HP, aygıtların hayat döngülerinin her kademesinde güvenliğinin sağlanmamasının geniş kapsamlı siber güvenlik tesirlerini vurgulayan yeni bir rapor yayınladı. Bulgular, platform güvenliğinin (PC’lerin, dizüstü bilgisayarların ve yazıcıların donanım ve eser yazılımının garanti altına alınması) ekseriyetle göz arkası edildiğini ve gelecek yıllar için siber güvenlik duruşunu zayıflattığını gösteriyor.
800’den fazla BT ve güvenlik karar vericisi (ITSDM) ve 6000’den fazla her yerden çalışma (WFA) çalışanıyla yapılan global bir araştırmaya dayanan rapor, platform güvenliğinin artan bir kaygı kaynağı olduğunu ve ITSDM’lerin yüzde 81’inin saldırganların savunmasız aygıtları istismar etmemesi için donanım ve eser yazılımı güvenliğinin bir öncelik haline gelmesi gerektiği konusunda hemfikir olduğunu gösteriyor. Bununla birlikte, yüzde 68’i donanım ve eser yazılımı güvenliğine yapılan yatırımın aygıtların toplam sahip olma maliyetinde (TCO) ekseriyetle göz arkası edildiğini bildiriyor. Bu da maliyetli güvenlik sıkıntılarına, idare masraflarına ve ilerleyen etaplarda verimsizliklere yol açıyor.
Cihaz ömür döngüsünün 5 kademesinden elde edilen değerli bulgular şunlar:
1. Tedarikçi Seçimi – Buna ek olarak, yüzde 34’ü bir PC, dizüstü bilgisayar yahut yazıcı tedarikçisinin son beş yıl içinde bir siber güvenlik kontrolünde başarısız olduğunu ve yüzde 18’i bu başarısızlığın mukavelelerini feshedecek kadar önemli olduğunu söylüyor. ITSDM’lerin yüzde 60’ı aygıt tedarikinde BT ve güvenlik katılımının olmamasının kurumu riske attığını söylüyor.
2. İşe Alıştırma ve Yapılandırma – ITSDM’lerin yarısından fazlası (yüzde 53) BIOS şifrelerinin paylaşıldığını, çok yaygın olarak kullanıldığını yahut gereğince güçlü olmadığını söylüyor. Dahası, yüzde 53’ü BIOS şifrelerini bir aygıtın kullanım ömrü boyunca nadiren değiştirdiklerini itiraf ediyor.
3. Daima İdare – ITSDM’lerin %60’ından fazlası dizüstü bilgisayarlar yahut yazıcılar için eser yazılımı güncellemelerini hazır olur olmaz yapmıyor. ITSDM’lerin %57’si eser yazılımı ile ilgili olarak FOMU (Güncelleme Yapma Korkusu) yaşadıklarını söylüyor. Tekrar de %80’i yapay zekanın yükselişinin saldırganların daha süratli açıklar geliştireceği manasına geldiğine ve bu nedenle süratli güncelleme yapmanın hayati ehemmiyet taşıdığına inanıyor.
4. İzleme ve Düzgünleştirme – Her yıl, kaybolan ve çalınan aygıtlar kurumlara varsayımı olarak 8,6 milyar dolara mal oluyor. Uzaktan çalışan her 5 şahıstan birinin bilgisayarını kaybetmiş ya da çaldırmış ve BT’ye haber vermeden evvel ortalama 25 saat beklemiş olduğu görülüyor.
5. İkinci El Kullanım ve Hizmet Dışı Bırakma- ITSDM’lerin neredeyse yarısı (yüzde 47) PC’lerin yahut dizüstü bilgisayarların yine kullanılması, yine satılması yahut geri dönüştürülmesi kelam konusu olduğunda bilgi güvenliği kaygılarının büyük bir pürüz olduğunu söylerken, %yüzde 9’u bunun yazıcılar için büyük bir mani olduğunu söylüyor.
HP Güvenlik Araştırma ve İnovasyon Baş Teknoloji Uzmanı Boris Balacheff, “Bilgisayar, dizüstü bilgisayar yahut yazıcı satın almak, bir kurumun uç nokta altyapısı üzerinde uzun vadeli tesiri olan bir güvenlik kararıdır. Satın alma sırasında donanım ve eser yazılımı güvenlik ihtiyaçlarının önceliklendirilmesi ya da önceliklendirilmemesi, güvenlik ve yönetilebilirlik ihtiyaçlarının mevcut en son teknolojiye kıyasla çok düşük belirlenmesi durumunda, riske maruz kalmanın artmasından maliyetlerin yükselmesine ya da olumsuz kullanıcı tecrübesine kadar bir aygıt filosunun tüm ömrü boyunca sonuçlar doğurabilir,” diye uyarıyor
Balacheff şöyle devam ediyor: “Son kullanıcı aygıt altyapılarının siber risklere karşı dirençli hale gelmesi çok kıymetlidir. Bu, donanım ve eser yazılımı güvenliğine öncelik vermek ve filodaki aygıtların tüm ömür döngüsü boyunca nasıl yönetildiklerinin olgunluğunu geliştirmekle başlar.”
Fabrikadan parmak ucuna – tedarikçi seçim sürecindeki dikkatsizlikler ve işe alım ve yapılandırma sınırlamaları, aygıt güvenliğini hayat döngüsü boyunca etkiliyor
Bulgular, BT ve güvenliğin yeni aygıtlar için satın alma sürecinin bir kesimi olması, ihtiyaçları belirlemesi ve tedarikçinin güvenlik savlarını doğrulaması için artan muhtaçlığı vurguluyor:
BT uzmanları ayrıyeten aygıtları donanım ve eser yazılımı düzeyine kadar sıkıntısız bir formda devreye alma ve yapılandırma marifetlerinin hudutlarından da telaş duyuyor.
