Kritik Altyapı Güvenliği · TPRM
Havacılık ve Lojistik Sektründe Tedarikçi Güvenliği: Kritik Altyapı Riski
Bir tedarikçi açığı nasıl uçuşları durdurabilir, limanları kilitleyebilir ve milyonlarca dolarlık operasyonel zararı tetikleyebilir?
Neden Bu Sektr Bu Kadar Kritik?
Havacılık ve lojistik, siber security dünyasında kritik altyapı olarak sınıflandırılır — ve bu sınıflandırma boşuna değildir. Bir security olayının zincirleme etkisi; kapı numarası gsterilemeyen yolculardan, uluslararası tedarik zincirinin günlerce felç olmasına uzanabilir.%62
Havacılık siber olaylarının tedarikçi kaynaklı olduğu oran
Eurocontrol ENISA, 2024
4,5M$
Havacılık sektründe ortalama veri ihlali maliyeti
IBM Cost of Data Breach, 2024
$8,7T
Küresel lojistik sektrünün annually hacmi (uluslararası)
IATA Global Report, 2024
72 saat
Ortalama olay tespiti süresi — tedarikçi kaynaklı ihlallerde
Ponemon Institute, 2024
Sektrün Benzersiz Kırılganlığı
Havacılık sistemleri 7/24 kesintisiz çalışmak zorunda. Bu durum, security yaması uygulamak için bakım penceresi bekleme lüksünü ortadan kaldırır. Eski SCADA sistemleri, OT/IT entegrasyonları ve düzinelerce üçüncü taraf veri akışı, saldırı yüzeyini kalıcı olarak genişletmiş durumda.Gerçek Saldırılar: Havacılık ve Lojistik Vakaları
Tedarikçi kaynaklı siber saldırılar; medyada kısa süre yer bulup unutulan olaylar değil, sektrün kaderini uzun yıllar şekillendiren krizler olarak kayıtlara geçti.🔴 Vaka Analizi · Lojistik
NotPetya ve Maersk: “Grdüğüm En Hızlı Bulaşma”
2017’de NotPetya saldırısı, Ukraynalı bir muhasebe yazılımı güncellemesi üzerinden yayıldı. Dünyanın en büyük konteyner taşımacılığı şirketi Maersk’in tüm küresel IT altyapısı 45.000 PC ve 4.000 sunucuyla birlikte birkaç saat içinde çktü. Şirketin Ukrayna’daki tek tedarikçi bağlantısı, 150’den fazla ülkedeki operasyonu felç etti.~300M$
Toplam operasyonel zarar
10 gün
Manuel operasyon zorunluluğu
45.000
Yeniden kurulması gereken PC
Havacılık Sektründen Öne Çıkan Other Olaylar
SITA veri ihlali (2021): Havayolu BT hizmetleri devinin pasaport ve seyahat verisi sistemi ele geçirildi; Air India, Singapore Airlines, Malaysia Airlines ve daha pek çok havayolunun yolcu verileri etkilendi. Saldırı, SITA’nın kendi tedarikçisi üzerinden gerçekleşti — klasik bir drdüncü taraf riski vakası.British Airways tedarikçi saldırısı (2018–2019): Ödeme sayfasındaki üçüncü taraf JavaScript kütüphanesine enjekte edilen skimmer kodu, 500.000’den fazla yolcunun deme ve kişisel bilgisini çaldı. Sonuç: GDPR kapsamında 20 milyon pound para cezası.Türkiye dahil birçok havalimanında FIDS sistemi açıkları (2022–2024): Uçuş bilgi ekranı yazılımı sağlayan çeşitli üçüncü taraf firmalar, yamalanmamış zafiyetler nedeniyle hedef alındı. Bazı durumlarda saldırganlar ekranlarda keyfi mesaj gstermeyi başardı.“Havayolları milyonlarca dolar harcayarak kendi securitylerini sağlamlaştırıyor — ama tedarikçileri için aynı standardı uygulamıyorlar. Bu, çelik kapıya plastik kilit takmak gibi bir şey.”
