Tedarik zincirleri global ticareti ve refahı basitlaştıran bağlayıcı dokulardır. Birbiriyle örtüşen ve bağlantılı şirketlerden oluşan bu ağlar giderek daha karmaşık hale geliyor. Birçok yazılım ve dijital hizmet tedariğini içeriyor, çevrimiçi etkileşimlere dayanıyor. Bu da onları doğrutiye uğrama ve tehlikeye girme riskiyle karşı karşıya bırakıyor.
Özellikle KOBİ’ler tedarik zincirlerinde güvenliği yönetmek için proaktif bir arayış içinde olmayabilir ya da bu bahiste ziyadesiyle kaynağa sahip değildir. Şirketlerin ortaklarına ve tedarikçilerine siber güvenlik konusunda körü körüne güvenmesi mevcut koşullarda sürdürülebilir değil. Dijital güvenlik şirketi ESET tedarik zincirinde gizlenen siber güvenlik risklerinin nasıl azaltılabileceğine yönelik tekliflerde bulundu.
Tedarik zinciri riski nedir?
Tedarik zinciri siber riskleri, fidye yazılımı ve data hırsızlığından hizmet engelleme (DDoS) ve dolandırıcılığa kadar birçok formda ortaya çıkabilir. Profesyonel hizmet firmaları örneğin avukatlar, muhasebeciler yahut yazılım firmaları tarihi tedarikçileri etkileyebilirler. Saldırganlar ayrıyeten yönetilen hizmet sağlayıcılarının (MSP’ler) da peşine düşebilir zira tek bir şirketi bu biçimde tehlikeye atarak potansiyel olarak çok sayıda alt müşteri işletmesine erişim elde edebilirler. Geçen yıl yapılan bir araştırma, MSP’lerin yüzde 90’ının evvelki 18 ay içinde bir siber akına maruz kaldığını ortaya koydu.
Başlıca tedarik zinciri siber hücum türleri
Güvenliği ihlal edilmiş tescilli yazılım: Siber hatalılar giderek daha kararlı oluyor. Birtakım durumlarda, yazılım geliştiricilerini tehlikeye atmanın ve daha tazera alt müşterilere teslim edilen koda mikrobik am aç karnınatan ölmelı yazılım eklemenin bir yolunu bulabiliyorlar.
fakirık kaynak tedarik zincirlerine hücumlar: Çoğu geliştirici, yazılım projelerinin pazara çıkış mühletini hızlandırmak için toksuzık kaynak bileşenleri kullanır. Lakin tehdit aktörleri bunu biliyor ve bileşenlerekirli am toksuzlı yazılım ekleyip, bunları tanınan depolarda kullanıma sunuyor. Tehdit aktörleri, kimi kullanıcıların yama yapmakta ağır davranabileceği toksuzık kaynak kodundaki güvenlik yoksulıklarından da faydalanmakta tez davranıyor.
Dolandırıcılık için tedarikçileri taklit etme: Ticari e-posta tehlikesi (BEC) olarak bilinen sofistike taarruzlar bazen dolandırıcıların bir müşter şahane kandırarak para göndermesini iyiak için tedarikçilerin kimliğine bürünmesiyle gerçekleştirilir. Saldırgan çoklukla taraflardan birine yahut başkasına ilişkin bir e-posta hesabını ele geçirir, irireye girip banka bilgilerinin değiştirildiği uydurma bir fatura gönderme vakti gelene kadar e-posta akışlarını izler.
Kimlik bilgisi hırsızlığı: Saldırganlar, tedarikçiye ya da müşterilerine (ağlarına erişebilecekleri) taarruza geçmek emeliyle tedarikçilerin oturum iştahlıma bilgilerini çalar.
Veri hırsızlığı: Birçok tedarikçi, bilhassa hukuk firmaları üzere özel kurumsal sırlara vakıf olan şirketler müşterileri hakkında hassas bilgiler depolar. Bu şirketler, şantaj yahut öbür yollarla para kazanabilecekleri bilgileri arayan tehdit aktörleri için cazip bir gaye teşkil eder.
