EDF’nin siber güvenlik direktörü Olivier Ligneul, FIC’nin son baskısında bunun için çağrıda bulundu. “Ekosistem ve operasyonel bağımlılıkları düşünmek” her zamankinden daha önemli.
eşdeğerdir sektör düzeyinde güvenlik hakkında düşünmek. Yönetici, “Saldırıya uğradığınızda, yapabileceğiniz en az şey, tedarik zincirinizdeki oyuncuları potansiyel bir tehlikeye karşı uyarmak için yukarı ve aşağı yönde uyarmaktır” dedi.
VSE’ler ve KOBİ’ler, siber ortamda kilit oyuncular
Büyük gruplar ve özellikle OIV, savunmalarını büyük ölçüde güçlendirdi. Ancak hata ortaklarından ve özellikle taşeronlarından gelebilir. Bunlar genellikle siber güvenlik konusunda henüz çok olgun olmayan küçük şirketlerdir.
“Siber geleceğin kalbi. Bu, tüm zinciri korumak ve mümkünse taşeronları tarafından taşınan riskin son halkasına görünürlük kazandırmak meselesidir”, diyor Proofpoint’in güvenlik direktörü Loïc Guézo.
Uzman ayrıca, düzenleme ve piyasa uygulamalarının gelecekte güvenlik önlemleri uygulamalarını gerektireceği konusunda da uyarıyor. İster düzenleyici bir kısıtlama isterse ihale çağrılarında müşterinin bir şartı olsun, MYO’lar ve KOBİ’ler siber güvenlik konusundaki olgunluklarını geliştirmek zorunda kalacaklar.
Ancak kendi korumalarını ve faaliyetlerinin sürekliliğini sağlamak için bu şirketlerin şimdiden ve hızla gelişmesi gerekiyor. “Fransa’da en büyük risk bu şirketler düzeyinde. Fransız Mesleki Eğitim ve Öğretim Kurumları ve KOBİ’ler bugün en az bilgilendirilmiş ve dolayısıyla en az korunanlardır”, diyor Loïc Guézo.
Ancak, bu “saldırganlar için yeni yumuşak göbek” faaliyetlerini büyük ölçüde dijitalleştirdi ve bilgi sistemini açtı. Covid krizi, bulut hizmetlerinin kullanımının hızlanması ve tele-çalışmanın gelişmesiyle birlikte bu alanda birkaç yıllık bir sıçrama ile sonuçlandı.
Artan sergi yüzeyi ile dijitalleştirme tekerlemeleri
Bu, krizin olumlu yönlerinden biridir. Ancak tehditlerin farkındalığı aynı hızda artmadı. “Özellikle VSE’lerde ve KOBİ’lerde BT risk yönetişimi zayıf kalmaya devam ediyor. Ancak buna ek olarak, riske maruz kalmaya yol açan yeni dijital teklifi entegre etmedi, “uzmanı Proofpoint’ten uyarıyor.
İç bilgi sistemi, şirketler tarafından kullanılan varlıkların giderek daha az önemli bir bölümünü temsil eder. Bunlar, özellikle SaaS (Hizmet Olarak Yazılım) uygulamaları aracılığıyla olağan çevre dışında barındırılan hizmetleri ve verileri tüketir.
Bilgi sisteminin kapsamındaki bu değişiklik, güvenliğin yeniden düşünülmesini gerektirmektedir. Büyük gruplar bunun farkındadır ve bu nedenle güvenlik yaklaşımlarını değiştirmektedir. Bu, küresel olarak kullanıcılar etrafında bir güven balonu oluşturmayı amaçlayan Sıfır Güven mimarilerinin demokratikleşmesinde de görülebilir.
Mevcut Zero Trust çözümleri muhtemelen henüz VSE’ler/KOBİ’ler için uygun tak ve çalıştır veya anahtar teslim kullanıma izin vermemektedir. Güvenlik yönetişimi daha da karmaşık hale getirse bile, çalışma yöntemlerinin hibritleştirilmesinin güvence altına alınması yine de dikkate alınmalıdır.
Proofpoint için, bu hibridizasyon, güvenlik ve uyumluluk açısından beş ana risk sunar. Onlar yeni değil. Ancak bilgi sisteminin açılması ve çevrimiçi hizmetlerin kullanılması, sosyal ağlar üzerinden veri kaybı ve imajın zarar görmesi gibi riskleri artırmaktadır.
Riskleri haritalayın, ancak ana riskler üzerinde hızlı hareket edin
Nasıl yükseltilir? Loïc Guézo, haritalanmış risklere verilecek yanıtlara karar vermek için bir yönetici ile bir yönetişim çerçevesinin oluşturulmasını ve yöneticilerin katılımını tavsiye eder.
Bu, hızlı ve pragmatik eylemleri hariç tutmaz. Aksine. Bu nedenle bu, şirketler için en acil tehditler, yani fidye yazılımının yerleştirilmesine yol açan izinsiz girişler karşısında hareket etmekten ibarettir.
“Kural basit. Riskin %80’ini ne temsil eder? Bugün mesaj var. ROI’yi en üst düzeye çıkarmak için [retour sur investissement, NDLR]mesajlaşma güvenliğine ve ekosistemi ile dijital alışverişlerin kontrolüne yatırım yapmak şüphesiz ilginçtir”, diye analiz ediyor Loïc Guézo.
Ancak bu öneri, İnternet’te açığa çıkan bir hizmetin zayıf yapılandırması ve yama yönetiminin zayıf yönetimi gibi diğer giriş noktalarının engellendiğini varsayar.