Son yıllarda tedarik zinciri saldırıları son derece başarılı oldu. Hükümet ve kamu hizmetleri dahil artan dijitalleşmenin ortasında kuruluşlar, bu tür tehditlere karşı her zamankinden daha savunmasız haldeler. Bununla birlikte tehlikeli siber güvenlik açıklarını temsil eden değer zinciri riskleriyle mücadele için hala küresel bir inisiyatif ortaya koyulmuş değil. Kaspersky, bu sorunu ele almak ve çözüme giden olası yolları bulmak için 2021 RSA Konferansında özel bir panel düzenledi.

“Saatli siber bomba: Değer zinciri risklerini düzeltmek için neden ortak bir küresel bir tepki yok?” başlıklı panelde aşağıdaki uzmanlar bir araya geldi:

  • INTERPOL Siber Suçlar Direktörü Craig Jones
  • İsviçre Federal Dışişleri Bakanlığı (FDFA) Siber Dışişleri ve Güvenlik Politikası Özel Temsilcisi Jon Fanzun
  • Olay Müdahale ve Güvenlik Ekipleri Forumu (FIRST) Başkanı Serge Droz 

Dijital dönüşüm, her kuruluşu çok sayıda harici satıcıya dayalı bir yazılım şirketi haline getiriyor. Bu hizmetler, birbiriyle bağlantılı kullanıcıları – endüstriler, toplumlar ve ülkeler – riske atabilecek güvenlik açıkları içeren kodlar taşıyabiliyor. Bununla birlikte devletler arasındaki çeşitli anlaşmazlıklar nedeniyle, , değer zinciri risklerine karşı küresel tepki ortaya koyulabilmiş değil.

Kaspersky araştırmacıları, aynı zamanda yüksek düzeyde hedeflenen tedarik zinciri saldırılarına odaklı çeşitli tehdit gruplarını izliyorlar. Buradan gelen bulgular, tehdit aktörlerinin güncellemeler sırasında güvenlik açıklarını hedeflediğini gösteriyor. Böylece kullanıcılar güncelleme ve yamaları uygularken BT sistemlerinde istemden arka kapılara neden olabiliyor. Yakın zaman önce tespit edilen yüksek profilli tehdit Sunburst, dünya çapında çok sayıda kamu ve özel kuruluşun güvenliğini tehlikeye atmak için kullanılan araçlardan sadece biri.

Katılımcılar, panelde değer zinciri risklerine küresel bir tepki oluşturmak için yapıcı bir diyalog kurmanın, bilgi paylaşımını ve güveni artırmanın hayati önem taşıdığını vurguladılar.

INTERPOL Siber Suçlar Direktörü Craig Jones şunları ifade etti: “Saldırı gerçekleştiğinde insanlar 911’i veya polisi aramıyor. Biz aramalarda BT güvenlik ekiplerinden sonra ikinci veya üçüncü sıradayız. Ancak CERT’ler, özel ortaklar ve diğer kişilerle birlikte bunu ilk araştıranlardan biri olmalıyız. İşbirliğine dayalı ve etkili bir müdahale sürecine duyulan ihtiyacı güçlendirmek, olayları derinlemesine araştırmak ve kritik altyapının BT güvenliğini sağlamak için olabildiğince fazla bilgi almak ve paylaşmak herkesin çıkarına olacaktır.”

Siber suçluların ‘böl ve fethet’ tekniğini sevdiğine dikkat çeken FIRST Başkanı Serge Droz, şunları söyledi: “Biz bölünürsek suçlular daha da güçlenir. Bu yüzden bizim en büyük zorluğumuz, teknik sorunları aşmaktan çok böyle bir zorluktan birlikte nasıl daha iyi çıkacağımıza karar vermektir.” 

İsviçre Federal Dışişleri Bakanlığı Siber Dış ve Güvenlik Politikası Özel Temsilcisi Jon A. Fanzun, şunları ekledi: “Öncelikle küresel bir topluluk olarak uluslararası hukukun siber uzayda tam olarak işlediği, insan haklarının çevrimiçi ortamda nasıl korunacağı, sorumlu devlet normlarının nasıl uygulanması gerektiği ve diğer paydaşların rolünün ne olduğu konusunda fikir birliğine varmalıyız. Ardından üzerinde anlaştığımız şeyi uygulamalı ve anlaşmaları ihlal edenleri eylemlerinden sorumlu tutmalıyız.” 

Bu bağlamda İsviçre Federal Dışişleri Bakanlığı (FDFA) tarafından yönetilen ve DiploFoundation tarafından uygulanan Siber Uzayda Sorumlu Davranış Üzerine Cenevre Diyaloğu, endüstri içinde ortak bir tavır şekillendirmek için daha fazla güven ve daha yakın bir topluluk oluşturmanın güzel bir örneği. Bu diyalog güvenilir, güvenli ve istikrarlı bir siber uzay için dijital güvenlik ve küresel politika süreçlerine ilişkin vizyon ortaya koyuyor.

Geleceği planlamak

Kaspersky, herkes için daha güvenli bir dünyanın yalnızca karşılıklı güven ve işbirliği üzerine kurulabileceğine inanıyor. Şirket, BM Üye devletlerini ve kritik altyapılarını etkileyen büyük ölçekli ve önemli siber olayları ele almak için küresel bir olay müdahale mekanizmasına ihtiyaç olduğunu düşünüyor.

Kaspersky Halkla İlişkilerden Sorumlu Kıdemli Yöneticisi Anastasiya Kazakova, bunu şöyle ifade ediyor: “Bu mekanizma, bir saldırı durumunda tavsiye edilen teknik ve operasyonel ulusal temas noktalarının sağlanmasına dayanır. Bunlar gerektiğinde teknik bilgi alışverişinde bulunmak için ulusal bir CERT, kanun mercii veya siber güvenlik uzmanlarına ulaşmada ‘son istasyon’ görevi görecektir. Bu noktada olay müdahale ekiplerinin tarafsız kalması önemlidir. Böyle bir mekanizma yalnızca zamanında ve koordineli bir küresel müdahale ve olayların hafifletilmesi için gereken araçları sağlamakla kalmayacak, aynı zamanda küresel topluluğun teknik ve operasyonel kapasitelerini geliştirmeye yardımcı olacak, böylece siber istikrara katkıda bulunacaktır.”