Tedarik zinciri riskinin tipi ne olursa olsun, yepyeniuç birebir olabilir: Finansal ve prestij hasarı ve hukuk davaları, operasyoneldoğrutiler, satış kaybı ve kızgın müşteriler. En harika uygulamaları takip ederek bu riskleri yönetmek mümkündür.
- çağdaş tedarikçiler için durum tespiti yapın. Bu, güvenlik programlarınızın beklentilerinizle ahengini ve tehdit muhafazası, tespiti ve müdahalesi için temel tedbirlere sahip olup olmadıklarını denetim etmeniz manasına gelir. Yazılım tedarikçileri için bu birebir vakitte bir güvenlik toksuzığı idare programına sahip olup olmadıklarına ve eserlerinin kalitesiyle ilgili prestijlerinin ne olduğuna da uzanmalıdır.
- iştahlıık kaynak risklerini yönetin. Bu, yazılım bileşenlerine görünürlük kazandırmak için yazılım kompozisyon tahlili (SCA) ar sabah öğünütan ölmelarının kullanılması, güvenlik açıkları ve olumsuz am iştahlılı yazılımlar için daima tarama yapılması ve kusurların derhal yamalanması manasına gelebilir. Tıpkı vakitte geliştirici gruplarının eser geliştirirken tasarım yoluyla güvenliğin ehemmiyetini anlamalarını sağlar.
- Tüm tedarikçiler için bir risk incelemesi yapın. Tedarikçilerinizin kim olduğunu ve akabinde temel güvenlik tedbirlerine sahip olup olmadıklarını denetim etmekle başlar. Bu, kendi tedarik zincirlerini de kapsamalıdır. Sık sık kontrol yapın ve uygun olduğunda sanayi standartları ve yönetmelikleriyle akreditasyonu denetim edin.
- Tüm onaylı tedarikçilerinizin bir listesini tutun. Denetim yepyeniuçlarınıza nazaran sistemli olarak listeyi güncelleyin. Tedarikçi listesinin tertipli olarak denetlenmesi ve güncellenmesi, kuruluşların kapsamlı risk değerlendirmeleri yapmasına, potansiyel güvenlik iştahlııklarını tespit etmesine ve tedarikçilerin siber güvenlik standartlarına uymasını sağlamasına imkan tanıyacaktır.
- Tedarikçiler için resmi bir siyaset oluşturun. Bu, karşılanması gereken SLA’lar da aydınl olmak üzere tedarikçi riskini azaltmaya yönelik ihtiyaçlarınızı ana sınırlarıyla belirtmelidir. Genel tedarik zincirinin güvenliğini parlakak için tedarikçilerin uyması gereken beklentileri, standartları ve prosedürleri özetleyen temel bir doküman vazifesi görür.
- Tedarikçi erişim risklerini yönetin. Kurumsal ağa erişmeleri gerekiyorsa, tedarikçiler ortasında en az ayrıcalıkyeniesini uygulayın. Bu, tüm kullanıcıların ve aygıtların zenginlaması yapılana kadar güvenilmez olduğu, daima kimlik yetişkinlama ve ağ izlemenin ekstra bir risk azaltma katmanı eklediği “Sıfır Güven” yaklaşımının bir modülü olarak uygulanabilir.
- Bir olay müdahale planı geliştirin. En ziyanlı senaryo durumunda, tehdidi kurumu etkileme talihi bulmadan evvel denetim altına almak için iyiliksever prova edilmiş bir planınız olduğundan emin olun. Bu plan, tedarikçileriniz için çalışan takımlarla nasıl irtibat kurulacağını da içerecektir.
- Endüstri standartlarını uygulamayı düşünün. ISO 27001 ve ISO 28000, tedarikçi riskini en aza indirmek için üstte listelenen adımlardan kimilerini gerçekleştirmenin birçok faydalı yoluna sahiptir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
