Kritik Altyapı Güvenliği · TPRM
Havacılık ve Lojistik Sektöründe Tedarikçi Güvenliği: Kritik Altyapı Riski
Bir tedarikçi açığı nasıl uçuşları durdurabilir, limanları kilitleyebilir ve milyonlarca dolarlık operasyonel zararı tetikleyebilir?
Neden Bu Sektör Bu Kadar Kritik?
Havacılık ve lojistik, siber güvenlik dünyasında kritik altyapı olarak sınıflandırılır — ve bu sınıflandırma boşuna değildir. Bir güvenlik olayının zincirleme etkisi; kapı numarası gösterilemeyen yolculardan, uluslararası tedarik zincirinin günlerce felç olmasına uzanabilir.%62
Havacılık siber olaylarının tedarikçi kaynaklı olduğu oran
Eurocontrol ENISA, 2024
4,5M$
Havacılık sektöründe ortalama veri ihlali maliyeti
IBM Cost of Data Breach, 2024
$8,7T
Küresel lojistik sektörünün yıllık hacmi (uluslararası)
IATA Global Report, 2024
72 saat
Ortalama olay tespiti süresi — tedarikçi kaynaklı ihlallerde
Ponemon Institute, 2024
Sektörün Benzersiz Kırılganlığı
Havacılık sistemleri 7/24 kesintisiz çalışmak zorunda. Bu durum, güvenlik yaması uygulamak için bakım penceresi bekleme lüksünü ortadan kaldırır. Eski SCADA sistemleri, OT/IT entegrasyonları ve düzinelerce üçüncü taraf veri akışı, saldırı yüzeyini kalıcı olarak genişletmiş durumda.Gerçek Saldırılar: Havacılık ve Lojistik Vakaları
Tedarikçi kaynaklı siber saldırılar; medyada kısa süre yer bulup unutulan olaylar değil, sektörün kaderini uzun yıllar şekillendiren krizler olarak kayıtlara geçti.🔴 Vaka Analizi · Lojistik
NotPetya ve Maersk: “Gördüğüm En Hızlı Bulaşma”
2017’de NotPetya saldırısı, Ukraynalı bir muhasebe yazılımı güncellemesi üzerinden yayıldı. Dünyanın en büyük konteyner taşımacılığı şirketi Maersk’in tüm küresel IT altyapısı 45.000 PC ve 4.000 sunucuyla birlikte birkaç saat içinde çöktü. Şirketin Ukrayna’daki tek tedarikçi bağlantısı, 150’den fazla ülkedeki operasyonu felç etti.~300M$
Toplam operasyonel zarar
10 gün
Manuel operasyon zorunluluğu
45.000
Yeniden kurulması gereken PC
Havacılık Sektöründen Öne Çıkan Diğer Olaylar
SITA veri ihlali (2021): Havayolu BT hizmetleri devinin pasaport ve seyahat verisi sistemi ele geçirildi; Air India, Singapore Airlines, Malaysia Airlines ve daha pek çok havayolunun yolcu verileri etkilendi. Saldırı, SITA’nın kendi tedarikçisi üzerinden gerçekleşti — klasik bir dördüncü taraf riski vakası. British Airways tedarikçi saldırısı (2018–2019): Ödeme sayfasındaki üçüncü taraf JavaScript kütüphanesine enjekte edilen skimmer kodu, 500.000’den fazla yolcunun ödeme ve kişisel bilgisini çaldı. Sonuç: GDPR kapsamında 20 milyon pound para cezası. Türkiye dahil birçok havalimanında FIDS sistemi açıkları (2022–2024): Uçuş bilgi ekranı yazılımı sağlayan çeşitli üçüncü taraf firmalar, yamalanmamış zafiyetler nedeniyle hedef alındı. Bazı durumlarda saldırganlar ekranlarda keyfi mesaj göstermeyi başardı.“Havayolları milyonlarca dolar harcayarak kendi güvenliklerini sağlamlaştırıyor — ama tedarikçileri için aynı standardı uygulamıyorlar. Bu, çelik kapıya plastik kilit takmak gibi bir şey.”
