Tedarikçi Denetiminde Risk Değerlendirme: Neden Sadece Sertifika Yetmez?

Dijital dönüşüm çağında hiçbir işletme bir ada değildir. İş süreçlerimizi yürütmek için bulut sağlayıcılarından ödeme ağ geçitlerine, lojistik yazılımlarından dış kaynaklı yazılım geliştiricilere kadar geniş bir tedarikçi ekosistemine güveniyoruz. Ancak bu entegrasyon, işletmenizin sınırlarını belirsizleştirirken saldırı yüzeyinizi de muazzam ölçüde genişletiyor.

Eskiden “kalemiz güvende mi?” diye sorardık. Şimdi sormamız gereken soru şu: “Kalemizin anahtarını teslim ettiğimiz tedarikçimiz ne kadar güvende?”

Bu yazıda, modern siber güvenlik dünyasında tedarikçi kaynaklı riskleri, dünyayı sarsan gerçek vakaları ve neden sadece bir ISO 27001 sertifikasına veya yılda bir yapılan sızma testine (pentest) güvenmemeniz gerektiğini derinlemesine inceleyeceğiz.

Tedarik Zinciri Saldırılarının Yükselişi: Görünmez Tehlike

Tedarik zinciri saldırıları (Supply Chain Attacks), siber saldırganların hedefteki asıl şirketin (sizin) güvenli ağını aşmak yerine, o şirketin güvenliği daha zayıf olan tedarikçisine sızarak “arka kapıdan” içeri girmesi prensibine dayanır. Gartner’ın tahminlerine göre, 2025 yılına kadar dünya genelindeki organizasyonların %45’i yazılım tedarik zincirlerine yönelik saldırılara maruz kalacak.

Tedarikçi Kaynaklı Başlıca Bilgi Güvenliği Riskleri

Bir tedarikçiyle çalışmaya başladığınızda şu riskleri de envanterinize dahil etmiş olursunuz:

1. Yetkisiz Erişim ve Veri İhlali: Tedarikçilere verilen VPN erişimleri veya API yetkileri, saldırganların sizin ağınıza yatay geçiş yapması (lateral movement) için bir otoban görevi görebilir.

2. Zararlı Yazılım Enjeksiyonu: Tedarikçinizin geliştirdiği yazılımın kaynak koduna veya güncelleme paketlerine zararlı kod yerleştirilmesi, bu yazılımı kullanan tüm müşterileri (yani sizi) enfekte eder.

3. Fikri Mülkiyet Hırsızlığı: Hassas verilerinizi barındıran tedarikçilerin veri sızıntısı yaşaması, ticari sırlarınızın ifşasına neden olabilir.

4. Operasyonel Kesinti: Tedarikçinizin fidye yazılımı (ransomware) saldırısına uğraması, sizin hizmet verememeniz anlamına gelebilir.

5. Yasal ve Uyumluluk Riskleri: Tedarikçinizin KVKK veya GDPR ihlali yapması, veri sorumlusu olarak sizin de yasal yaptırımlarla karşılaşmanıza neden olur.

Dünyadan Dersler: “Bizim Tedarikçimiz Güvenilir” Demeden Önce Okuyun

Sadece teorik risklerden bahsetmiyoruz. Yakın geçmişte yaşanan ve dünya devlerini dize getiren olaylar, tedarikçi denetiminin hayati önemini kanıtlıyor.

1. SolarWinds Olayı (2020): Güvenin Kırıldığı An

Siber güvenlik tarihinin en sofistike saldırılarından biri olan SolarWinds vakasında, saldırganlar şirketin “Orion” adlı ağ izleme yazılımının güncelleme paketlerine zararlı kod yerleştirdi.

• Sonuç: Bu güncellemeyi indiren, aralarında ABD Hazine Bakanlığı, Microsoft ve Intel’in de bulunduğu 18.000’den fazla kurum siber casusluğa maruz kaldı.

