Supplier-Driven Cybersecurity Riskleri Nasıl Ynetilir?
2023 yılında dünyaca tanınan bir İngiliz havayolu şirketinin yüz binlerce yolcu verisinin sızdırıldığı ortaya çıktı. Saldırganlar şirkete ait hiçbir sistemi doğrudan hedef almamıştı. Giriş noktaları, şirketin güvenli dosya transferi için kullandığı bir üçüncü taraf yazılım platformuydu.
Bu rnek artık bir istisna değil, kural haline geldi. Türkiye dahil dünyanın drt bir yanındaki security ekipleri aynı gerçekle yüzleşiyor: Tedarikçi kaynaklı siber security riskleri, kurumların kendi kontrol ettiği saldırı yüzeyini geride bıraktı.
Peki bu riskler neden bu kadar büyüdü ve bir kurum bunları nasıl sistematik biçimde ynetebilir?
Tedarikçi Neden Bu Kadar Büyük Bir Risk Kaynağı Haline Geldi?
On yıl nce bir şirketin BT sınırları nispeten netti: kendi veri merkezi, kendi ağı, kendi uygulamaları. Bugün ise tablo çok farklı. Ortalama bir orta lçekli Türk şirketi onlarca farklı SaaS uygulaması kullanıyor, yazılım geliştirmeyi dış kaynak olarak yaptırıyor, bulut altyapısını bir başka firmaya emanet ediyor ve lojistik, deme, analitik gibi kritik süreçlerini iş ortaklarına devrediyor.
Her bu devrediş, tedarikçinin security duruşunu sizin risk tablonuzun bir parçası yapıyor. Tedarikçinizin ağında açık kalan bir port, güncellenmemiş bir kütüphane ya da yeterince denetlenmeyen bir employee hesabı, saldırganların doğrudan sizin sistemlerinize ulaşması için bir kprü işlevi grebilir.
Siber security sektründeki araştırmalar, kurumsal veri ihlallerinin yarısından fazlasının artık doğrudan değil, bir üçüncü taraf aracılığıyla gerçekleştiğini ortaya koyuyor. Bu oran her geçen yıl artıyor.
Tedarikçi Kaynaklı Riskler: Hangi Tehditlerle Karşı Karşıyasınız?
Tedarikçi kaynaklı riskler tek bir boyutta değil, birkaç farklı biçimde karşınıza çıkabilir.
Doğrudan ağ erişimi üzerinden sızma. Tedarikçiye verilen VPN bağlantısı, API anahtarı ya da uzak masaüstü erişimi, o tedarikçinin sistemleri ele geçirildiğinde sizin ağınıza giriş kapısına dnüşür. Bu tür “güvenilir bağlantı” saldırıları, perimeter security araçlarının büyük çoğunluğunu atlayarak işe yarar.
Yazılım tedarik zinciri saldırıları. Tedarikçinizin geliştirdiği ya da dağıttığı yazılıma zararlı kod enjekte edilmesi, o yazılımı kullanan tüm müşterileri —yani sizi— aynı anda hedef alır. 2020’de 18.000’den fazla kurumu etkileyen SolarWinds saldırısı bu mekanizmanın en çarpıcı rneği olarak kayıtlara geçti.
Veri işleme ihlalleri. customer verilerinizi ya da ticari sırlarınızı barındıran bir tedarikçinin siber saldırıya uğraması, o verinin sizin değil onun sistemlerinde bulunması fark etmeksizin sizin ihlal haberi olarak duyurulmasına neden olur.
Operasyonel kesinti. Kritik bir iş sürecinizi yürüten tedarikçi fidye yazılımına ya da DDoS saldırısına uğradığında, sizin hizmet verme kabiliyetiniz de doğrudan etkilenir. Tedarikçi SLA’sı ne derse desin, müşterilerinize açıklama yapma yükü size aittir.
Yasal ve uyumluluk riskleri. KVKK kapsamında kişisel verileri işleyen tedarikçilerinizin veri ihlali yaşaması, veri sorumlusu olarak sizi de idari yaptırım riskiyle karşı karşıya bırakır. Aynı durum 7545 Sayılı Siber Security Kanunu kapsamındaki yükümlülükler için de geçerlidir.
Neden Sertifika İsteyip Dosyayı Kapatmak Artık Yetmiyor?
Türkiye’deki birçok kurum tedarikçi güvenliğini ynettiğini düşünür, oysa uyguladıkları yntem yalnızca grünüşte bir denetimdir. En yaygın yanılgıların başında şunlar geliyor.
