ZİNCİRİN EN ZAYIF HALKASI OLMAYIN
KOBİ’lerin tedarik zinciri saldırılarından korunması için sekiz öneri...

27 Şubat 2024 Salı 09:20
Tedarik zincirleri küresel ticareti ve refahı kolaylaştıran bağlayıcı dokulardır. Birbiriyle örtüşen ve ilişkili şirketlerden oluşan bu ağlar giderek daha karmaşık hale geliyor. Çoğu yazılım ve dijital hizmet tedariğini içeriyor, çevrimiçi etkileşimlere dayanıyor. Bu da onları kesintiye uğrama ve tehlikeye girme riskiyle karşı karşıya bırakıyor.
Özellikle KOBİ'ler tedarik zincirlerinde güvenliği yönetmek için proaktif bir arayış içinde olmayabilir ya da bu konuda yeterli kaynağa sahip değildir. Şirketlerin ortaklarına ve tedarikçilerine siber güvenlik konusunda körü körüne güvenmesi mevcut şartlarda sürdürülebilir değil. Dijital güvenlik şirketi ESET tedarik zincirinde gizlenen siber güvenlik risklerinin nasıl azaltılabileceğine yönelik önerilerde bulundu.
Tedarik zinciri riski nedir?
Tedarik zinciri siber riskleri, fidye yazılımı ve veri hırsızlığından hizmet engelleme (DDoS) ve dolandırıcılığa kadar birçok şekilde ortaya çıkabilir. Profesyonel hizmet firmaları örneğin avukatlar, muhasebeciler veya yazılım firmaları geleneksel tedarikçileri etkileyebilirler. Saldırganlar ayrıca yönetilen hizmet sağlayıcılarının (MSP'ler) da peşine düşebilir çünkü tek bir şirketi bu şekilde tehlikeye atarak potansiyel olarak çok sayıda alt müşteri işletmesine erişim elde edebilirler. Geçen yıl yapılan bir araştırma, MSP'lerin yüzde 90'ının önceki 18 ay içinde bir siber saldırıya maruz kaldığını ortaya koydu.
Başlıca tedarik zinciri siber saldırı türleri
Güvenliği ihlal edilmiş tescilli yazılım: Siber suçlular giderek daha cesur oluyor. Bazı durumlarda, yazılım geliştiricilerini tehlikeye atmanın ve daha sonra alt müşterilere teslim edilen koda kötü amaçlı yazılım eklemenin bir yolunu bulabiliyorlar.
Açık kaynak tedarik zincirlerine saldırılar: Çoğu geliştirici, yazılım projelerinin pazara çıkış süresini hızlandırmak için açık kaynak bileşenleri kullanır. Ancak tehdit aktörleri bunu biliyor ve bileşenlere kötü amaçlı yazılım ekleyip, bunları popüler depolarda kullanıma sunuyor. Tehdit aktörleri, bazı kullanıcıların yama yapmakta yavaş davranabileceği açık kaynak kodundaki güvenlik açıklarından da faydalanmakta hızlı davranıyor.
Dolandırıcılık için tedarikçileri taklit etme: Ticari e-posta tehlikesi (BEC) olarak bilinen sofistike saldırılar bazen dolandırıcıların bir müşteriyi kandırarak para göndermesini sağlamak için tedarikçilerin kimliğine bürünmesiyle gerçekleştirilir. Saldırgan genellikle taraflardan birine veya diğerine ait bir e-posta hesabını ele geçirir, devreye girip banka bilgilerinin değiştirildiği sahte bir fatura gönderme zamanı gelene kadar e-posta akışlarını izler.
Kimlik bilgisi hırsızlığı: Saldırganlar, tedarikçiye ya da müşterilerine (ağlarına erişebilecekleri) saldırmak amacıyla tedarikçilerin oturum açma bilgilerini çalar.
Veri hırsızlığı: Birçok tedarikçi, özellikle hukuk firmaları gibi özel kurumsal sırlara vakıf olan şirketler müşterileri hakkında hassas veriler depolar. Bu şirketler, şantaj veya başka yollarla para kazanabilecekleri bilgileri arayan tehdit aktörleri için cazip bir hedef teşkil eder.
Tedarik zinciri riskinin türü ne olursa olsun, sonuç aynı olabilir: Finansal ve itibar hasarı ve hukuk davaları, operasyonel kesintiler, satış kaybı ve kızgın müşteriler. En iyi uygulamaları takip ederek bu riskleri yönetmek mümkündür.
Yeni tedarikçiler için durum tespiti yapın. Bu, güvenlik programlarınızın beklentilerinizle uyumunu ve tehdit koruması, tespiti ve müdahalesi için temel önlemlere sahip olup olmadıklarını kontrol etmeniz anlamına gelir. Yazılım tedarikçileri için bu aynı zamanda bir güvenlik açığı yönetim programına sahip olup olmadıklarına ve ürünlerinin kalitesiyle ilgili itibarlarının ne olduğuna da uzanmalıdır.
