Tedarik Zinciri Güvenliği ve Üçüncü Taraf Risk Yönetimi (TPRM)
Saldırgan kapınızı zorlamak yerine, size hizmet veren küçük muhasebe yazılımcısının zayıf parolasını kırar ve oradan içeri girer. Milyon liralık güvenlik duvarınız, yetkili bir tedarikçinin açık bıraktığı bir bağlantı karşısında hiçbir şey ifade etmez. Çünkü o tedarikçi zaten "güvenilir" tanımlanmış, ağınıza içeriden bağlanıyordur. Saldırı bu yüzden duvarı aşmaz, kapıyı içeriden açar.
DSET olarak sahada en sık gördüğümüz tablo şu: firma kendi sistemini sıkı korur ama ağına erişimi olan onlarca tedarikçinin güvenliğini hiç sorgulamaz. Oysa bugün ihlallerin büyük kısmı sizin değil, sizin tedarik zincirinizin zayıf halkasından geliyor.
Tedarik zinciri saldırısı nedir, neden bu kadar tehlikeli?
Tedarik zinciri saldırısı, hedef kuruma doğrudan değil, ona yazılım, hizmet veya erişim sağlayan üçüncü taraf üzerinden yapılan saldırıdır. Mantık basit ama yıkıcı: bir tedarikçiyi ele geçiren saldırgan, o tedarikçinin müşterisi olan yüzlerce kuruma tek hamlede ulaşır.
Bu teorik bir endişe değil, son yılların en pahalı ihlalleri tam olarak böyle gerçekleşti:
- SolarWinds (2020): Saldırganlar SolarWinds'in Orion ağ yönetim yazılımının güncelleme mekanizmasına zararlı kod yerleştirdi. Yazılımı kullanan binlerce kurum, "güvenli güncelleme" zannederek arka kapıyı kendi elleriyle kurdu. ABD federal kurumları dahil 18.000'e yakın müşteri etkilendi.
- MOVEit (2023): Dosya transferi yazılımı MOVEit'teki bir SQL enjeksiyon açığı, Cl0p grubu tarafından kitlesel olarak sömürüldü. Bu yazılımı kullanan bankalar, kamu kurumları ve büyük şirketler üzerinden 2.000'den fazla organizasyonun ve milyonlarca kişinin verisi sızdırıldı.
- Kaseya (2021): Uzaktan yönetim aracı Kaseya VSA üzerindeki bir açık, fidye yazılımının tek seferde yüzlerce yönetilen hizmet sağlayıcıya ve onların müşterilerine yayılmasını sağladı.
Üçünün de ortak yanı: kurbanların hiçbiri doğrudan hacklenmedi. Hepsi, güvendikleri bir tedarikçi üzerinden vuruldu.
"Sözleşmeye güvenlik sağlanacaktır yazdık" cümlesi sizi korumaz
Denetimlerde en çok karşılaştığımız yanılgı bu. Firma, tedarikçiyle imzaladığı sözleşmeye "tedarikçi gerekli güvenlik önlemlerini sağlayacaktır" gibi bir cümle koyar ve risk yönetimini bitmiş sayar. Bu, hukuken de teknik olarak da yetersizdir.
Bir cümle, tedarikçinin çok faktörlü kimlik doğrulama kullanıp kullanmadığını, yedeklerini şifreleyip şifrelemediğini, bir ihlali kaç saatte size bildireceğini söylemez. Denetlenmeyen bir taahhüt, taahhüt değildir. Gerçek üçüncü taraf risk yönetimi (TPRM); somut kanıt, ölçülebilir kontrol ve sürekli doğrulama ister.
KVKK'da işleyenin ihlalinden siz sorumlusunuz
Bu, çoğu yöneticinin gözden kaçırdığı ama en sert sonucu doğuran nokta. KVKK çerçevesinde verinin ne amaçla ve nasıl işleneceğine karar veren taraf "veri sorumlusu"dur, yani genelde sizsiniz. Bu veriyi sizin adınıza işleyen bulut sağlayıcınız, CRM yazılımınız veya çağrı merkeziniz ise "veri işleyen"dir.
