Araştırma bulgularına göre, tedarik zinciri saldırıları şirketler için en kritik tehditlerden biri haline geldi. Son bir yıl içinde her üç kurumdan biri bu tür bir saldırıya maruz kaldığını belirtirken, artan saldırı sıklığı işletmelerin risk yönetimini daha da zorlaştırıyor. Bu durum, özellikle üçüncü taraf ilişkilerinin yoğun olduğu iş modellerinde güvenlik açıklarının daha görünür hale gelmesine neden oluyor.
UZMAN EKSİKLİĞİ VE ÖNCELİK SORUNU
Türkiye özelinde dikkat çeken sonuçlardan biri, katılımcıların %44’ünün hem uzman eksikliğini hem de güvenlik önceliklerini dengeleme zorluğunu temel risk faktörleri arasında göstermesi oldu.
Yetersiz insan kaynağı, şirketlerin tedarik zincirindeki potansiyel zafiyetleri düzenli olarak tespit etme ve izleme kapasitesini sınırlıyor. Aynı zamanda güvenlik ekiplerinin birden fazla kritik görev arasında sıkışması, bazı tehditlerin gözden kaçmasına neden olabiliyor.
YAPISAL EKSİKLER DİKKAT ÇEKİYOR
Araştırma yalnızca insan kaynağı sorununa değil, yapısal eksikliklere de işaret ediyor. Türkiye’deki işletmelerin:
- %46’sı tedarikçi sözleşmelerinde net BT güvenliği yükümlülüklerinin bulunmadığını
- %35’i BT dışı personelin siber riskleri yeterince anlamadığını belirtiyor
Bu durum, organizasyon genelinde siber güvenlik farkındalığının hâlâ istenilen seviyeye ulaşmadığını gösteriyor.
ŞİRKETLER RİSKİN FARKINDA AMA HAZIR DEĞİL
Araştırmaya göre Türkiye’deki şirketlerin %93’ü tedarik zinciri risklerine karşı önlemlerini artırması gerektiğini kabul ediyor. Buna karşın mevcut önlemleri yeterli bulanların oranı yalnızca %7’de kalıyor.
Öte yandan, mevcut güvenlik uygulamalarının da parçalı olduğu dikkat çekiyor. Hiçbir koruma yöntemi %42’nin üzerinde yaygınlık kazanamazken, en temel önlemlerden biri olan iki faktörlü kimlik doğrulama (2FA) kullanım oranı yalnızca %26 seviyesinde.
ÜÇÜNCÜ TARAF RİSKLERİ GÖZDEN KAÇIYOR
Araştırma sonuçları, şirketlerin önemli bir kısmının iş ortaklarının güvenlik durumuna dair yeterli görünürlüğe sahip olmadığını ortaya koyuyor. Kuruluşların sadece %42’si yüklenicilerin siber güvenlik seviyesini düzenli olarak denetliyor.
Bu da işletmelerin büyük bölümünün, tedarikçi ekosisteminden kaynaklanabilecek tehditlere karşı savunmasız kalmasına yol açıyor.
“TEDARİK ZİNCİRİ GÜVENLİĞİ ORTAK SORUMLULUK”
Sergey Soldatov, konuyla ilgili değerlendirmesinde siber güvenlik ekiplerinin üzerindeki yükün arttığına dikkat çekerek şu ifadeleri kullandı:
“Güvenlik ekipleri kapasitesinin üzerinde çalıştığında ve uzun vadeli stratejiler yerine acil işlere odaklanmak zorunda kaldığında, organizasyonlar tedarikçi ekosistemindeki tehditlere karşı savunmasız kalır. Bu nedenle tedarik zinciri güvenliği, tüm iş ağı genelinde paylaşılan bir sorumluluk haline gelmelidir.”
ŞİRKETLERE 5 KRİTİK ÖNERİ
Kaspersky, işletmelerin tedarik zinciri risklerini azaltabilmesi için şu adımları öneriyor:
- Yönetilen güvenlik hizmetlerinden yararlanmak
- Siber güvenlik eğitimlerine yatırım yapmak
- Tedarikçileri anlaşma öncesinde kapsamlı değerlendirmek
- Sözleşmelere açık güvenlik yükümlülükleri eklemek
- Tedarikçilerle aktif güvenlik iş birliği kurmak