Açık kaynak risklerini yönetin. Bu, yazılım bileşenlerine görünürlük kazandırmak için yazılım kompozisyon analizi (SCA) araçlarının kullanılması, güvenlik açıkları ve kötü amaçlı yazılımlar için sürekli tarama yapılması ve hataların derhal yamalanması anlamına gelebilir. Aynı zamanda geliştirici ekiplerinin ürün geliştirirken tasarım yoluyla güvenliğin önemini anlamalarını sağlar.
Tüm tedarikçiler için bir risk incelemesi yapın. Tedarikçilerinizin kim olduğunu anlamak ve ardından temel güvenlik önlemlerine sahip olup olmadıklarını kontrol etmekle başlar. Bu, kendi tedarik zincirlerini de kapsamalıdır. Sık sık denetim yapın ve uygun olduğunda endüstri standartları ve yönetmelikleriyle akreditasyonu kontrol edin.
Tüm onaylı tedarikçilerinizin bir listesini tutun. Denetim sonuçlarınıza göre düzenli olarak listeyi güncelleyin. Tedarikçi listesinin düzenli olarak denetlenmesi ve güncellenmesi, kuruluşların kapsamlı risk değerlendirmeleri yapmasına, potansiyel güvenlik açıklarını tespit etmesine ve tedarikçilerin siber güvenlik standartlarına uymasını sağlamasına olanak tanıyacaktır.
Tedarikçiler için resmi bir politika oluşturun. Bu, karşılanması gereken SLA'lar da dahil olmak üzere tedarikçi riskini azaltmaya yönelik gereksinimlerinizi ana hatlarıyla belirtmelidir. Genel tedarik zincirinin güvenliğini sağlamak için tedarikçilerin uyması gereken beklentileri, standartları ve prosedürleri özetleyen temel bir belge görevi görür.
Tedarikçi erişim risklerini yönetin. Kurumsal ağa erişmeleri gerekiyorsa, tedarikçiler arasında en az ayrıcalık ilkesini uygulayın. Bu, tüm kullanıcıların ve cihazların doğrulaması yapılana kadar güvenilmez olduğu, sürekli kimlik doğrulama ve ağ izlemenin ekstra bir risk azaltma katmanı eklediği “Sıfır Güven” yaklaşımının bir parçası olarak uygulanabilir.
Bir olay müdahale planı geliştirin. En kötü senaryo durumunda, tehdidi kurumu etkileme şansı bulmadan önce kontrol altına almak için iyi prova edilmiş bir planınız olduğundan emin olun. Bu plan, tedarikçileriniz için çalışan ekiplerle nasıl irtibat kurulacağını da içerecektir.
Endüstri standartlarını uygulamayı düşünün. ISO 27001 ve ISO 28000, tedarikçi riskini en aza indirmek için yukarıda listelenen adımlardan bazılarını gerçekleştirmenin birçok yararlı yoluna sahiptir.
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.
Şirket mailinizi kullanırken sakın bunu yapmayınİş yerinden verilen e-posta adresleri özel işler için kullanılabilir mi? Çalışanların bu konudaki hakları neler, işverenin yetki sınırları nerede başlıyor? İşte tüm detaylar...15 Nisan 2025 Salı 09:07TEKNOLOJİ
Instagram'a yaş sınırı geldi! Bakandan açıklama geldiDünyanın dev teknoloji şirketi Meta, Instagram platformundaki 'Genç Hesaplar'a ilişkin getirilen yenilikleri paylaştı. Konuyla ilgili Ulaştırma ve Altyapı Bakanı Abdulkadir Uraloğlu da açıklama yaptı.09 Nisan 2025 Çarşamba 09:15TEKNOLOJİ
Kawasaki'den insan taşıyabilen robot köpekJapon teknoloji devi Kawasaki, geliştirme aşamasında olduğu insan taşıyabilen robot köpek Corleo'yu görücüye çıkarırken, robotun 2050 yılında kullanıma sunulması bekleniyor.07 Nisan 2025 Pazartesi 17:00TEKNOLOJİ
X’ten parodi hesaplara yeni kurallarSosyal medya platformu X, parodi hesaplara temsil etmek istedikleri kişilere ait X hesaplarından farklı görseller kullanmalarını zorunlu olacak şekilde yeni kurallar getiriyor.07 Nisan 2025 Pazartesi 16:05TEKNOLOJİ
