ZİNCİRİN EN ZAYIF HALKASI OLMAYIN
KOBİ’lerin tedarik zinciri saldırılarından korunması için sekiz öneri...

27 Şubat 2024 Salı 09:20
Tedarik zincirleri küresel ticareti ve refahı kolaylaştıran bağlayıcı dokulardır. Birbiriyle örtüşen ve ilişkili şirketlerden oluşan bu ağlar giderek daha karmaşık hale geliyor. Çoğu yazılım ve dijital hizmet tedariğini içeriyor, çevrimiçi etkileşimlere dayanıyor. Bu da onları kesintiye uğrama ve tehlikeye girme riskiyle karşı karşıya bırakıyor.
Özellikle KOBİ'ler tedarik zincirlerinde güvenliği yönetmek için proaktif bir arayış içinde olmayabilir ya da bu konuda yeterli kaynağa sahip değildir. Şirketlerin ortaklarına ve tedarikçilerine siber güvenlik konusunda körü körüne güvenmesi mevcut şartlarda sürdürülebilir değil. Dijital güvenlik şirketi ESET tedarik zincirinde gizlenen siber güvenlik risklerinin nasıl azaltılabileceğine yönelik önerilerde bulundu.
Tedarik zinciri riski nedir?
Tedarik zinciri siber riskleri, fidye yazılımı ve veri hırsızlığından hizmet engelleme (DDoS) ve dolandırıcılığa kadar birçok şekilde ortaya çıkabilir. Profesyonel hizmet firmaları örneğin avukatlar, muhasebeciler veya yazılım firmaları geleneksel tedarikçileri etkileyebilirler. Saldırganlar ayrıca yönetilen hizmet sağlayıcılarının (MSP'ler) da peşine düşebilir çünkü tek bir şirketi bu şekilde tehlikeye atarak potansiyel olarak çok sayıda alt müşteri işletmesine erişim elde edebilirler. Geçen yıl yapılan bir araştırma, MSP'lerin yüzde 90'ının önceki 18 ay içinde bir siber saldırıya maruz kaldığını ortaya koydu.
Başlıca tedarik zinciri siber saldırı türleri
Güvenliği ihlal edilmiş tescilli yazılım: Siber suçlular giderek daha cesur oluyor. Bazı durumlarda, yazılım geliştiricilerini tehlikeye atmanın ve daha sonra alt müşterilere teslim edilen koda kötü amaçlı yazılım eklemenin bir yolunu bulabiliyorlar.
Açık kaynak tedarik zincirlerine saldırılar: Çoğu geliştirici, yazılım projelerinin pazara çıkış süresini hızlandırmak için açık kaynak bileşenleri kullanır. Ancak tehdit aktörleri bunu biliyor ve bileşenlere kötü amaçlı yazılım ekleyip, bunları popüler depolarda kullanıma sunuyor. Tehdit aktörleri, bazı kullanıcıların yama yapmakta yavaş davranabileceği açık kaynak kodundaki güvenlik açıklarından da faydalanmakta hızlı davranıyor.
Dolandırıcılık için tedarikçileri taklit etme: Ticari e-posta tehlikesi (BEC) olarak bilinen sofistike saldırılar bazen dolandırıcıların bir müşteriyi kandırarak para göndermesini sağlamak için tedarikçilerin kimliğine bürünmesiyle gerçekleştirilir. Saldırgan genellikle taraflardan birine veya diğerine ait bir e-posta hesabını ele geçirir, devreye girip banka bilgilerinin değiştirildiği sahte bir fatura gönderme zamanı gelene kadar e-posta akışlarını izler.
Kimlik bilgisi hırsızlığı: Saldırganlar, tedarikçiye ya da müşterilerine (ağlarına erişebilecekleri) saldırmak amacıyla tedarikçilerin oturum açma bilgilerini çalar.
Veri hırsızlığı: Birçok tedarikçi, özellikle hukuk firmaları gibi özel kurumsal sırlara vakıf olan şirketler müşterileri hakkında hassas veriler depolar. Bu şirketler, şantaj veya başka yollarla para kazanabilecekleri bilgileri arayan tehdit aktörleri için cazip bir hedef teşkil eder.
Tedarik zinciri riskinin türü ne olursa olsun, sonuç aynı olabilir: Finansal ve itibar hasarı ve hukuk davaları, operasyonel kesintiler, satış kaybı ve kızgın müşteriler. En iyi uygulamaları takip ederek bu riskleri yönetmek mümkündür.