“ISO 27001 belgesi var, güvende” yaklaşımı. ISO 27001 belgesinin kapsamına (scope) bakılmadan dosyayı kapatmak ciddi bir boşluk bırakır. Tedarikçi, belgeyi yalnızca insan kaynakları süreçlerini ya da tek bir lokasyonunu kapsayacak şekilde almış olabilir; sizin hizmet aldığınız yazılım geliştirme süreci ya da bulut altyapısı kapsam dışında kalıyor olabilir.
Szleşme imzalanırken yapılan tek seferli değerlendirme. Security statik değildir. Altı ay nce temiz bir profili olan bir tedarikçi, yeni bir employee politikası değişikliği, güncellenmemiş bir bağımlılık ya da ele geçirilmiş bir hesap nedeniyle bugün çok farklı bir risk seviyesinde olabilir.
Beyan esaslı değerlendirme. “Çok faktrlü kimlik doğrulama kullanıyor musunuz?” sorusuna alınan yazılı “evet” yanıtı, uygulamanın gerçekten yapıldığını evidencelamaz. Tedarikçiler bu tür anketleri genellikle ideal tabloya gre değil, vermek istedikleri izlenime gre doldurur.
Kritiklik ayrımı yapmamak. Her tedarikçi aynı riske yol açmaz. Kurye firmasını, müşteri veri tabanınıza erişen bulut sağlayıcısıyla aynı yoğunlukta değerlendirmek hem kaynakları gereksiz harcatır hem de gerçekten kritik risklerin grünürlüğünü düşürür.
Supplier-Driven Cybersecurity Risklerini Ynetmek İçin 5 Adım
Kurumunuzu tedarikçi kaynaklı risklerden korumak için tek bir araç ya da tek bir kontrol yeterli değildir. Etkili ynetim, birbirini tamamlayan beş adımın bir araya gelmesiyle mümkün olur.
1. Tedarikçi Envanteri Çıkarın ve Kritiklik Sınıflandırması Yapın
İlk adım, tüm tedarikçilerin —ihmal edilen küçük yazılım araçları dahil— eksiksiz bir inventoryni oluşturmaktır. Ardından her tedarikçi iki kriter üzerinden değerlendirilmelidir: kurumunuzun verilerine ve sistemlerine erişim seviyesi ile iş sürekliliğine etkisi. Bu değerlendirme sonucunda tedarikçiler Kritik, high, Orta ve Düşük kategorilerine ayrılmalıdır. Kaynakların tamamı critical supplierlere odaklanırken alt kategoriler için daha hafif süreçler tanımlanabilir.
2. Risk Bazlı Valuelendirme Durationci Uygulayın
Her kategorinin gerektirdiği derinlikte bir değerlendirme süreci tasarlanmalıdır. Kritik tedarikçiler için bu süreç; veri güvenliği politikalarının incelenmesini, BT altyapısı hakkında teknik soruların yanıtlatılmasını, olay müdahale prosedürlerinin gzden geçirilmesini ve mümkünse yerinde denetim yapılmasını kapsamalıdır. Valuelendirme soruları ISO 27001:2022 kontrol alanları, NIST Siber Security Çerçevesi ve Türkiye’ye zgü regülasyonlar olan KVKK ile 7545 Sayılı Kanun gereksinimleri temel alınarak hazırlanmalıdır.
3. Kanıt Toplayın, Beyan Kabul Etmeyin
“Evet” yanıtları değil, evidencelar değerlendirilmelidir. Çok faktrlü kimlik doğrulamanın etkin olduğunu gsteren sistem yapılandırma belgeleri, güncel yama kayıtları, sızdırılmamış hesapları gsteren harici kaynaklardan alınan raporlar ve bağımsız denetim bulguları temin edilmelidir. Bu evidenceları talep etmek tedarikçiyi rahatsız edebilir, ancak kritik bir tedarikçiden bu bilgileri alamıyorsanız bu durum başlı başına nemli bir risk sinyalidir.
4. Durationkli İzleme Mekanizması Kurun
Supplier evaluation yılda bir yapılan bir etkinlik değil, sürekli bir süreçtir. Kritik tedarikçilerinizi etkileyen veri sızıntılarını, yeni açıklanan security açıklarını ve kamuya yansıyan security olaylarını takip eden bir izleme mekanizması kurulmalıdır. SecurityScorecard, BitSight gibi araçlar tedarikçilerin dışarıdan grünen security profillerini sürekli olarak lçmekte ve bir değişiklik olduğunda uyarı vermektedir. Tedarikçinizin bir veri sızıntısı yaşadığını onlardan değil, siz ğrenmelisiniz.
