KOBİ’lerin tedarik zinciri ataklarından korunması için sekiz teklif

Tedarik zincirleri küresel ticareti ve refahı kolaylaştıran bağlayıcı dokulardır. Birbiriyle örtüşen ve irtibatlı şirketlerden oluşan bu ağlar giderek daha karmaşık hale geliyor. Birden fazla yazılım ve dijital hizmet tedariğini içeriyor, çevrimiçi etkileşimlere dayanıyor. Bu da onları kesintiye uğrama ve tehlikeye girme riskiyle karşı karşıya bırakıyor.

Özellikle KOBİ’ler tedarik zincirlerinde güvenliği yönetmek için proaktif bir arayış içinde olmayabilir ya da bu bahiste kâfi kaynağa sahip değildir. Şirketlerin ortaklarına ve tedarikçilerine siber güvenlik konusunda körü körüne güvenmesi mevcut kurallarda sürdürülebilir değil. Dijital güvenlik şirketi ESET tedarik zincirinde gizlenen siber güvenlik risklerinin nasıl azaltılabileceğine yönelik tekliflerde bulundu.

Tedarik zinciri riski nedir?

Tedarik zinciri siber riskleri, fidye yazılımı ve bilgi hırsızlığından hizmet engelleme (DDoS) ve dolandırıcılığa kadar birçok formda ortaya çıkabilir. Profesyonel hizmet firmaları örneğin avukatlar, muhasebeciler veyahut yazılım firmaları klasik tedarikçileri etkileyebilirler. Saldırganlar ayrıyeten yönetilen hizmet sağlayıcılarının (MSP’ler) da peşine düşebilir çünkü tek bir şirketi bu formda tehlikeye atarak potansiyel olarak çok sayıda alt müşteri işletmesine erişim elde edebilirler. Geçen yıl yapılan bir araştırma, MSP’lerin yüzde 90’ının önceki 18 ay içinde bir siber atağa maruz kaldığını ortaya koydu.

Başlıca tedarik zinciri siber atak türleri

Güvenliği ihlal edilmiş tescilli yazılım: Siber kusurlular giderek daha yürekli oluyor. Birtakım durumlarda, yazılım geliştiricilerini tehlikeye atmanın ve daha sonra alt müşterilere teslim edilen koda makûs gayeli yazılım eklemenin bir yolunu bulabiliyorlar.

Açık kaynak tedarik zincirlerine hamleler: Çoğu geliştirici, yazılım projelerinin pazara çıkış mühletini hızlandırmak için açık kaynak bileşenleri kullanır. Lakin tehdit aktörleri bunu biliyor ve bileşenlere makus emelli yazılım ekleyip, bunları tanınan depolarda kullanıma sunuyor. Tehdit aktörleri, birtakım kullanıcıların yama yapmakta yavaş davranabileceği açık kaynak kodundaki güvenlik açıklarından da faydalanmakta hızlı davranıyor.

Dolandırıcılık için tedarikçileri taklit etme: Ticari e-posta tehlikesi (BEC) olarak bilinen sofistike ataklar bazen dolandırıcıların bir müşteriyi kandırarak para göndermesini sağlamak için tedarikçilerin kimliğine bürünmesiyle gerçekleştirilir. Saldırgan ekseriyetle taraflardan birine veyahut diğerine ait bir e-posta hesabını ele geçirir, devreye girip banka bilgilerinin değiştirildiği geçersiz bir fatura gönderme vakti gelene kadar e-posta akışlarını izler.

Kimlik bilgisi hırsızlığı: Saldırganlar, tedarikçiye ya da müşterilerine (ağlarına erişebilecekleri) saldırmak maksadıyla tedarikçilerin oturum açma bilgilerini çalar.

Veri hırsızlığı: Birçok tedarikçi, özellikle hukuk firmaları üzere özel kurumsal sırlara vakıf olan şirketler müşterileri hakkında hassas bilgiler depolar. Bu şirketler, şantaj veyahut öteki yollarla para kazanabilecekleri bilgileri arayan tehdit aktörleri için cazip bir gaye teşkil eder.