• Ders: Güvendiğiniz, sertifikalı ve devasa bir yazılım tedarikçisi bile Truva Atı’na dönüşebilir. (Kaynak: CISA ve FireEye Raporları)

2. Kaseya VSA Saldırısı (2021): Domino Etkisi

REvil fidye yazılımı çetesi, Yönetilen Hizmet Sağlayıcıları (MSP) tarafından kullanılan Kaseya VSA yazılımındaki bir “zero-day” açığını kullandı.

• Sonuç: Tek bir yazılım üzerinden, o yazılımı kullanan MSP’lerin hizmet verdiği 1.500’den fazla küçük ve orta ölçekli işletme aynı anda kilitlendi ve fidye istendi.

• Ders: Tedarikçinizin tedarikçisi de sizin riskinizdir.

3. MOVEit Transfer İhlali (2023): Dosya Transferi Kâbusu

CL0P fidye yazılımı grubu, güvenli dosya transferi yazılımı MOVEit’teki bir SQL enjeksiyon açığını istismar etti.

• Sonuç: BBC, British Airways ve yüzlerce devlet kurumu dahil olmak üzere dünya genelinde milyonlarca kişinin verisi sızdırıldı.

• Ders: “Güvenli dosya transferi” hizmeti aldığınız tedarikçinin kod güvenliği, verinizin güvenliğidir. (Kaynak: TechCrunch & Progress Software Advisories)

Büyük Yanılgı: “Sertifikası Var, Pentest Yaptırıyor, O Halde Güvendeyiz”

Birçok firma, tedarikçi denetimini bir “checklist” (kontrol listesi) aktivitesi olarak görür. Tedarikçiden ISO 27001 belgesi istenir, yılda bir yapılan pentest raporunun kapağına bakılır ve dosya kapatılır. Securefors olarak net bir şekilde söylüyoruz: Bu yaklaşım artık geçerli değildir.

Neden mi?

1. ISO 27001 “Kapsam” Hilesi

ISO 27001, bir yönetim sistemi standardıdır; mutlak güvenlik garantisi değildir.

• Sorun: Tedarikçiniz ISO 27001 belgesine sahip olabilir, ancak bu belgenin kapsamı (scope) sadece “İnsan Kaynakları Departmanı” veya “X Lokasyonundaki Veri Merkezi” olabilir. Sizin hizmet aldığınız yazılım geliştirme süreci veya bulut altyapısı kapsam dışı bırakılmış olabilir.

• Gerçek: Sertifikanın varlığına değil, kapsamına (SoA – Uygulanabilirlik Bildirgesi) bakılmalıdır.

• Etkinlik: Sertifikanın alınması onun etkin ve yeterli olduğunu garantilemez. Bu yüzden yazılanla yapılanların ne kadar uygulandığı, kurumun gerçeklikleriyle ne kadar örtüştüğü doğru analiz edilmelidir.

2. Pentest Bir “Fotoğraftır”, Film Değil

Sızma testleri (Pentest), yapıldığı an ve saatteki güvenlik durumunu gösterir. Ancak pentesti yapan kişi yada kişilerin yetkinliği, kurumun kapsamı ve riskleri ne kadar doğru tanımlayabildiği hala muammadır.

• Sorun: Tedarikçiniz Ocak ayında pentest yaptırıp “temiz” raporu alabilir. Şubat ayında yapılan bir konfigürasyon değişikliği veya Mart ayında çıkan yeni bir zafiyet, o raporu geçersiz kılar. Ayrıca tedarikçiler genellikle sadece “dışarıya bakan” yüzlerini test ettirirler, içerideki süreçlerini değil.

• Gerçek: Sadece pentest raporu istemek, tedarikçinin kod geliştirme kültürünü (DevSecOps) veya yama yönetimi süreçlerini doğrulamaz.

3. “Kağıt Üzerinde” Güvenlik vs. “Gerçek” Güvenlik

Anketler (SIG, CAIQ vb.) tedarikçi denetiminde sıkça kullanılır. Ancak tedarikçiler bu anketleri genellikle “olması gerekeni” işaretleyerek doldurur.

• Sorun: “Çok faktörlü kimlik doğrulama (MFA) kullanıyor musunuz?” sorusuna “Evet” diyen bir tedarikçi, bunu sadece yöneticiler için uyguluyor, kritik verinize erişen destek personeli için uygulamıyor olabilir.

