Secure Fors — Vaka Analizi Serisi
Tedarikçi Kaynaklı En Yaygın
5 Bilgi Güvenliği İhlali
SolarWinds’ten MOVEit’e, Target’tan CrowdStrike’a. Tarihin en maliyetli tedarik zinciri saldırıları, saldırı vektrleri ve Türkiye kurumları için çıkarılması gereken dersler.
%55
security profesyonellerinin kurumu
tedarikçi kaynaklı ihlal yaşadı (Forrester)
12,5B$
Fortune 500’de tek yılda tedarikçi
kaynaklı ihlal maliyeti (2023)
287 gün
tedarikçi kaynaklı ihlalde
ortalama tespit süresi (IBM)
Tedarik zinciri saldırıları siber güvenliğin en tehlikeli tehdit vektrü haline gelmiştir. Saldırganlar artık büyük kurumların güçlü savunmalarını doğrudan aşmaya çalışmak yerine, aynı ağa, veriye veya sisteme erişimi olan daha az korumalı bir tedarikçiyi hedef alır. Bir hedefi değil, yüzlerce hedefi tek saldırıyla vurmak mümkün hale gelir.
Aşağıdaki beş vaka, tedarikçi kaynaklı security ihlallerinin farklı biçimlerini temsil etmektedir: yazılım tedarik zinciri saldırısı, kimlik bilgisi hırsızlığı, yazılım açığı smürüsü, hatalı güncelleme ve operasyonel kesinti. Her biri gerçek bir kurumun yaşadığı, belgelenmiş bir felakettir.
Daha da nemlisi, her biri nlenebilirdi.
Yazılım Tedarik Zinciri Saldırısı — 2020
SolarWinds — SUNBURST Operasyonu
18.000 müşteri / ABD federal kurumları / Fortune 1000 şirketleri
Tek cümlede ne oldu: Rusya bağlantılı APT29 grubu, SolarWinds’in Orion yazılım güncelleme sistemine sızdı ve meşru güncellemeler içine SUNBURST arka kapı zararlısını gmerek 18.000 kuruma eş zamanlı olarak ulaştı — hiçbiri farkında değildi.
Nasıl Gerçekleşti?
Saldırganlar Eylül 2019’da SolarWinds’in yapı (build) ortamına sızdı. Orion yazılımının derleme sürecine zararlı kod enjekte ettiler. Mart 2020’den itibaren 18.000 müşteriye dağıtılan meşru grünen güncellemeler, aslında bir arka kapı barındırıyordu. Zararlı aktivite Aralık 2020’ye kadar — tam 14 ay — tespit edilemedi. Saldırganlar bu süre içinde ABD Hazine Bakanlığı, Ticaret Bakanlığı ve Microsoft dahil pek çok kurumun ağında sessizce hareket etti.
Zarar ve Results
- 18.000 kurum aktif olarak güncellemeyi indirdi
- ABD’nin 9 federal bakanlığı ihlal edildi
- Fortune 1000 şirketlerinin %14’ü etkilendi
- Ortalama şirket gelirlerinin %11’i oranında kayıp
- SolarWinds hisseleri %40 düşüş yaşadı
- SEC, SolarWinds CEO ve CISO’sunu bireysel olarak dava etti — CISO tarihte ilk kez bireysel yargılandı
- Toplam kurtarma maliyeti 90 milyon doları aştı
Teknik Saldırı Vektrü
Saldırı, güvenilir yazılım güncellemesine yerleştirildi. Dijital imzalama süreci atlatıldı — güncellemeler meşru grünüyordu. SUNBURST zararlısı, tespit edilmemek için 2 hafta hareketsiz kaldı, sonra yavaşça aktivite başlattı. Sandbox ve antivirüs tespitlerinden kaçınmak için zel teknikler kullandı. customerler “security güncellemesi yükleyin” uyarısına itaat ederek kendilerini tehlikeye attı.
