Kaspersky tarafından gerçekleştirilen yeni bir global araştırma, nitelikli BT güvenliği çalışanı eksikliğinin ve global tertiplerin tedarik zinciri ile inanç ilgisine dayalı atak risklerini azaltmak için çeşitli güvenlik vazifelerine öncelik verme muhtaçlığının altını çiziyor. Türkiye’deki iştirakçilerin %44’ü her iki faktörü de temel maniler ortasında gösteriyor.
Kaspersky’nin tedarik zinciri ve itimat ilgisi risklerine odaklanan son araştırmasına* nazaran, tedarik zinciri hücumları şirketler için en kritik tehditlerden biri haline gelmiş durumda. Son bir yıl içinde her üç kurumdan biri bu tıp bir hücuma maruz kaldığını belirtiyor. Kelam konusu taarruzların artan sıklığı ve tesiri, şirketlerin bu riskleri faal biçimde yönetmesini zorlaştıran temel nedenlerin anlaşılmasını zarurî kılıyor.
Anket sonuçlarına nazaran, tedarik zinciri ve inanç alakasından kaynaklanan risklerin azaltılmasının önündeki en büyük pürüzlerden biri uzman iş gücü eksikliği. Bu yetersizlik, tertiplerin kendi ekosistemlerindeki potansiyel üçüncü taraf zafiyetlerini sistemli olarak tespit etme ve izleme kapasitesini kısıtlıyor. İştirakçilerin belirttiği bir öbür kritik pürüz ise birden fazla siber güvenlik önceliği ortasında istikrar kurma zaruriliği. Bu durum, güvenlik takımlarının birebir anda çok fazla misyonla ilgilenmek zorunda kaldığını ve bunun sonucunda tedarik zinciri tehditlerinin gözden kaçabildiğini gösteriyor.
Kaynak kısıtlılığının ötesinde, iştirakçiler yapısal problemlere da dikkat çekiyor: Türkiye’deki işletmelerin %46’sı, yüklenicilerle yapılan mukavelelerde net BT güvenliği yükümlülüklerinin bulunmadığını belirtiyor. Ayrıyeten iştirakçilerin %35’i, BT dışı güvenlik çalışanının bu riskleri tam olarak kavramadığını lisana getiriyor.
Araştırmaya nazaran Türkiye’deki işletmelerin %93 üzere ezici bir çoğunluğu, tedarik zinciri ve inanç bağlantısı risklerine karşı müdafaa tedbirlerini yükseltmeleri gerektiğini kabul ederken; mevcut güvenlik tedbirlerini kâfi bulanların oranı sırf %7’de kalıyor.
Aynı vakitte araştırma sonuçları, üçüncü taraf risklerine yönelik mevcut risk idaresi uygulamaları modüllü kaldığını ve hiçbir müdafaa usulünün kullanıcılar ortasında %42’den fazla bir benimsenme oranına ulaşamadığını gösteriyor. En yaygın hami tedbir olan iki faktörlü kimlik doğrulama (2FA) bile Türkiye de’ki iştirakçilerin sadece %26’sı tarafından kullanılıyor. Ayrıyeten, kuruluşların yalnızca %42’si yüklenicilerin siber güvenlik duruşlarını tertipli olarak gözden geçiriyor. Sonuç olarak, işletmelerin yaklaşık üçte ikisi iş ortaklarının güvenliği konusunda daima görünürlük sağlayamıyor; bu da onları ekosistemlerindeki gelişen zafiyetlere karşı savunmasız bırakıyor.
Küresel ölçekte dikkat cazip bulgular ise, halihazırda tedarik zinciri ve inanç bağlantısına dayalı akınlara maruz kalmış şirketlerin daha güçlü güvenlik alışkanlıkları edinme eğiliminde olmasıdır. Tedarik zinciri olaylarından etkilenen şirketlerin sızma testi sonuçlarını talep etme mümkünlüğü daha yüksekken (%56); itimat bağı ihlali mağdurları sanayi standartlarına uyumluluk denetimlerine (%56) ve yüklenicilerin kendi tedarik zinciri siyasetlerine (%53) öncelik veriyor.
Kaspersky Güvenlik Operasyonları Merkezi (SOC) Başkanı Sergey Soldatov konuyla ilgili şu değerlendirmede bulunuyor: “Güvenlik grupları kapasitelerinin üzerinde çalıştığında, işçi eksikliği yaşandığında ve uzun vadeli dayanıklılık stratejileri yerine acil vazifelere öncelik vermek zorunda kaldığında; tertipler, tedarikçi ekosistemi içinde sessizce ilerleyebilen tehditlere karşı muhafazasız kalıyor. Bu döngüyü kırmak için sanayinin; standartlaştırılmış yüklenici değerlendirmelerinden gruplar ortası farkındalığın artırılmasına kadar daha bütünleşik ve dengeli hafifletme stratejilerini benimsemesi gerekiyor. Tedarik zinciri güvenliği, tüm iş ağı genelinde paylaşılan ve hesap verebilir bir sorumluluk haline gelmelidir.”
Şirketlerin tedarik zinciri risklerini azaltabilmesi ve iş sürekliliğini teminat altına alabilmesi, lakin tertip genelinde önleyici önlemlerin uygulanması ve tedarikçi–yüklenici münasebetlerinin stratejik bir bakış açısıyla ele alınmasıyla mümkün.
Kaspersky, bu riskleri azaltmak için şu adımları öneriyor:
- Yönetilen güvenlik hizmetlerinden yararlanın: Siber güvenlik kaynakları hudutlu olan kurumlar için dış kaynak kullanımı kritik ehemmiyet taşır. Kaspersky Managed Detection and Response (MDR) ve Incident Response gibi tahliller, tehdit tespitinden müdahaleye ve daima muhafazaya kadar tüm olay idaresi sürecini kapsar.
- Siber güvenlik eğitimlerine yatırım yapın: Çalışanların bilgi düzeyini artırmak için uygulamaya dönük, kendi kendine ilerlemeli veya Kaspersky Siber Güvenlik Eğitimleri tercih edilmelidir. Bu sayede güvenlik gruplarının teknik yetkinlikleri gelişir ve şirketler daha karmaşık ataklara karşı korunur.
- Tedarikçileri muahede öncesinde kapsamlı formda değerlendirin: Siber güvenlik siyasetleri, geçmiş olay kayıtları ve bölüm standartlarına ahenk üzere kriterler kesinlikle incelenmelidir. Yazılım ve bulut hizmetleri için ayrıyeten zafiyet bilgileri ve penetrasyon test sonuçları değerlendirilmelidir.
- Sözleşmelere güvenlik gerekliliklerini dahil edin: Tedarikçi mukaveleleri; sistemli güvenlik kontrolleri, kurum siyasetlerine ahenk ve olay bildirim süreçleri üzere açık bilgi güvenliği yükümlülüklerini içermelidir.
- Tedarikçilerle güvenlik konusunda iş birliği yapın: Koruma düzeyini her iki taraf için de güçlendirmek ve güvenliği ortak bir öncelik haline getirmek kritik değer taşır.
Kaynak: (BYZHA) Beyaz Haber Ajansı
