İnternet kullanımının artması ve yapay zekanın gelişmesi ile birlikte siber saldırıların sayısında büyük bir artış yaşandığı gibi siber saldırıların verdiği zararlar da büyük bir hızla arttı.
Siber saldırıların verdiği zararların en yenilerinden biri, geçtiğimiz hafta Almanya’da gerçekleşti.
Henüz kimin gerçekleştirdiği belli olmayan fidye yazılımı saldırısı, Almanya’da yerel yönetimlere tedarikçi hizmeti veren Südwestfalen IT şirketini hedef aldı. Saldırı sonucu şirketin sunucuları şifrelenirken Südwestfalen IT şirketi, kötü amaçlı yazılımın yayılmasını engellemek amacıyla 70’ten fazla yerel yönetim altyapısına erişimi kısıtlamak zorunda kaldı. Belediyeler, sorun giderilene kadar çevrimiçi hizmetlerini askıya alarak yüz yüze hizmet vermek durumunda kaldılar.
Almanya’da yaşanan bu örnekte görüldüğü gibi, belediyeler gibi kamu kurum ve kuruluşları yalnızca kendilerine yönelik siber saldırılardan dolayı değil, tedarikçilerine yapılan saldırılardan da zarar görebilirler. Türkiye’de de geçmişte bu tür olaylar olmuş, belediyelerin tedarikçilerinin saldırıya uğraması sonucu kişisel veri ihlalleri ve hizmet aksamaları yaşanmıştı. Bir örnek verilmesi gerekirse, 2019 yılında Küçükçekmece Belediyesi’nin alt yüklenicisinin sunucularına sızılmış ve 285.000 kişinin iletişim bilgileri çalınmıştı. Ayrıca, geçtiğimiz aylarda otomotiv ve motorlu araçlar sektöründe tedarikçi konumunda olan Vodatech ve Mivento adlı iki şirket bir fidye yazılı saldırısına uğramış, bununla birlikte Beşiktaş, Vodafone, Toyota, Suzuki, Doğan Trend Otomotiv gibi birçok büyük firmanın da etkilendiği kullanıcı veri ihlalleri gerçekleşmişti.
Bu tür olaylar, dijital dönüşüm süreçlerindeki güvenlik zafiyetlerini gösteriyor ve bu nedenle, Dijital Dönüşüm Ofisi Bilgi İletişim Güvenliği Rehberi’nde vurgulanan tedarikçi denetimi öneminin altını çiziyor.
DDO BİGR ve Tedarikçi İlişkileri Güvenliği
Bilgi ve İletişim Güvenliği Rehberi, kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerin bilgi güvenliğini sağlamak için gerekli tedbirlerden oluşturulmuş bir rehberdir. Rehberin temel amacı; bilgi güvenliği risklerinin azaltılması, ortadan kaldırılması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik bilgi/verinin güvenliğinin sağlanması için asgari güvenlik tedbirlerinin belirlenmesi ve belirlenen tedbirlerin uygulanması için yürütülecek faaliyetlerin tanımlanmasıdır.
3.5.3 Tedarikçi ilişkileri Güvenliği de rehberin bu kapsamda belirlediği alt başlıklardan biridir. Tedarik zincirinde yer alabilecek zafiyetleri ortadan kaldırmayı amaçlar ve tedarikçiler için belirli tedbirler sunar.
Rehber, kurum ile alt yükleniciler arasındaki tüm ilişkileri ele alarak tüm sürecin güvenli bir şekilde gerçekleşmesini sağlamayı amaçlar. Tüm tedarikçi ilişkileri ile ilgili tedbirleri Tedarikçi İlişkileri Güvenliği başlığı altında toplar. Rehber’de yer alan tedbirler;
- Kuruluşun tedarikçi ilişkilerinde bilgi güvenliği politikalarının tanımlanmasını,
- Sözleşmelerde bilgi güvenliğinin ele alınmasını,
- Kabul kriterleri ile güvenlik kriterlerinin uyumlu olmasını,
- İletişim metotlarının belirlenmesini,
- Yüklenici ve alt yüklenici ile ilgili sorumlulukların belirlenmesini,
- Tedarik hizmetlerinin ve tedarik zincirinin izlenmesini ister.
Siber saldırıların ve bilgi güvenliğinin öneminin her geçen gün arttığı günümüzde, kamusal hizmetler veren belediyeler ve üniversiteler gibi kuruluşlarda yaşanabilecek sızıntılar kamu güvenliği sorununa dönüşmektedir. Bilgi ve İletişim Güvenliği Rehberi’ne uyum, kamu kurum ve kuruluşlarında kamusal güvenlik ve kamu kuruluşlarına duyulan güven için bir zorunluluk haline gelmektedir.
Kaynakça
KVKK Veri İhlali Bildirimi – Küçükçekmece Belediyesi
https://www.kvkk.gov.tr/Icerik/6584/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Kucukcekmece-Belediyesi
Massive Ransomware Attack Hinders Services in 70 German Municipalities
Massive Ransomware Attack Hinders Services in 70 German Municipalities
https://therecord.media/massive-cyberattack-hinders-services-in-germany?&web_view=true
KVKK Veri İhlali Bildirimi- Doğan Trend Otomotiv
KVKK Veri İhlali Bildirimi- Suzuki Motorlu Araçlar
KVKK Yedi Yeni İhlal Bildirimi Yayınladı
https://cyberartspro.com/kvkk-yedi-yeni-ihlal-bildirimi-yayinladi/
Veri İhlali Bildirimi – Beşiktaş Sportif Ürünler Sanayi ve Ticaret A.Ş.
https://cyberartspro.com/veri-ihlali-bildirimi-besiktas-sportif-urunleri-sanayi-ve-ticaret-a-s/
Ransomware Saldırısı Sonucunda Gerçekleşen Veri İhlalleri
https://cyberartspro.com/ransomeware-saldirisi-sonucunda-gerceklesen-veri-ihllalleri/
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.