Türkiye Kurumları İçin Çıkarım
Türkiye’deki pek çok kurum yabancı yazılım tedarikçilerinden otomatik güncelleme alır. BT ekipleri bu güncellemeleri şüpheyle değil, güvenle karşılar. SolarWinds vakası şunu gsterir: Yazılım tedarikçisinin security duruşunu değerlendirmeden ve güncellemeleri aşamalı dağıtmadan kabul etmek, tedarikçiye kr güven anlamına gelir. ISO 27001 Ek A 5.21 (BİT tedarik zinciri güvenliği) tam olarak bu riski ele alır.
Kimlik Bilgisi Hırsızlığı / Yanal Hareket — 2013
Target — HVAC Tedarikçisi Üzerinden İhlal
110 milyon müşteri etkilendi / 200+ milyon dolar maliyet
Tek cümlede ne oldu: Saldırganlar, Target’ın HVAC (ısıtma-soğutma-havalandırma) yüklenicisi Fazio Mechanical’ı phishing ile ele geçirdi ve tedarikçiye verilen ağ erişimini kullanarak Target’ın satış noktası (POS) sistemlerine ulaştı; 110 milyon müşterinin kart ve kişisel bilgilerini çaldı.
Nasıl Gerçekleşti?
Eylül 2013: Fazio Mechanical employeelarına ynelik spear phishing saldırısıyla Citadel zararlısı bulaştırıldı ve tedarikçinin Target ağ portalına giriş kimlik bilgileri çalındı.
15 Kasım 2013: Saldırganlar çalınan kimlik bilgileriyle Target’ın fatura ve proje ynetim portalına girdi. Ağda yatay hareket ederek POS sistemlerine ulaştı.
Kasım sonu: POS sistemlerine RAM-scraping zararlısı yüklendi; kart bilgileri işlem anında yakalanmaya başlandı. Black Friday hafta sonunda milyonlarca kart bilgisi toplandı.
Zarar ve Results
- 40 milyon kart numarası çalındı
- 70 milyon müşterinin kişisel bilgisi ifşa oldu
- Kâr 4. çeyrekte %46 düştü, hisse senedi %9 geriledi
- CEO ve CIO grevden istifa etti
- 47 eyalette 18,5 milyon dolarlık uzlaşma dendi
- Toplam maliyet 200 milyon doları aştı (tahminler 420 milyon dolara kadar çıkıyor)
- FireEye sistemleri uyarı verdi — ama kimse yanıt vermedi
Asıl Sorun: Ağ Segmentasyonu Yoktu
Fazio Mechanical bir HVAC firmasıydı — deme sistemleriyle hiçbir ilgisi yoktu. Ancak Target’ın ağı segmentize edilmemişti; tedarikçinin erişim noktası ile POS sistemleri arasında duvar bulunmuyordu. Tedarikçiye verilen ağ erişimi minimum yetki ilkesine gre kısıtlanmamıştı. Üstelik FireEye sistemi uyarılar üretti; ancak bunlar değerlendirme dışı bırakıldı.
Türkiye Kurumları İçin Çıkarım
Türkiye’de bakım, temizlik, security, lojistik gibi sahada bulunan tedarikçilerin employeelarına ağ erişimi verilmesi son derece yaygındır. Çoğu kurum bu erişimlerin kapsamını ve kritikliğini değerlendirmez. Target vakası şunu evidencelar: Bir HVAC firmasının employeeı, doğrudan deme sistemlerine erişebilecek bir yolun başında duruyordu — ve kimse farkında değildi. KVKK kapsamında da bu tablo hukuki sorumluluk yaratır.