“Elbette kesinlikle güvenebileceğiniz teknoloji sağlayıcılarını seçiyorsunuz. Lakin BT altyapınıza giriş noktası olarak hizmet veren aygıtların güvenliği kelam konusu olduğunda, bu körü körüne bir inanç olmamalıdır,” diyen HP Inc. Tedarik Zinciri Siber Güvenlik İş Bilgi Güvenliği Sorumlusu Michael Heywood şöyle devam ediyor: “ Kurumlar, güvenlik taleplerinin karşılandığından ve aygıtların inançlı ve verimli bir halde devreye alınabildiğinden emin olmak için teknik brifingler, detaylı dokümanlar, sistemli kontroller ve titiz bir doğrulama süreci üzere somut ispatlara muhtaçlık duyarlar.”
Cihazların daima idaresi, izlenmesi ve güzelleştirilmesi ile ilgili zorluklar ve hayal kırıklıkları
ITSDM’lerin yüzde 71’i, her yerden çalışma modellerindeki artışın platform güvenliğini yönetmeyi daha sıkıntı hale getirdiğini, çalışan verimliliğini etkilediğini ve riskli davranışlar yarattığını söylüyor:
Tehdit aktörlerinin hassas datalara ve kritik sistemlere erişimini önlemek için donanım ve eser yazılımı tehditlerinin izlenmesi ve düzeltilmesi hayati değer taşıyor. Lakin ITSDM’lerin yüzde 79’u donanım ve eser yazılımı güvenliği konusundaki anlayışlarının yazılım güvenliği konusundaki bilgilerinin gerisinde kaldığını söylüyor. Dahası, filolarında donanım ve eser yazılımı güvenliğini yönetmek için istedikleri görünürlüğü ve denetimi sağlayacak olgun araçlardan mahrumlar:
HP Güvenlik Laboratuvarı Baş Tehdit Araştırmacısı Alex Holland, “Donanım ve eser yazılımı hücumları kelam konusu olduğunda, ihlal sonrası güzelleştirme kaybedilen bir stratejidir” ihtarında bulunuyor. “Bu ataklar, sistemlerin derinliklerine yerleşerek düşmanlara aygıtlar üzerinde tam denetim sağlayabilir. Klasik güvenlik araçları, işletim sistemi ve yazılım katmanlarına odaklanma eğiliminde olduklarından bu tehditlere karşı kördür ve tespit edilmelerini neredeyse imkansız hale getirir. Bu hücumları birinci etapta önlemek ya da denetim altına almak, bir adım önde olmak için kritik değer taşıyor; aksi takdirde kurumlar göremedikleri ve ortadan kaldıramadıkları bir tehditle karşı karşıya kalabilirler.”
İkinci el kullanım ve hizmet dışı bırakma: Bilgi güvenliği kaygıları e-atık salgınına nasıl yol açıyor?
Platform güvenliği telaşları de kurumların ömrünü tamamlamış aygıtları tekrar kullanma, geri dönüştürme yahut tekrar satma imkanlarını kısıtlıyor:
Birçok çalışanın eski iş aygıtlarını hiçbir şey yapmasa da elinde tutması işleri daha da karmaşık hale getiriyor. Bu yalnızca aygıtların tekrar kullanılmasını engellemekle kalmıyor, tıpkı vakitte hala kurumsal data taşıyabilen öksüz aygıtlarla ilgili bilgi güvenliği riskleri de yaratıyor.
HP Solutions, Operasyon ve Portföylerden sorumlu Kıdemli Lider Yardımcısı ve Genel Müdürü Grant Hoffman, “BT takımları, tüm hassas şirket yahut şahsî bilgilerin büsbütün silindiğine dair teminata sahip olmadıkları için ömrünü tamamlamış aygıtları biriktiriyor ki bu da kendi başına data güvenliği riskleri oluşturabiliyor ve ESG amaçlarını olumsuz etkileyebiliyor. En son sanayi standardı silme yahut medya imha süreçlerini kullanan ve uyumluluk ihtiyaçlarını karşılayabilmeniz için bir bilgi temizleme sertifikası sağlayan saygın bir BT varlık imha tedarikçisi bulmak çok kıymetlidir,” diyor.
Platform güvenliğini güzelleştirmek için aygıt ömür döngüsüne yeni bir yaklaşım gerekiyor
Kurumların üçte ikisinden fazlası (yüzde 69), aygıt donanımı ve eser yazılımı güvenliğini yönetme yaklaşımlarının hayat döngülerinin sadece küçük bir kısmını ele aldığını söylüyor. Bu durum aygıtları açıkta bırakıyor ve gruplar tedarikçi seçiminden hizmet dışı bırakmaya kadar platform güvenliğini izleyemiyor ve denetim edemiyor.
Platform güvenliğini tüm ömür döngüsü boyunca yönetmek için HP Wolf Security’nin önerileri şunları içeriyor:
İkinci kere kullanım ve hizmet dışı bırakma: İnançlı bir formda hizmet dışı bırakmayı sağlamak için hassas donanım ve eser yazılımı datalarını inançlı bir halde silebilen aygıtlara öncelik verin. Aygıtları yine hizmete almadan evvel, nezaret zincirini, donanım ve eser yazılımı bütünlüğünü doğrulamak için ömür uzunluğu hizmet geçmişlerini denetlemeye çalışın.
Avrupa’da iPhone SE ve iPhone 14 satışları durduruluyor
Veri politikasındaki amaçlarla sınırlı ve mevzuata uygun şekilde çerez konumlandırmaktayız. Detaylar için veri politikamızı inceleyebilirsiniz.