Lojistik tedarik zincirinde siber suçların yükselişi

"Üçüncü tarafların güvenilir olduğunu veya hassas verilerinize erişemediğini asla varsaymayın." - Mark Brown, Küresel Genel Müdür, BSI Digital Trust Consulting Services

10 Ağustos, 2023 - Tedarik zincirleri gelişiyor ve daha karmaşık hale geliyor ve bunun yanı sıra daha karmaşık siber saldırılar da geliyor. Ekonominin son derece kârlı, kritik parçaları olan nakliye ve lojistik kuruluşları, siber suçlular için cazip bir hedeftir. Kuruluşların, tedarik zincirlerine yönelik artan tehditlerle mücadele etmek ve dayanıklılık oluşturmak için iş stratejilerinde doğru dijital araçlara ve güvenlik önlemlerine öncelik vermeleri zorunludur.

Tehditlere karşı savunma

Lojistik sektörünü etkileyen başlıca siber risklerden bazıları fidye yazılımı, kimlik avı ve sensör ve endüstriyel teknoloji müdahalelerini içerir. Siber saldırıların bir kuruluş üzerinde yıkıcı etkileri olabilir ve bu da saldırıları azaltmak için protokollerin yerleştirilmesini gerekli kılar. Bunlar şunları içerir:

  • Çalışanları eğitmek: Çalışanların, kimlik avı e-postaları gibi belirli tehditleri nasıl tanımlayacaklarını öğrenmeleri ve ardından bunları uygun kişiye nasıl işaretleyeceklerini öğrenmeleri çok önemlidir. Siber saldırganlar bir şirketin ağına sızmaya çalışırken genellikle ilk hedef çalışanlardır; bu nedenle, olası bir saldırıya karşı ilk savunma hattı olarak hizmet edebilirler.
  • Cihazları ve yazılımları düzenli olarak güncelleme: Bu, cihazların ve uygulamaların yalnızca saldırılara karşı daha iyi korunmasını değil, aynı zamanda verimli çalışmasını da sağlar. Eski bir cihazdan ve/veya yazılım uygulamasından çalıştırmak, potansiyel tehditlerin sızması ve potansiyel olarak tüm ağ sistemini tehlikeye atması için güvenlik açıkları ve boşluklar yaratır.
  • Düzeltme süreci oluşturma: En sağlam eğitim programlarına sahip en iyi hazırlanmış kuruluşlar bile bir siber güvenlik ihlali yaşayabilir. Bu nedenle, kuruluşların bir ihlal meydana gelirse veya bilgi sistemi mimarilerinde bir zayıflık veya kusur tespit ederlerse nasıl yanıt vermeleri gerektiğine dair bir plan veya düzeltme süreci hazırlamaları gerekir. Ek olarak, kuruluşlar siber güvenlik önlemlerini nerede ve nasıl iyileştirmeleri gerektiğini periyodik olarak düşünmelidir.

Üçüncü taraf tedarikçi risklerini ele alma

Kuruluşlar, bilmeden verileri veya hassas bilgileri üçüncü taraflarla paylaşabilir. Bu nedenle, herhangi bir potansiyel ve mevcut ortağın uygun bir sızma testi ve incelemesinden geçtiklerine dair bir onay sağlamaları çok önemlidir. Kuruluşlar üçüncü taraf risklerini şu şekilde değerlendirebilir:

  • Tedarikçilerinizin kim olduğunu belirlemek: Tedarik zincirindeki diğer ilişkilerin bağlamını ve bunların kuruluşunuz üzerindeki potansiyel etkilerini gözden geçirmek önemlidir.
  • Potansiyel bir tedarikçinin siber güvenlik risk düzeyinin değerlendirilmesi: Bu değerlendirmenin, herhangi bir üçüncü taraf seçimi sırasında gerçekleşen durum tespiti sürecinin bir parçası olması gerekir.
  • En iyi iletişim aracına karar vermek: Bir olay meydana gelirse tedarikçinizle iletişim kurmanın basit bir yoluna sahip olmak (ve tam tersi) çok önemlidir.
  • Üçüncü taraf tedarikçileri ve tedarik zincirlerini kimin yönettiğini belirlemek: Tedarikçilerle ilgilenen paydaşlar, siber risklerin azaltılmasında kilit rol oynamaktadır. Olası tehditler konusunda güncel olmaları, bir tedarikçinin siber güvenlik programının ne kadar güçlü olduğunu anlamaları ve tedarikçilerinin diğer hizmet sağlayıcılarla taşeronluk yapıp yapmadığını ve bu alt tedarikçilerin ne düzeyde siber risk taşıdığını bilmeleri gerekir.
  • Siber güvenlik programınız hakkında tedarikçilere karşı şeffaf olmak: Bu şeffaflık, çalışanları programınızın amacı hakkında eğitmeyi ve onları yönetilen hedefler ve riskler konusunda güncellemeyi içermelidir.
  • Tedarikçileriniz için harici bir siber güvenlik "duruş taraması" gerçekleştirmek: Bir bilgisayar korsanı gibi çalışmanıza ve ne kadar güvenli olduklarını görmek için tedarikçilerin sistemlerini araştırmanıza olanak tanıyan araçlar mevcuttur. Bu duruş taramaları veya araştırmaları, üçüncü taraf tedarikçilerinizin güvenlik protokollerini izleyip izlemediğini belirlemeye yardımcı olur.

Kuruluşların artık yalnızca BT sistemlerindeki potansiyel güvenlik açıklarını değerlendirerek siber güvenliğin teknolojik yönlerine odaklanamayacağı açıktır; Ayrıca, en iyi uygulama güvenlik ve erişim kontrolleri aracılığıyla bunları ele almak için adımlar atmalıdırlar.

Bu makale ilk olarak 13 Ekim 2022'de CSCMP'nin Tedarik Zincirinde [Üç Aylık] şu başlık altında yayınlanmıştır: Tedarik zincirinde artan siber suç riski. İçerik bu blog için değiştirildi ve yoğunlaştırıldı. Mark Brown'ın bu konuyla ilgili tüm görüşleri için makalenin tamamına bakın. Kuruluşunuzun listesinin en üstünde yer alması gereken Dijital Güven ve Çevre, Sağlık ve Güvenlik konuları hakkında daha fazla bilgi için BSI'nın Uzmanlar Köşesi'ni ziyaret edin.

Mark Brown

Mark Brown

BSI Digital Trust Global Genel Müdürü

Mark, siber güvenlik, veri gizliliği ve iş esnekliği danışmanlığı alanlarında 30 yılı aşkın uzmanlığa sahiptir. Nesnelerin İnterneti (IoT) ve genişleyen siber güvenlik pazarı konusunda kapsamlı yeterlilik de dahil olmak üzere zengin bir bilgi birikimine sahiptir.