Kritik olan şu: veri işleyenin yaşadığı bir ihlalin hukuki ve mali sorumluluğu, büyük ölçüde veri sorumlusuna, yani size aittir. Tedarikçiniz veriyi sızdırsa bile, ilgili kişiye karşı sorumlu olan ve idari para cezasıyla karşılaşan taraf sizsinizdir. Kişisel Verileri Koruma Kurulu, veri sorumlusundan işleyeni denetlemesini ve gerekli teknik/idari tedbirleri sözleşmeyle güvence altına almasını bekler. "Tedarikçi yaptı" savunması sizi kurtarmaz.
Detaylı uyum tarafı için KVKK uyumluluk ve veri güvenliği çözümleri sayfamıza ve KVKK uyum danışmanlığı, VERBİS ve denetim yazımıza bakabilirsiniz.
Riski tedarikçiye göre sınıflandırın, herkese aynı muameleyi yapmayın
Yüzlerce tedarikçiyi aynı kefeye koyup hepsine 200 soruluk anket göndermek hem boğucu hem işe yaramaz. Doğru yaklaşım, tedarikçiyi eriştiği veriye ve sisteme göre katmanlamaktır.
| Risk seviyesi | Tedarikçi örneği | Erişim/etki | Denetim derinliği |
|---|---|---|---|
| Kritik | Bulut altyapısı, ödeme/banka entegrasyonu, çekirdek ERP | Kişisel veri + ağ erişimi + iş sürekliliği | Tam güvenlik anketi, kanıt, yıllık denetim, sürekli izleme |
| Yüksek | CRM, e-posta sağlayıcı, yazılım geliştirici | Kişisel veriye erişim | SIG benzeri anket, sözleşme maddeleri, periyodik gözden geçirme |
| Orta | İK/bordro, çağrı merkezi | Sınırlı veri erişimi | Kısa anket, temel kontroller |
| Düşük | Kırtasiye, fiziksel bakım, ağa bağlanmayan hizmet | Veri/sistem erişimi yok | Kayıt + asgari kontrol |
Bu sınıflandırma, sınırlı denetim bütçenizi gerçekten önemli olan az sayıda tedarikçiye yoğunlaştırmanızı sağlar.
Sahada işe yarayan çerçeveler ve standartlar
TPRM'yi sıfırdan icat etmenize gerek yok. Olgun çerçeveler mevcut:
- NIST SP 800-161 (C-SCRM): Tedarik zinciri risk yönetiminin referans rehberi. Tedarikçi seçiminden izlemeye kadar tüm yaşam döngüsünü tanımlar.
- ISO/IEC 27036: Tedarikçi ilişkilerinde bilgi güvenliği için uluslararası standart. Sözleşme ve süreç tarafını yapılandırır.
- SIG (Standardized Information Gathering) anketi: Tedarikçi güvenlik durumunu standart sorularla ölçen, sektörde yaygın kabul gören anket çerçevesi.
- SBOM (Software Bill of Materials): Bir yazılımın içerdiği tüm bileşen ve bağımlılıkların listesi. SBOM olmadan, kullandığınız yazılımda hangi açık kaynak kütüphanenin hangi açığı taşıdığını bilemezsiniz. Log4Shell gibi olaylarda fark yaratan tek şey budur.
NIS2 ile tedarik zinciri güvenliği artık yasal zorunluluk
Avrupa Birliği'nin NIS2 direktifi, tedarik zinciri güvenliğini "iyi olursa iyi olur" seviyesinden çıkarıp doğrudan yönetim kurulu sorumluluğuna bağladı. Kapsamdaki kuruluşlar, tedarikçilerinin güvenliğini değerlendirmek ve yönetmekle yükümlü; bu yükümlülüğün ihlali üst yönetime kişisel sorumluluk doğurabiliyor. Türkiye'deki ihracatçılar ve AB'li firmalarla çalışan şirketler için bu, sözleşmesel bir baskı olarak çoktan masada.
NIS2'nin Türkiye'deki kuruluşlara etkisini NIS2 direktifi uyumu yazımızda ayrıntılı işledik. Tedarikçilerinizin teknik açıklarını ölçmek için ise güvenlik açığı yönetimi hizmeti sürecimiz devreye girer.
DSET tedarik zinciri güvenliğini nasıl kurar?
