Kaspersky tarafından gerçekleştirilen yeni bir küresel araştırma, nitelikli BT güvenliği çalışanı eksikliğinin ve küresel organizasyonların tedarik zinciri ile güven ilişkisine dayalı saldırı risklerini azaltmak için çeşitli güvenlik görevlerine öncelik verme ihtiyacının altını çiziyor. Türkiye’deki katılımcıların %44’ü her iki faktörü de temel engeller arasında gösteriyor.

Kaspersky’nin tedarik zinciri ve güven ilişkisi risklerine odaklanan son araştırmasına* göre, tedarik zinciri saldırıları şirketler için en kritik tehditlerden biri haline gelmiş durumda. Son bir yıl içinde her üç kurumdan biri bu tür bir saldırıya maruz kaldığını belirtiyor. Söz konusu saldırıların artan sıklığı ve etkisi, şirketlerin bu riskleri etkin şekilde yönetmesini zorlaştıran temel nedenlerin anlaşılmasını zorunlu kılıyor.

Anket sonuçlarına göre, tedarik zinciri ve güven ilişkisinden kaynaklanan risklerin azaltılmasının önündeki en büyük engellerden biri uzman iş gücü eksikliği. Bu yetersizlik, organizasyonların kendi ekosistemlerindeki potansiyel üçüncü taraf zafiyetlerini düzenli olarak tespit etme ve izleme kapasitesini kısıtlıyor. Katılımcıların belirttiği bir diğer kritik engel ise birden fazla siber güvenlik önceliği arasında denge kurma zorunluluğu. Bu durum, güvenlik ekiplerinin aynı anda çok fazla görevle ilgilenmek zorunda kaldığını ve bunun sonucunda tedarik zinciri tehditlerinin gözden kaçabildiğini gösteriyor.

Kaynak kısıtlılığının ötesinde, katılımcılar yapısal sorunlara da dikkat çekiyor: Türkiye’deki işletmelerin %46’sı, yüklenicilerle yapılan sözleşmelerde net BT güvenliği yükümlülüklerinin bulunmadığını belirtiyor. Ayrıca katılımcıların %35’i, BT dışı güvenlik personelinin bu riskleri tam olarak kavramadığını dile getiriyor.

Araştırmaya göre Türkiye’deki işletmelerin %93 gibi ezici bir çoğunluğu, tedarik zinciri ve güven ilişkisi risklerine karşı koruma önlemlerini yükseltmeleri gerektiğini kabul ederken; mevcut güvenlik önlemlerini yeterli bulanların oranı yalnızca %7’de kalıyor.

Aynı zamanda araştırma sonuçları, üçüncü taraf risklerine yönelik mevcut risk yönetimi uygulamaları parçalı kaldığını ve hiçbir koruma yönteminin kullanıcılar arasında %42’den fazla bir benimsenme oranına ulaşamadığını gösteriyor. En yaygın koruyucu önlem olan iki faktörlü kimlik doğrulama (2FA) bile Türkiye de’ki katılımcıların yalnızca %26’sı tarafından kullanılıyor. Ayrıca, kuruluşların sadece %42’si yüklenicilerin siber güvenlik duruşlarını düzenli olarak gözden geçiriyor. Sonuç olarak, işletmelerin yaklaşık üçte ikisi iş ortaklarının güvenliği konusunda sürekli görünürlük sağlayamıyor; bu da onları ekosistemlerindeki gelişen zafiyetlere karşı savunmasız bırakıyor.

Küresel ölçekte dikkat çekici bulgular ise, halihazırda tedarik zinciri ve güven ilişkisine dayalı saldırılara maruz kalmış şirketlerin daha güçlü güvenlik alışkanlıkları edinme eğiliminde olmasıdır. Tedarik zinciri olaylarından etkilenen şirketlerin sızma testi sonuçlarını talep etme olasılığı daha yüksekken (%56); güven ilişkisi ihlali mağdurları endüstri standartlarına uyumluluk kontrollerine (%56) ve yüklenicilerin kendi tedarik zinciri politikalarına (%53) öncelik veriyor.

Kaspersky Güvenlik Operasyonları Merkezi (SOC) Başkanı Sergey Soldatov konuyla ilgili şu değerlendirmede bulunuyor: “Güvenlik ekipleri kapasitelerinin üzerinde çalıştığında, personel eksikliği yaşandığında ve uzun vadeli dayanıklılık stratejileri yerine acil görevlere öncelik vermek zorunda kaldığında; organizasyonlar, tedarikçi ekosistemi içinde sessizce ilerleyebilen tehditlere karşı korumasız kalıyor. Bu döngüyü kırmak için endüstrinin; standartlaştırılmış yüklenici değerlendirmelerinden ekipler arası farkındalığın artırılmasına kadar daha bütünleşik ve tutarlı hafifletme stratejilerini benimsemesi gerekiyor. Tedarik zinciri güvenliği, tüm iş ağı genelinde paylaşılan ve hesap verebilir bir sorumluluk haline gelmelidir.”

Şirketlerin tedarik zinciri risklerini azaltabilmesi ve iş sürekliliğini güvence altına alabilmesi, ancak organizasyon genelinde önleyici tedbirlerin uygulanması ve tedarikçi–yüklenici ilişkilerinin stratejik bir bakış açısıyla ele alınmasıyla mümkün.

Kaspersky, bu riskleri azaltmak için şu adımları öneriyor:

Yönetilen güvenlik hizmetlerinden yararlanın: Siber güvenlik kaynakları sınırlı olan kurumlar için dış kaynak kullanımı kritik önem taşır. Kaspersky Managed Detection and Response (MDR) ve Incident Response gibi çözümler, tehdit tespitinden müdahaleye ve sürekli korumaya kadar tüm olay yönetimi sürecini kapsar.
Siber güvenlik eğitimlerine yatırım yapın: Çalışanların bilgi seviyesini artırmak için uygulamaya dönük, kendi kendine ilerlemeli veya Kaspersky Siber Güvenlik Eğitimleri tercih edilmelidir. Bu sayede güvenlik ekiplerinin teknik yetkinlikleri gelişir ve şirketler daha karmaşık saldırılara karşı korunur.
Tedarikçileri anlaşma öncesinde kapsamlı şekilde değerlendirin: Siber güvenlik politikaları, geçmiş olay kayıtları ve sektör standartlarına uyum gibi kriterler mutlaka incelenmelidir. Yazılım ve bulut hizmetleri için ayrıca zafiyet verileri ve penetrasyon test sonuçları değerlendirilmelidir.
Sözleşmelere güvenlik gerekliliklerini dahil edin: Tedarikçi sözleşmeleri; düzenli güvenlik denetimleri, kurum politikalarına uyum ve olay bildirim süreçleri gibi açık bilgi güvenliği yükümlülüklerini içermelidir.
Tedarikçilerle güvenlik konusunda iş birliği yapın: Koruma seviyesini her iki taraf için de güçlendirmek ve güvenliği ortak bir öncelik haline getirmek kritik önem taşır.