Yazılım zeroıncı Gün Security Açığı — 2023
MOVEit Transfer — Cl0p Fidye Grubu Saldırısı
2.700+ kurum / 95 milyon kişi / 15+ milyar dolar potansiyel maliyet
Tek cümlede ne oldu: Cl0p fidye yazılımı grubu, dosya transfer yazılımı MOVEit Transfer’daki sıfırıncı gün SQL injection açığını smürerek 2.700’den fazla kurumun verilerini çaldı — bu kurumların büyük çoğunluğu MOVEit’i doğrudan değil, bordro ve İK hizmet sağlayıcıları gibi tedarikçileri aracılığıyla kullanıyordu.
Etkilenen Sektrler ve Öne Çıkan Kurumlar
%13
Finans / Profesyonel hizmetler
Etkilenen kurumlar arasında: BBC, British Airways, Boots, Aer Lingus, ABD devlet kurumları, Louisiana ve Oregon eyalet hükümetleri, Zellis (İngiltere’nin en büyük bordro sağlayıcısı)
Nasıl Gerçekleşti?
Cl0p, MOVEit Transfer’daki CVE-2023-34362 numaralı kritik SQL injection açığını (CVSS skoru: 9.8/10) istismar etti. Bu açık, kimlik doğrulama olmadan dosya sunucusuna tam erişim imkânı tanıyordu.
En dikkat çekici boyutu: Etkilenen kurumların büyük kısmı MOVEit’i doğrudan kullanmıyordu. Bordro şirketleri, İK platformları ve veri işleme firmaları MOVEit kullandığından, bu tedarikçilerin tüm müşterileri de drdüncü taraf riski kapsamında etkilendi.
4. Taraf Riskinin Somut Örneği
Zellis: İngiltere merkezli bordro şirketi. Zellis MOVEit kullandı. Zellis’in müşterileri arasında BBC, British Airways, Boots ve Aer Lingus vardı. Bu kurumlar MOVEit kullanmıyordu — ama tedarikçilerinin tedarikçisi kullanıyordu.
BBC employeelarının isim, adres, cinsiyet ve sosyal security numaraları ifşa oldu. BBC’nin MOVEit veya Zellis’in güvenliğini değerlendirmiş olması gerekirdi — ama değerlendirmemişti.
Türkiye Kurumları İçin Çıkarım
Türkiye’deki kurumlar bordro, insan kaynakları, muhasebe, lojistik gibi alanlarda SaaS çzümler kullanan tedarikçilerle çalışmaktadır. Bu tedarikçilerin kendi altyapılarında (bulut, dosya transfer, yazılım) ne kullandığı çoğunlukla bilinmez. MOVEit vakası, “tedarikçimizin tedarikçisi ne kullanıyor?” sorusunun artık hayati nem taşıdığını evidencelamaktadır. ISO 27001 Ek A 5.21 ve KVKK kapsamında bu sorumluluk veri sorumlusuna aittir.
Hatalı Yazılım Güncellemesi / Operasyonel Kesinti — 2024
CrowdStrike — Delta Airlines: 500 Milyon Dolarlık Güncelleme
8,5 milyon sistem / 7.000 iptal uçuş / 1,3 milyon yolcu
Tek cümlede ne oldu: Siber security şirketi CrowdStrike, 19 Temmuz 2024’te test edilmemiş bir Falcon sensr güncellemesi yayınladı; 8,5 milyon Windows sistemi çktü — tarihte en büyük BT kesintisi olarak kayıtlara geçti. Delta Airlines’ın %60’ı Windows bazlı kritik sistemlerinin beş gün çalışamaması 7.000 uçuşun iptaliyle sonuçlandı.
Nasıl Gerçekleşti?
CrowdStrike, Falcon sensrü için hazırladığı bir içerik yapılandırma güncellemesini yetersiz testlerle dağıttı. Güncelleme Windows çekirdeğini çkertti; etkilenen sistemler “mavi ekran” (BSOD) vererek yeniden başlatılamaz hale geldi.