Gmail veya Outlook kullananlar dikkat!ABD'de yetkiler; Gmail, Outlook ve diğer popüler e-posta hizmetlerini kullanan kişileri, yüzlerce kullanıcının verilerini ele geçiren fidyeciler konusunda uyardı.18 Mart 2025 Salı 10:00TEKNOLOJİ
Twitter X uygulaması neden çöktü?Resmi adı X olan platformda sayfa yenileyememe sorunu yaşandı. Peki X (Twitter) neden çöktü?10 Mart 2025 Pazartesi 13:07TEKNOLOJİ
Yapay zeka siber güvenlik sektörünü yeniden şekillendiriyorBCG’nin 2024 Siber Güvenlik İş Gücü Raporu’na göre, dünya genelinde siber güvenlik alanında hala 2,8 milyon istihdam açığı var.06 Mart 2025 Perşembe 09:21TEKNOLOJİ
İki HÜRJET aynı anda gökyüzündeTürk Havacılık Uzay Sanayii’nin (TUSAŞ) sosyal medya hesabından iki HÜRJET’in aynı anda gökyüzünde olduğu görüntüler paylaşıldı.27 Şubat 2025 Perşembe 15:48TEKNOLOJİ
SpaceX, 23 Starlink uydusunu daha uzaya fırlattı23 Starlink uydusunu alçak dünya yörüngesine taşıyan SpaceX’e ait Falcon-9 roketi, ABD’nin Florida eyaletinden başarılı bir şekilde fırlatıldı.19 Şubat 2025 Çarşamba 07:17TEKNOLOJİ
Kızılelma PT-3 motor testini geçtiTürkiye’nin yerli ve milli insansız savaş uçağı Bayraktar Kızılelma motor testi başarı ile gerçekleşti. BAYKAR Yönetim Kurulu Başkanı Selçuk Bayraktar o anları sosyal medya hesabından paylaştı.10 Şubat 2025 Pazartesi 10:18TEKNOLOJİ
Bir ayda 1 milyar 98 milyon 721 zararlı erişim engellendiUlaştırma ve Altyapı Bakanı Abdulkadir Uraloğlu, Ulusal Siber Olaylara Müdahale Merkezinin ocak ayında 1.5 milyon IP adresine 1 milyar 98 milyon 721 bin zararlı erişim isteğini engellediğini bildirdi.10 Şubat 2025 Pazartesi 09:39TEKNOLOJİ
Çin'in DeepSek'i ChatGPT'ye rakip olduYapay zeka alanında liderliğiyle bilinen ChatGPT, Çin’in yeni uygulaması DeepSeek’in hızlı yükselişiyle güçlü bir rakip kazandı.28 Ocak 2025 Salı 16:24TEKNOLOJİ
Savunma Sanayii Başkanı Görgün: "KAAN’ın motoru yerli ve milli olacak"Savunma Sanayii Başkanı Haluk Görgün, “KAAN’ın da motorunu yerli ve milli yapacağız. Bunun faaliyetleri de başladı” dedi.15 Ocak 2025 Çarşamba 01:49TEKNOLOJİ
Baykar, ilk uydusunu uzaya fırlattıBaykar, iştiraki Fergani Uzay’ın “FGN-100-d1” isimli uydusunu, SpaceX’in Transporter-12 misyonu kapsamında uzaya fırlattı.15 Ocak 2025 Çarşamba 00:43TEKNOLOJİ
Çinli dev firmanın geliştirdiği insansı robot şaşırttı! Maliyeti 11 bin Euro!Çinli EngineAI şirketi tarafından geliştirilen PM01 insansı robot, hem fiyatı hem de özellikleriyle çok konuşulacak.28 Aralık 2024 Cumartesi 14:06TEKNOLOJİ
Türksat 6A kalıcı yörüngesine ulaştıUlaştırma ve Altyapı Bakanı Abdulkadir Uraloğlu, Türksat 6A’nın daimi hizmet vereceği 42 derece Doğu yörüngesine ulaştığını bildirdi.28 Aralık 2024 Cumartesi 09:38TEKNOLOJİ
Avrupa Birliği'nden şarj kararı! Artık zorunlu...Avrupa Birliği'nde, yarından itibaren yeni akıllı telefon, tablet ve kamera gibi elektronik cihazlarda USB-C şarj girişi zorunlu hale gelecek.28 Aralık 2024 Cumartesi 01:39TEKNOLOJİ
İşte 2024’ün en iyi oyunlarıDijital oyun alışverişlerinde en güvenilir adresiniz Oyunfor, 2024 yılı içerisinde piyasaya sürülen ve oyuncuların en çok ilgi gösterdiği 10 oyunu sizler için bir araya getirdi24 Aralık 2024 Salı 13:33TEKNOLOJİ
Instagram’dan yeni özellik! Kaçırdığınız hikayeleri yeniden görebileceksinizInstagram, kullanıcıların takip ettiği kişilerin Hikaye Öne Çıkanlar'ını daha kolay bulabileceği özelliği test etmeye başladı.24 Aralık 2024 Salı 10:28TEKNOLOJİ
Çalan her telefonu açmayınTelefon dolandırıcılığı neden hala revaçta?19 Kasım 2024 Salı 12:12TEKNOLOJİ
- Geri
- Ana Sayfa
- Normal Görünüm
- © 2015 Bursa Bakış