Risk Haritası: Havacılık Ekosistemindeki Tedarikçi Katmanları
Havacılık ve lojistik ekosistemi, iç içe geçmiş tedarikçi katmanlarından oluşur. Risk yönetimi açısından bu katmanları görünür kılmak, programın temelini oluşturur.Tedarikçi Kritiklik Sınıflandırması — Havacılık & Lojistik
KRİTİK
Tier 1 — Operasyonel Kritik Sistemler
GDS sistemleri (Amadeus, Sabre), hava trafik yönetimi entegrasyonları, MRO tedarikçileri, yakıt yönetimi, yer hizmetleri sağlayıcıları
Yıllık yerinde denetim
YÜKSEK
Tier 2 — Veri İşleyen Tedarikçiler
Check-in yazılım sağlayıcıları, gümrük EDI sistemi entegratörleri, yolcu PNR işleyicileri, ödeme altyapı sağlayıcıları
6 ayda bir değerlendirme
ORTA
Tier 3 — Destek ve Yardımcı Sistemler
İnsan kaynakları yazılımı, müşteri hizmetleri CRM’leri, pazarlama otomasyon platformları, bulut depolama hizmetleri
Yıllık anket
DÜŞÜK
Tier 4 — Genel Hizmet Tedarikçileri
Ofis malzemeleri, yemek hizmetleri, temizlik firmaları (BT erişimi olmayan)
Standart sözleşme
En Kritik 6 Siber Risk Kategorisi
⚡
Havacılık & Lojistik TPRM Risk Matrisi
Risk Kategorisi
Olasılık
Etki
Öncelikli Eylem
GDS / CRS Entegrasyon Güvenliği
Rezervasyon sistemi API’leri
Yüksek
Kritik
API güvenlik testleri, OAuth2 zorunluluğu
MRO Tedarikçisi Ağ Erişimi
Bakım & onarım yazılım bağlantıları
Orta
Kritik
VPN segmentasyonu, erişim log denetimi
Kargo Veri Entegrasyonları
Gümrük, EDI, tedarik zinciri ERP bağlantıları
Yüksek
Yüksek
Veri doğrulama kontrolleri, şifreli kanal
Yer Hizmetleri Sistemleri
Check-in kiosk, bagaj takip, kapı yönetimi
Orta
Yüksek
Ağ segmentasyonu, yama yönetimi SLA’sı
Yolcu/Müşteri Veri İşleyiciler
PNR, ödeme, sık uçan üye verisi
Orta
Kritik
KVKK DPA, şifreleme gereklilikleri
Bulut Altyapı & SaaS Tedarikçileri
Operasyonel bulut servisleri, izleme araçları
Yüksek
Yüksek
SOC 2 belgesi, paylaşımlı sorumluluk modeli
OT/IT Entegrasyonu: Görünmez Saldırı Yüzeyi
Havacılık ve lojistik sektörünün en özgün risk alanı, operasyonel teknoloji (OT) ile bilgi teknolojisi (IT) sistemlerinin giderek artan entegrasyonudur. Yakıt sistemleri, bagaj konveyörleri, uçuş simülatörleri ve rampa araçları artık IP tabanlı ağlara bağlanıyor.OT/IT Sınırında Tedarikçi Riski
Bir MRO (Bakım, Onarım, Revizyon) tedarikçisi, bakım yazılımı için havayolunun OT ağına uzak erişim talep ettiğinde, bu erişim noktası düzgün yönetilmezse silahlara uçan bir köprüye dönüşebilir. Bu erişimlerin en az ayrıcalık ilkesiyle, zaman sınırlı oturumlarla ve tam denetim kaydıyla yapılandırılması zorunludur.Tedarikçi Kaynaklı Havacılık Saldırı Zinciri (Örnek Senaryo)
Adım 1
Tedarikçi çalışanına phishing
→
Adım 2
VPN kimlik bilgisi ele geçirme
→
Adım 3
Havayolu ağına yanal hareket
→
Adım 4
Yolcu verisi sızdırma veya fidye yazılımı
→
Etki
Uçuş iptalleri / operasyonel çöküş
Türkiye’de Düzenleyici Çerçeve
Havacılık ve lojistik alanında faaliyet gösteren Türk şirketleri, tedarikçi güvenliği konusunda birden fazla düzenleyici yükümlülükle karşı karşıya. Bu yükümlülükleri tek bir entegre TPRM programına yansıtmak, hem uyumluluk maliyetini düşürür hem de denetim süreçlerini kolaylaştırır.SHGM (Sivil Havacılık Genel Müdürlüğü) ve ICAO Standartları
ICAO’nun Ek 17 (Havacılık Güvenliği) standardı, havalimanı işletmecileri ve havayollarının güvenlik yönetim sistemlerini tedarikçileri de kapsayacak şekilde genişletmelerini zorunlu kılmaktadır. SHGM bu standardı ulusal mevzuata taşımış olup denetimler tedarikçi güvenlik kontrollerini de kapsamaktadır.ISO 27001:2022 — Ek A 5.19–5.22
Havacılık şirketleri için ISO 27001 sertifikası artık neredeyse bir pazar koşulu haline gelmiştir. Ek A’nın tedarikçi güvenliğine ayrılan maddeleri (5.19–5.22), bir tedarikçi yönetim politikasını, güvenlik sözleşmelerini, sürekli izlemeyi ve tedarik zinciri risk yönetimini açıkça zorunlu kılmaktadır. Belgelenmemiş tedarikçi güvenliği = sertifikasyon bulgusu.KVKK (6698 Sayılı Kanun)