Risk Haritası: Havacılık Ekosistemindeki Tedarikçi Katmanları
Havacılık ve lojistik ekosistemi, iç içe geçmiş tedarikçi katmanlarından oluşur. Risk ynetimi açısından bu katmanları grünür kılmak, programın temelini oluşturur.Tedarikçi Kritiklik Sınıflandırması — Havacılık & Lojistik
KRİTİK
Tier 1 — Operasyonel Kritik Sistemler
GDS sistemleri (Amadeus, Sabre), hava trafik ynetimi entegrasyonları, MRO tedarikçileri, yakıt ynetimi, yer hizmetleri sağlayıcıları
Annual yerinde denetim
YÜKSEK
Tier 2 — Veri İşleyen Tedarikçiler
Check-in yazılım sağlayıcıları, gümrük EDI sistemi entegratrleri, yolcu PNR işleyicileri, deme altyapı sağlayıcıları
6 ayda bir değerlendirme
ORTA
Tier 3 — Destek ve Yardımcı Sistemler
İnsan kaynakları yazılımı, müşteri hizmetleri CRM’leri, pazarlama otomasyon platformları, bulut depolama hizmetleri
Annual anket
DÜŞÜK
Tier 4 — Genel Hizmet Tedarikçileri
Ofis malzemeleri, yemek hizmetleri, temizlik firmaları (BT erişimi olmayan)
Standart szleşme
En Kritik 6 Siber Risk Kategorisi
⚡
Havacılık & Lojistik TPRM Risk Matrisi
Risk Kategorisi
Olasılık
Etki
Öncelikli Eylem
GDS / CRS Entegrasyon Güvenliği
Rezervasyon sistemi API’leri
high
Kritik
API security testleri, OAuth2 zorunluluğu
MRO Tedarikçisi Ağ Erişimi
Bakım & onarım yazılım bağlantıları
Orta
Kritik
VPN segmentasyonu, erişim log denetimi
Kargo Veri Entegrasyonları
Gümrük, EDI, tedarik zinciri ERP bağlantıları
high
high
Veri doğrulama kontrolleri, encrypted kanal
Yer Hizmetleri Sistemleri
Check-in kiosk, bagaj takip, kapı ynetimi
Orta
high
Ağ segmentasyonu, yama ynetimi SLA’sı
Yolcu/customer Veri İşleyiciler
PNR, deme, sık uçan üye verisi
Orta
Kritik
KVKK DPA, şifreleme gereklilikleri
Bulut Altyapı & SaaS Tedarikçileri
Operasyonel bulut servisleri, izleme araçları
high
high
SOC 2 belgesi, paylaşımlı sorumluluk modeli
OT/IT Entegrasyonu: Grünmez Saldırı Yüzeyi
Havacılık ve lojistik sektrünün en zgün risk alanı, operasyonel teknoloji (OT) ile bilgi teknolojisi (IT) sistemlerinin giderek artan entegrasyonudur. Yakıt sistemleri, bagaj konveyrleri, uçuş simülatrleri ve rampa araçları artık IP tabanlı ağlara bağlanıyor.OT/IT Sınırında Tedarikçi Riski
Bir MRO (Bakım, Onarım, Revizyon) tedarikçisi, bakım yazılımı için havayolunun OT ağına uzak erişim talep ettiğinde, bu erişim noktası düzgün ynetilmezse silahlara uçan bir kprüye dnüşebilir. Bu erişimlerin en az ayrıcalık ilkesiyle, zaman sınırlı oturumlarla ve tam denetim kaydıyla yapılandırılması zorunludur.Tedarikçi Kaynaklı Havacılık Saldırı Zinciri (Örnek Senaryo)
Adım 1
Tedarikçi employeeına phishing
→
Adım 2
VPN kimlik bilgisi ele geçirme
→
Adım 3
Havayolu ağına yanal hareket
→
Adım 4
Yolcu verisi sızdırma veya fidye yazılımı
→
Etki
Uçuş iptalleri / operasyonel çküş
Türkiye’de Düzenleyici Çerçeve
Havacılık ve lojistik alanında faaliyet gsteren Türk şirketleri, tedarikçi güvenliği konusunda birden fazla düzenleyici yükümlülükle karşı karşıya. Bu yükümlülükleri tek bir entegre TPRM programına yansıtmak, hem uyumluluk maliyetini düşürür hem de denetim süreçlerini kolaylaştırır.SHGM (Sivil Havacılık Genel Müdürlüğü) ve ICAO Standartları
ICAO’nun Ek 17 (Havacılık Güvenliği) standardı, havalimanı işletmecileri ve havayollarının security ynetim sistemlerini tedarikçileri de kapsayacak şekilde genişletmelerini zorunlu kılmaktadır. SHGM bu standardı ulusal mevzuata taşımış olup denetimler tedarikçi security kontrollerini de kapsamaktadır.ISO 27001:2022 — Ek A 5.19–5.22
Havacılık şirketleri için ISO 27001 sertifikası artık neredeyse bir pazar koşulu haline gelmiştir. Ek A’nın tedarikçi güvenliğine ayrılan maddeleri (5.19–5.22), bir tedarikçi ynetim politikasını, security szleşmelerini, sürekli izlemeyi ve tedarik zinciri risk ynetimini açıkça zorunlu kılmaktadır. Belgelenmemiş tedarikçi güvenliği = sertifikasyon bulgusu.KVKK (6698 Sayılı Kanun)
