Tedarikçi Kaynaklı Siber Güvenlik Riskleri Nasıl Yönetilir?
2023 yılında dünyaca tanınan bir İngiliz havayolu şirketinin yüz binlerce yolcu verisinin sızdırıldığı ortaya çıktı. Saldırganlar şirkete ait hiçbir sistemi doğrudan hedef almamıştı. Giriş noktaları, şirketin güvenli dosya transferi için kullandığı bir üçüncü taraf yazılım platformuydu.
Bu örnek artık bir istisna değil, kural haline geldi. Türkiye dahil dünyanın dört bir yanındaki güvenlik ekipleri aynı gerçekle yüzleşiyor: Tedarikçi kaynaklı siber güvenlik riskleri, kurumların kendi kontrol ettiği saldırı yüzeyini geride bıraktı.
Peki bu riskler neden bu kadar büyüdü ve bir kurum bunları nasıl sistematik biçimde yönetebilir?
Tedarikçi Neden Bu Kadar Büyük Bir Risk Kaynağı Haline Geldi?
On yıl önce bir şirketin BT sınırları nispeten netti: kendi veri merkezi, kendi ağı, kendi uygulamaları. Bugün ise tablo çok farklı. Ortalama bir orta ölçekli Türk şirketi onlarca farklı SaaS uygulaması kullanıyor, yazılım geliştirmeyi dış kaynak olarak yaptırıyor, bulut altyapısını bir başka firmaya emanet ediyor ve lojistik, ödeme, analitik gibi kritik süreçlerini iş ortaklarına devrediyor.
Her bu devrediş, tedarikçinin güvenlik duruşunu sizin risk tablonuzun bir parçası yapıyor. Tedarikçinizin ağında açık kalan bir port, güncellenmemiş bir kütüphane ya da yeterince denetlenmeyen bir çalışan hesabı, saldırganların doğrudan sizin sistemlerinize ulaşması için bir köprü işlevi görebilir.
Siber güvenlik sektöründeki araştırmalar, kurumsal veri ihlallerinin yarısından fazlasının artık doğrudan değil, bir üçüncü taraf aracılığıyla gerçekleştiğini ortaya koyuyor. Bu oran her geçen yıl artıyor.
Tedarikçi Kaynaklı Riskler: Hangi Tehditlerle Karşı Karşıyasınız?
Tedarikçi kaynaklı riskler tek bir boyutta değil, birkaç farklı biçimde karşınıza çıkabilir.
Doğrudan ağ erişimi üzerinden sızma. Tedarikçiye verilen VPN bağlantısı, API anahtarı ya da uzak masaüstü erişimi, o tedarikçinin sistemleri ele geçirildiğinde sizin ağınıza giriş kapısına dönüşür. Bu tür “güvenilir bağlantı” saldırıları, perimeter güvenlik araçlarının büyük çoğunluğunu atlayarak işe yarar.
Yazılım tedarik zinciri saldırıları. Tedarikçinizin geliştirdiği ya da dağıttığı yazılıma zararlı kod enjekte edilmesi, o yazılımı kullanan tüm müşterileri —yani sizi— aynı anda hedef alır. 2020’de 18.000’den fazla kurumu etkileyen SolarWinds saldırısı bu mekanizmanın en çarpıcı örneği olarak kayıtlara geçti.
Veri işleme ihlalleri. Müşteri verilerinizi ya da ticari sırlarınızı barındıran bir tedarikçinin siber saldırıya uğraması, o verinin sizin değil onun sistemlerinde bulunması fark etmeksizin sizin ihlal haberi olarak duyurulmasına neden olur.
Operasyonel kesinti. Kritik bir iş sürecinizi yürüten tedarikçi fidye yazılımına ya da DDoS saldırısına uğradığında, sizin hizmet verme kabiliyetiniz de doğrudan etkilenir. Tedarikçi SLA’sı ne derse desin, müşterilerinize açıklama yapma yükü size aittir.
