Siber Güvenlik Uzmanı Eksikliği, Tedarik Zinciri Risklerini Önlemedeki En Büyük Mahzurlardan Biri

0

BEĞENDİM

ABONE OL

News

0

Kaspersky tarafından gerçekleştirilen yeni bir global araştırma, nitelikli BT güvenliği çalışanı eksikliğinin ve global tertiplerin tedarik zinciri ile itimat bağına dayalı atak risklerini azaltmak için çeşitli güvenlik misyonlarına öncelik verme muhtaçlığının altını çiziyor. Türkiye’deki iştirakçilerin %44’ü her iki faktörü de temel pürüzler ortasında gösteriyor.

Kaspersky’nin tedarik zinciri ve inanç münasebeti risklerine odaklanan son araştırmasına* nazaran, tedarik zinciri atakları şirketler için en kritik tehditlerden biri haline gelmiş durumda. Son bir yıl içinde her üç kurumdan biri bu tıp bir hücuma maruz kaldığını belirtiyor. Kelam konusu akınların artan sıklığı ve tesiri, şirketlerin bu riskleri aktif biçimde yönetmesini zorlaştıran temel nedenlerin anlaşılmasını mecburî kılıyor. 

Anket sonuçlarına nazaran, tedarik zinciri ve inanç münasebetinden kaynaklanan risklerin azaltılmasının önündeki en büyük pürüzlerden biri uzman iş gücü eksikliği. Bu yetersizlik, tertiplerin kendi ekosistemlerindeki potansiyel üçüncü taraf zafiyetlerini nizamlı olarak tespit etme ve izleme kapasitesini kısıtlıyor. İştirakçilerin belirttiği bir öbür kritik mahzur ise birden fazla siber güvenlik önceliği ortasında istikrar kurma mecburiliği. Bu durum, güvenlik takımlarının tıpkı anda çok fazla vazifeyle ilgilenmek zorunda kaldığını ve bunun sonucunda tedarik zinciri tehditlerinin gözden kaçabildiğini gösteriyor.

Kaynak kısıtlılığının ötesinde, iştirakçiler yapısal problemlere da dikkat çekiyor: Türkiye’deki işletmelerin %46’sı, yüklenicilerle yapılan mukavelelerde net BT güvenliği yükümlülüklerinin bulunmadığını belirtiyor. Ayrıyeten iştirakçilerin %35’i, BT dışı güvenlik çalışanının bu riskleri tam olarak kavramadığını lisana getiriyor.

Araştırmaya nazaran Türkiye’deki işletmelerin %93 üzere ezici bir çoğunluğu, tedarik zinciri ve inanç bağlantısı risklerine karşı müdafaa tedbirlerini yükseltmeleri gerektiğini kabul ederken; mevcut güvenlik tedbirlerini kâfi bulanların oranı sadece %7’de kalıyor.

Aynı vakitte araştırma sonuçları, üçüncü taraf risklerine yönelik mevcut risk idaresi uygulamaları kesimli kaldığını ve hiçbir müdafaa usulünün kullanıcılar ortasında %42’den fazla bir benimsenme oranına ulaşamadığını gösteriyor. En yaygın hami tedbir olan iki faktörlü kimlik doğrulama (2FA) bile Türkiye de’ki iştirakçilerin sırf %26’sı tarafından kullanılıyor. Ayrıyeten, kuruluşların yalnızca %42’si yüklenicilerin siber güvenlik duruşlarını nizamlı olarak gözden geçiriyor. Sonuç olarak, işletmelerin yaklaşık üçte ikisi iş ortaklarının güvenliği konusunda daima görünürlük sağlayamıyor; bu da onları ekosistemlerindeki gelişen zafiyetlere karşı savunmasız bırakıyor.

Küresel ölçekte dikkat cazibeli bulgular ise, halihazırda tedarik zinciri ve inanç bağına dayalı taarruzlara maruz kalmış şirketlerin daha güçlü güvenlik alışkanlıkları edinme eğiliminde olmasıdır. Tedarik zinciri olaylarından etkilenen şirketlerin sızma testi sonuçlarını talep etme mümkünlüğü daha yüksekken (%56); inanç bağı ihlali mağdurları sanayi standartlarına uyumluluk denetimlerine (%56) ve yüklenicilerin kendi tedarik zinciri siyasetlerine (%53) öncelik veriyor.

Kaspersky Güvenlik Operasyonları Merkezi (SOC) Başkanı Sergey Soldatov konuyla ilgili şu değerlendirmede bulunuyor: “Güvenlik grupları kapasitelerinin üzerinde çalıştığında, işçi eksikliği yaşandığında ve uzun vadeli dayanıklılık stratejileri yerine acil misyonlara öncelik vermek zorunda kaldığında; tertipler, tedarikçi ekosistemi içinde sessizce ilerleyebilen tehditlere karşı müdafaasız kalıyor. Bu döngüyü kırmak için sanayinin; standartlaştırılmış yüklenici değerlendirmelerinden takımlar ortası farkındalığın artırılmasına kadar daha bütünleşik ve dengeli hafifletme stratejilerini benimsemesi gerekiyor. Tedarik zinciri güvenliği, tüm iş ağı genelinde paylaşılan ve hesap verebilir bir sorumluluk haline gelmelidir.”

Şirketlerin tedarik zinciri risklerini azaltabilmesi ve iş sürekliliğini garanti altına alabilmesi, lakin tertip genelinde önleyici önlemlerin uygulanması ve tedarikçi–yüklenici bağlarının stratejik bir bakış açısıyla ele alınmasıyla mümkün.

Kaspersky, bu riskleri azaltmak için şu adımları öneriyor:

• Yönetilen güvenlik hizmetlerinden yararlanın: Siber güvenlik kaynakları hudutlu olan kurumlar için dış kaynak kullanımı kritik ehemmiyet taşır. Kaspersky Managed Detection and Response (MDR) ve  Incident Response gibi tahliller, tehdit tespitinden müdahaleye ve daima muhafazaya kadar tüm olay idaresi sürecini kapsar. 
• Siber güvenlik eğitimlerine yatırım yapın: Çalışanların bilgi düzeyini artırmak için uygulamaya dönük, kendi kendine ilerlemeli veya Kaspersky Siber Güvenlik Eğitimleri tercih edilmelidir. Bu sayede güvenlik gruplarının teknik yetkinlikleri gelişir ve şirketler daha karmaşık akınlara karşı korunur. 
• Tedarikçileri muahede öncesinde kapsamlı halde değerlendirin: Siber güvenlik siyasetleri, geçmiş olay kayıtları ve dal standartlarına ahenk üzere kriterler kesinlikle incelenmelidir. Yazılım ve bulut hizmetleri için ayrıyeten zafiyet bilgileri ve penetrasyon test sonuçları değerlendirilmelidir. 
• Sözleşmelere güvenlik gerekliliklerini dahil edin: Tedarikçi mukaveleleri; nizamlı güvenlik kontrolleri, kurum siyasetlerine ahenk ve olay bildirim süreçleri üzere açık bilgi güvenliği yükümlülüklerini içermelidir. 
• Tedarikçilerle güvenlik konusunda iş birliği yapın: Koruma düzeyini her iki taraf için de güçlendirmek ve güvenliği ortak bir öncelik haline getirmek kritik ehemmiyet taşır.

Kaynak: (BYZHA) Beyaz Haber Ajansı