Tedarik zincirleri küresel ticareti ve refahı kolaylaştıran bağlayıcı dokulardır.
Tedarik zincirleri küresel ticareti ve refahı kolaylaştıran bağlayıcı dokulardır. Birbiriyle örtüşen ve ilişkili şirketlerden oluşan bu ağlar giderek daha karmaşık hale geliyor. Çoğu yazılım ve dijital hizmet tedariğini içeriyor, çevrimiçi etkileşimlere dayanıyor. Bu da onları kesintiye uğrama ve tehlikeye girme riskiyle karşı karşıya bırakıyor.
Özellikle KOBİ’ler tedarik zincirlerinde güvenliği yönetmek için proaktif bir arayış içinde olmayabilir ya da bu konuda yeterli kaynağa sahip değildir. Şirketlerin ortaklarına ve tedarikçilerine siber güvenlik konusunda körü körüne güvenmesi mevcut şartlarda sürdürülebilir değil. Dijital güvenlik şirketi ESET tedarik zincirinde gizlenen siber güvenlik risklerinin nasıl azaltılabileceğine yönelik önerilerde bulundu.
Tedarik zinciri riski nedir?
Tedarik zinciri siber riskleri, fidye yazılımı ve veri hırsızlığından hizmet engelleme (DDoS) ve dolandırıcılığa kadar birçok şekilde ortaya çıkabilir. Profesyonel hizmet firmaları örneğin avukatlar, muhasebeciler veya yazılım firmaları geleneksel tedarikçileri etkileyebilirler. Saldırganlar ayrıca yönetilen hizmet sağlayıcılarının (MSP’ler) da peşine düşebilir çünkü tek bir şirketi bu şekilde tehlikeye atarak potansiyel olarak çok sayıda alt müşteri işletmesine erişim elde edebilirler. Geçen yıl yapılan bir araştırma, MSP’lerin yüzde 90’ının önceki 18 ay içinde bir siber saldırıya maruz kaldığını ortaya koydu.
Başlıca tedarik zinciri siber saldırı türleri
Güvenliği ihlal edilmiş tescilli yazılım: Siber suçlular giderek daha cesur oluyor. Bazı durumlarda, yazılım geliştiricilerini tehlikeye atmanın ve daha sonra alt müşterilere teslim edilen koda kötü amaçlı yazılım eklemenin bir yolunu bulabiliyorlar.
Açık kaynak tedarik zincirlerine saldırılar: Çoğu geliştirici, yazılım projelerinin pazara çıkış süresini hızlandırmak için açık kaynak bileşenleri kullanır. Ancak tehdit aktörleri bunu biliyor ve bileşenlere kötü amaçlı yazılım ekleyip, bunları popüler depolarda kullanıma sunuyor. Tehdit aktörleri, bazı kullanıcıların yama yapmakta yavaş davranabileceği açık kaynak kodundaki güvenlik açıklarından da faydalanmakta hızlı davranıyor.
Dolandırıcılık için tedarikçileri taklit etme: Ticari e-posta tehlikesi (BEC) olarak bilinen sofistike saldırılar bazen dolandırıcıların bir müşteriyi kandırarak para göndermesini sağlamak için tedarikçilerin kimliğine bürünmesiyle gerçekleştirilir. Saldırgan genellikle taraflardan birine veya diğerine ait bir e-posta hesabını ele geçirir, devreye girip banka bilgilerinin değiştirildiği sahte bir fatura gönderme zamanı gelene kadar e-posta akışlarını izler.
Kimlik bilgisi hırsızlığı: Saldırganlar, tedarikçiye ya da müşterilerine (ağlarına erişebilecekleri) saldırmak amacıyla tedarikçilerin oturum açma bilgilerini çalar.
Veri hırsızlığı: Birçok tedarikçi, özellikle hukuk firmaları gibi özel kurumsal sırlara vakıf olan şirketler müşterileri hakkında hassas veriler depolar. Bu şirketler, şantaj veya başka yollarla para kazanabilecekleri bilgileri arayan tehdit aktörleri için cazip bir hedef teşkil eder.
Tedarik zinciri riskinin türü ne olursa olsun, sonuç aynı olabilir: Finansal ve itibar hasarı ve hukuk davaları, operasyonel kesintiler, satış kaybı ve kızgın müşteriler. En iyi uygulamaları takip ederek bu riskleri yönetmek mümkündür.
Kaynak: (BYZHA) Beyaz Haber Ajansı