KOBİ’lerin tedarik zinciri saldırılarından korunması için sekiz öneri

Tedarik zincirleri global ticareti ve refahı kolaylaştıran bağlayıcı dokulardır. Birbiriyle örtüşen ve bağlantılı şirketlerden oluşan bu ağlar giderek daha karmaşık hale geliyor. Birden fazla yazılım ve dijital hizmet tedariğini içeriyor, çevrimiçi etkileşimlere dayanıyor. Bu da onları kesintiye uğrama ve tehlikeye girme riskiyle karşı karşıya bırakıyor. 

Özellikle KOBİ'ler tedarik zincirlerinde güvenliği yönetmek için proaktif bir arayış içinde olmayabilir ya da bu mevzuda kâfi kaynağa sahip değildir. Şirketlerin ortaklarına ve tedarikçilerine siber güvenlik konusunda körü körüne güvenmesi mevcut koşullarda sürdürülebilir değil. Dijital güvenlik şirketi ESET tedarik zincirinde gizlenen siber güvenlik risklerinin nasıl azaltılabileceğine yönelik tekliflerde bulundu. 

Tedarik zinciri riski nedir?

Tedarik zinciri siber riskleri, fidye yazılımı ve data hırsızlığından hizmet engelleme (DDoS) ve dolandırıcılığa kadar birçok halde ortaya çıkabilir. Profesyonel hizmet firmaları örneğin avukatlar, muhasebeciler yahut yazılım firmaları klasik tedarikçileri etkileyebilirler. Saldırganlar ayrıyeten yönetilen hizmet sağlayıcılarının (MSP'ler) da peşine düşebilir zira tek bir şirketi bu halde tehlikeye atarak potansiyel olarak çok sayıda alt müşteri işletmesine erişim elde edebilirler. Geçen yıl yapılan bir araştırma, MSP'lerin yüzde 90'ının evvelki 18 ay içinde bir siber atağa maruz kaldığını ortaya koydu. 

Başlıca tedarik zinciri siber hücum türleri

Güvenliği ihlal edilmiş tescilli yazılım: Siber hatalılar giderek daha bahadır oluyor. Birtakım durumlarda, yazılım geliştiricilerini tehlikeye atmanın ve daha sonra alt müşterilere teslim edilen koda berbat maksatlı yazılım eklemenin bir yolunu bulabiliyorlar.

Açık kaynak tedarik zincirlerine hücumlar: Çoğu geliştirici, yazılım projelerinin pazara çıkış müddetini hızlandırmak için açık kaynak bileşenleri kullanır. Lakin tehdit aktörleri bunu biliyor ve bileşenlere berbat emelli yazılım ekleyip, bunları tanınan depolarda kullanıma sunuyor. Tehdit aktörleri, kimi kullanıcıların yama yapmakta yavaş davranabileceği açık kaynak kodundaki güvenlik açıklarından da faydalanmakta süratli davranıyor. 

Dolandırıcılık için tedarikçileri taklit etme: Ticari e-posta tehlikesi (BEC) olarak bilinen sofistike taarruzlar bazen dolandırıcıların bir müşteriyi kandırarak para göndermesini sağlamak için tedarikçilerin kimliğine bürünmesiyle gerçekleştirilir. Saldırgan ekseriyetle taraflardan birine yahut başkasına ilişkin bir e-posta hesabını ele geçirir, devreye girip banka bilgilerinin değiştirildiği geçersiz bir fatura gönderme vakti gelene kadar e-posta akışlarını izler.

Kimlik bilgisi hırsızlığı: Saldırganlar, tedarikçiye ya da müşterilerine (ağlarına erişebilecekleri) saldırmak gayesiyle tedarikçilerin oturum açma bilgilerini çalar. 

Veri hırsızlığı: Birçok tedarikçi, bilhassa hukuk firmaları üzere özel kurumsal sırlara vakıf olan şirketler müşterileri hakkında hassas datalar depolar. Bu şirketler, şantaj yahut diğer yollarla para kazanabilecekleri bilgileri arayan tehdit aktörleri için cazip bir amaç teşkil eder. 

Tedarik zinciri riskinin çeşidi ne olursa olsun, sonuç tıpkı olabilir: Finansal ve prestij hasarı ve hukuk davaları, operasyonel kesintiler, satış kaybı ve kızgın müşteriler. En yeterli uygulamaları takip ederek bu riskleri yönetmek mümkündür.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Benzer Videolar