Türkiye'de Tedarik Zinciri Siber Güvenlik Riskleri Artıyor: Uzman Eksikliği ve Önceliklendirme Zorunluluğu Öne Çıkıyor

Tedarik Zinciri Siber Güvenlik Riskleri Türkiye’de Kritik Boyutta

Kaspersky tarafından yapılan kapsamlı küresel araştırma, nitelikli bilişim teknolojileri (BT) güvenliği personeli eksikliğinin yanı sıra, tedarik zinciri ve güven ilişkilerine dayalı siber saldırı risklerini önceliklendirme ihtiyacını ortaya koyuyor. Araştırma kapsamında dünya genelinde 500’den fazla çalışanı bulunan şirketlerin üst düzey yöneticileri ve teknik uzmanlarından oluşan bin 714 kişiyle görüşülerek değerlendirmeler yapıldı. Türkiye’nin de dahil olduğu çok sayıda ülkeyi kapsayan analiz, tedarik zinciri saldırılarının işletmeler için önemli bir tehdit halini aldığını gözler önüne serdi.

Uzman İş Gücü Eksikliği ve Önceliklendirme Zorlukları

Son bir yıl içinde her üç kuruluştan birinin tedarik zinciri kaynaklı siber saldırıya maruz kalması, şirketlerin bu konuda tedbirlerini artırmasını zorunlu kılıyor. Ancak, bu risklerin azaltılmasında en büyük engel olarak alanında uzman BT güvenliği personeli eksikliği öne çıkıyor. Uzman eksikliği, firmaların ekosistemlerindeki üçüncü taraf zafiyetlerini tespit ve izleme kapasitelerini sınırlıyor. Ayrıca birden çok siber güvenlik görevinin yürütülmesi zorunluluğu, güvenlik ekiplerinin önceliklendirme yapmasını güçleştirip tedarik zinciri tehditlerinin gözden kaçmasına neden oluyor.

Türkiye’de İşletmelerin Güvenlik Algısı ve Uygulamaları

Türkiye’de yapılan değerlendirmelerde işletmelerin %46’sı, tedarikçileriyle yapılan sözleşmelerde net BT güvenliği yükümlülüklerinin bulunmadığını belirtirken, %35’i BT dışındaki güvenlik personelinin riskleri tam anlamıyla kavrayamadığını ifade ediyor. Türk şirketlerinin %93’ü, tedarik zinciri ve güven ilişkileri konusundaki koruma önlemlerine daha fazla yatırım yapılması gerektiği görüşünde. Mevcut güvenlik çözümlerini yeterli bulan şirketlerin oranı ise sadece %7'de kaldı. Ayrıca, tedarikçi risklerini yönetmek için uygulanan koruma yöntemleri henüz yaygınlık kazanamamış durumda.

Koruyucu önlemler arasında, Türkiye’de sadece %26 oranında iki faktörlü kimlik doğrulama (2FA) kullanılırken, kuruluşların %42’si yüklenicilerin siber güvenlik duruşlarını düzenli olarak incelemekte. Yaklaşık üçte iki işletme, iş ortaklarının güvenlik durumunu sürekli izleyemediğini ve bu durumun gelişen zafiyetler karşısında kurumları savunmasız bıraktığını bildiriyor.

Kritik Engeller ve İyileştirme Önerileri

Türkiye’de şirketlerin %44’ü, nitelikli BT güvenliği personeli eksikliği ve güvenlik önceliklerinin dengelenmesi zorluklarını temel engeller olarak tanımlıyor. Katılımcılar, tedarik zinciri saldırıları sonrası yapılan sızma testlerinin talep edilme oranının %56 olduğunu ve güven ilişkisi ihlali durumlarında endüstri standartlarına uyumluluk kontrolleri ile tedarikçi politikalarına öncelik verildiğini belirtiyor. Kaspersky, sınırlı siber güvenlik kaynaklarına sahip kurumlar için yönetilen güvenlik hizmetlerinden yararlanılması, tehdit tespiti ile müdahale çözümlerinin tercih edilmesini öneriyor.

Ayrıca, siber güvenlik eğitimlerine yatırım yaparak çalışanların teknik yetkinliklerinin artırılması, tedarikçilerin siber güvenlik politikalarının ve geçmiş kayıtlarının kapsamlı şekilde değerlendirilmesi kritik önem taşıyor. Sözleşmelerde güvenlik denetimleri ve olay bildirim süreçleri gibi net yükümlülüklerin yer alması ve tedarikçilerle işbirliği geliştirilmesi gereken diğer önemli adımlar arasında bulunuyor.

Uzmanlardan Kritik Uyarılar

Kaspersky Güvenlik Operasyonları Merkezi (SOC) Başkanı Sergey Soldatov, güvenlik ekiplerinin aşırı görev yükü ve personel açığı nedeniyle tedarikçi ekosisteminde ilerleyen tehditlere karşı önlem alamadığını vurguluyor. Soldatov, bu döngünün kırılması için standartlaştırılmış yüklenici değerlendirmeleri ve ekipler arası farkındalığın artırılması gibi bütünleşik ve tutarlı hafifletme stratejilerinin benimsenmesi gerektiğini belirtiyor.

Soldatov, "Tedarik zinciri güvenliği, tüm iş ağı genelinde paylaşılan ve hesap verebilir bir sorumluluk haline gelmeli. Şirketlerin riskleri azaltması ve iş sürekliliğini sağlaması, önleyici tedbirlerin uygulanması ve tedarikçi ilişkilerinin stratejik yönetimi ile mümkün olur." ifadeleriyle organizasyonların yaklaşımını özetliyor.