üzerinden ulaşılabilirsiniz.
Tedarik zinciri ve itimat münasebeti temelli risklerin azaltılması için Kaspersky ayrıyeten şu tekliflerde bulunuyor:
- Tedarikçilerle güvenlik konusunda iş birliği yapın. Tedarikçilerle yakın çalışarak güvenlik tedbirlerinin geliştirilmesi, karşılıklı itimadı güçlendirir ve güvenliği ortak bir öncelik haline getirir.
- İş birliği öncesinde tedarikçileri kapsamlı formda değerlendirin. Olası tedarikçilerin siber güvenlik siyasetlerinin incelenmesi, geçmiş olaylara dair bilgi talep edilmesi ve dal standartlarına uyumlarının kıymetlendirilmesi kritik ehemmiyet taşır.
- Yazılım ve bulut hizmetleri için teknik tahliller gerçekleştirin. Zafiyet bilgilerinin toplanması, sızma testlerinin yapılması ve gerekli durumlarda dinamik uygulama güvenliği testlerinin (DAST) uygulanması önerilir.
- Sözleşmelere güvenlik gerekliliklerini dahil edin. Tedarikçi kontratlarında tertipli güvenlik kontrolleri, kurum siyasetlerine ahenk ve olay bildirim süreçleri üzere açık bilgi güvenliği kuralları yer almalıdır.
- Önleyici teknolojik tedbirler benimseyin. En az ayrıcalık prensibi, sıfır güven (zero trust) yaklaşımı ve gelişmiş kimlik yönetimi uygulamaları üzere güvenlik pratikleri, tedarikçi kaynaklı risklerin yaratabileceği mümkün ziyanları kıymetli ölçüde azaltır.
Tedarik zinciri risklerine ait daha fazla bulgu ve teklife ilgili bağlantı üzerinden ulaşılabilir.
* “Supply chain reaction: securing the küresel digital ecosystem in an age of interdependence” raporuna dayanmaktadır. Kaspersky’nin kurum içi pazar araştırma merkezi tarafından yürütülen çalışma kapsamında, 500’den fazla çalışanı bulunan şirketlerde vazife yapan C-seviye yöneticilerden grup başkanları ve kıdemli uzmanlara kadar uzanan 1.714 iş başkanının görüşleri alınmıştır. Araştırma; Almanya, İspanya, İtalya, Brezilya, Meksika, Kolombiya, Singapur, Vietnam, Çin, Hindistan, Endonezya, Suudi Arabistan, Türkiye, Mısır, Birleşik Arap Emirlikleri ve Rusya dahil olmak üzere 16 ülkede gerçekleştirilmiştir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
