Tedarik zinciri ve gizli siber güvenlik riskleri

Dünya tedarik zinciri üzerine kurulmuştur. Bunlar küresel ticareti ve refahı kolaylaştıran bağlayıcı dokulardır. Ancak birbiriyle örtüşen ve ilişkili şirketlerden oluşan bu ağlar giderek daha karmaşık ve opak hale geliyor. Çoğu, yazılım ve dijital hizmet tedariğini içeriyor ya da en azından bir şekilde çevrimiçi etkileşimlere dayanıyor. Bu da onları siber güvenlik riskleri ile karşı karşıya bırakıyor.  

Özellikle KOBİ’ler tedarik zincirlerinde güvenliği yönetmek için proaktif bir arayış içinde olmayabilir ya da bu konuda yeterli kaynağa sahip olmayabilir. Ancak ortaklarınıza ve tedarikçilerinize siber güvenlik konusunda körü körüne güvenmek mevcut şartlarda sürdürülebilir değildir. Gerçekten de tedarik zinciri riskini yönetme konusunda ciddileşmenin zamanı geldi de geçiyor. 

Tedarik zinciri riski nedir? 

Tedarik zinciri siber riskleri, fidye yazılımı ve veri hırsızlığından hizmet engelleme (DDoS) ve dolandırıcılığa kadar birçok şekilde ortaya çıkabilir. Profesyonel hizmet firmaları (örneğin avukatlar, muhasebeciler) veya yazılım gibi firmalar geleneksel tedarikçileri etkileyebilirler.

Saldırganlar ayrıca yönetilen hizmet sağlayıcılarının (MSP’ler) da peşine düşebilir çünkü tek bir şirketi bu şekilde tehlikeye atarak potansiyel olarak çok sayıda alt müşteri işletmesine erişim elde edebilirler. Geçen yıl yapılan bir araştırma, MSP’lerin %90’ının önceki 18 ay içinde bir siber güvenlik ile ilintili saldırıya maruz kaldığını ortaya koymuştur.  

İşte başlıca tedarik zinciri siber saldırı türlerinden bazıları ve bunların nasıl gerçekleştiği: 

• Güvenliği ihlal edilmiş tescilli yazılım: Siber suçlular giderek daha cesur oluyor. Bazı durumlarda, yazılım geliştiricilerini tehlikeye atmanın ve daha sonra alt müşterilere teslim edilen koda kötü amaçlı yazılım eklemenin bir yolunu bulabiliyorlar. Kaseya fidye yazılımı kampanyasında olan buydu. Daha yakın tarihli bir vakada, popüler dosya aktarım yazılımı MOVEit, sıfırıncı gün güvenlik açığı nedeniyle tehlikeye girmiş ve yüzlerce kurumsal kullanıcıdan çalınan veriyle milyonlarca müşterisini etkilemişti. Bu arada, 3CX iletişim yazılımının ele geçirilmesi, bir tedarik zinciri saldırısının diğerine yol açtığı kamuya açık olarak belgelenen ilk olay olarak tarihe geçti. 
• Açık kaynak tedarik zincirlerine saldırılar: Çoğu geliştirici, yazılım projelerinin pazara çıkış süresini hızlandırmak için açık kaynak bileşenleri kullanır. Ancak tehdit aktörleri bunu biliyor ve bileşenlere kötü amaçlı yazılım eklemeye ve bunları popüler depolarda kullanıma sunuyor. Bir rapor, bu tür saldırılarda yıldan yıla %633’lük bir artış olduğunu iddia ediyor. Tehdit aktörleri, bazı kullanıcıların yama yapmakta yavaş davranabileceği açık kaynak kodundaki güvenlik açıklarından da faydalanmakta hızlı davranıyor. Log4j olarak bilinen ve neredeyse her yerde bulunan bir araçta kritik bir hata bulunduğunda da böyle olmuştu. 
• Dolandırıcılık için tedarikçileri taklit etme: Ticari e-posta tehlikesi (BEC) olarak bilinen sofistike saldırılar bazen dolandırıcıların bir müşteriyi kandırarak para göndermesini sağlamak için tedarikçilerin kimliğine bürünmesiyle gerçekleştirilir. Saldırgan genellikle taraflardan birine veya diğerine ait bir e-posta hesabını ele geçirir, devreye girip banka bilgilerinin değiştirildiği sahte bir fatura gönderme zamanı gelene kadar e-posta akışlarını izler. 
• Kimlik bilgisi hırsızlığı: Saldırganlar, tedarikçiye ya da müşterilerine (ağlarına erişebilecekleri) saldırmak amacıyla tedarikçilerin oturum açma bilgilerini çalar. Bilgisayar korsanları HVAC tedarikçilerinden birinin kimlik bilgilerini çaldığında 2013’teki büyük Target ihlalinde olan da buydu. 
• Veri hırsızlığı: Birçok tedarikçi, özellikle hukuk firmaları gibi özel kurumsal sırlara vakıf olan şirketler müşterileri hakkında hassas veriler depolar. Bu şirketler, şantaj veya başka yollarla para kazanabilecekleri bilgileri arayan tehdit aktörleri için cazip bir hedef teşkil eder.  

