Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Perşembe günü, giderek daha karlı bir saldırı vektörü olarak ortaya çıktığı için tedarik zincirindeki riskleri yönetmek için güncellenmiş bir siber güvenlik kılavuzu yayınladı.
NIST yaptığı açıklamada, “Kuruluşları, yalnızca kullanmayı düşündükleri bitmiş bir ürünün değil, aynı zamanda başka yerlerde geliştirilmiş olabilecek bileşenlerinin ve bu bileşenlerin hedeflerine ulaşmak için yaptıkları yolculuğun güvenlik açıklarını da dikkate almaya teşvik ediyor.” Dedi.
Yeni direktif ana hatlar ana güvenlik kontrolleri ve uygulamaları kuruluşların, kötü niyetli işlevsellik olasılığı, üçüncü taraf yazılımlardaki kusurlar, sahte donanımların eklenmesi ve zayıf üretim ve geliştirme uygulamaları dahil olmak üzere tedarik zincirinin farklı aşamalarındaki riskleri belirlemek, değerlendirmek ve bunlara yanıt vermek için benimsemesi gerekir.
Gelişme, ABD Başkanı tarafından yayınlanan bir Yürütme Emrini takip ediyor “Ülkenin Siber Güvenliğinin İyileştirilmesi (14028)” geçen Mayıs ayında, devlet kurumlarının adım atmak “kritik yazılımları ele almaya öncelik vererek, yazılım tedarik zincirinin güvenliğini ve bütünlüğünü geliştirmek.”
Aynı zamanda, tedarik zincirindeki siber güvenlik risklerinin son yıllarda ön plana çıkması ve kısmen yaygın olarak kullanılan yazılımları hedef alan ve düzinelerce alt satıcıyı aynı anda ihlal eden bir saldırı dalgasıyla birleşerek ortaya çıkıyor.
Avrupa Birliği Siber Güvenlik Ajansı’na (ENISA) göre Tedarik Zinciri Saldırıları için Tehdit OrtamıOcak 2020’den 2021’in başlarına kadar belgelenen 24 saldırının %62’sinin “müşterilerin tedarikçilerine olan güvenini suistimal ettiği” tespit edildi.
NIST’den Jon Boyens ve yayının yazarlarından biri, “Tedarik zincirinin siber güvenliğini yönetmek, kalıcı bir ihtiyaçtır” dedi. “Ajansınız veya kuruluşunuz buna başlamadıysa, bu, sizi emeklemeden yürümeye ve koşmaya götürebilecek kapsamlı bir araçtır ve bunu hemen yapmanıza yardımcı olabilir.”