Düzeltme için her etkilenen sistemin fiziksel müdahale gerektirmesi, iyileşme sürecini uzattı. Delta’nın 40.000 sunucusunun manuel olarak yeniden başlatılması gerekti. Other havayolları bir-iki günde normale dnerken Delta beş gün ayağa kalkamadı.
Zarar ve Hukuki Boyut
- Delta: 380 milyon dolar gelir kaybı, 170 milyon dolar doğrudan maliyet
- Delta, CrowdStrike’a 500 milyon dolar+ tazminat davası açtı
- CrowdStrike, Delta’yı karşı dava ile yanıtladı
- ABD Ulaştırma Bakanlığı Delta hakkında soruşturma başlattı
- CrowdStrike hissesi bir ayda %30+ değer kaybetti
- CrowdStrike CEO’su Kongre’de zür diledi
- 8,5 milyon sistem küresel lçekte etkilendi — havacılık, sağlık, bankacılık, acil servisler
Bu Vakanın Farklı Boyutu: Veri İhlali Değil, Operasyonel Çküş
CrowdStrike vakası klasik bir “veri ihlali” değil; tedarikçi kaynaklı bir operasyonel kesinti vakasıdır. Tedarikçi riski yalnızca veri çalınmasıyla değil, iş sürekliliğini tamamen bozan hizmet kesintileriyle de somutlaşır. Tedarikçi değerlendirme sürecinde “bu tedarikçi çktüğünde ne olur?” sorusu, “bu tedarikçi veri çalarsa ne olur?” sorusu kadar kritiktir.
Türkiye Kurumları İçin Çıkarım
Türkiye’de birçok kurum uç nokta güvenliği, antivirüs, SIEM gibi security araçlarının güncellemelerini otomatik ve doğrulama yapmadan kabul eder. CrowdStrike vakası, security sağlayıcınızın kendisinin en büyük operasyonel riskiniz olabileceğini evidencelar. Kritik yazılım tedarikçileri için aşamalı güncelleme politikası, değişiklik ynetimi prosedürü ve iş sürekliliği planına tedarikçi kesintisi senaryosunun dahil edilmesi artık zorunluluktur.
Fidye Yazılımı / Production Durdurma — 2022
Toyota — Kojima Industries Saldırısı
14 fabrika / Küresel üretimin 1/3’ü / Tek bir tedarikçi saldırısı
Tek cümlede ne oldu: Mart 2022’de Toyota’ya plastik parça sağlayan tedarikçi Kojima Industries fidye yazılımı saldırısına uğradı; Toyota Japonya’daki tüm 14 fabrikasında 28 üretim hattını durdurdu — küresel üretiminin üçte birini tek bir tedarikçi saldırısı çkertti.
Nasıl Gerçekleşti?
Kojima Industries, Toyota’ya plastik ve elektronik bileşen sağlayan kritik bir tedarikçiydi. Firmaya yapılan fidye yazılımı saldırısı sistemleri ve contact altyapısını çkertti.
Toyota’nın üretim sistemi “just-in-time” (tam zamanında teslimat) anlayışına dayanıyordu — yedek stok yoktu. Kojima parça tedarik edemeyince Toyota’nın üretimi durdu.
Saldırı Kojima’ya yapıldı; Toyota’nın kendi sistemleri ihlal edilmedi. Ama sonuç Toyota’ya aitti.
Zarar ve Bağlam
- Japonya’daki tüm 14 fabrika (28 hat) durdu
- 13.000 araçlık üretim kaybı tek günde
- Küresel Toyota üretiminin ~%33’ü etkilendi
- McKinsey verisi: 30 günlük tedarik kesintisi EBITDA marjının %3-5’ini tehdit eder
- Toyota, olayın ardından tedarikçi security gereksinimlerini kklü biçimde güçlendirdi
- Aynı dnemde yarı iletken tedarikçisi MKS Instruments’a yapılan saldırı Applied Materials’a 250 milyon dolar maliyete yol açtı
Bu Vakanın Kritik Mesajı: Tek Kaynak Bağımlılığı
Toyota, Kojima’nın güvenliğini değerlendirip değerlendirmediği bilinmemekle birlikte, temel sorun tek kaynak bağımlılığıydı. Kojima saldırıya uğradığında alternatif tedarikçi yoktu. Tedarikçi risk değerlendirmesi yalnızca siber security değil, aynı zamanda iş sürekliliği risk ynetimini de kapsamalıdır: Bu tedarikçiyi kaybedersek ne olur?
