Covid 19 aşı üretim sürecinde çokça gündeme gelen siber saldırı haberleri sonrası, Tedarik Zincirlerinin Siber Saldırılardan Korunması konusunda Forbes’in yayınladığı bir haberi sizinle paylaşmak istedim. Bunun yanında Solarwinds saldırısı da tedarik zinciri güvenliği ile ilgili aslında. Tedarik Zincilerinin Siber Saldırılardan Korunması konusu neden bu kadar önemli ve gündem oldu sizce?
Kısaca kurumlar bugüne kadar kendi şirketlerine ait sistem verilerinin güvenliğine odaklandılar ve buraları güçlendirmek için ciddi yatırımlar yapıldı. Ancak dışardan ürün yada hizmet aldıkları tedarikçiler belki bütçeleri yetmediği için belki de konunun öneminin farkında olmadıkları için siber güvenliğe gerekli kaynakları ayırmadılar yada ayıramadılar. Bu durumu bilen siber saldırganlar da tabii ki zayıf halka durumundaki bu tedarikçileri hedefl almaya başladı.
Ülkemizde ISO 9001 yönetim standardı sürecinde tedarikçi yönetimi oldukça detaylı bir şekilde ele alınır. Ancak standart sadece tedarikçi performans yönetimi, seçimi gibi konularada odaklanmıştır. ISO 28000 kalite stadandardı sadece Tedarik Zinciri güvenliğine odaklanıyor. nternet sitesinde mevcut standardın güncellendiği belirtiliyor. Bitmesi sonrası, tüm kurumların bu stadandardı birebir olmasa da referans alarak uygulamarını öneririm. Gelelim Forbes’in haberinin detayına…
- Birleşik Krallık Siber Güvenlik ve Bilgi Güvencesi Ofisine göre, İlaç endüstrisi dünya çapında Fikri Mülkiyet (IP) siber hırsızlığı nedeniyle 14 milyar dolar kaybetti.
- Birleşik Krallık Siber Güvenlik ve Bilgi Güvencesi Ofisine göre, farmasötik fikri mülkiyet hırsızlıklarının ve ilgili ihlallerin% 53’ü içeriden öğrenenlere erişimi olan kötü aktörler tarafından gerçekleştiriliyor.
- Yakın tarihli bir ProofPoint çalışmasına göre, ilaç endüstrisinin bir veri ihlalinin ortalama toplam maliyeti 5,06 milyon dolar ve tüm endüstrilerde ihlali düzeltmenin en yüksek maliyetlerinden biri 10,81 milyon dolar.
- Herjavec Group’un 2020 Sağlık Hizmetleri Siber Güvenlik Raporuna göre, sağlık hizmeti kuruluşlarının% 93’ünden fazlası son üç yılda bir veri ihlali yaşadı ve% 57’si beşten fazla veri ihlali yaşadı.
Özet : Yeni tedaviler oluşturmak için harcanan sürenin çok altında Covid-19 aşılarını geliştiren ilaç şirketlerinin paha biçilmez IP’yi, destekleyici verileri ve tedarik zincirlerini siber saldırılardan koruması gerekiyor.
İlaç endüstrisi liderleri arasındaki küresel işbirliğinin ne kadar güçlü olabileceğini gösteren, dünyanın önde gelen aşı üreticileri yeni aşıları rekor sürede teslim etti. Aşıların IP’si siber saldırganların elde etmeye çalıştığı bir varlık olduğundan, Covid-19 aşılarının arkasındaki IP ve destekleyici tedarik zincirlerinin siber güvenlik teknolojileri ve sistemlerinden oluşan son teknoloji korumaya ihtiyacı var.
