İSTANBUL (AA) - Kaspersky'nin küresel araştırması, nitelikli bilişim teknolojileri (BT) güvenliği çalışanı eksikliğinin ve küresel organizasyonların tedarik zinciri ile güven ilişkisine dayalı saldırı risklerini azaltmak için çeşitli güvenlik görevlerine öncelik verme ihtiyacını ortaya koydu.

Şirketten yapılan açıklamaya göre, Kaspersky'nin iç pazar araştırma merkezi tarafından yürütülen çalışmada, 500'den fazla çalışanı bulunan şirketlerde görev yapan üst düzey yöneticiler ve teknik uzmanlar dahil olmak üzere toplam bin 714 kişiyle görüşüldü. Araştırma, Türkiye'nin yanı sıra Almanya, İspanya, İtalya, Brezilya, Meksika, Kolombiya, Singapur, Vietnam, Çin, Hindistan, Endonezya, Suudi Arabistan, Mısır, Birleşik Arap Emirlikleri ve Rusya'yı kapsıyor.

Tedarik zinciri ve güven ilişkisi risklerine odaklanan araştırmaya göre, tedarik zinciri saldırıları şirketler için kritik tehditlerden biri haline geldi. Verilere göre, son bir yıl içinde her üç kurumdan biri bu tür bir saldırıya maruz kaldı.

Anket sonuçları, tedarik zinciri ve güven ilişkisinden kaynaklanan risklerin azaltılmasının önündeki temel engellerden birinin uzman iş gücü eksikliği olduğunu gösteriyor. Söz konusu yetersizlik, organizasyonların kendi ekosistemlerindeki potansiyel üçüncü taraf zafiyetlerini düzenli olarak tespit etme ve izleme kapasitesini kısıtlıyor.

Belirtilen bir diğer engel ise birden fazla siber güvenlik önceliği arasında denge kurma zorunluluğu olarak öne çıkıyor. Bu durum, güvenlik ekiplerinin aynı anda çok sayıda görevle ilgilenmek zorunda kaldığını ve bunun sonucunda tedarik zinciri tehditlerinin gözden kaçabildiğini gösteriyor.

- İşletmelerin yüzde 93'ü önlemleri yükseltmek gerektiğine inanıyor

Araştırmanın Türkiye sonuçlarına göre, işletmelerin yüzde 46'sı, yüklenicilerle yapılan sözleşmelerde net BT güvenliği yükümlülüklerinin bulunmadığını ifade etti. Katılımcıların yüzde 35'i, BT dışı güvenlik personelinin bu riskleri tam olarak kavramadığını aktardı.

İşletmelerin yüzde 93'ü, tedarik zinciri ve güven ilişkisi risklerine karşı koruma önlemlerini yükseltmesi gerektiğini kabul ederken, mevcut güvenlik önlemlerini yeterli bulanların oranı yüzde 7'de kaldı.

Üçüncü taraf risklerine yönelik mevcut risk yönetimi uygulamaları parçalı kalırken, hiçbir koruma yöntemi kullanıcılar arasında yüzde 42'den fazla bir benimsenme oranına ulaşamadı.

Koruyucu önlemlerden iki faktörlü kimlik doğrulama (2FA), Türkiye'deki katılımcıların yüzde 26'sı tarafından kullanılıyor. Ayrıca, kuruluşların yüzde 42'si yüklenicilerin siber güvenlik duruşlarını düzenli olarak gözden geçiriyor. İşletmelerin yaklaşık üçte ikisi iş ortaklarının güvenliği konusunda sürekli görünürlük sağlayamazken, söz konusu durum, kurumları ekosistemlerindeki gelişen zafiyetlere karşı savunmasız bırakıyor.

Türkiye'deki şirketlerin yüzde 44'ü, nitelikli BT güvenliği çalışanı eksikliğini ve küresel organizasyonların tedarik zinciriyle güven ilişkisine dayalı saldırı risklerini azaltmak için çeşitli güvenlik görevlerine öncelik verme ihtiyacını temel engeller arasında gösterdi.

Tedarik zinciri olaylarından etkilenen şirketlerin sızma testi sonuçlarını talep etme olasılığı yüzde 56 olarak tespit edilirken, güven ilişkisi ihlali mağdurları endüstri standartlarına uyumluluk kontrollerine yüzde 56 ve yüklenicilerin kendi tedarik zinciri politikalarına yüzde 53 oranında öncelik verdi.

Kaspersky, risklerin azaltılması için kurumların siber güvenlik kaynakları sınırlıysa yönetilen güvenlik hizmetlerinden yararlanmasını, tehdit tespiti ve müdahale süreçlerini kapsayan çözümleri kullanmasını öneriyor.

Ayrıca çalışanların teknik yetkinliklerini geliştirmek için siber güvenlik eğitimlerine yatırım yapılması, tedarikçilerin anlaşma öncesinde siber güvenlik politikaları ve geçmiş kayıtlar üzerinden kapsamlı şekilde değerlendirilmesi gerektiği belirtiliyor. Tedarikçi sözleşmelerine düzenli güvenlik denetimleri ve olay bildirim süreçleri gibi net yükümlülüklerin dahil edilmesi ve tedarikçilerle güvenlik konusunda işbirliği yapılması da öneriler arasında yer alıyor.

- 'Organizasyonlar tehditlere karşı korumasız kalıyor'

Açıklamada görüşlerine yer verilen Kaspersky Güvenlik Operasyonları Merkezi (SOC) Başkanı Sergey Soldatov, güvenlik ekiplerinin kapasitelerinin üzerinde çalıştığında, personel eksikliği yaşandığında ve uzun vadeli dayanıklılık stratejileri yerine acil görevlere öncelik vermek zorunda kaldığında organizasyonların tedarikçi ekosistemi içinde sessizce ilerleyebilen tehditlere karşı korumasız kaldığını belirtti.

Bu döngüyü kırmak için endüstrinin, standartlaştırılmış yüklenici değerlendirmelerinden ekipler arası farkındalığın artırılmasına kadar daha bütünleşik ve tutarlı hafifletme stratejilerini benimsemesi gerektiğini aktaran Soldatov, şu değerlendirmelerde bulundu:

'Tedarik zinciri güvenliği, tüm iş ağı genelinde paylaşılan ve hesap verebilir bir sorumluluk haline gelmeli. Şirketlerin tedarik zinciri risklerini azaltabilmesi ve iş sürekliliğini güvence altına alabilmesi, ancak organizasyon genelinde önleyici tedbirlerin uygulanması ve tedarikçi-yüklenici ilişkilerinin stratejik bir bakış açısıyla ele alınmasıyla mümkün.'