Türkiye Kurumları İçin Çıkarım
Türkiye’de üretim ve lojistik sektründe tek kaynaklı tedarikçi bağımlılığı son derece yaygındır. Otomotiv, savunma, tekstil ve elektronik sektrlerinde kritik parçaları sağlayan tek tedarikçinin fidye yazılımına uğraması, üretimi tamamen durduracak bir domino etkisi yaratabilir. Tedarikçi risk değerlendirmesinin iş sürekliliği planıyla entegre edilmesi — “bu tedarikçi çalışamazsa ne yaparız?” sorusunun yanıtlanması — Toyota vakasının Türkiye’ye zgü dersidir.
5 Vakanın Karşılaştırmalı Özeti
| Vaka | İhlal Tipi | Saldırı Vektrü | Tahmini Maliyet | Önlenebilirdi mi? |
|---|
| SolarWinds (2020) | Yazılım tedarik zinciri | Build ortamına sızma + zararlı güncelleme | 90M$+ (doğrudan) | Kısmen |
| Target (2013) | Kimlik bilgisi hırsızlığı | Tedarikçi phishing → yanal hareket → POS | 200M$+ (420M$’a kadar) | Evet |
| MOVEit / Cl0p (2023) | zeroıncı gün açığı | SQL injection → toplu veri hırsızlığı | 15B$+ (tahmin) | Kısmen |
| CrowdStrike (2024) | Hatalı güncelleme / kesinti | Test edilmemiş güncelleme → sistem çküşü | 500M$+ (Delta tek başına) | Evet |
| Toyota / Kojima (2022) | Fidye yazılımı / üretim durdurma | Tedarikçi fidye → iş sürekliliği çküşü | 13.000 araç üretim kaybı | Evet |
Beş Vakadan Yükselen 5 Ortak Tema
Bu vakalar birbirinden farklı sektrlerde, farklı saldırı vektrleriyle ve farklı boyutlarda gerçekleşti. Ancak beşinde de tekrar eden beş yapısal sorun dikkat çekmektedir:
Tedarikçiye kr güven
Beş vakada da kurumlar tedarikçilerini sistematik olarak değerlendirmemişti. Sertifika, uzun süreli iş ilişkisi ya da “büyük ve güvenilir” olma algısı, gerçek security değerlendirmesinin yerini tutmamıştı.
Ağ segmentasyonu ve minimum yetki eksikliği
Target vakasında HVAC firması deme sistemlerine ulaşabildi çünkü ağ segmentize değildi. Tedarikçilere gereğinden geniş erişim yetkisi tanımak, security açığı değil; security felaketi reçetesidir.
4. taraf (tedarikçinin tedarikçisi) grünmezliği
MOVEit vakasında BBC, Zellis’in MOVEit kullandığını bilmiyordu. Supplier evaluation yalnızca birinci halkayı kapsamak zorundadır; alt yükleniciler ve kritik yazılım bağımlılıkları da kapsama alınmalıdır.
İş sürekliliğine tedarikçi entegrasyonu yapılmamış
Toyota üretim planında Kojima’nın çkmesi senaryosu yoktu. CrowdStrike’ın sistem çküşüne karşı Delta’nın olay müdahale planı yetersizdi. Tedarikçi riski, iş sürekliliği ve felaket kurtarma planlarıyla entegre edilmeden ynetilemiyor.