İlaçların Artan Tehdit Yüzeylerinin Sayısı Siber Güvenliği Bir Öncelik Yapıyor
Sektör genelinde işbirliği yaparak bir Covid-19 aşısı oluşturma yarışında, ilaç şirketleri pandemiden önce var olduğundan daha fazla tehdit yüzeyini açığa çıkardılar. ABD İç Güvenlik Departmanının Siber Güvenlik ve Altyapı Güvenliği Ajansı’ndan (CISA) gelen tehdit analizi raporlarının da gösterdiği gibi, Ar-Ge, Klinik Denemeler, Üretim ve Dağıtım’da, siber saldırganların bugün hedeflediği yeni tehdit yüzeylerinin çoğalması var.
Rapor, siber saldırganların, aşıların güvenilir bir şekilde iletilmesi için gerekli olan uçtan uca soğuk zincir uzmanlığına sahip olduğu bilinen bir biyomedikal şirketindeki bir yöneticiyi nasıl taklit ettiklerine dair ayrıntılar sunuyor. Siber saldırganlar, aşı dağıtmak için gereken küresel soğuk zinciri destekleyen küresel şirketlere karşı hedefli kimlik avı saldırıları gerçekleştirdi. Günümüzde aşı nakliyesi ve dağıtımına duyarlı bilgilere eriştiği bilinen en az altı ülkede küresel kuruluşlara karşı kimlik bilgileri toplama girişimleri oldu.
Kilit yöneticilerle ilgili ayrıntıları toplamak ve soğuk zincir genelinde kimlik bilgilerine erişmek amacıyla bir kimlik avı kampanyası başlatmak yalnızca bir başlangıç. Lookout’un İlaç Endüstrisi Tehdit Raporuna göre, aşağıdakiler de dahil olmak üzere en önemli tehdit yüzeylerinden bazıları bugün en sorunlu olanlardır:
Araştırma ve Geliştirme ve Klinik Araştırmalar
- Küresel olarak farmasötik üreticileri arasında işbirliğine dayalı araştırma ekipleri
- İlk bileşikleri oluşturan ve bir aşıyı tanımlamak için birincil araştırmayı tamamlayan bilim adamları
- Çalışma sahalarının test cihazı ve raporlama sistemi düzeyinde entegrasyonu
İmalat ve Dağıtım
- Tesis çalışanlarının sistemleri, üzerlerinde inşa talimatları bulunan tabletler dahil
- Hekim ve eczacı ağları
- Dağıtım kanalları ve destekleyici BT sistemleri
CISA raporunda yinelenen siber saldırganlar, Covid-19 tedarik zincirlerine saldırmak için daha senkronize, çok yönlü bir yaklaşım benimsiyor. Devlet destekli siber saldırganların ağlar üzerinden yanal olarak hareket etmeye ve orada gizli kalmaya çalıştıklarına dair kanıtlar var, bu da onların siber casusluk yapmalarına ve gelecekteki operasyonlar için kurban ortamlarından ek gizli bilgiler toplamalarına izin veriyor. Siber saldırganlar başlangıçta kimlik avına odaklanır, ardından kötü amaçlı yazılım dağıtımı, yeni Covid’e özgü alan adlarının kaydı ve her zaman korumasız tehdit yüzeyleri arar.
Covid-19 Aşı Tedarik Zincirlerinin Siber Güvenlik Tarafından Korunması Gereken 10 Yol
Birden fazla siber güvenlik en iyi uygulamalarını ve stratejilerini birleştiren ilaç şirketleri, değerli fikri haklarını ve aşılarını koruma şansı daha yüksektir. İlaç endüstrisinin bugün Covid-19 aşı tedarik zincirini korumak için ihtiyaç duyduğu on yol aşağıda sunulmuştur:
- Fikri Mülkiyetlerinizde (IP-Intellectual Property) başlayarak hassas verilere en az ayrıcalıklı erişim sağlayarak aşı tedarik zinciri genelinde Ayrıcalıklı Erişim Yönetimine (PAM) öncelik verin. CISA’nın notu, genellikle geniş erişim ayrıcalıklarına sahip olan ve genellikle açık bırakılan ayrıcalıklı kimlik bilgilerini yakalamaya yönelik birden fazla girişimin olduğunu ortaya koyuyor. Tedarik zincirinde bu ayrıcalıklı hesaplar etrafında daha fazla kontrol sağlamak ve hassas IP, nakliye ve lojistik verileri, aşılama programları ve daha fazlasına yalnızca yeterli, tam zamanında erişim sağlamak için PAM’a derhal ihtiyaç vardır.