5. Tedarikçi Szleşmelerine Security Maddelerini Ekleyin
Teknik denetim kadar nemli olan bir diğer boyut hukuki framedir. Tedarikçi szleşmelerine şu maddeler mutlaka eklenmelidir: bir security ihlali durumunda kurumunuzu 72 saat içinde bilgilendirme yükümlülüğü, yılda en az bir kez bağımsız denetim yaptırılmasına ya da sizin tarafınızdan denetim yapılmasına izin veren “denetim hakkı” maddesi, belirlenen security açıklarının kapatılması için somut SLA süreleri ve szleşme sona erdiğinde tedarikçide kalan veri ve erişimlerin nasıl yok edileceğini düzenleyen veri iade ve imha yükümlülüğü.
Türkiye’de Hangi Regülasyonlar Sizi Zorunlu Kılıyor?
Türkiye’deki siber security mevzuatı son iki yılda nemli lçüde kapsamını genişletti ve tedarikçi ynetimi bu mevzuatın ayrılmaz bir parçası haline geldi.
7545 Sayılı Siber Security Kanunu, hizmet aldığınız üçüncü tarafların security açıkları nedeniyle gerçekleşen ihlallerde sorumluluğu doğrudan kurumunuza yüklüyor. BDDK, finansal kuruluşların kritik hizmet sağlayıcılarını düzenli aralıklarla denetlemesini ve denetim evidencelarını belgelemesini zorunlu kılıyor. ISO 27001:2022’nin A.5.19-5.23 kontrol alanları, tedarikçi ilişkilerinin belgelenmiş bir süreçle ynetilmesini şart koşuyor. KVKK ise kişisel verileri işleyen tedarikçilerin veri işleme faaliyetlerinden veri sorumlusunu —yani sizi— sorumlu tutuyor.
All bu düzenlemelerin ortak mesajı şu: Tedarikçi güvenliği artık yalnızca iyi bir uygulama değil, yasal bir zorunluluktur.
Şirket İçinde mi Ynetmeli, Dış Destek mi Almalısınız?
Tedarikçi güvenliği programı kurmak ve sürdürmek ciddi bir uzmanlık ve kaynak gerektiriyor. Bu uzmanlık; hangi soruların sorulacağını bilmek, alınan yanıtların gerçekçi olup olmadığını ayırt edebilmek, sektre zgü riskleri kavramak ve yerel regülasyonlara hâkim olmak anlamına geliyor.
Küçük ve orta lçekli firmalar için bu yetkinliği şirket içinde oluşturmak çoğunlukla pratik değil. Hem işe alım süreci hem de uzmanın sürekli güncellenen tehdit ortamını ve mevzuatı takip etme yükü ciddi bir maliyet oluşturuyor. Profesyonel tedarikçi güvenliği danışmanlığı ise hazır metodoloji, sektrel deneyim ve regülasyon bilgisini çok daha hızlı ve lçeklenebilir biçimde sunar.
Secure Fors Tedarikçi Güvenliği Hizmetleri, Türkiye’deki şirketlere tedarikçi inventory oluşturmaktan evidence tabanlı değerlendirmeye, szleşme iyileştirmesinden sürekli izleme altyapısına kadar uçtan uca destek sağlıyor. KVKK, 7545 Sayılı Kanun ve ISO 27001:2022 uyumluluğunu merkeze alan yaklaşımımızla tedarikçi ekosisteminizi gerçek anlamda grünür ve ynetilebilir kılıyoruz.
Tedarikçi kaynaklı siber security risklerini ynetmek, yalnızca bir ISO belgesi talep etmekten çok daha derin bir süreç gerektiriyor. Envanter çıkarmak, kritikliğe gre nceliklendirmek, evidence toplamak, sürekli izlemek ve szleşmeleri security perspektifiyle güncellemek —bu beş adım bir arada uygulandığında tedarik zinciriniz bir risk kaynağı olmaktan çıkıp ynetilen bir security alanına dnüşüyor.
Kurumunuzun tedarikçi güvenliği olgunluğunu değerlendirmek ya da programınızı sıfırdan kurmak istiyorsanız Secure Fors Tedarikçi Güvenliği Hizmetleri sayfasını ziyaret edin ve ücretsiz n değerlendirme için bizimle contacte geçin.
