Tedarik zinciri saldırıları şirketlerin son 12 ayda karşılaştığı tehditlerin başında yer alıyor

- Kaspersky Güvenlik Operasyonları Merkezi Başkanı Sergey Soldatov: - "Modern işletmelerin korunması, yalnızca tekil sistemleri değil, iş sürekliliğini mümkün kılan tüm ilişki ağını güçlendiren bütüncül bir yaklaşım gerektiriyor"

İSTANBUL (AA) - Kaspersky, tedarik zinciri saldırılarının şirketlerin son 12 ayda karşılaştığı tehditlerin başında yer aldığını duyurdu. Şirketten yapılan açıklamaya göre, Kaspersky, şirketlerin tedarik zinciri ve "güven ilişkisi" olarak tanımlanan iş ortaklıkları üzerinden ortaya çıkan siber risklere ne ölçüde maruz kaldığını ve bu tehditlere karşı nasıl bir hazırlık içinde olduklarını inceleyen araştırmanın sonuçlarını yayımladı. Kaspersky'nin iç pazar araştırma merkezi tarafından gerçekleştirilen çalışma kapsamında, 16 ülkede faaliyet gösteren ve 500'den fazla çalışanı bulunan şirketlerde görev yapan 1700'ün üzerinde siber güvenlik uzmanı ve teknik yöneticiyle anket yapıldı. Araştırmaya C-seviye yöneticiler, başkan yardımcıları, ekip liderleri ve kıdemli uzmanlar katılırken, katılımcıların büyük bölümü, çalışmalarının büyük bir kısmını bilgi güvenliği konularına ayıran profesyonellerden oluştu. Avrupa, Asya-Pasifik, META bölgesi ve Latin Amerika'daki küresel ölçekteki işletmelerin tedarik zinciri güvenliğine ilişkin mevcut durumunu ortaya koymayı amaçlayan araştırmaya göre, dünya genelinde yaklaşık her üç şirketten biri geçen yıl tedarik zinciri kaynaklı siber tehditle karşı karşıya kaldı. İşletmelerin yüzde 31'i son 12 ay içinde tedarik zinciri saldırılarından etkilenirken, bu oran, diğer siber tehdit türlerine kıyasla en yüksek seviyede gerçekleşti. Türkiye'de ise söz konusu oran yüzde 28 olarak kaydedildi. - Büyük ölçekli işletmeler daha fazla etkilendi Dünya Ekonomik Forumu verilerine göre de büyük ölçekli kuruluşların yaklaşık yüzde 65'i, üçüncü taraf ve tedarik zinciri kaynaklı güvenlik açıklarını siber dayanıklılığın önündeki en büyük engellerden biri olarak değerlendiriyor. Verilere göre, tedarik zinciri tehditleri özellikle yüksek düzeyde bağlantılı organizasyonları hedef alıyor. Çalışan sayısı 2 bin 500 ve üzeri olan büyük ölçekli işletmeler yüzde 36 ile en yüksek saldırı oranını bildirirken, küçük ve orta ölçekli işletmelerde bu oran daha düşük seviyede kaldı. Araştırmada büyük ölçekli işletmelerin ortalama tedarikçi sayısının da daha yüksek olduğu görüldü. Bu şirketler ortalama 100'e yakın yazılım ve donanım tedarikçisiyle çalışırken, küçük ölçekli işletmeler yaklaşık 50, büyük ölçekli işletmeler ise 130'un üzerinde yükleniciye erişim izni veriyor. Bu durum, kuruluşların dijital bağımlılıklarının artmasıyla "güven ilişkisi saldırıları" olarak adlandırılan riskleri de artırıyor. Söz konusu saldırılarda tehdit aktörleri, kuruluşlar arasındaki meşru ve güvene dayalı bağlantıları kullanarak sistemlere erişim sağlamaya çalışıyor. - Güven ilişkisi saldırıları dünya genelinde şirketlerin yüzde 25'ini etkiledi Araştırmaya göre, son bir yıl içinde güven ilişkisi saldırıları dünya genelinde şirketlerin yüzde 25'ini etkiledi. Bu tür saldırıların en sık görüldüğü ülkeler arasında yüzde 35 ile Türkiye ilk sırada yer alırken, Singapur'da söz konusu oran yüzde 33 ve Meksika'da yüzde 31 olarak kaydedildi. Orta Doğu'da ise kuruluşların yüzde 22'si bu tür saldırılara maruz kaldı. Kaspersky, tedarik zinciri risklerini azaltmak için de önerilerde bulundu. Bunlar arasında, tedarikçilerin sözleşme öncesinde kapsamlı güvenlik değerlendirmesinden geçirilmesi, sözleşmelere güvenlik gereklilikleri ve düzenli denetim maddeleri eklenmesi, en az ayrıcalık ilkesi ve sıfır güven yaklaşımı gibi güvenlik uygulamalarının hayata geçirilmesi, sistemlerin sürekli izlenmesi ve anormalliklerin erken tespit edilmesi, tedarik zinciri saldırılarını kapsayan olay müdahale planlarının oluşturulması ve tedarikçilerle siber güvenlik alanında işbirliğinin güçlendirilmesi yer aldı. Açıklamada görüşlerine yer verilen Kaspersky Güvenlik Operasyonları Merkezi (SOC) Başkanı Sergey Soldatov, her bağlantının ve tedarikçinin şirketlerin güvenlik profilinin bir parçası haline geldiğini belirtti. Soldatov, "Kuruluşlar daha fazla birbirine bağlandıkça maruz kaldıkları tehdit yüzeyi de genişliyor. Bu tabloda modern işletmelerin korunması, yalnızca tekil sistemleri değil, iş sürekliliğini mümkün kılan tüm ilişki ağını güçlendiren bütüncül bir yaklaşım gerektiriyor." değerlendirmelerinde bulundu.