Yaklaşımımız tek seferlik bir denetim değil, sürekli işleyen bir program kurmaktır:
- Tedarikçi envanteri: Önce "kimler ağımıza ve verimize erişiyor" sorusunu yanıtlarız. Çoğu firma bu listenin sandığından çok daha uzun olduğunu görünce şaşırır.
- Risk sınıflandırma: Her tedarikçiyi eriştiği veri ve sisteme göre katmanlandırırız.
- Güvenlik anketleri: Kritik tedarikçilere SIG/ISO 27036 temelli, kanıt isteyen anketler uygularız.
- Sözleşme güvenlik maddeleri: İhlal bildirim süresi, şifreleme, MFA, alt yüklenici kontrolü ve denetim hakkı gibi maddeleri sözleşmeye işleriz.
- Sürekli izleme: Tedarikçinin dış görünür güvenlik durumunu ve sızıntı istihbaratını periyodik takip ederiz.
- İhlal anında adli bilişim: Bir tedarikçi kaynaklı olay yaşandığında, kapsamı belirlemek ve kanıtı korumak için adli bilişim ekibimiz devreye girer.
Sık Sorulan Sorular (SSS)
Tedarik zinciri saldırısı ile normal siber saldırı arasındaki fark nedir? Normal saldırıda hedef doğrudan vurulur. Tedarik zinciri saldırısında ise hedefe güvenilir bir aracı, yani bir yazılım, hizmet ya da erişim sağlayıcı üzerinden ulaşılır. Tek bir tedarikçinin ele geçirilmesi, ona bağlı yüzlerce kuruma kapı açar.
Tedarikçimin yaşadığı veri ihlalinden hukuken ben mi sorumluyum? KVKK çerçevesinde veri sorumlusu olarak sizin sorumluluğunuz büyük ölçüde devam eder. Veri işleyen konumundaki tedarikçinizi denetlemek, sözleşmeyle güvence almak ve gerekli tedbirleri aldırmak sizin yükümlülüğünüzdür. İdari para cezası genellikle veri sorumlusuna kesilir.
Sözleşmeye güvenlik maddesi koymak yeterli mi? Hayır. Denetlenmeyen ve kanıtlanmayan bir taahhüt korumasızdır. Sözleşme maddesi başlangıçtır; yanına güvenlik anketi, kanıt talebi ve sürekli izleme eklenmezse hukuken ve teknik olarak yetersiz kalır.
SBOM nedir ve neden önemli? SBOM, bir yazılımın içindeki tüm bileşen ve bağımlılıkların listesidir. Yeni bir kritik açık çıktığında, etkilenip etkilenmediğinizi saatler içinde anlamanızı sağlayan tek şey budur. SBOM olmayan kurumlar Log4Shell benzeri olaylarda günlerce kör kalır.
Kaç tedarikçimi denetlemem gerekiyor? Hepsini aynı derinlikte denetlemenize gerek yok. Tedarikçileri eriştikleri veri ve sisteme göre sınıflandırıp denetim eforunuzu kritik ve yüksek riskli az sayıda tedarikçiye yoğunlaştırmak hem etkili hem sürdürülebilir yaklaşımdır.
Kaynaklar
- NIST SP 800-161, Cybersecurity Supply Chain Risk Management: https://csrc.nist.gov/pubs/sp/800/161/r1/final
- ENISA, Supply Chain Security ve threat landscape: https://www.enisa.europa.eu/topics/supply-chain
- CISA, ICT Supply Chain Risk Management: https://www.cisa.gov/topics/supply-chain-security
- Kişisel Verileri Koruma Kurumu (KVKK), veri sorumlusu ve veri işleyen: https://www.kvkk.gov.tr
- ISO/IEC 27036, Information security for supplier relationships: https://www.iso.org/standard/59648.html
DSET ile tedarik zincirinizi güvenceye alın
Tedarikçileriniz sizin en zayıf halkanız olmak zorunda değil. DSET olarak tedarikçi envanterinizden sözleşme maddelerinize, sürekli izlemeden ihlal anı adli bilişime kadar tüm TPRM programını kurar ve işletiriz.
DSET, 2003'ten beri siber güvenlik ve adli bilişim. Hacettepe Teknokent, Beytepe, Ankara. Telefon: +90 536 662 38 09.