Operasyonel Teknolojiler alanında Siber Güvenlik bilinci, son zamanlarda artan tehditlerle birlikte günümüz iş dünyasında son derece önemli hale gelmiştir. Siber güvenlik programını geliştirirken ve iyileştirirken farkında olunmayan bir noktada, güvenlik farkındalığının şirketlerin çalışanları kadar tedarikçi firmalar ve yükleniciler için de gerekli olduğu gerçeğidir. Şirket içi siber güvenlik kültürü geliştirmek kesinlikle tek başına yeterli olmamaktadır, bununla beraber iş yaptığımız ürünlerini tedarik ettiğimiz tedarikçi firmalarında siber güvenlik kültürüne dahil edilmesi ve geliştirilmesi gerekmektedir. Bugünkü yazımda sektörel tecrübemden ve gözlemlediğim problemlerden yola çıkarak tedarikçi firmalarda siber güvenlik kültürü ve farkındalığı konusunu sizlerle paylaşmaya çalışacağım.
Tedarikçilerle çalışmak, neredeyse her kuruluşun şu veya bu şekilde bağlantılı ve teknolojilerine bağımlı olduğunuz bir durumdur. “Tedarikçiler ve yükleniciler için siber güvenlik bilinci beni neden etkilesin ki ?” diye bir soru aklınıza geliyor olabilir. Basitçe söylemek gerekirse, tedarikçilerinizin eylemlerinden ve eksiklerinden her zaman sorumlu olabilirsiniz ve hatta bu sorumluluk şirketinize çok pahalıya mal olabilir. 2015’teki veri ihlallerinin yüzde altmışından tedarikçi ve yükleniciler dahil olmak üzere üçüncü taraflar sorumluydu ve bu ihlaller potansiyel olarak 41 milyondan fazla kişiyi etkiledi. Bu ihlallere, tedarikçi veya yüklenici çalışanlarının eylemleri neden oldu ve etkili bir güvenlik bilinci programının olmamasıyla ilişkilendirildi. Tedarikçilerimiz ve yükleniciler için siber güvenlik bilincine ihtiyacımız bulunmaktadır.
Herhangi bir tedarikçi veya yüklenici ile çalışmaya başlamadan önce, tedarikçinin veya yüklenicinin güvenlik bilinci uygunluğunu değerlendirirken aşağıdaki noktaları göz önünde bulundurmanızı ve sorgulamanızı tavsiye ederim.
1. Tedarikçileriniz Vaad Ettiklerini Gerçekte Uyguluyorlar mı?
İlk husus şudur: Tedarikçi veya yüklenici, bilgi güvenliği politikalarını ve prosedürlerini belgelendirmiş mi ve tedarikçi veya yüklenicinin çalışanları bu prosedürleri takip ediyor mu? İhale aşamasında tedarikçileriniz tarafından vaad edilen tüm siber güvenlik gereksinimleri proje hayata geçtiğinde layıkıyla uygulanmış mı ? Gerekli siber güvenlik kontrolleri yapılmış mı ? Soruları ard arda sıralarsak uzayıp gider. İhale aşamasında konuşulan ve vaad edilen siber güvenlik gereksinimlerinin yerine getirilip getirilmediği her proje süresince mutlaka kontrol edilmelidir.
2. Tedarikçi veya Yüklenici, Çalışanlarına Siber Güvenlik Bilincini Arttırıcı Eğitim Veriyor mu?
Bir çalışan, siber güvenlik bilinci sorunlarına ne kadar maruz kalırsa, sorunlar ortaya çıktığında genellikle o kadar hassasiyeti yüksek olur. Güvenlik bilinci eğitimi almış tedarikçilerinizin veya yüklenicinizin faydaları paha biçilmezdir ve sizi sorumluluğunuzu ortaya çıkarabilecek eylemlerden korumaya yardımcı olmak için size çok mesafe kat ettirecektir. Bu bilinç arttırılırken sadece siber güvenlik dokümantasyonunu tedarikçi çalışanlarının okuyup geçmesi yerine bu farkındalığı içselleştirerek, neden-sonuç ilişkisini iyi kurabilen firmalar sektörde var olmaya devam edecektir.