Yolcu PNR verileri, sık uçan üye programları ve dijital check-in verileri, KVKK kapsamında kişisel veri niteliği taşır. Bu verileri işleyen her tedarikçiyle Veri İşleme Szleşmesi (DPA) yapılması, KVK Kurulu’nun yayımladığı rehberlerde açıkça belirtilmiştir. Şubat 2026’da yayımlanan yapay zekâ rehberi, YZ tabanlı dinamik fiyatlama veya yolcu analitik araçları kullanan havayollarının bu sistemlerin tedarikçilerini de KVKK kapsamında değerlendirmesini ngrmektedir.7545 Sayılı Kanun ve Kritik Altyapı Yükümlülükleri
2024’te yürürlüğe giren 7545 sayılı Siber Security Kanunu, havacılık ve lojistik altyapısını kritik altyapı kapsamında tanımlamaktadır. Kapsam dahindeki operatrlerin tedarikçi risk ynetim planlarını Ulusal Siber Olay Müdahale Merkezi’ne bildirmesi yükümlülüğü gündemdedir. Uyumsuzluk durumunda sektr regülatrüyle ortak idari işlem riski bulunmaktadır.DORA ve AB Uyumu
AB’li ortaklarla iş yapan veya AB pazarına hizmet veren Türk havacılık şirketleri için DORA (Dijital Operasyonel Dayanıklılık Yasası) fiilen bir gereklilik haline gelmektedir. DORA, BIT tedarikçilerinin szleşmeye bağlanmasını, risk değerlendirmelerini ve çıkış stratejilerini zorunlu kılmaktadır.Havacılık için TPRM Programı Nasıl Kurulur?
Havacılık ve lojistik sektrünün operasyonel kısıtları, standart bir TPRM modelinin uyarlanmasını gerektiriyor. Aşağıdaki adımlar, sektre zgü pratiklerle zenginleştirilmiş bir kurulum yol map sunuyor.1
Tedarikçi Envanteri ve Kritiklik Sınıflandırması
Havayolunuzun veya lojistik şirketinizin tüm tedarikçilerini listelemekle başlayın. Rezervasyon sistemleri, MRO tedarikçileri, yer hizmetleri, gümrük entegratrleri ve BT hizmet sağlayıcılarını kapsayan tam bir inventory olmadan risk ynetimi mümkün değildir. Her tedarikçiyi eriştiği veri hassasiyeti, operasyonel kritikliği ve sistemlere erişim derinliği kriterlerine gre Tier 1–4 sınıflandırmasına alın.2
Sektre Özgü Risk Anketleri Tasarlayın
Genel TPRM anketleri havacılık için yetersiz kalır. GDS entegrasyon güvenliği, OT/IT segregasyonu, uçuş operasyonlarına erişim kontrolleri ve uçak bakım sistemleri güvenliği gibi alanlara zgü sorular hazırlanmalıdır. Tier 1 tedarikçiler için en az 60 sorudan oluşan kapsamlı bir anket, Tier 3–4 için ise basitleştirilmiş bir self-assessment formu kullanın.3
Szleşmelere Operasyonel Security Maddeleri Ekleyin
Kritik tedarikçi szleşmelerinde şunlar zorunlu olmalıdır: 72 saat içinde security olayı bildirimi, denetim hakkı maddesi, minimum security sertifikasyonu gereklilikleri (ISO 27001 veya SOC 2 Type II), alt tedarikçi security yükümlülükleri ve hizmet kesintisinde SLA cezaları.4
Durationkli İzleme Altyapısını Kurun
Kritik tedarikçiler için annually periyodik değerlendirme yeterli değildir. SecurityScorecard veya BitSight gibi dış saldırı yüzeyi izleme araçları, tedarikçilerinizin siber hijyen durumunu gerçek zamanlı olarak takip eder. Özellikle GDS ve MRO tedarikçileri için bu izleme kritiktir.5
Olay Müdahale Planına Tedarikçi Senaryolarını Ekleyin
Tedarikçi kaynaklı olaylar için nceden tanımlanmış eskalasyon prosedürleri oluşturun. “Rezervasyon sistemim çktü — tedarikçi kaynaklı mı?” sorusuna 10 dakika içinde yanıt verebilecek bir süreç olmalı. Masabaşı egzersizlerinizin en az birinde tedarikçi kaynaklı senaryo çalıştırın.Küçük Bir Başlangıç İçin Pratik İpucu
zerodan başlamak bunaltıcı gelebilir. En pratik ilk adım şudur: sadece operasyonel sistemlere erişimi olan 10–15 tedarikçinizi listeleyin ve bu firmalardan ISO 27001 sertifikası veya son 12 aya ait security denetim raporu isteyin. Bu basit adım bile programınızı %60 olgunluk seviyesine taşır.Tedarikçi Security Denetimi Control Listesi
Kritik tedarikçilerinizle ilk değerlendirme grüşmesi ncesinde veya annually denetim sürecinde aşağıdaki kontrol listesini kullanabilirsiniz.🏢 Company Trustlik Ynetimi
- ISO 27001:2022 belgesi veya eşdeğer security sertifikasyonu mevcut mu ve güncel mi?
