Gartner tarafından yapılan bir araştırmaya nazaran, kurumların yüzde 71’i üç yıl öncesine nazaran ağlarında çok daha fazla üçüncü tarafla birlikte çalışıyor. Bu sayının önümüzdeki üç yıl içinde daha da artması bekleniyor. Şirketler, yapmaları gereken işleri tamamlaması için alt yüklenicilerin hassas bilgilere ve BT varlıklarına erişmesine müsaade veriyor.
Kaspersky BT Güvenliği İktisadı raporu, kurumsal şirketlerin yüzde 79’unun iş ortaklarına ve tedarikçilere, paylaşılan kaynaklar ve data ile nasıl çalışmalarını gerektiğini açıklayan ve kurallara uyulmadığı takdirde alacakları cezaları belirten özel prosedürler uyguladığını ortaya çıkardı. Ankete nazaran hadiselerin ortalama maliyetinin 2,57 milyon dolar olması, şirketlerin bu telaşlarında haklı olduğunu gösteriyor. Data sızıntıları, kurumsal şirketlerin karşılaştığı en yüksek maliyetli birinci üç sorun ortasında yer alıyor. Kaspersky araştırmacıları bugüne kadar ortalarında ShadowPad’in de yer aldığı çok sayıda gelişmiş tedarik zinciri hücum tespit etmişti.
İş ortaklarına belli prosedürler uygulamanın en değerli yararları ortasında, bahse dahil olan tarafların sorumluluklarının tam olarak belirlenmesi yer alıyor. Ayrıyeten tedarikçilerden biri atağın giriş noktası olduğu takdirde şirketin bundan tazminat alma ihtimalini de artırıyor. Üçüncü taraflara belli talimatlara uyma zaruriliği getiren kurumsal şirketlerin yüzde 71’i bir olay yaşandığında maddi tazminat alabildiğini belirtirken, bu türlü bir mecburilik uygulamayan şirketlerde ise bu oran yüzde 22’de kaldı. Bu üzere talimatlar KOBİ’lerin de tazminat alma ihtimalini artırıyor. Örneğin, alt yüklenicilerine prosedür uygulayan KOBİ’lerin yüzde 68’i olay sonrasında ödeme alırken uygulamayanların lakin yüzde 28’i alabiliyor.
Öte yandan, ankette bilgi sızıntıları için düzenlenen kuralların tedarik zinciri ataklarını azaltıp azaltmadığına dair bir sonuç ise elde edilemedi. Üçüncü taraflar için özel BT siyasetleri uygulayan kurumsal şirketlerin yüzde 24’ü, tedarikçileri etkileyen bir siber güvenlik olayı nedeniyle bilgi sızıntısıyla karşı karşıya kaldı. Kural uygulamayan şirketlerin ise sırf yüzde 9’u bu türlü bir hücumla karşılaştı.
Kaspersky B2B Eser Pazarlama Müdürü Sergey Martsynkyan, “Özel kurallar belirleyen kurumsal şirketlerin tedarik zinciri ataklarıyla daha sık karşılaştığını ortaya çıkaran anketin sonuçları baş karıştırıcı olabilir. Lakin çok sayıda üçüncü tarafla birlikte çalışan şirketlerin bu mevzuya daha fazla dikkat etmesi ve belli kurallar uygulaması gerektiğini söyleyebiliriz. Çok fazla alt yükleniciyle çalışmak bilgi sızıntısı mümkünlüğünü artırabilir. Ayrıyeten, üçüncü taraflar için kurallar belirleyen kurumlar sızıntıların nedenlerini daha uygun anlayabilir.” dedi.
Kaspersky, tedarik zinciri taarruzlarından korunmak isteyen kurumlara şu güvenlik tedbirlerini almalarını tavsiye ediyor:
İş ortaklarınızın ve tedarikçilerinizin listesini yeni tutun ve bunların erişebildikleri dataları sistemli olarak denetim edin. Sadece işlerini yapabilmeleri için gereken kaynaklara erişebildiklerinden emin olun. Şirketinizle birlikte çalışmayan kurumların dışarıda bırakıldığını, bilgilere ve varlıklara erişemediğini doğrulayın.
Üçüncü taraflara uymaları gereken kuralları, uyumluluk ve güvenlik ihtiyaçlarını iletin.
