30 Ekim 2018 Salı

SA7049/SD1180: 'Büyük Hack'i Önlemek- Preventing the ‘Big Hack’-

Sonsuz Ark'ın Notu:
Aşağıda çevirisini yayınladığımız metin, RAND Corporation bilim insanlarından Lillian Ablon'a aittir ve teknoloji şirketlerine parça tedarik eden şirketlerin güvenlik standartlarının olmadığını Siber Güvenlik tehditlerinin, tedarikçilerden temin edilen bilgisayar çiplerine veya diğer bileşenlere yerleştirilmesi muhtemel zararlı programların gelecekteki 'Büyük Hack'in altyapısını hazırladığını ileri sürmekte ve yeni güvenlik standartları ihtiyacını oraya koymaktadır. Türkiye, bu tip teknoloji ürünlerini kendisi üretmeye çalışsa da henüz yeterli düzeyde üretim yapamamaktadır, doğal olarak tedarikçilerin güvenilirliği sorunu önemli bir sorundur ve bu sorunun giderilmesi gerekmektedir.
Seçkin Deniz, 30.10.2018


Preventing the ‘Big Hack’

'Siber güvenlik farkındalık ayı'nı başlatmanın, ABD şirketlerinin tedarik zincirine başarılı bir şekilde sızan ve kötü niyetli bilgisayar çiplerini son derece yaygın bir şekilde kullanan ve dünya çapında geri dönüş alabilecek kadar yaygın olarak kullanılan bileşenlere yerleştirilen tartışmalı bir hikayeden daha iyi bir yolu yoktur.



Bir mikroçipin işlemci pimleri. (Pixabay)

Saldırının gerçekleşip gerçekleşmediği tartışmaya tabidir. Bloomberg, bu ayın başlarında Çin'in saldırıya uğradığına dair bir haberi yayınladı, ancak birçok uzman, ABD ve İngiltere güvenlik ajansları ve ürünleri 'sözde' etkilenen Silikon Vadisi merkezli şirketler, saldırının, bildirildiği gibi, bildirildiği şekilde gerçekleştiğinden şüphelendiklerini ifade ettiler. Kendimi şüphelenenler arasında sayıyorum.

Doğru ya da değil, rapor, tedarik zincirlerine ulaştığında, işletmelerin güvenliği bir öncelik haline getirip getirmemeleri konusunda önemli bir tartışmayı tetikledi. En basit cihazlar bile, kendi tedarikçilerinin ve benzer şekilde birden fazla tedarikçinin parçalarına güvenebilirler. Ancak her tedarikçi, ne kadar küçük olursa olsun, zincirdeki potansiyel zayıf bir bağı temsil eder. Donanım veya yazılım saldırı için herhangi bir giriş sunabilir. Parçalar ve algoritmalar, kötü niyetli davranışları tanıtmak için değiştirilebilirler. Parça tedarik eden tedarik zincirini yönetmek için kullanılan teknoloji - sözleşme veya sipariş bilgileri içeren veri tabanları gibi - ihlal edilebilir ve manipüle edilebilir.

Tedarik zinciri risk yönetimi, bilindiği üzere, tedarik zincirindeki zafiyetleri ve tehditleri tespit etme ve tasarımdan üretime, dağıtımdan yola çıkarken, yol boyunca herhangi bir yerde meydana gelebilecek aksaklıkları önlemek için stratejiler geliştirme sürecidir. Siber ve daha geleneksel tehditleri de kapsar. Yine de, zincirdeki her tedarikçinin sistemlerini kurcalamaya karşı korumasını sağlamayı düşünmesi gerekse de, her bir tedarikçinin tanımlanması herkülyan bir görevdir. En etkili güvenlik uygulamalarına uymalarını sağlamaya çalışsanız bile, hangileri olduğunu belirleyemiyorsanız, hangisinin en fazla riske sahip olduğunu belirlemek imkansızdır. Tedarikçi bir kıta olduğunda, görev daha da zorlaşır.

Ayrıca, tedarikçiler bir iş yürütüyorlar ve rekabet avantajı elde etmek istiyorlar. Şirketler, alt-tedarikçileri tespit etmekte isteksizdir, çünkü bir müşteri,  bir aracıdan daha az parça almak için aracıyı pas geçebilir. Ya da zincirde daha düşük kapasiteli bir tedarikçi, hangi süslü ürünün üretildiğini öğrendikten sonra daha yüksek bir fiyattan pazarlık etmeye çalışabilir.

