Gün geçtikçe IoT siber güvenlik riskleri daha sık ve daha şiddetli halde artmasına rağmen, kuruluşlar hala bunları ele almak için maalesef yeterli zamanı harcamıyorlar. Örneğin, herhangi bir yeni IoT cihazı veya teknolojisini geliştirme sürecindeki ana zayıf noktalardan biri hala büyük ölçüde düzenlemelerin (regülasyonların) olmamasıdır ve bu durum güvenlik risklerinin devam etmesini sağlıyor.
Elbette, tedarik zincirinin zayıf noktalarını ve güvenliğini sağlamanın ne kadar zor olduğu hepimiz biliyoruz. Laboratuvar çalışmalarımda gözlemlediğim kadarıyla ürün geliştiren kuruluşların kendi ürünleri için iyi siber güvenlik önlemleri geliştirirken, tedarikçilerinin sağladığı bireysel bileşenlerin yarattığı risklere karşı hala savunmasızlar. Bugünkü yazımda sizlerle IOT dünyasındaki tedarik zinciri açıkları konusunu paylaşacağım.

Tedarik Zinciri Sorunları

Maalesef, tedarik zincirlerinden kaynaklı birçok olası güvenlik açığı geliyor ve henüz başından korunmalarına yardımcı olacak birleşik bir standart bulunmamaktadır. KVKK ve Siber Güvenlik regülasyonları gibi bazı düzenlemelerin, örgütlerin siber güvenliğin uygulanmasına daha ciddi bir göz atmalarını sağlayarak çok yardımcı olması beklenmektedir. Ancak, şimdiye kadar, güvenliği sağlama çabalarının çoğu hala müşteriler tarafında devam etmektedir ve tedarikçiler de bu konuda daha fazlasını yapabilirlerdi.
İstatistikleri hesaba katarsak neden olduğunu anlamak kolaydır: veri ihlallerinin maliyetleri artıyor ve bu zafiyetler endüstriyel ekipmanın zayıf noktalarından giderek daha fazla çıktığı gözlemleniyor. Bu sorunla mücadelede, şirketlerin ve tedarikçilerin, kötü siber güvenlik uygulamalarının tehlikelerinin daha fazla farkında olmaları çok önemlidir.

Endüstriyel Bileşenlerde Zayıf Güvenlik Etkileri

Standart bir güvenlik güvence çerçevesi olmadığında tedarik edilen tüm bileşenlerin güvenliğini sağlamak zordur. Bu sorunlar, bir tedarik zinciri aracılığıyla yaşanan sorunları takip edememekten, sahteciliği ortadan kaldırmaktan ve şeffaflığı sağlayamamaktan kaynaklanabilir.
Müşteriler, bileşenlerde inşa edilecek asgari güvenlik korumasını sağlamak için tedarikçilere güvenme eğilimindedir. Güvenlik açısından kritik endüstrilerin en iyi uygulamalarının, nihayetinde tüm tedarikçilerin ve üreticilerin uyması gereken standart bir siber güvenlik uygulamasına ihtiyaç bulunmaktadır. Bununla birlikte, siber güvenliği sağlamak için şirketler, tedarik zinciri açıklarını yönetmeye ve bunları ortadan kaldırmaya yardımcı olmalıdırlar.

Şirketler Güvenlik Açıklarını Yönetmek İçin Ne Yapabilir?

Kuruluşların, tedarik zincirinin sağladığı her bir ürün ve bileşenin kanıtlanması ve kimliğini sağlamakta ısrar eden tedarik güvenliği gerekliliklerini belirleyerek tedarik zinciri açıklarını yönetmeye katkıda bulunmaları gerekir. “Varsayılan olarak güvenli” ürün ve tedarikçilerin ekipmanlarını kullanmak, genel güvenlik risklerinin düşük olmasını sağlama konusunda harikalar yaratacak iyi bir uygulamadır.
Bazı şirketler şimdiden harekete geçiyor, ancak bu eylemlerin daha geniş çapta benimsenmesi hayati öneme sahiptir. Örneğin, Google ve Apple gibi bazı kuruluşlar, varsa tedarik zinciri açıklarıyla ilgili siber güvenlik risk yönetimi süreçlerini geliştirmiştir. Diğer şirketler ve endüstriler için siber güvenlik kaygılarını ele alma konusundaki taahhütlerini geliştirmek için mükemmel bir standart belirlemektedir.

Önemli Çıkarımlar

Tedarik zinciri açıkları, işletmeler ve hatta büyük kuruluşlar için önemli siber güvenlik riskleri oluşturabilir ve bu konunun yeteri kadar dikkate alınması gerekmektedir. Uyarlanmış bir siber güvenlik güvence çerçevesi olmadan, kuruluşların kullandıkları bileşenlerin güvenliğini sağlamaları zordur.
Firmalar, tüm ürünlerin varsayılan olarak güvenli olmasını sağlamak amacıyla tedarikçileri ve distribütörleri zorlamak yoluyla tedarik gereksinimleri belirleyerek veya bir Siber Güvenlik Güvence Çerçevesi benimseyerek bunu yapmaya başlayabilirler. Oluşturulacak olan bu çerçeve aşağıdaki 4 hedefi sağlamalıdır:

  1. Siber güvenlik risk tanımlama sürecinin basitleştirilmesi ve iş kollarınında dahil edilmesi.
  2. Güvenlik Profillerine Dayalı OEM/Üreticilerle Anlaşmalar yapılması.
  3. İlgili tüm Standartların/Niteliklerin kapsanması.
  4. Bir ürünün güvenlik profilinin gereksinimlerini karşılayıp karşılamadığını tespit etmek için her bir iç veya dış değerlendiricinin önlemleri belirlemeye yönelik faaliyetlerin uygulanması.