- Tüm şirketler genelinde tek ve birleşik bir güvenlik modeli içeren güvenlik standartlarına minimum uyum düzeylerini tanımlayarak, her tedarikçinin aşı tedarik zincirlerinde güvenliğe hazır olup olmadığını değerlendirin. Güvenli bir aşı tedarik zinciri oluştururken, her tedarikçi ağı üyesinin aynı güvenlik modeline sahip olması zorunludur. Bu adımı atmak, hesap verebilirlik, daha fazla rol ve sorumluluk netliği ve ayrıcalıklı rollerin ve erişim ayrıcalıklarının ortak bir tanımını sağlar.
- Aşı üreticisinin Ar-Ge, Klinik Denemeler, Üretim ve Dağıtım ağlarında her uç noktayı güvence altına almak için Sıfır Güvene dayalı bir yaklaşım benimsemek, eski güvenlik zayıflıkları yaklaşımlarından yararlanan siber saldırganları kapatmak için gereklidir. İlaç şirketleri ve sayısız lojistik sağlayıcısı, bugün beklenen uç noktalardan çok daha hızlı bir artış görüyor. Eski sunucu işletim sistemlerinden gelen güvenilir ve güvenilmeyen etki alanları, uç noktaların güvenliğini sağlama konusunda bir zaman alıcıdır ve Güvenlik Operasyonları ekiplerinin gösterdiği en iyi çabalara rağmen güvenilmez olduğunu kanıtlar. Hepsinden kötüsü, aşı tedarik zincirlerini savunmasız bırakıyorlar çünkü çoğu zaman eski bir “güven ama doğrula” siber güvenlik yaklaşımını benimsiyorlar.
- Aşının geliştirme döngülerinin tüm aşamalarında mikro segmentasyon ve uç nokta güvenlik gereksinimlerini uygulayarak Sıfır Güven – Zero Trust yaklaşımını tüm tedarik zincirine uygulayın. Bu, siber saldırganların daha sonra etkinleştirmek için kodu yerleştirme fırsatına sahip olmamasını sağlayacaktır. Hedef, tüm geliştirme yaşam döngüsü boyunca tüm bağımlılıklar dahil olmak üzere, aşılarla bütünleşen ilgili tüm süreçlere Sıfır Güven ilkelerini uygulamaktır.
- Aşı tedarik zincirindeki her sistemde Çok Faktörlü Kimlik Doğrulamayı (MFA) kullanın. Kullanıcı adları ve parolalar tek başına yeterli değildir ve MFA, yetkili kullanıcıların kimliğini doğrulamak için düşük bir meyvedir. MFA, bildiğiniz bir şeye (şifreler, PIN’ler, kod çalışmaları), sahip olduğunuz bir şeye (akıllı telefon, pin veya önceden tanımlanmış pinler üreten jeton cihazları) veya sizin (biyometri, yüz tanıma, parmak izleri, iris ve yüz taramaları). Örneğin, Google her hesap sahibine hesap yönetiminin bir parçası olarak MFA sağlar ve belirli bir şifrenin kaç kez yeniden kullanıldığını görmek için yararlı olan kapsamlı bir güvenlik kontrolü yapar.