Yolcu PNR verileri, sık uçan üye programları ve dijital check-in verileri, KVKK kapsamında kişisel veri niteliği taşır. Bu verileri işleyen her tedarikçiyle Veri İşleme Sözleşmesi (DPA) yapılması, KVK Kurulu’nun yayımladığı rehberlerde açıkça belirtilmiştir. Şubat 2026’da yayımlanan yapay zekâ rehberi, YZ tabanlı dinamik fiyatlama veya yolcu analitik araçları kullanan havayollarının bu sistemlerin tedarikçilerini de KVKK kapsamında değerlendirmesini öngörmektedir.7545 Sayılı Kanun ve Kritik Altyapı Yükümlülükleri
2024’te yürürlüğe giren 7545 sayılı Siber Güvenlik Kanunu, havacılık ve lojistik altyapısını kritik altyapı kapsamında tanımlamaktadır. Kapsam dahindeki operatörlerin tedarikçi risk yönetim planlarını Ulusal Siber Olay Müdahale Merkezi’ne bildirmesi yükümlülüğü gündemdedir. Uyumsuzluk durumunda sektör regülatörüyle ortak idari işlem riski bulunmaktadır.DORA ve AB Uyumu
AB’li ortaklarla iş yapan veya AB pazarına hizmet veren Türk havacılık şirketleri için DORA (Dijital Operasyonel Dayanıklılık Yasası) fiilen bir gereklilik haline gelmektedir. DORA, BIT tedarikçilerinin sözleşmeye bağlanmasını, risk değerlendirmelerini ve çıkış stratejilerini zorunlu kılmaktadır.Havacılık için TPRM Programı Nasıl Kurulur?
Havacılık ve lojistik sektörünün operasyonel kısıtları, standart bir TPRM modelinin uyarlanmasını gerektiriyor. Aşağıdaki adımlar, sektöre özgü pratiklerle zenginleştirilmiş bir kurulum yol haritası sunuyor.1
Tedarikçi Envanteri ve Kritiklik Sınıflandırması
Havayolunuzun veya lojistik şirketinizin tüm tedarikçilerini listelemekle başlayın. Rezervasyon sistemleri, MRO tedarikçileri, yer hizmetleri, gümrük entegratörleri ve BT hizmet sağlayıcılarını kapsayan tam bir envanter olmadan risk yönetimi mümkün değildir. Her tedarikçiyi eriştiği veri hassasiyeti, operasyonel kritikliği ve sistemlere erişim derinliği kriterlerine göre Tier 1–4 sınıflandırmasına alın.2
Sektöre Özgü Risk Anketleri Tasarlayın
Genel TPRM anketleri havacılık için yetersiz kalır. GDS entegrasyon güvenliği, OT/IT segregasyonu, uçuş operasyonlarına erişim kontrolleri ve uçak bakım sistemleri güvenliği gibi alanlara özgü sorular hazırlanmalıdır. Tier 1 tedarikçiler için en az 60 sorudan oluşan kapsamlı bir anket, Tier 3–4 için ise basitleştirilmiş bir self-assessment formu kullanın.3
Sözleşmelere Operasyonel Güvenlik Maddeleri Ekleyin
Kritik tedarikçi sözleşmelerinde şunlar zorunlu olmalıdır: 72 saat içinde güvenlik olayı bildirimi, denetim hakkı maddesi, minimum güvenlik sertifikasyonu gereklilikleri (ISO 27001 veya SOC 2 Type II), alt tedarikçi güvenlik yükümlülükleri ve hizmet kesintisinde SLA cezaları.4
Sürekli İzleme Altyapısını Kurun
Kritik tedarikçiler için yıllık periyodik değerlendirme yeterli değildir. SecurityScorecard veya BitSight gibi dış saldırı yüzeyi izleme araçları, tedarikçilerinizin siber hijyen durumunu gerçek zamanlı olarak takip eder. Özellikle GDS ve MRO tedarikçileri için bu izleme kritiktir.5
Olay Müdahale Planına Tedarikçi Senaryolarını Ekleyin
Tedarikçi kaynaklı olaylar için önceden tanımlanmış eskalasyon prosedürleri oluşturun. “Rezervasyon sistemim çöktü — tedarikçi kaynaklı mı?” sorusuna 10 dakika içinde yanıt verebilecek bir süreç olmalı. Masabaşı egzersizlerinizin en az birinde tedarikçi kaynaklı senaryo çalıştırın.Küçük Bir Başlangıç İçin Pratik İpucu
Sıfırdan başlamak bunaltıcı gelebilir. En pratik ilk adım şudur: sadece operasyonel sistemlere erişimi olan 10–15 tedarikçinizi listeleyin ve bu firmalardan ISO 27001 sertifikası veya son 12 aya ait güvenlik denetim raporu isteyin. Bu basit adım bile programınızı %60 olgunluk seviyesine taşır.Tedarikçi Güvenlik Denetimi Kontrol Listesi
Kritik tedarikçilerinizle ilk değerlendirme görüşmesi öncesinde veya yıllık denetim sürecinde aşağıdaki kontrol listesini kullanabilirsiniz.🏢 Kurumsal Güvenlik Yönetimi
- ISO 27001:2022 belgesi veya eşdeğer güvenlik sertifikasyonu mevcut mu ve güncel mi?