- Yazılı bir bilgi güvenliği politikası ve ynetim onayı var mı?
- Security olayı müdahale planı dokümante edilmiş ve test edilmiş mi?
- Son 12 ayda bağımsız security denetimi veya sızma testi yapıldı mı?
🔐 Erişim Controlü ve Kimlik Ynetimi
- Çok faktrlü kimlik doğrulama (MFA) tüm kritik sistemlerde zorunlu mu?
- En az ayrıcalık ilkesi uygulanıyor ve erişimler düzenli gzden geçiriliyor mu?
- Ayrıcalıklı erişim ynetimi (PAM) çzümü kullanılıyor mu?
- Uzak erişimler (VPN) kayıt altında tutuluyor ve denetleniyor mu?
📊 Veri Güvenliği ve KVKK Uyumu
- İşlediğiniz kişisel verilerin inventory çıkarılmış ve VERBIS’e kayıt yapılmış mı?
- customerlerinizle imzalanmış Veri İşleme Szleşmesi (DPA) mevcut mu?
- Veriler aktarım sırasında ve depolamada şifreleniyor mu? (en az TLS 1.2, AES-256)
- Veri ihlali bildirim süreci tanımlanmış ve test edilmiş mi? (72 saat KVK Kurulu bildirimi)
🔄 İş Durationkliliği ve Felaket Kurtarma
- İş sürekliliği planı (BCP) ve felaket kurtarma planı (DRP) güncel mi?
- Hizmet kesintisi durumunda müşteriye bildirim SLA’sı ne kadar? Szleşmede var mı?
- Son 12 ayda BCP tatbikatı yapıldı mı?
- Alt tedarikçilerde benzer bir iş sürekliliği planı var mı?
Sonuç: Zincirin En Zayıf Halkası
Havacılık ve lojistik sektrü, dijital bağımlılığın doruk noktasındadır. Yolcu rezervasyonundan kargo takibine, bakım yazılımından gümrük entegrasyonuna kadar her kritik süreç onlarca tedarikçinin sistemine dayanıyor. Bu gerçeklik, tedarikçi güvenliğini operasyonel securityle eş değer hale getiriyor.İyi haber şu: TPRM bir mükemmellik projesi değil, bir continuous improvement yolculuğu. Tedarikçi inventorynizi çıkarmak, kritik olanları belirlemek ve onlardan security evidenceı istemek — bu üç basit adım bile pek çok kurumu rakiplerinden ne taşıyor.Maersk’in NotPetya deneyiminden çıkarılması gereken ders çok net: Tek bir Ukraynalı muhasebe yazılımı tedarikçisi, dünya genelindeki tüm operasyonları felç etti. Bu, bir senaryo değil; yaşanmış bir gerçek. Ve benzer bir senaryonun sizin havayolunuzda, limanınızda veya lojistik operasyonunuzda yaşanmaması için yapılan her hazırlık, yatırımın çok tesinde bir değer taşıyor.Tedarikçi güvenliğini ihmal eden şirketler, security yatırımlarını değil; security açıklarını dış kaynak kullandırıyor.
TPRM Programınızı Valuelendirmeye Hazır mısınız?
Secure Fors olarak havacılık ve lojistik sektrüne zel tedarikçi risk değerlendirmesi, ISO 27001 uyum denetimleri ve KVKK DPA hazırlığı konularında consulting sunuyoruz. THY başta olmak üzere sektrün nde gelen isimlerine verdiğimiz hizmetle edindiklerimiz deneyimi sizin için de kullanıma hazırız.Request a Free Pre-Evaluation →Sektrel TPRM Consulting İçin Bize Ulaşın
Secure Fors olarak havacılık, lojistik ve diğer kritik sektrlerde tedarikçi bilgi güvenliği ynetimi (TPRM) danışmanlığı sunuyoruz.
👉 TPRM Services hakkında detaylı bilgi alın →
Ayrıca ISO 27001 ISMS Consulting hizmetimizle bilgi güvenliği ynetim sisteminizi kurmanıza yardımcı oluyoruz.
