Tedarik zincirleri küresel ticareti ve refahı kolaylaştıran bağ dokusudur. Bu örtüşen ve bağlı şirketlerden oluşan ağlar giderek daha karmaşık hale geliyor. Birçok yazılım ve dijital hizmetin sağlanmasını içerir ve çevrimiçi etkileşimlere dayanır. Bu onları kesintiye uğrama ve tehlikeye girme riskiyle karşı karşıya bırakır.
Özellikle KOBİ’ler tedarik zincirlerinde güvenliği yönetme konusunda proaktif olmayabilir veya bu konuda yeterli kaynaklara sahip olmayabilir. Şirketlerin siber güvenlik konusunda ortaklarına ve tedarikçilerine körü körüne güvenmeleri mevcut kurallarla sürdürülemez. Dijital güvenlik şirketi ESET, tedarik zincirinde gizli olan siber güvenlik risklerinin nasıl azaltılabileceğine dair önerilerde bulundu.
Tedarik zinciri riski nedir?
Tedarik zinciri siber riskleri, fidye yazılımı ve bilgi hırsızlığından hizmet reddine (DDoS) ve dolandırıcılığa kadar birçok şekilde ortaya çıkabilir. Avukatlar, muhasebeciler veya yazılım şirketleri gibi profesyonel hizmet firmaları geleneksel tedarikçileri etkileyebilir. Saldırganlar aynı zamanda yönetilen hizmet sağlayıcıların (MSP’ler) peşine düşebilir çünkü tek bir şirketin güvenliğini tehlikeye atarak birden fazla alt müşteri işletmesine erişim elde etme potansiyeline sahip olabilirler. Geçen yıl yapılan bir araştırma, MSP’lerin yüzde 90’ının önceki 18 ayda bir siber saldırı yaşadığını ortaya çıkardı.
Başlıca tedarik zinciri siber saldırı türleri
Güvenliği ihlal edilmiş özel yazılım: Siber suçlular giderek daha erkeksi hale geliyor. Bazı durumlarda, yazılım geliştiricilerin güvenliğini tehlikeye atmanın ve daha sonra alt müşterilere dağıtılan kodlara kötü amaçlı yazılım eklemenin bir yolunu bulabilirler.
Açık kaynak tedarik zincirlerine yönelik saldırılar: Birçok geliştirici, yazılım projelerinin pazara çıkış süresini hızlandırmak için açık kaynak bileşenleri kullanıyor. Ancak tehdit aktörleri bunu biliyor ve bileşenlere kötü amaçlı yazılımlar ekleyerek bunları tanınmış depolarda kullanıma sunuyor. Tehdit aktörleri, açık kaynak kodundaki bazı kullanıcıların yama uygulamakta yavaş olabileceği güvenlik açıklarından da hızlı bir şekilde yararlanabiliyor.
Dolandırıcılık amacıyla tedarikçilerin kimliğine bürünmek: İş e-postası ihlali (BEC) olarak bilinen karmaşık saldırılar, bazen bir müşteriyi para göndermesi için kandırmak amacıyla tedarikçilerin kimliğine bürünen dolandırıcılar tarafından gerçekleştirilir. Saldırgan genellikle taraflardan birine veya başka birine ait bir e-posta hesabını ele geçirir ve devreye girip banka bilgileri değiştirilmiş sahte bir fatura gönderme zamanı gelene kadar e-posta akışlarını izler.
Kimlik hırsızlığı:Saldırganlar, tedarikçiye veya onun müşterilerine (kendi ağlarına erişebilecekleri yere) saldırmak için tedarikçilerin oturum açma bilgilerini çalar.
Veri hırsızlığı: Pek çok satıcı, özellikle de hukuk firmaları gibi tescilli kurumsal sırları olan şirketler, müşterileri hakkında hassas verileri saklar. Bu şirketler, şantaj veya başka yollarla para kazanmak için kullanabilecekleri bilgileri arayan tehdit aktörleri için cazip bir hedef sunuyor.
Tedarik zinciri riskinin türü ne olursa olsun sonuç aynı olabilir: mali ve itibar kaybı ve davalar, operasyonel aksaklıklar, satış kayıpları ve öfkeli müşteriler. En iyi uygulamaları takip ederek bu riskleri yönetmek mümkündür.
- Yeni tedarikçiler üzerinde durum tespiti yapın. Bu, güvenlik programlarınızın beklentilerinize uygunluğunu ve tehdit savunması, tespiti ve tepkisine yönelik temel önlemlere sahip olup olmadığını kontrol etmek anlamına gelir. Yazılım satıcıları için bu aynı zamanda bir güvenlik açığı yönetim programına sahip olup olmadıklarını ve yaptıkları işin kalitesine ilişkin itibarlarının ne olduğunu da kapsamalıdır.
- Açık kaynak risklerini yönetin. Bu, yazılım bileşenlerinde görünürlük elde etmek için yazılım bileşimi analizi (SCA) araçlarını kullanmak, her zaman güvenlik açıklarını ve kötü amaçlı yazılımları taramak ve hataları derhal düzeltmek anlamına gelebilir. Ayrıca geliştirici grupların ürün geliştirirken tasarım yoluyla güvenliğin değerini anlamalarını sağlar.
- Tüm tedarikçiler için risk incelemesi yapın. Tedarikçilerinizin kim olduğunu anlamak ve ardından temel güvenlik önlemlerinin alınıp alınmadığını kontrol etmekle başlar. Bu aynı zamanda kendi tedarik zincirlerini de içermelidir. Uygun olduğu durumlarda endüstri standartları ve düzenlemelerine göre sık sık kontroller yapın ve akreditasyon denetimi yapın.
- Onaylanmış tüm tedarikçilerinizin bir listesini tutun.Denetim sonuçlarınıza göre listeyi düzenli olarak güncelleyin. Tedarikçi listesinin düzenli olarak denetlenmesi ve güncellenmesi, kuruluşların kapsamlı risk değerlendirmeleri yapmasına, potansiyel güvenlik açıklarını tespit etmesine ve tedarikçilerin siber güvenlik standartlarına uymasını sağlamasına olanak tanıyacak.
- Tedarikçiler için resmi bir politika oluşturun. Bu, karşılanması gereken SLA’lar da dahil olmak üzere tedarikçi riskini azaltmaya yönelik ihtiyaçlarınızı özetlemelidir. Genel tedarik zincirinin güvenliğini sağlamak için tedarikçilerin uyması gereken beklentileri, standartları ve prosedürleri özetleyen temel bir belge görevi görür.
- Tedarikçi erişim risklerini yönetin. Kurumsal ağa erişmeleri gerekiyorsa tedarikçiler arasında en az ayrıcalığı uygulayın. Bu, kimlik doğrulaması yapılana kadar tüm kullanıcılara ve cihazlara güvenilmeyen, her zaman kimlik doğrulama ve ağ izlemenin ekstra bir risk azaltma katmanı eklediği “Sıfır Güven” yaklaşımının bir bölümü olarak uygulanabilir.
- Bir olay müdahale planı geliştirin. En kötü senaryoda, tehdidi kuruluşu etkileme şansına sahip olmadan önce kontrol altına almak için iyi prova edilmiş bir planınız olduğundan emin olun. Bu plan aynı zamanda tedarikçileriniz için çalışan ekiplerle nasıl iletişime geçeceğinizi de içerecektir.
- Endüstri standartlarını uygulamayı düşünün.ISO 27001 ve ISO 28000, tedarikçi riskini en aza indirmek için yukarıda listelenen adımlardan bazılarını gerçekleştirmenin birçok yararlı yoluna sahiptir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
