Kaspersky, değer zinciri risklerine yönelik panel düzenledi

İSTANBUL (AA) - Kaspersky'nin "Saatli siber bomba: Değer zinciri risklerini düzeltmek için neden ortak bir küresel bir tepki yok?" başlıklı panelinde tehlikeli siber güvenlik açıklarını temsil eden değer zinciri riskleriyle mücadele ele alındı.

Kaspersky açıklamasına göre, son yıllarda tedarik zinciri saldırıları son derece başarılı oldu.

Hükümet ve kamu hizmetleri dahil artan dijitalleşmenin ortasında kuruluşlar, bu tür tehditlere karşı her zamankinden daha savunmasız halde bulunurken, bununla birlikte tehlikeli siber güvenlik açıklarını temsil eden değer zinciri riskleriyle mücadele için hala küresel bir inisiyatif ortaya koyulamadı.

Verilen bilgiye göre Kaspersky, bu sorunu ele almak ve çözüme giden olası yolları bulmak için 2021 RSA Konferansında özel bir panel düzenledi.

"Saatli siber bomba: Değer zinciri risklerini düzeltmek için neden ortak bir küresel bir tepki yok?" başlıklı panelde alanında uzman isimler, Interpol Siber Suçlar Direktörü Craig Jones, İsviçre Federal Dışişleri Bakanlığı (FDFA) Siber Dışişleri ve Güvenlik Politikası Özel Temsilcisi Jon Fanzun, Olay Müdahale ve Güvenlik Ekipleri Forumu (FIRST) Başkanı Serge Droz bir araya gelerek konuyu ele aldı.

Açıklamada görüşlerine yer verilen Interpol Siber Suçlar Direktörü Craig Jones, şunları kaydetti:

"Saldırı gerçekleştiğinde insanlar 911'i veya polisi aramıyor. Biz aramalarda BT güvenlik ekiplerinden sonra ikinci veya üçüncü sıradayız. Ancak CERT'ler, özel ortaklar ve diğer kişilerle birlikte bunu ilk araştıranlardan biri olmalıyız. İş birliğine dayalı ve etkili bir müdahale sürecine duyulan ihtiyacı güçlendirmek, olayları derinlemesine araştırmak ve kritik altyapının BT güvenliğini sağlamak için olabildiğince fazla bilgi almak ve paylaşmak herkesin çıkarına olacaktır."

Siber suçluların böl ve fethet tekniğini sevdiğine dikkati çeken FIRST Başkanı Serge Droz, "Biz bölünürsek suçlular daha da güçlenir. Bu yüzden bizim en büyük zorluğumuz, teknik sorunları aşmaktan çok böyle bir zorluktan birlikte nasıl daha iyi çıkacağımıza karar vermektir." ifadelerini kullandı.

İsviçre Federal Dışişleri Bakanlığı Siber Dış ve Güvenlik Politikası Özel Temsilcisi Jon A. Fanzun ise, "Öncelikle küresel bir topluluk olarak uluslararası hukukun siber uzayda tam olarak işlediği, insan haklarının çevrim içi ortamda nasıl korunacağı, sorumlu devlet normlarının nasıl uygulanması gerektiği ve diğer paydaşların rolünün ne olduğu konusunda fikir birliğine varmalıyız. Ardından üzerinde anlaştığımız şeyi uygulamalı ve anlaşmaları ihlal edenleri eylemlerinden sorumlu tutmalıyız." değerlendirmesinde bulundu.

- Herkes için daha güvenli bir dünya, yalnızca karşılıklı güven ve iş birliği üzerine kurulabilir

Kaspersky açıklamasında, herkes için daha güvenli bir dünyanın yalnızca karşılıklı güven ve iş birliği üzerine kurulabileceğinin altı çizilirken, şirket, BM üye devletlerini ve kritik altyapılarını etkileyen büyük ölçekli ve önemli siber olayları ele almak için küresel bir olay müdahale mekanizmasına ihtiyaç olduğunu paylaştı.

Açıklamada görüşlerine yer verilen Kaspersky Halkla İlişkilerden Sorumlu Kıdemli Yöneticisi Anastasiya Kazakova, şu değerlendirmelerde bulundu:

"Bu mekanizma, bir saldırı durumunda tavsiye edilen teknik ve operasyonel ulusal temas noktalarının sağlanmasına dayanır. Bunlar gerektiğinde teknik bilgi alışverişinde bulunmak için ulusal bir CERT, kanun mercii veya siber güvenlik uzmanlarına ulaşmada 'son istasyon' görevi görecektir. Bu noktada olay müdahale ekiplerinin tarafsız kalması önemlidir.

Böyle bir mekanizma yalnızca zamanında ve koordineli bir küresel müdahale ve olayların hafifletilmesi için gereken araçları sağlamakla kalmayacak, aynı zamanda küresel topluluğun teknik ve operasyonel kapasitelerini geliştirmeye yardımcı olacak, böylece siber istikrara katkıda bulunacaktır."

- Dijital dönüşüm, her kuruluşu çok sayıda harici satıcıya dayalı bir yazılım şirketi haline getiriyor

Açıklamada yer alan bilgilere göre, dijital dönüşüm, her kuruluşu çok sayıda harici satıcıya dayalı bir yazılım şirketi haline getiriyor.

Bu hizmetler, birbiriyle bağlantılı kullanıcıları, endüstriler, toplumlar ve ülkeleri riske atabilecek güvenlik açıkları içeren kodlar taşıyabilirken, bununla birlikte devletler arasındaki çeşitli anlaşmazlıklar nedeniyle, değer zinciri risklerine karşı küresel tepki ortaya koyulabilmiş değil.

Kaspersky araştırmacıları, aynı zamanda yüksek düzeyde hedeflenen tedarik zinciri saldırılarına odaklı çeşitli tehdit gruplarını izliyorlar.

Buradan gelen bulgular, tehdit aktörlerinin güncellemeler sırasında güvenlik açıklarını hedeflediğini gösteriyor.

Böylece kullanıcılar güncelleme ve yamaları uygularken BT sistemlerinde istemden arka kapılara neden olabiliyor. Yakın zaman önce tespit edilen yüksek profilli tehdit Sunburst, dünya çapında çok sayıda kamu ve özel kuruluşun güvenliğini tehlikeye atmak için kullanılan araçlardan sadece biri olarak açıklandı.

Kaspersky, 2017 yılında ürünlerinin, iç süreçlerinin ve iş operasyonlarının güvenilirliğini doğrulamak ve daha geniş siber güvenlik topluluğu ve paydaşlarla etkileşim kurmak için bir dizi eyleme geçirilebilir, somut önlemlerden oluşan Küresel Şeffaflık Girişimi'ni başlattı.