3. Taraf Siber Güvenliği ve Yönetimi

Siber güvenlik; şirketler, ulusal güvenlik ve şahıslar için her geçen gün gündemde daha fazla yer buluyor. Bilgisayar sistemleri ve dijitalleşme, sadece bireyler ya da kurumlar özelinde değil, tüm faaliyetlerin temelini oluşturacak şekilde ve kalıcı biçimde yaygınlaşıyor. Temelde ortaya çıkan aksaklıkların ise tüm üretim süreçlerini nasıl etkilediğine sıklıkla tanıklık ediliyor.

Söz konusu süreçlerin “bir şey olmaz, olsa da bizi etkilemez” denilen ve genel itibarıyla zayıf halkasını teşkil eden üçüncü tarafların güvenliğini ve yönetimini inceleyeceğiz. “Üçüncü taraf güvenliği nedir” sorusunun yanıtı ile başlıyoruz…

Üçüncü taraf güvenliği nedir, neden önemlidir?

Üçüncü taraf güvenliği, organizasyonların; doğrudan kendi uhdesinde bulunmamakla birlikte acente, tedarikçi, yan kuruluş, iştirak veya üye işyeri gibi arz zincirindeki aktörlerden kaynaklı risklere karşı korunmasıdır.

2021 yılında Phenomenon Enstitüsü tarafından hazırlanan bir rapora göre, araştırmaya katılanların yarısından fazlası, üçüncü taraf zafiyetleri sebebiyle veri sızıntısı yaşadıklarını aktardı. Ancak aynı raporda, araştırmaya katılanların %54’ü, üçüncü taraf risklerini değerlendirmediği belirtti. Dolayısıyla üçüncü taraf güvenliğini dikkate almayan organizasyonlar, aslında yapılarında devasa bir zafiyeti görmezden geliyor.

Peki, bu zafiyetler hangi riskleri içeriyor?

Üçüncü taraf riskleri

Üçüncü tarafların zafiyetlerinden kaynaklanan riskler, üç ana başlık altında incelenebilir.

1. İtibar Kaybı: Üçüncü tarafta gerçekleşecek siber güvenlik ihlali veya veri sızıntısı, ana organizasyonla birlikte anılacak ve dolaylı dahi olsa, itibar kaybına sebep olacaktır. Ayrıca, kamuoyu nezdinde, ana organizasyonun ihlal veya sızıntıdan doğrudan sorumlu görülmesi ihtimali de gözardı edilemez. Bu yüzden ana organizasyon, siber güvenlik duruşu güçlü bile olsa, günah keçisi olur.
2. Maddi Zarar: İtibar kaybına benzer şekilde siber saldırı türüne ve amacına göre ana organizasyon, üçüncü tarafla beraber ciddi maddi zarara uğrayacaktır.
3. Kanun, Düzenleme veya Uyumluluk İhlali: Üçüncü tarafta yaşanan ihlal veya sızıntı, ana organizasyon açısından, KVKK (Kişisel Verilerin Korunması Kanunu) gibi kanun, düzenleme veya sektörel uyumluluğun çiğnenmesine yol açabilir. Finans, sağlık ve kamu kurumlarının yasal sorumlulukları gereği bu risk daha kritiktir.

Üçüncü taraf risk yönetimi

Üçüncü taraflarının risk yönetimini yapmak isteyen ana organizasyonların izleyebileceği muhtelif yöntemler bulunmaktadır. İşte bu kapsamdaki üç temel adım…

Birincisi, üçüncü taraf risklerinin görünürlüğünü artırma esasıyla bu tarafların tespit edilmesidir. Böylelikle, ana organizasyonla nasıl bir bağ içerisinde olduğu, hangi verilerin müşterek ve kritik olduğu ile hangilerine önem verilerek, önceliklendirileceği gibi sorular yanıtlanabilir.

İkincisi, tespit edilen tarafların risk değerlendirmesinin yapılmasıdır. Üçüncü tarafların tespitinde olduğu üzere, böylelikle siber güvenlik zafiyetlerinin sebep olabilecekleri ihlal/sızıntılar netleştirilerek, önceliklendirilmesi, güvenlik açıklarının önem sırasına göre ve hızla kapanması sağlanacaktır.

Üçüncüsü ise yapılan iyileştirmelerin takibine ek olarak, güncel tehditlere karşı siber güvenlik duruşu değerlendirmesi yapılabilmesini teminen, söz konusu tarafların sürekli ve düzenli olarak takip edilmesidir. Bu adımla, bir yandan güvenlik açıkları kapatılırken, diğer yandan yeni açıklardan kaynaklanabilecek saldırı olasılığı asgariye indirilecektir.

Yukarıda kayıtlı adımlar, ana organizasyonun siber güvenlik personel ve teknik altyapı kapasitesi ile üçüncü taraf boyutuna göre, ana organizasyon tarafından atılabilir.

Öte yandan fazla sayıda üçüncü tarafla çalışan büyük organizasyonların, üçünü taraf siber güvenlik risk yönetimi uzmanları ile çalışması faydalı olacaktır.

Sonuç

Siber güvenlik, farklı alanlarda daha sık ele alınıyor ve bu yönde çalışmalar yoğunlaşıyor.

Öte yandan karmaşık ve geniş arz zincirleriyle, yüksek sayıda üçüncü tarafla çalışan büyük organizasyonların kendi organizasyonları için aldığı önlemler faydalı olmakla beraber, yeterli değil. Nitekim organizasyonların veri sızıntılarını inceleyen raporlar, yarısından fazlasının üçüncü taraf zafiyetleri üzerinden gerçekleştiğini tespit etmiştir.

Kaydedilen siber saldırıların sebep olacağı riskler, ana organizasyonun güvenlik kapasitesi ve çalıştığı üçüncü taraf sayısına göre ana şirket tarafından belirli bir çerçeve içerisinde idare edilebilir. Ancak, hem bu tarz organizasyonlar hem de fazla sayıda üçüncü tarafı bulunan büyük yapılar için ‘üçüncü taraf siber güvenlik risk değerlendirmesi yapan uzman’ istihdamı gerekebilir.

Konuk Yazar: Bartu Ünlü, PCI Checklist – Channel Partner Manager