Doğal afetler, finansal başarısızlıklar ya da kalitesiz ürünlerden kaynaklanan operasyonlardaki aksaklıklar da dahil olmak üzere, geleneksel tehditlerin oluşturduğu tedarik zinciri risklerini yönetmeye yardımcı olmak için çözümler - büyük ölçüde ticari olarak mevcut ürünler ve çerçeveler - var. Tedarik zincirinde kritik varlıkların konumlarını ve ulaşım yollarını veren coğrafi görselleştirme gibi özellikler, endüstri yönetmeliklerini takip etmek için tedarikçiler ve uyumluluk takipçileri hakkında haberler ve güncellemeler sağlayan gerçek zamanlı izleme özellikleri sunar.

Ancak bu çözümlerin hiçbiri  bir ürünün tedarik zinciri ve süreçlerine sihirli bir şekilde tam bir görünürlük sağlamaz ve çoğu siber güvenlik için risk olan güvenlik açıklarını ve tehditleri açık bir şekilde ele almaz. Bunun nedeni, tedarik zinciri risk yönetiminin siber bileşeninin bu kadar gelişmemesi ve konvansiyonel riskleri ele almanın zorluğudur.

Ayrıca, tedarikçilerin tedarik zincirleriyle ilgili belirli ayrıntıları paylaşma konusundaki isteksizlikleri veya yetersizlikleri, bu tür çözümlerin etkinliğini engelleyebilir. Bazı alt kademe tedarikçiler, özellikle de Savunma Bakanlığı ihtiyaçlarını temin edenlerin, güvenlik durumlarını ürünü satın alan üst düzey şirkete veya ajansa göndermeleri gerekirken, bu kişilerin, kendilerini koruduklarını kanıtlayacak hiçbir gözetim-denetim veya uygun güvenlik standardı yoktur. Bunu yapmak için resmi şartlara sahip olmak “daha ​​az riskli” tedarikçilerin seçiminde yardımcı olabilir ve kötü niyetli manipülasyon olasılığını azaltabilir.

Bu tür bir gözetimi yaratmanın bir yolu, hükümetin tedarik zinciri güvenliğine odaklanan ve anlamlı denetimler yapma gücüne sahip yeni bir otorite yaratmasıdır. Ya da görev geleneksel tedarik zinciri riskini zaten değerlendiren mevcut kuruluşlar tarafından paylaşılabilir.

Bloomberg'in dediği gibi, “Big Hack” de, asla gerçekleşmemiş olsa bile, tedarik zinciri için siber güvenlik risklerinin güçlü bir hatırlatıcısı olarak hizmet ediyor. Şirketler ayrıca, risk değerlendirmelerini ve tedarikçilerin denetimlerini sağlamak ve yönlendirmek için dahili ekipler kurarak, tedarik zincirini izlemeyi kolaylaştırmak ve temel siber güvenlik standartlarına uyan tedarikçilerden mal satın almak için üretim için zaman çizelgelerini uzatmak ve bağımsız bir üçüncü taraf kuruluş tarafından doğrulanmış olmak zorundadırlar. 

İşlevsellik, zamansallık ve kârlılık genellikle bir siber saldırı ortaya çıkana kadar güvenlikle çakışıyor. Tedarik zinciri üzerinde gerçek bir saldırı meydana geldiğinde, üreticiler ve alıcılar cevap vermek ve iyileşmek için daha iyi konumlandırılmış olmalıdırlar. Bu modern yüksek teknoloji çağında bile, eski moda gözetleme gereken farkı yaratabilir.

 Lillian Ablon, 16 Ekim 2018, Washington Post

(Lillian Ablon, RAND Corporation'da çalışan bilim insanıdır.)


Seçkin Deniz, 30.10.2018, Sonsuz Ark, Çeviri, Çeviri ve Yansımalar


Not: Çeviri programları kullanılarak İngilizce'den çevrilmiştir.




Sonsuz Ark'tan
  1. Sonsuz Ark'ta yayınlanan yazılardan yazarları sorumludur. 
  2. Sonsuz Ark linki verilerek kısmen alıntı yapılabilir.
  3. Sonsuz Ark yayınları Sonsuz Ark Manifestosu'na aykırı yayın yapan sitelerde yayınlanamaz.

Seçkin Deniz Twitter Akışı