Yeni tedarikçiler için durum tespiti yapın. Bu, güvenlik programlarınızın beklentilerinizle uyumunu ve tehdit koruması, tespiti ve müdahalesi için temel önlemlere sahip olup olmadıklarını kontrol etmeniz anlamına gelir. Yazılım tedarikçileri için bu aynı zamanda bir güvenlik açığı yönetim programına sahip olup olmadıklarına ve ürünlerinin kalitesiyle ilgili itibarlarının ne olduğuna da uzanmalıdır.
Açık kaynak risklerini yönetin. Bu, yazılım bileşenlerine görünürlük kazandırmak için yazılım kompozisyon analizi (SCA) araçlarının kullanılması, güvenlik açıkları ve kötü amaçlı yazılımlar için sürekli tarama yapılması ve hataların derhal yamalanması anlamına gelebilir. Aynı zamanda geliştirici ekiplerinin ürün geliştirirken tasarım yoluyla güvenliğin önemini anlamalarını sağlar.
Tüm tedarikçiler için bir risk incelemesi yapın. Tedarikçilerinizin kim olduğunu anlamak ve ardından temel güvenlik önlemlerine sahip olup olmadıklarını kontrol etmekle başlar. Bu, kendi tedarik zincirlerini de kapsamalıdır. Sık sık denetim yapın ve uygun olduğunda endüstri standartları ve yönetmelikleriyle akreditasyonu kontrol edin.
Tüm onaylı tedarikçilerinizin bir listesini tutun. Denetim sonuçlarınıza göre düzenli olarak listeyi güncelleyin. Tedarikçi listesinin düzenli olarak denetlenmesi ve güncellenmesi, kuruluşların kapsamlı risk değerlendirmeleri yapmasına, potansiyel güvenlik açıklarını tespit etmesine ve tedarikçilerin siber güvenlik standartlarına uymasını sağlamasına olanak tanıyacaktır.
Tedarikçiler için resmi bir politika oluşturun. Bu, karşılanması gereken SLA'lar da dahil olmak üzere tedarikçi riskini azaltmaya yönelik gereksinimlerinizi ana hatlarıyla belirtmelidir. Genel tedarik zincirinin güvenliğini sağlamak için tedarikçilerin uyması gereken beklentileri, standartları ve prosedürleri özetleyen temel bir belge görevi görür.
Tedarikçi erişim risklerini yönetin. Kurumsal ağa erişmeleri gerekiyorsa, tedarikçiler arasında en az ayrıcalık ilkesini uygulayın. Bu, tüm kullanıcıların ve cihazların doğrulaması yapılana kadar güvenilmez olduğu, sürekli kimlik doğrulama ve ağ izlemenin ekstra bir risk azaltma katmanı eklediği “Sıfır Güven” yaklaşımının bir parçası olarak uygulanabilir.
Bir olay müdahale planı geliştirin. En kötü senaryo durumunda, tehdidi kurumu etkileme şansı bulmadan önce kontrol altına almak için iyi prova edilmiş bir planınız olduğundan emin olun. Bu plan, tedarikçileriniz için çalışan ekiplerle nasıl irtibat kurulacağını da içerecektir.
Endüstri standartlarını uygulamayı düşünün. ISO 27001 ve ISO 28000, tedarikçi riskini en aza indirmek için yukarıda listelenen adımlardan bazılarını gerçekleştirmenin birçok yararlı yoluna sahiptir.
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.