3. Hizmet Düzeyi Sözleşmesi (SLA)
SLA, tedarikçi ve yüklenicilerinizle ilişkinizin kurallarını belirleme konusunda gerçekten başvurmanız gereken bir kurallar bütünüdür. Üçüncü taraf tedarikçi ve yüklenicilerle çalışmak, kuruluşunuzu yeni risklere açar ve bu ilişkilerden kaynaklanan etkinin SLA anlaşmaları ile ele alınması gerekir. Sağlam bir SLA, tedarikçi veya yüklenicinin organizasyonu içinde güvenlik bilinci eğitimi gerektiren hükümleri içermelidir. Bir ortaklık kurmadan önce tedarikçi servis mühendisinin gerekli siber güvenlik eğitimlerini alıp almadığı değerlendirilmelidir ve kuruluşunuz tarafından onaylanmasını zorunlu kılınması iyi bir fikirdir. Sahalarınızı emanet ettiğiniz servis mühendislerinin iyi eğitimli, tecrübeli ve yeterli yetkinliğe sahip personellerden oluştuğuna emin olmalısınız.
4. Tedarikçi Tarafındaki Uzman Siber Güvenlik Kadrosu ve Departmanlarının Bulunması
Tedarikçi ve yüklenici tarafında uzman siber güvenlik kadrosuna ve Siber Güvenlik dapartmanına sahip olan firmalar teknolojik dönüşüm sürecinde ayakta kalacak ve daha çok tercih edilecek firmalardan olacaktır. Sahadaki siber güvenlik sorunlarına hızlı ve maliyet etkin çözüm üreten firmalar daha çok tercih edilecektir. Tedarikçi firmalarının büyüklüklerine ve iş hacmine göre kesinlikle konusunun uzmanı Operasyonel Teknolojiler ve siber güvenlik tarafını da hakim uzman birey ve ekipleri şirket bünyesinde bulundurmaları gerekmektedir. Sektördeki gelişmeleri incelediğimizde bir çok büyük firmanın bu konuda gerekli yatırımları yaptığını hatta bu konuda çok başarılı projeler ortaya koyduklarını gözlemliyoruz. Artan Dijital çağda ve Teknoloji dönüşümünde ayakta kalmak isteniyorsa siber güvenliğinde bu işin bir parçası olması gerektiğinin tedarikçi firmalar tarafından farkına varılmalı ve kurumlarla ortaklaşa oluşturdukları siber güvenlik kültürü ile OT sistemlerini ve altyapıları daha güvenli hale getirilmelidir. Tedarikçi ve İşveren bir araya gelip bu sinerji sağlandığında ancak siber güvenlik alanında başarı sağlanabilir. Bu konuda işveren firmalara iş düştüğü gibi tedarikçi firmalarında kendisini yeni trendlere karşı geliştirmesi ve sürekli güncel tutması gerekiyor. Ürünlerindeki zafiyetleri saldırganlar tarafından ortaya çıkarılmadan kendi bünyelerinde analiz edilerek (bug bounty vb. aktivitelerle) zero-day açıklıklarının hızlı bir şekilde kapatılması siber güvenlik olgusunu geliştirecek adımlardan bir tanesidir. Tüm bunlar yapılsa bile sistemlerdeki zafiyetler her zaman çıkacak ve her zaman olacak, fakat tedarikçi firma bu riskleri ne kadar aza indirirse sektörde o kadar güvenilir ve prestij anlamında çok değerli olacaktır.
Sektörde siber güvenliğe önem veren ve örnek olan tedarikçi firmaların gerçekleştirdiği çalışmaları takdirle izliyorum ve bu konudaki yatırımlarını yakından takip ediyorum. Tedarikçiler için bu girişimler birer maliyet kalemi olarak gözüküyor olabilir ama bu konuda yatırım yapan tedarikçiler ileride bunların meyvesini ve yatırımların karşılığını alacaklarına inanıyorum. Zaten bu bilince ulaşmış olan ve sektöre liderlik eden tedarikçi firmalar bu konuda farklılıklarını bizlere her gün göstermektedirler ve yeni projelerde daha çok tercih edilmektedirler.
