Kaspersky, müşterilerine ve iş ortaklarına sunduğu Yazılım Malzeme Listesini duyurdu

Dijital dünyada kullandığımız her yazılım, aslında çok sayıda bileşenden oluşan bir “paket”tir. İşletmeler ise bu paketlere güvenerek kritik verilerini, süreçlerini ve müşterilerini emanet eder. Tam da bu noktada akla şu soru geliyor: “Kullandığım yazılımın içinde neler var, gerçekten güvenebilir miyim?”

Küresel siber güvenlik şirketi Kaspersky, bu soruya daha net bir yanıt verebilmek için müşterilerine ve iş ortaklarına yönelik Yazılım Malzeme Listesi (Software Bill of Materials – SBOM) sunmaya başladığını duyurdu. Şirket, ürünlerindeki bileşenleri listeleyerek yazılım şeffaflığı konusunda önemli bir adım atıyor.

SBOM nedir? Kısaca “yazılımın içindekiler listesi”

SBOM’u, marketten aldığınız gıdanın arkasındaki “içindekiler” bölümüne benzetebilirsiniz.

Software Bill of Materials (SBOM);

• Bir yazılımı oluşturan tüm bileşenleri,
• Bu bileşenlere ait sürüm, lisans ve tedarikçi gibi teknik bilgileri,
• Bileşenler arasındaki ilişkileri şeffaf biçimde ortaya koyan doküman setidir.

Bu sayede bir işletme, kullandığı uygulamanın yalnızca marka ismini değil, arka planda hangi açık kaynak kütüphanelerin, hangi üçüncü taraf modüllerin ve hangi bağımlılıkların yer aldığını görebilir.

Neden SBOM gündemde? Tedarik zinciri saldırıları yükselişte

Son yıllarda iş süreçlerinin hızla dijitalleşmesi, şirketleri birbirine bağlayan karmaşık yazılım ağlarını ortaya çıkardı. Her yeni entegrasyon, her yeni üçüncü taraf yazılım, yeni bir tedarik zinciri riski anlamına geliyor.

Avrupa Birliği Siber Güvenlik Ajansı ENISA’nın raporlarına göre, 2021 yılında tedarik zinciri saldırılarında ciddi bir artış gözlemlendi.  Aynı dönemde tedarikçiler üzerinden yaşanan veri ihlallerinin işletmelere maliyeti olay başına ortalama 1,4 milyon dolar seviyesine ulaştı.

Bu tablo, güvenilir bir dijital altyapı inşa etmek isteyen kurumlar için şu mesajı veriyor:

“Sadece kendi ağınızı değil, bağlı olduğunuz tüm yazılım ve tedarik zincirini tanımak zorundasınız.”

SBOM tam da bu ihtiyaca cevap veriyor; şirketlere “kullandığın yazılım gerçekten ne içeriyor?” sorusunun cevabını veriyor.

Kaspersky’nin Yazılım Malzeme Listesi yaklaşımı

Kaspersky, siber güvenlik sektöründe uzun süredir şeffaflık vurgusuyla öne çıkan şirketlerden biri. SBOM hamlesi de bu çizginin devamı niteliğinde.

Şirket, duyurduğu SBOM ile:

• Ürünlerini oluşturan bileşenleri detaylı şekilde dökümlüyor,
• Bu bileşenlere ilişkin güncel bilgileri müşterilerine ve iş ortaklarına açıyor,
• Yazılım mimarisine ve bileşen yapısına dair görünürlüğü artırıyor,
• BT tedarik zinciri risk yönetimi çalışmalarına somut veri sağlıyor.

Kaspersky’nin global ölçekte tanıttığı bu liste, özellikle kurumsal müşteriler ve iş ortakları için, “kullandığımız güvenlik çözümünün temeli ne kadar sağlam?” sorusuna teknik bir karşılık sunuyor.

SBOM işletmelere hangi avantajları getiriyor?

Yazılım Malzeme Listesi, ilk bakışta teknik bir doküman gibi görünse de, iş tarafında doğrudan hissedilen pek çok fayda sağlıyor.

1. Yazılım şeffaflığı ve denetlenebilirlik

SBOM sayesinde kurumlar:

• Kullandıkları ürünlerin hangi bileşenlerden oluştuğunu görebiliyor,
• Lisans ve uyumluluk kontrollerini daha kolay yapıyor,
• Açık kaynak veya üçüncü taraf modüllere dair risk analizini hızlandırıyor.

Bu da hem iç denetim süreçlerinde hem de regülasyonlara uyum alanında ciddi kolaylık sağlıyor.