- Tedari zinciri güvenliğini bütçenizde ayrı bir kalem haline getirin. Bugün, belirli ilaç tedarik zinciri CISO’larının, Covid-19’dan önce aynı bütçeyle siber güvenlik programlarını artırması bekleniyor. Siber güvenlik bütçe seviyelerinde küçük artışlar olsa da, daha geniş kapsamlı bir tedarik zinciri operasyonları temin etmenin yüksek maliyetlerini karşılamak genellikle yeterli değildir. CISO’ların aşı IP’sini ve dağıtımını korumak için siber güvenlik bütçeleri üzerinde daha fazla kontrole sahip olması gerekir. CIO’lar tarafından kontrol edilen geleneksel BT bütçelerine güvenmek işe yaramıyor. Aşı tedarik zincirlerini güvence altına almak için yeni bir mali taahhüt seviyesi olmalıdır.
- Farklı BT ortamlarını gerçek zamanlı olarak anormal ağ davranışını tanımlayabilen ve ihlalleri önlemek için harekete geçebilen tek, uyumlu yapay zeka tabanlı bir istihbarat sisteminde birleştirmede ustalaşmış bir AIOps platformu kullanmayı düşünün. Finansal hizmetler endüstrisindeki CIO’larla yapılan görüşmelere dayanarak, BT altyapısı üzerinde daha fazla kontrol ile birlikte bulut platformlarına gerçek zamanlı entegrasyon sağlayan AIOps platformları yönünde eğildikleri açıktır.
- Birleşik Uç Nokta Güvenliği’nin (UES) artık tüm aşı tedarik zincirlerinde bir standart haline gelmesi gerekiyor. Daha önce bilinmeyen tehditleri tespit etmek için büyük miktarda veriyi hızlı bir şekilde işleyebilen satıcıların bugün siber saldırıların IP, gönderi verileri ve değerli lojistik bilgileri yakalamasını engellemek için ihtiyaç duyulmaktadır.
- İlaç tedarik zincirlerinin, aşı tedarik zincirinin her cihaz ve tehdit yüzeyinde daha tutarlı Birleşik Uç Nokta Yönetimi (UEM) elde etmek için bir stratejisi olması gerekir. UEM’in birden çok mobil platformda sürekli işletim sistemi güncellemelerini düzene koymak, bağlantıdan bağımsız olarak cihaz yönetimini sağlamak ve çok çeşitli cihazları ve işletim sistemlerini destekleyebilen bir mimariye sahip olmak gibi birçok avantajı. İşletmelerin bahsettiği bir diğer önemli fayda, İnternet tabanlı yama, politika ve konfigürasyon yönetiminin otomatikleştirilmesidir.
- Takip ve izlenebilirlik, herhangi bir aşı tedarik zincirinde esastır ve bugün karmaşık tedarik zincirlerinin ne kadar karmaşık olduğu göz önüne alındığında, aşı partileri için serileştirmeyi içeren siber-fiziksel pasaport fikrini daha gerçekçi hale getirir. Pasaportlar, sanal izleme, belirli bileşiklerin doğrulanması ve temel malzemelerin verim oranlarının faydalarını sağlayan gelişmiş bir etiketleme teknolojisidir. Serileştirme, sahteciliği durdurmada etkili olduğu kanıtlanan aşı tedarik zincirlerinde daha fazla izlenebilirlik sağlamak için sahip olunması gereken bir zorunluluktur. Elektronik olarak izlenebilen dijital pasaportlara sahip olmak, siber saldırganların engellenmesine daha da yardımcı olabilir.
Sonuç
Aşı tedarik zincirlerindeki siber güvenlik açıklarını kapatarak, dünya ülkeleri aşı dağıtmak ve vatandaşlarını korumak için yeni, daha yalın ve daha verimli süreçler bulabilir. Sadece ABD’de şimdiye kadar elde edilen sonuçlardan, geleneksel tedarik zincirlerine ve dağıtım araçlarına güvenmenin işi yeterince hızlı tamamlamadığı ve siber saldırganların zaten bundan yararlanmak istediği açıkça görülüyor. Aşı tedarik zinciri, birden fazla siber güvenlik taktiği, tekniği ve prosedürünü birleştirerek gelişmeyi ve tehditlere karşı daha güvenli olmayı sürdürüyor.
Kaynak:
Yorum yazabilmek için oturum açmalısınız.