ILGILI MAKALE: Bir tedarik zinciri saldırısından kurtulmanın ardından: 3CX saldırısından neler öğrendik?

Riski nasıl değerlendiriyor ve azaltıyorsunuz? 

Tedarik zinciri siber güvenlik riskinin türü ne olursa olsun, sonuç aynı olabilir: Finansal ve itibar hasarı ve hukuk davaları, operasyonel kesintiler, satış kaybı ve kızgın müşteriler. Yine de sektördeki bazı en iyi uygulamaları takip ederek bu riskleri yönetmek mümkündür. İşte sekiz fikir: 

1. Yeni tedarikçiler için durum tespiti yapın. Bu, güvenlik programlarınızın beklentilerinizle uyumunu ve tehdit koruması, tespiti ve müdahalesi için temel önlemlere sahip olup olmadıklarını kontrol etmeniz anlamına gelir. Yazılım tedarikçileri için bu aynı zamanda bir güvenlik açığı yönetim programına sahip olup olmadıklarına ve ürünlerinin kalitesiyle ilgili itibarlarının ne olduğuna da uzanmalıdır. 

2. Açık kaynak risklerini yönetin. Bu, yazılım bileşenlerine görünürlük kazandırmak için yazılım kompozisyon analizi (SCA) araçlarının kullanılması, güvenlik açıkları ve kötü amaçlı yazılımlar için sürekli tarama yapılması ve hataların derhal yamalanması anlamına gelebilir. Aynı zamanda geliştirici ekiplerinin ürün geliştirirken tasarım yoluyla güvenliğin önemini anlamalarını sağlar. 

3. Tüm tedarikçiler için bir risk incelemesi yapın. Bu, tedarikçilerinizin kim olduğunu anlamak ve ardından temel güvenlik önlemlerine sahip olup olmadıklarını kontrol etmekle başlar. Bu, kendi tedarik zincirlerini de kapsamalıdır. Sık sık denetim yapın ve uygun olduğunda endüstri standartları ve yönetmelikleriyle akreditasyonu kontrol edin. 

4. Tüm onaylı tedarikçilerinizin bir listesini tutun ve bunu denetim sonuçlarınıza göre düzenli olarak güncelleyin. Tedarikçi listesinin düzenli olarak denetlenmesi ve güncellenmesi, kuruluşların kapsamlı risk değerlendirmeleri yapmasına, potansiyel güvenlik açıklarını tespit etmesine ve tedarikçilerin siber güvenlik standartlarına uymasını sağlamasına olanak tanıyacaktır.  

5. Tedarikçiler için resmi bir politika oluşturun. Bu, karşılanması gereken SLA’lar da dahil olmak üzere tedarikçi riskini azaltmaya yönelik gereksinimlerinizi ana hatlarıyla belirtmelidir. Bu nedenle, genel tedarik zincirinin güvenliğini sağlamak için tedarikçilerin uyması gereken beklentileri, standartları ve prosedürleri özetleyen temel bir belge görevi görür. 

6. Tedarikçi erişim risklerini yönetin. Kurumsal ağa erişmeleri gerekiyorsa, tedarikçiler arasında en az ayrıcalık ilkesini uygulayın. Bu, tüm kullanıcıların ve cihazların doğrulaması yapılana kadar güvenilmez olduğu, sürekli kimlik doğrulama ve ağ izlemenin ekstra bir risk azaltma katmanı eklediği Sıfır Güven yaklaşımının bir parçası olarak uygulanabilir. 

7. Bir olay müdahale planı geliştirin. En kötü senaryo durumunda, tehdidi kurumu etkileme şansı bulmadan önce kontrol altına almak için iyi prova edilmiş bir planınız olduğundan emin olun. Bu plan, tedarikçileriniz için çalışan siber güvenlik ekipleriyle nasıl irtibat kurulacağını da içerecektir. 

8. Endüstri standartlarını uygulamayı düşünün. ISO 27001 ve ISO 28000, tedarikçi riskini en aza indirmek için yukarıda listelenen adımlardan bazılarını gerçekleştirmenin birçok yararlı yoluna sahiptir.  

Bir rapora göre, geçen yıl ABD’de kötü amaçlı yazılım tabanlı saldırılardan %40 daha fazla tedarik zinciri saldırısı gerçekleşti. Bu saldırılar 10 milyondan fazla kişiyi etkileyen ihlallerle sonuçlandı. Daha etkili tedarikçi siber güvenlik risk yönetimi yoluyla kontrolü geri almanın zamanı geldi.