2. Güvenlik açıklarına hızlı tepki

Bir açık kaynak kütüphanede kritik bir güvenlik açığı keşfedildiğini düşünün. Elinizde SBOM varsa:

• Hangi uygulamalarınızda bu bileşenin kullanıldığını anında tespit edebilirsiniz,
• Yamaları önceliklendirme ve risk azaltma süreçlerini çok daha hızlı yürütebilirsiniz.

SBOM olmayan senaryoda bu analiz günler, hatta haftalar sürebilir.

3. Tedarik zinciri risk yönetimi

SBOM, yazılım tedarik zincirini şeffaflaştırarak:

• Hangi tedarikçiye ne ölçüde bağımlı olduğunuzu görmenizi,
• Alternatif bileşen ve tedarikçileri planlamanızı,
• Kritik bileşenler üzerinde ekstra güvenlik ve izleme tedbirleri almanızı

kolaylaştırır.

4. Müşteri ve iş ortağı güveni

Kaspersky’nin SBOM paylaşması, yazılım üreticisinin kendi ürününe ne kadar güvendiğinin de güçlü bir göstergesi. Şirket, “ürünümün bileşenlerinden gizleyecek bir şeyim yok” diyerek:

• Müşterilerine karşı şeffaflığını,
• İş ortaklarına karşı güvenilirliğini,
• Kurumsal kontrol ve kalite süreçlerine verdiği önemi

somut biçimde ortaya koymuş oluyor.

Küresel inisiyatifler ve Cenevre Diyaloğu ile uyum

Kaspersky’nin SBOM adımı, tek başına bir ürün özelliği olmanın ötesinde, küresel siber güvenlik standartlarıyla da uyumlu bir hamle.

Şirket, İsviçre Federal Dışişleri Bakanlığı liderliğinde yürütülen ve DiploFoundation tarafından uygulanan “Siber Alanda Sorumlu Davranış Üzerine Cenevre Diyaloğu” girişiminde aktif rol alan aktörlerden biri.

Bu platformda ortaya konan dijital ürün güvenliği önerilerinin hayata geçirilmesi için SBOM önemli bir adım kabul ediliyor. Kaspersky’nin SBOM sunması, bu önerilerin pratikte uygulanmasına katkı sağlayan somut bir örnek niteliğinde.

SBOM sadece güvenlik ekiplerinin konusu değil

Yazılım Malzeme Listesi, yalnızca siber güvenlik uzmanlarının eline teslim edilecek dar bir teknik doküman değil. Doğru kullanıldığında:

• BT yöneticileri için risk yönetimi aracı,
• Uyum ve hukuk ekipleri için regülasyonlara hazırlık dokümanı,
• Satınalma ve tedarik zinciri ekipleri için stratejik karar desteği,
• Üst yönetim için güvenilir dijital altyapı oluşturmanın ispatı

haline gelebilir.

Bu yüzden SBOM’un işletme içinde farklı disiplinlerce anlaşılması ve sahiplenilmesi kritik önem taşır.

Geleceğe bakış: SBOM standarda mı dönüşecek?

Dünyada art arda yaşanan tedarik zinciri kaynaklı siber saldırılar, regülatörleri ve standart belirleyicileri de harekete geçiriyor. Farklı ülkelerde SBOM’un:

• Kritik altyapı sağlayıcıları,
• Kamu kurumları,
• Büyük ölçekli yazılım tedarikçileri

için zorunlu hale gelmesini öngören düzenleme taslakları masada.

Bu eğilim, önümüzdeki dönemde SBOM’u bir “fark yaratan özellik” olmaktan çıkarıp, yazılım sektörünün yeni normali haline getirebilir. Kaspersky gibi öncü şirketler, bu standardın erken benimseyenleri arasında yer alarak hem rekabet avantajı kazanıyor hem de güvenilir ekosistemin oluşmasına katkı veriyor.

Şeffaflık güvenin temel şartı

Kaspersky’nin müşterilerine ve iş ortaklarına sunduğu Yazılım Malzeme Listesi (SBOM), dijital dünyada güven inşa etmenin artık sadece güçlü algoritmalar ve yüksek koruma oranlarıyla sınırlı olmadığını gösteriyor.

Bugünün koşullarında;

• Kullandığınız yazılımın içeriğini bilmek,
• Tedarik zinciri risklerini somut verilerle yönetmek,
• Açık kaynak ve üçüncü taraf bileşenlere karşı hazırlıklı olmak

en az güvenlik yazılımı kullanmak kadar önemli hale geldi.

SBOM, şirketlere bu görünürlüğü sağlarken; Kaspersky’nin attığı adım, siber güvenlikte şeffaflık ve hesap verebilirlik konusunda yeni bir çıta koyuyor. İşletmeler içinse mesaj net: Dijital altyapınızı seçerken artık sadece “ne yapıyor?” sorusunu değil, “neyin üzerine inşa edilmiş?” sorusunu da sormanın zamanı geldi.