Kimlik avı saldırıları %38,4 arttıTürkiye’de Yapay Zeka Destekli Kimlik Avı Saldırıları Geçen Yıla Göre Yüzde 38,4 Arttı16 Ağustos 2025 Cumartesi 22:23TEKNOLOJİ
Ergenlerde ekran süresi 9 saati buluyor!Yetişkinler günde 100 kez telefonunu kontrol ediyor!05 Ağustos 2025 Salı 14:23TEKNOLOJİ
Sanal kumar intihara götürüyorSanal kumarın karanlık yüzü!05 Ağustos 2025 Salı 14:09TEKNOLOJİ
Küçük işletme, büyük risk!KOBİ’ler siber tehditlerle nasıl baş edebilir?28 Temmuz 2025 Pazartesi 15:40TEKNOLOJİ
Ailelerin endişesi siber zorbalıkOkullar tatil oldu ekran süreleri arttı18 Temmuz 2025 Cuma 12:26TEKNOLOJİ
Beynin çalışma örüntüsü değişiyorBeynin çalışma örüntüsü yapay zekayla birlikte değişiyor!14 Temmuz 2025 Pazartesi 11:09TEKNOLOJİ
Tatil hayaliniz kabusa dönmesinEn yaygın dolandırıcılık türleri...02 Temmuz 2025 Çarşamba 11:52TEKNOLOJİ
Evler Akıllanıyor, Tehditler Artıyor!Kullanıcılar akıllı evleriyle etkileşime geçerken farklı seçenekler arasından seçim yapabilirler:02 Temmuz 2025 Çarşamba 11:48TEKNOLOJİ
Tatil geldi, tehditler arttıDijital dünyada çocuklarınızı yalnız bırakmayın30 Haziran 2025 Pazartesi 10:15TEKNOLOJİ
Tarihin en büyük veri sızıntısı! Parolalarınızı...16 milyar veri açığa çıktı...Tarihin en büyük veri sızıntısı23 Haziran 2025 Pazartesi 07:52TEKNOLOJİ
Yapay zekâ sosyolojisi dersleri başladı!Sosyolojide yeni çağ: "Robososyoloji" doğuyor!21 Haziran 2025 Cumartesi 12:10TEKNOLOJİ
Şirket mailinizi kullanırken sakın bunu yapmayınİş yerinden verilen e-posta adresleri özel işler için kullanılabilir mi? Çalışanların bu konudaki hakları neler, işverenin yetki sınırları nerede başlıyor? İşte tüm detaylar...15 Nisan 2025 Salı 09:07TEKNOLOJİ
Instagram'a yaş sınırı geldi! Bakandan açıklama geldiDünyanın dev teknoloji şirketi Meta, Instagram platformundaki 'Genç Hesaplar'a ilişkin getirilen yenilikleri paylaştı. Konuyla ilgili Ulaştırma ve Altyapı Bakanı Abdulkadir Uraloğlu da açıklama yaptı.09 Nisan 2025 Çarşamba 09:15TEKNOLOJİ
Kawasaki'den insan taşıyabilen robot köpekJapon teknoloji devi Kawasaki, geliştirme aşamasında olduğu insan taşıyabilen robot köpek Corleo'yu görücüye çıkarırken, robotun 2050 yılında kullanıma sunulması bekleniyor.07 Nisan 2025 Pazartesi 17:00TEKNOLOJİ
X’ten parodi hesaplara yeni kurallarSosyal medya platformu X, parodi hesaplara temsil etmek istedikleri kişilere ait X hesaplarından farklı görseller kullanmalarını zorunlu olacak şekilde yeni kurallar getiriyor.07 Nisan 2025 Pazartesi 16:05TEKNOLOJİ
Gmail veya Outlook kullananlar dikkat!ABD'de yetkiler; Gmail, Outlook ve diğer popüler e-posta hizmetlerini kullanan kişileri, yüzlerce kullanıcının verilerini ele geçiren fidyeciler konusunda uyardı.18 Mart 2025 Salı 10:00TEKNOLOJİ
Twitter X uygulaması neden çöktü?Resmi adı X olan platformda sayfa yenileyememe sorunu yaşandı. Peki X (Twitter) neden çöktü?10 Mart 2025 Pazartesi 13:07TEKNOLOJİ
Yapay zeka siber güvenlik sektörünü yeniden şekillendiriyorBCG’nin 2024 Siber Güvenlik İş Gücü Raporu’na göre, dünya genelinde siber güvenlik alanında hala 2,8 milyon istihdam açığı var.06 Mart 2025 Perşembe 09:21TEKNOLOJİ
İki HÜRJET aynı anda gökyüzündeTürk Havacılık Uzay Sanayii’nin (TUSAŞ) sosyal medya hesabından iki HÜRJET’in aynı anda gökyüzünde olduğu görüntüler paylaşıldı.27 Şubat 2025 Perşembe 15:48TEKNOLOJİ
SpaceX, 23 Starlink uydusunu daha uzaya fırlattı23 Starlink uydusunu alçak dünya yörüngesine taşıyan SpaceX’e ait Falcon-9 roketi, ABD’nin Florida eyaletinden başarılı bir şekilde fırlatıldı.19 Şubat 2025 Çarşamba 07:17TEKNOLOJİ
- Geri
- Ana Sayfa
- Normal Görünüm
- © 2015 Bursa Bakış