Son bir yılda neredeyse her üç şirketten birini etkileyen tedarik zinciri saldırılarındaki artış ve küresel ölçekte şirketlerin dörtte birini hedef alan güven ilişkisi istismarına dayalı saldırılar, kurumları iç güvenlik yaklaşımlarını yeniden değerlendirmeye yönlendiriyor. Kuruluşlar, kendi siber risk seviyelerinin; altyapı ve sistemlerine erişimi olan tüm tedarikçi ve iş ortaklarının güvenlik seviyesine doğrudan bağlı olduğunu daha net bir şekilde kavrıyor ve bu doğrultuda harekete geçmeye hazırlanıyor.
Kaspersky’nin araştırmasına göre, Türkiye’deki katılımcıların %55’i kendi siber dayanıklılıklarını artırmak amacıyla iş ortaklarının güvenliğine yatırım yapmayı değerlendiriyor. Bölgesel bir karşılaştırma yapıldığında ise bu yaklaşımın Orta Doğu genelinde daha yaygın olduğu görülüyor: Şirketlerin güvenlik maliyetlerini paylaşma isteği Orta Doğu genelinde %71, Suudi Arabistan’da %73, Birleşik Arap Emirlikleri’nde %69 ve Mısır’da %71 seviyelerine kadar çıkıyor. Diğer yandan, Türkiye’deki şirketlerin %31’i şimdiden niyet aşamasını geçerek maliyetleri iş ortaklarıyla paylaşmaya başlamış durumda.
Kaspersky Güvenlik Operasyonları Merkezi Başkanı Sergey Soldatovkonuyla ilgili olarak şunları söylüyor:
“Günümüzde şirketler, güvenliğin yalnızca kendi organizasyonlarının sınırları içinde kalamayacağını; tüm ekosisteme yayılması gerektiğini fark etmiş durumda. Küçük ölçekli şirketler, hizmet verdikleri büyük kurumların güvenlik yetkinliklerine her zaman sahip olmayabiliyor ve bu durum ek riskler doğuruyor. Daha büyük şirketlerin kaynak ve uzmanlıklarını paylaşması, bu boşluğu kapatarak bağımlılık zincirindeki zayıf halkaları güçlendirir ve küresel siber dayanıklılığın önemli bir itici gücü haline gelir.”
Kaspersky, tedarik zinciri risklerini azaltmak için şirketlere organizasyonel önlemlerle güvenliklerini güçlendirmelerini öneriyor. Bu kapsamda, yazılım sağlayıcılarının titiz ve kanıta dayalı yöntemlerle değerlendirilmesi büyük önem taşıyor. Tedarikçilerin güvenlik uygulamalarının incelenmesi, yazılım geliştirme süreçlerinin gözden geçirilmesi ve yapılandırılmış değerlendirme çerçevelerinin kullanılması sayesinde şirketler, yalnızca güvenli ve dayanıklı ürünlerin kendi altyapılarında yer almasını sağlayabilir. En uygun ürünün nasıl seçileceğine dair detaylı rehbere ilgili bağlantı üzerinden ulaşılabilirsiniz.
Tedarik zinciri ve güven ilişkisi temelli risklerin azaltılması için Kaspersky ayrıca şu önerilerde bulunuyor:
- Tedarikçilerle güvenlik konusunda iş birliği yapın. Tedarikçilerle yakın çalışarak güvenlik önlemlerinin geliştirilmesi, karşılıklı güveni güçlendirir ve güvenliği ortak bir öncelik haline getirir.
- İş birliği öncesinde tedarikçileri kapsamlı şekilde değerlendirin. Olası tedarikçilerin siber güvenlik politikalarının incelenmesi, geçmiş olaylara dair bilgi talep edilmesi ve sektör standartlarına uyumlarının değerlendirilmesi kritik önem taşır.
- Yazılım ve bulut hizmetleri için teknik analizler gerçekleştirin. Zafiyet verilerinin toplanması, sızma testlerinin yapılması ve gerekli durumlarda dinamik uygulama güvenliği testlerinin (DAST) uygulanması önerilir.
- Sözleşmelere güvenlik gerekliliklerini dahil edin. Tedarikçi sözleşmelerinde düzenli güvenlik denetimleri, kurum politikalarına uyum ve olay bildirim süreçleri gibi açık bilgi güvenliği şartları yer almalıdır.
- Önleyici teknolojik önlemler benimseyin. En az ayrıcalık prensibi, sıfır güven (zero trust) yaklaşımı ve gelişmiş kimlik yönetimi uygulamaları gibi güvenlik pratikleri, tedarikçi kaynaklı risklerin yaratabileceği olası zararları önemli ölçüde azaltır.
Kaynak : 