Tedarik zinciri riskinin tipi ne olursa olsun, sonuç birebir olabilir: Finansal ve itibar hasarı ve hukuk davaları, operasyonel kesintiler, satış kaybı ve kızgın müşteriler. En âlâ uygulamaları takip ederek bu riskleri yönetmek mümkündür.

• Yeni tedarikçiler için durum tespiti yapın. Bu, güvenlik programlarınızın beklentilerinizle ahengini ve tehdit müdafaası, tespiti ve müdahalesi için temel önlemlere sahip olup olmadıklarını kontrol etmeniz manasına gelir. Yazılım tedarikçileri için bu birebir vakitte bir güvenlik açığı yönetim programına sahip olup olmadıklarına ve yapıtlarının kalitesiyle ilgili itibarlarının ne olduğuna da uzanmalıdır.
• Açık kaynak risklerini yönetin. Bu, yazılım bileşenlerine görünürlük kazandırmak için yazılım kompozisyon analizi (SCA) araçlarının kullanılması, güvenlik açıkları ve berbat amaçlı yazılımlar için sürekli tarama yapılması ve kusurların derhal yamalanması manasına gelebilir. Tıpkı vakitte geliştirici ekiplerinin eser geliştirirken tasarım yoluyla güvenliğin değerini anlamalarını sağlar.
• Tüm tedarikçiler için bir risk incelemesi yapın. Tedarikçilerinizin kim olduğunu anlamak ve ardından temel güvenlik önlemlerine sahip olup olmadıklarını kontrol etmekle başlar. Bu, kendi tedarik zincirlerini de kapsamalıdır. Sık sık denetim yapın ve uygun olduğunda sanayi standartları ve yönetmelikleriyle akreditasyonu kontrol edin.
• Tüm onaylı tedarikçilerinizin bir listesini tutun. Denetim sonuçlarınıza göre tertipli olarak listeyi güncelleyin. Tedarikçi listesinin nizamlı olarak denetlenmesi ve güncellenmesi, kuruluşların kapsamlı risk değerlendirmeleri yapmasına, potansiyel güvenlik açıklarını tespit etmesine ve tedarikçilerin siber güvenlik standartlarına uymasını sağlamasına imkan tanıyacaktır.
• Tedarikçiler için resmi bir siyaset oluşturun. Bu, karşılanması gereken SLA’lar da dahil olmak üzere tedarikçi riskini azaltmaya yönelik gereksinimlerinizi ana hudutlarıyla belirtmelidir. Genel tedarik zincirinin güvenliğini sağlamak için tedarikçilerin uyması gereken beklentileri, standartları ve prosedürleri özetleyen temel bir doküman görevi görür.
• Tedarikçi erişim risklerini yönetin. Kurumsal ağa erişmeleri gerekiyorsa, tedarikçiler ortasında en az ayrıcalık prensibini uygulayın. Bu, tüm kullanıcıların ve aygıtların doğrulaması yapılana kadar güvenilmez olduğu, hep kimlik doğrulama ve ağ izlemenin ekstra bir risk azaltma katmanı eklediği “Sıfır Güven” yaklaşımının bir modülü olarak uygulanabilir.
• Bir olay müdahale planı geliştirin. En makûs senaryo durumunda, tehdidi kurumu etkileme talihi bulmadan önce kontrol altına almak için düzgün prova edilmiş bir planınız olduğundan emin olun. Bu plan, tedarikçileriniz için çalışan kümelerle nasıl irtibat kurulacağını da içerecektir.
• Endüstri standartlarını uygulamayı düşünün. ISO 27001 ve ISO 28000, tedarikçi riskini en aza indirmek için üstte listelenen adımlardan bazılarını gerçekleştirmenin birçok yararlı yoluna sahiptir.