Szleşmede security maddeleri eksik
CrowdStrike – Delta davasında tarafların szleşmedeki “sınırlı sorumluluk” maddesi belirleyici oldu. Tedarikçi szleşmelerinde security gereksinimleri, ihlal bildirimi, güncelleme prosedürleri ve sorumluluk sınırları açıkça tanımlanmadan tedarikçi ilişkisi başlatılmamalıdır.
Sık Sorulan Sorular
Bu vakalar Türkiye kurumlarını da etkiledi mi?
SolarWinds vakasında Orion yazılımını kullanan Türkiye merkezli kurumlar da riskte idiler. MOVEit security açığı, küresel lçekte bu yazılımı kullanan tedarikçi firmaların tüm müşterilerini etkiledi — Türkiye’de faaliyet gsteren çok uluslu şirketler ve bu şirketlerin yerel tedarikçileri kapsam dahilinde olabilirdi. CrowdStrike’ın müşteri tabanı Türkiye’de de mevcuttur; yalnızca havacılık değil finans ve sağlık sektrünü de etkileyen bir yazılım tedarikçisidir.
Bu tür saldırıları tamamen nlemek mümkün mü?
zeroıncı gün açıklarını ve karmaşık yazılım tedarik zinciri saldırılarını tamamen nlemek mümkün değildir. Ancak beş vakanın drdünde sorunun zü teknik değil süreç eksikliğiydi: tedarikçi değerlendirme yapılmamış, ağ segmentize edilmemiş, güncellemeler aşamalı test edilmemiş, iş sürekliliği planı tedarikçi kesintisi senaryosunu kapsamamıştı. Bu süreç eksiklikleri giderilmiş olsaydı hasarın büyük kısmı nlenebilir ya da en azından sınırlandırılabilirdi.
KVKK kapsamında bu vakalar nasıl değerlendirileceği?
KVKK Madde 12 kapsamında veri sorumlusu, veri işleyen tedarikçinin güvenliğini sağlamakla yükümlüdür. Target, MOVEit ve SolarWinds vakalarında kişisel veriler ifşa oldu. Türkiye hukukunda bu vakaların eşdeğeri bir ihlalin yaşanması halinde, veri sorumlusu “gerekli teknik ve idari tedbirleri almadığı” gerekçesiyle Kurul kararı ve idari para cezasıyla karşılaşabilir — tedarikçisinin zayıf güvenliği mazeret olarak kabul edilmez.
Bu vakalar gz nüne alındığında hangi tedarikçiler nce değerlendirilmeli?
Öncelik sırası üç kritere gre belirlenir: kişisel veriye erişimi olan tedarikçiler (KVKK zorunluluğu), kritik sistemlere ağ veya uzaktan erişimi olan tedarikçiler (Target tipi risk) ve otomatik güncelleme mekanizmasıyla sisteminize kod dağıtan tedarikçiler (SolarWinds/CrowdStrike tipi risk). Bu üç kategoride yer alan tedarikçi, listede ilk sıraya alınmalıdır.
Secure Fors — TPRM Consulting
Bu Vakalar Sizin Kurumunuzda
Tekrarlanmasın
SolarWinds, Target, MOVEit, CrowdStrike ve Toyota vakalarının ortak paydası sistematik tedarikçi risk değerlendirmesinin yokluğudur. Secure Fors olarak, THY tedarikçi ekosistemi ve kritik sektrlerdeki saha deneyimimizle tedarikçilerinizi bu risklere karşı sistematik biçimde değerlendiriyoruz.
✓Tedarikçi risk değerlendirme programı kurulumu
✓ISO 27001 Ek A 5.19–5.22 uyum değerlendirmesi
✓Kritik tedarikçilere ikinci taraf denetim
✓KVKK veri işleyen değerlendirmesi ve VİS desteği
✓Tedarikçi szleşme security maddesi gzden geçirmesi
✓İş sürekliliği planına tedarikçi kesintisi entegrasyonu