• Gerçek: Beyan esaslı denetim, kanıt esaslı denetimle desteklenmelidir.

Çözüm: Risk Odaklı ve Katmanlı Denetim Yaklaşımı

Tedarikçilerinizi yönetmek için Securefors olarak önerdiğimiz ve uyguladığımız metodoloji, statik belge kontrolünden dinamik risk analizine geçişi öngörür.

Adım 1: Tedarikçileri Sınıflandırın (Triage)

Her tedarikçi aynı risk seviyesinde değildir. Yemek hizmeti sağlayan firma ile müşteri veritabanınızı barındıran bulut sağlayıcısı aynı kefeye konulamaz. Tedarikçilerinizi veriye erişim seviyelerine ve iş sürekliliğine etkilerine göre “Kritik”, “Yüksek”, “Orta”, “Düşük” olarak sınıflandırın.

Adım 2: Teknik Doğrulama ve Kanıt İsteme

Kritik tedarikçiler için sadece sertifika sormayın, şunları talep edin:

• Anonimleştirilmiş Pentest Bulguları: Sadece “temiz” raporu değil, bulunan zafiyetlerin ne kadar sürede kapatıldığını gösteren kanıtlar.

• Yazılım Malzeme Listesi (SBOM): Yazılım tedarikçilerinizden, kullandıkları açık kaynak kütüphaneleri gösteren SBOM talep edin (Log4j gibi zafiyetlerde hayat kurtarır).

• SOC 2 Tip 2 Raporları: ISO 27001’in aksine, kontrollerin belirli bir zaman diliminde işletildiğini kanıtlayan raporlardır.

Adım 3: Sürekli İzleme (Continuous Monitoring)

Denetim yılda bir gün yapılan bir etkinlik olmamalıdır. Siber istihbarat servisleri ve siber risk puanlama araçları (Security Scorecard, BitSight vb.) kullanarak tedarikçilerinizin dışarıdan görünen güvenlik duruşunu 7/24 izleyin. Tedarikçinizin bir veri sızıntısı yaşadığını o size söylemeden önce öğrenmelisiniz.

Adım 4: Sözleşmelere “Güvenlik” Maddesi Ekleyin

Hukuk departmanınızla çalışarak sözleşmelere şunları ekleyin:

• “İhlal durumunda en geç 24 saat içinde bildirim zorunluluğu.”

• “Yılda bir kez tarafımızca veya bağımsız bir denetçi tarafından yerinde denetim hakkı (Right to Audit).”

• “Güvenlik zafiyetlerinin belirli SLA sürelerinde kapatılması taahhüdü.”

Sonuç: Güven İyi, Kontrol Daha İyidir

Tedarikçi ekosistemi işletmenize hız ve verimlilik katar, ancak bu hızı kontrolsüz bir riske dönüştürmemek sizin elinizdedir. 2024 ve sonrasında siber güvenlik, sadece kendi kapınızı kilitlemekle ilgili değil, komşunuzun kapısının da kilitli olduğundan emin olmakla ilgilidir.

Unutmayın; bir siber saldırıda müşterileriniz tedarikçinizi değil, sizi suçlar. İtibarınız, en zayıf tedarikçinizin güvenliği kadardır.

Securefors olarak, tedarikçi risk değerlendirme süreçlerinizi bir “angarya” olmaktan çıkarıp, stratejik bir güvenlik kalkanına dönüştürüyoruz. Sadece kağıt üzerindeki uyumluluğu değil, sahadaki gerçek güvenliği test ediyoruz.

İşletmeniz İçin Bir Sonraki Adım

Mevcut tedarikçi havuzunuzda saatli bir bomba olup olmadığını biliyor musunuz? Tedarikçilerinizi sadece “güvenerek” değil, “denetleyerek” yönetmek için Securefors Tedarikçi Risk Değerlendirme Hizmetlerimiz hakkında bilgi alın.

Ücretsiz Ön Değerlendirme: Kritik tedarikçilerinizden biri için dışarıdan görünen risk skorunu analiz etmemizi ister misiniz? Bizimle iletişime geçin.