Siber güvenlik, Başkan Biden’ın 14028 sayılı İcra Emri’nden Ulusal Siber Strateji’ye kadar federal hükümet için büyük bir önceliktir, ancak ağlarında hala büyük bir boşluk vardır: üçüncü taraflar. Aslında, neredeyse Tüm veri ihlallerinin %60’ı üçüncü taraf satıcılar tarafından başlatılıyorbir kuruluşun çevresine ulaşana kadar güvenliğe yönelik olağan dışa dönük yaklaşımla genellikle tespit edilemeyen .
Ulaştırma Güvenliği İdaresi’nin (TSA) uçuşa yasak listesi saldırısı, üçüncü taraf bir sızıntının federal siber güvenlik üzerinde oluşturabileceği büyük riskin en son örneğidir. Üçüncü taraflardaki veri ihlalleri, hem özel sektör hem de kamu sektörü genelinde, eski siber güvenlik uygulamalarının artık tespit edemediği geniş bir etki ağı oluşturur. Biden yönetimi siber yolunu belirlerken, genişleyen güvenlik çemberine bakmak için hepimizin bir adım geri atması şart.
Üçüncü Taraf Veri Riskinin Etkileri Geniş Kapsamlı
Her gün tipik güvenlik sınırlarının dışında daha fazla veri paylaşılırken, tek bir üçüncü taraf veri sızıntısı, en büyük şirketten en kritik federal kuruma kadar her şeyi çökertebilecek yıkıcı bir ihlale neden olmak için yeterlidir. Görünürlük, üçüncü taraf riskinde birincil suçludur. Aslında, ortalama bir kuruluş hassas verileri 583 üçüncü tarafla paylaşıyor — izlenecek şaşırtıcı sayıda olası saldırı vektörü. ABD hükümeti için bu, yükleniciler, satıcılar, diğer kurumlar ve daha fazlası anlamına gelir.
Genişleyen dijital tedarik zincirinin ve zayıf görünürlüğün etkileri birleşerek çeşitli riskler ortaya çıkarıyor. SolarWinds, yalnızca yazılımı kullanan kuruluşları değil, aynı zamanda müşteri ve ortak ağlarını da etkileyen üçüncü taraf tedarik zinciri korsanlığının en kötü şöhretli örneğidir. Bu etkinin kapsamı, ajansların ülke ve vatandaşları için hem kritik hem de hassas verilere ev sahipliği yaptığı federal hükümet için özellikle önemlidir. Veri gizliliğinin zincirleme reaksiyonundan korunma, yalnızca güvenlik uygulamalarının ve teknolojisinin düzenli olarak güncellenmesiyle sağlanabilir.
ABD hükümeti, dijital bir dönüşümden geçmek için tutarlı adımlar atıyor ve bu, üçüncü taraf riskleri karşısında siber güvenliğe doğru genişlemelidir. Eski siber güvenlik standartlarına güvenemez. Günümüzün tehditleri, her zaman açık sistem güvenlik teknolojileri ve uygulamaları gerektirir. Anketler, politikalar ve süreç incelemeleri yeni dijital ortamda etkisizdir.
Önleyici Siber Güvenlik Üçüncü Taraf Riskiyle Mücadele Ediyor
Etkili olabilmesi için, bir üçüncü taraf risk stratejisi önleyici olmalıdır. Gelecekteki riskleri tahmin etmek için güvenlik politikalarını, geçmiş güvenlik olaylarını ve potansiyel satıcıların çözümlerini gözden geçirmek oldukça yaygın bir uygulamadır. Ancak bu yeterli değildir – yalnızca bir önleme ve saldırı planını gözden geçirmektir.
Elbette, onlarla veri paylaşmayı taahhüt etmeden önce kuruluşları ve olası maruz kalma alanlarını araştırarak üçüncü taraf ilişkileri hakkında bilinçli kararlar vermek zorunludur. Bu değerlendirmenin bir kısmı, görünürlük ve güçlü güvenlik hijyenine olan bağlılıklarını anlamak olmalıdır. Kötü amaçlı davranışları taramak önemli bir adım olsa da ihmal, güvenlik açıklarında da önemli bir rol oynar ve iş ortakları, uygulamalarının ne kadar güncel olduğuna göre değerlendirilmelidir.
Mevcut ortaklıklar için sözleşmelerin uygulanması, bulunan tüm zayıflıkların giderilmesine yardımcı olabilir. Güvenlik standartlarına uymayanlar, geri alma hükümleri uygulanarak ve gizli bilgilerin veri sızıntısı için tedarik zinciri cezaları entegre edilerek ele alınabilir.
Oradan, sürekli izleme ve risk değerlendirmesi yoluyla bu önleyici güvenlik duruşunu sürdürmek önemlidir. Daha büyük bir üçüncü taraf yaşam döngüsü yönetim planının bir parçası olarak, yardımcı araçlar arasında otomatikleştirilmiş risk yönetimi platformları, düzenli gerçek zamanlı risk değerlendirmeleri ve sürekli olarak keşfetme, envanter oluşturma, sınıflandırma, önceliklendirme için araçlar (harici saldırı yüzeyi yönetimi veya EASM gibi) bulunur. ve bir BT altyapısı içindeki hassas harici varlıkların izlenmesi. [Note: The author’s company is one of many that offer EASM.]
Çoğu özel ve kamu kuruluşu siber güvenliğin önemini kabul ediyor, ancak şaşırtıcı bir şekilde hala bazı geri kalmış endüstriler var ve bu da federal siber güvenlik için güçlü bir tehdit oluşturuyor. Federal hükümetten daha fazla siber önceliğin yayıldığını ve daha iyi güvenlik uygulamalarının Siber Güvenlik Olgunluk Modeli Sertifikasyonu (CMMC) aracılığıyla satıcılara damladığını gördükçe, gelecekte bu büyüyen sorunlar etrafında daha fazla girişim görmeyi umabiliriz. TSA uçuşa kapalı sızıntıyı arkamızda bıraktığımız için, üçüncü taraf veri koruması federal siber öncelikler arasında en üst sıralarda yer almalıdır.