Siber Güvenlik Uzmanı Eksikliği: Tedarik Zincirindeki Riskleri Artıran Kritik Sorun

Kaspersky tarafından gerçekleştirilen kapsamlı bir küresel araştırma, nitelikli BT güvenlik uzmanı eksikliğinin yanı sıra, küresel işletmelerin tedarik zinciri ve güven ilişkisine dayalı siber riskleri azaltmak amacıyla güvenlik önceliklerini yeniden değerlendirmesi gerektiğini ortaya koymaktadır. Türkiye’deki katılımcıların %44’ü, bu iki faktörün en önemli engeller arasında yer aldığını belirtmektedir.

Tedarik Zinciri Saldırıları ve Uzman Açığı

Kaspersky’nin tedarik zinciri ve güven ilişkisi risklerine odaklanan son çalışmasına göre, son bir yıl içinde her üç işletmeden biri tedarik zinciri tabanlı saldırılara maruz kalmıştır. Bu durum, söz konusu risklerin yönetimini zorlaştıran temel engellerin anlaşılmasını gerektirmektedir. Araştırma sonuçları, özellikle nitelikli bir uzman iş gücü eksikliğinin, şirketlerin tedarik zinciri içerisindeki potansiyel üçüncü taraf güvenlik açıklarını tespit etme ve takip etme kabiliyetini sınırladığını göstermektedir. Ayrıca, güvenlik ekiplerinin çok sayıda göreve eş zamanlı odaklanmak zorunda kalması da risklerin etkili şekilde yönetilmesini engelleyen diğer önemli bir faktördür.

Türkiye’deki işletmelerin %46’sı yüklenici sözleşmelerinde net BT güvenlik yükümlülüklerinin bulunmadığını bildirirken, %35’i BT dışı güvenlik personelinin bu riskleri tam olarak anlayamadığını ifade etmiştir. Ayrıca, ülkedeki katılımcıların %93’ü tedarik zinciri ve güven ilişkisine ilişkin risk yönetimi uygulamalarının iyileştirilmesi gerektiği görüşünü taşımaktadır.

Risklerin Yönetimi ve Tavsiyeler

Araştırma, Türkiye’deki kuruluşlarda tedarikçi risklerine yönelik uygulanan kontrol mekanizmalarının dağınık olduğunu ve hiç bir yöntemin %42’den fazla benimsenmediğini göstermektedir. En yaygın kullanılan önlem olan iki faktörlü kimlik doğrulaması bile sadece %26 oranında tercih edilmektedir. Ayrıca, şirketlerin %42’si yüklenicilerin siber güvenlik duruşlarını düzenli olarak denetlememektedir; bu durum, işletmelerin iş ortakları üzerindeki sürekli görünürlüğünü sınırlamaktadır.

Kaspersky Güvenlik Operasyonları Merkezi Başkanı Sergey Soldatov, güvenlik ekiplerinin kapasite yetersizliği ve kısa vadeli acil görev önceliklerinin, tedarik zinciri içerisindeki sinsi tehditlere karşı organizasyonları savunmasız bıraktığını vurgulamaktadır. Soldatov, bu döngünün kırılması için endüstrinin standartlaştırılmış yüklenici değerlendirme süreçleri ve ekipler arası bilinçlendirme programları gibi entegre ve tutarlı önlem stratejilerini benimsemesi gerektiğini belirtmektedir.

Şirketlerin tedarik zinciri risklerini etkin şekilde azaltabilmeleri için aşağıdaki önerilerde bulunulmaktadır:

• Yönetilen güvenlik hizmetlerinden yararlanmak: Özellikle sınırlı kaynaklara sahip kurumlar için Kaspersky Managed Detection and Response (MDR) ve Incident Response çözümleri, tehditlerin tespiti, müdahalesi ve sürekli takibi süreçlerini kapsamaktadır.
• Siber güvenlik eğitimlerine yatırım yapmak: Teknik personelin yetkinliklerini artırmak amacıyla, pratik odaklı veya kendi kendine ilerlemeli eğitimlerin tercih edilmesi önerilmektedir.
• Tedarikçileri kapsamlı değerlendirmek: Sözleşme öncesi siber güvenlik politikaları, geçmiş olay kayıtları, endüstri standartları uyumu, zafiyet analizleri ve penetrasyon test sonuçlarının dikkate alınması önem taşımaktadır.
• Sözleşmelere güvenlik gerekliliklerini dahil etmek: Düzenli denetimler, uyumluluk şartları ve olay bildirim protokolleri açıkça belirtilmelidir.
• Tedarikçilerle iş birliği yapmak: Ortak bir güvenlik sorumluluğu anlayışı geliştirilerek, koruma seviyelerinin artırılması amaçlanmalıdır.

Bu adımlar, işletmelerin iş sürekliliğini güvence altına alırken, tedarik zinciri siber güvenliği açısından riskleri minimize etmesini sağlayacaktır.

Kaynak: BYZHA