Büyüyen tehlike: Tedarik zinciri saldırısı

  • HABER
  • 3 dk

Pandemiyle birlikte dijitalleşme hemen her alanda zorunlu hale geldi. Bu durum tedarik zinciri saldırılarını da tetikledi. Artan dijitalleşmeyle birlikte, hükümetler, kamu hizmetleri veren kurumlar, özel kuruluşlar, bu tür tehditlere karşı her zamankinden daha savunmasız.

‘Tedarik zinciri’ kavramı bilişim alanında kurumsal ve bireysel müşterilere sunulan donanım veya yazılım güncellemelerini tanımlayan bir kavram. Kamu kuruluşlarının ya da özel şirketlerin üçüncü taraflardan sağladığı donanım ve yazılım ürünlerindeki güvenlik açıklarından faydalanarak, yapılan saldırılara da ‘tedarik zinciri saldırısı’ deniyor.

Zayıf halkalardan içeri sızıp zincir boyunca ilerlemeye çalışan bu saldırı yöntemi uzun zamandır yüksek güvenlik tedbirlerine sahip sistemlere girmek için kullanılıyor.

Tedarik zincirleri karmaşıklaşıp birbirine eklemlendikçe, daha çok sayıda zafiyete sahip saldırı alanı ortaya çıkıyor ve geleneksel güvenlik tedbirleri yetersiz kalıyor.


Saldırılar nasıl yapılıyor?
En çok yazılım güncellemelerine veya açığı bulunan ‘firmware'lere dahil edilen kötü amaçlı kod parçacıkları ve benzeri zararlı programlar kullanılıyor. Saldırılar, dünyanın farklı noktalarındaki firmalara ana-kart vb. önemli donanımlar sağlayan üreticilerin bu donanımlara olmaması gereken parçalar yerleştirmesi sonucu fiziksel yollarla da gerçekleştirilebiliyor.
Ancak daha kolay fark edilebildiği için saldırganlar tarafından çok tercih edilmiyor. 

Verileri anında indirmek yerine arka planda izlemeyi sağladığı için aylar boyunca fark edilemeyen tedarik zinciri saldırıları siber dünyanın büyüyen tehlikesi.
Dijital dönüşüm, her kuruluşu çok sayıda harici satıcıya dayalı bir yazılım şirketi haline getiriyor. Bu hizmetler, birbiriyle bağlantılı kullanıcıları  (sektörler, toplumlar ve ülkeler) riske atabilecek güvenlik açıkları içeren kodlar taşıyabiliyor.


Devletler, kamu, özel sektör hedefte

Son yıllarda ABD Hazine Bakanlığı dahil onlarca farklı kamu kuruluşu ve büyük firmalar bu tip saldırıların kurbanı oldu.

Ancak bu tehlikeye karşı devletler arasındaki çeşitli anlaşmazlıklar nedeniyle,  ortak bir küresel çözüm bulunamıyor.

Kaspersky siber güvenlik şirketi, siber güvenlik başlıklarının ele alındığı 2021 RSA Konferansında bu konuya özel bir panel düzenledi.

Katılımcılar, yapıcı bir diyalog kurmanın, bilgi paylaşımını ve güveni artırmanın hayati önem taşıdığını vurguladı.

“Şirketler, hükümetler ve vatandaşlar arasındaki güven yeniden sağlanmalı” çağrısı yapan Kapersky ilk adımı kendi atarak 2017’de ‘Küresel Şeffaflık Girişimi'ni başlatmıştı.

Firma bu girişimle ürünlerinin, iç süreçlerinin ve iş operasyonlarının güvenilirliğini doğrulayarak, daha geniş siber güvenlik topluluğuyla etkileşim kurma hedefinde.