- Yazılı bir bilgi güvenliği politikası ve yönetim onayı var mı?
- Güvenlik olayı müdahale planı dokümante edilmiş ve test edilmiş mi?
- Son 12 ayda bağımsız güvenlik denetimi veya sızma testi yapıldı mı?
🔐 Erişim Kontrolü ve Kimlik Yönetimi
- Çok faktörlü kimlik doğrulama (MFA) tüm kritik sistemlerde zorunlu mu?
- En az ayrıcalık ilkesi uygulanıyor ve erişimler düzenli gözden geçiriliyor mu?
- Ayrıcalıklı erişim yönetimi (PAM) çözümü kullanılıyor mu?
- Uzak erişimler (VPN) kayıt altında tutuluyor ve denetleniyor mu?
📊 Veri Güvenliği ve KVKK Uyumu
- İşlediğiniz kişisel verilerin envanteri çıkarılmış ve VERBIS’e kayıt yapılmış mı?
- Müşterilerinizle imzalanmış Veri İşleme Sözleşmesi (DPA) mevcut mu?
- Veriler aktarım sırasında ve depolamada şifreleniyor mu? (en az TLS 1.2, AES-256)
- Veri ihlali bildirim süreci tanımlanmış ve test edilmiş mi? (72 saat KVK Kurulu bildirimi)
🔄 İş Sürekliliği ve Felaket Kurtarma
- İş sürekliliği planı (BCP) ve felaket kurtarma planı (DRP) güncel mi?
- Hizmet kesintisi durumunda müşteriye bildirim SLA’sı ne kadar? Sözleşmede var mı?
- Son 12 ayda BCP tatbikatı yapıldı mı?
- Alt tedarikçilerde benzer bir iş sürekliliği planı var mı?
Sonuç: Zincirin En Zayıf Halkası
Havacılık ve lojistik sektörü, dijital bağımlılığın doruk noktasındadır. Yolcu rezervasyonundan kargo takibine, bakım yazılımından gümrük entegrasyonuna kadar her kritik süreç onlarca tedarikçinin sistemine dayanıyor. Bu gerçeklik, tedarikçi güvenliğini operasyonel güvenlikle eş değer hale getiriyor. İyi haber şu: TPRM bir mükemmellik projesi değil, bir sürekli iyileştirme yolculuğu. Tedarikçi envanterinizi çıkarmak, kritik olanları belirlemek ve onlardan güvenlik kanıtı istemek — bu üç basit adım bile pek çok kurumu rakiplerinden öne taşıyor. Maersk’in NotPetya deneyiminden çıkarılması gereken ders çok net: Tek bir Ukraynalı muhasebe yazılımı tedarikçisi, dünya genelindeki tüm operasyonları felç etti. Bu, bir senaryo değil; yaşanmış bir gerçek. Ve benzer bir senaryonun sizin havayolunuzda, limanınızda veya lojistik operasyonunuzda yaşanmaması için yapılan her hazırlık, yatırımın çok ötesinde bir değer taşıyor.Tedarikçi güvenliğini ihmal eden şirketler, güvenlik yatırımlarını değil; güvenlik açıklarını dış kaynak kullandırıyor.
TPRM Programınızı Değerlendirmeye Hazır mısınız?
Secure Fors olarak havacılık ve lojistik sektörüne özel tedarikçi risk değerlendirmesi, ISO 27001 uyum denetimleri ve KVKK DPA hazırlığı konularında danışmanlık sunuyoruz. THY başta olmak üzere sektörün önde gelen isimlerine verdiğimiz hizmetle edindiklerimiz deneyimi sizin için de kullanıma hazırız. Ücretsiz Ön Değerlendirme Talep Edin →Sektörel TPRM Danışmanlığı İçin Bize Ulaşın
Secure Fors olarak havacılık, lojistik ve diğer kritik sektörlerde tedarikçi bilgi güvenliği yönetimi (TPRM) danışmanlığı sunuyoruz.
👉 TPRM Hizmetlerimiz hakkında detaylı bilgi alın →
Ayrıca ISO 27001 BGYS Danışmanlığı hizmetimizle bilgi güvenliği yönetim sisteminizi kurmanıza yardımcı oluyoruz.