Yasal ve uyumluluk riskleri. KVKK kapsamında kişisel verileri işleyen tedarikçilerinizin veri ihlali yaşaması, veri sorumlusu olarak sizi de idari yaptırım riskiyle karşı karşıya bırakır. Aynı durum 7545 Sayılı Siber Güvenlik Kanunu kapsamındaki yükümlülükler için de geçerlidir.
Neden Sertifika İsteyip Dosyayı Kapatmak Artık Yetmiyor?
Türkiye’deki birçok kurum tedarikçi güvenliğini yönettiğini düşünür, oysa uyguladıkları yöntem yalnızca görünüşte bir denetimdir. En yaygın yanılgıların başında şunlar geliyor.
“ISO 27001 belgesi var, güvende” yaklaşımı. ISO 27001 belgesinin kapsamına (scope) bakılmadan dosyayı kapatmak ciddi bir boşluk bırakır. Tedarikçi, belgeyi yalnızca insan kaynakları süreçlerini ya da tek bir lokasyonunu kapsayacak şekilde almış olabilir; sizin hizmet aldığınız yazılım geliştirme süreci ya da bulut altyapısı kapsam dışında kalıyor olabilir.
Sözleşme imzalanırken yapılan tek seferli değerlendirme. Güvenlik statik değildir. Altı ay önce temiz bir profili olan bir tedarikçi, yeni bir çalışan politikası değişikliği, güncellenmemiş bir bağımlılık ya da ele geçirilmiş bir hesap nedeniyle bugün çok farklı bir risk seviyesinde olabilir.
Beyan esaslı değerlendirme. “Çok faktörlü kimlik doğrulama kullanıyor musunuz?” sorusuna alınan yazılı “evet” yanıtı, uygulamanın gerçekten yapıldığını kanıtlamaz. Tedarikçiler bu tür anketleri genellikle ideal tabloya göre değil, vermek istedikleri izlenime göre doldurur.
Kritiklik ayrımı yapmamak. Her tedarikçi aynı riske yol açmaz. Kurye firmasını, müşteri veri tabanınıza erişen bulut sağlayıcısıyla aynı yoğunlukta değerlendirmek hem kaynakları gereksiz harcatır hem de gerçekten kritik risklerin görünürlüğünü düşürür.
Tedarikçi Kaynaklı Siber Güvenlik Risklerini Yönetmek İçin 5 Adım
Kurumunuzu tedarikçi kaynaklı risklerden korumak için tek bir araç ya da tek bir kontrol yeterli değildir. Etkili yönetim, birbirini tamamlayan beş adımın bir araya gelmesiyle mümkün olur.
1. Tedarikçi Envanteri Çıkarın ve Kritiklik Sınıflandırması Yapın
İlk adım, tüm tedarikçilerin —ihmal edilen küçük yazılım araçları dahil— eksiksiz bir envanterini oluşturmaktır. Ardından her tedarikçi iki kriter üzerinden değerlendirilmelidir: kurumunuzun verilerine ve sistemlerine erişim seviyesi ile iş sürekliliğine etkisi. Bu değerlendirme sonucunda tedarikçiler Kritik, Yüksek, Orta ve Düşük kategorilerine ayrılmalıdır. Kaynakların tamamı kritik tedarikçilere odaklanırken alt kategoriler için daha hafif süreçler tanımlanabilir.
2. Risk Bazlı Değerlendirme Süreci Uygulayın
Her kategorinin gerektirdiği derinlikte bir değerlendirme süreci tasarlanmalıdır. Kritik tedarikçiler için bu süreç; veri güvenliği politikalarının incelenmesini, BT altyapısı hakkında teknik soruların yanıtlatılmasını, olay müdahale prosedürlerinin gözden geçirilmesini ve mümkünse yerinde denetim yapılmasını kapsamalıdır. Değerlendirme soruları ISO 27001:2022 kontrol alanları, NIST Siber Güvenlik Çerçevesi ve Türkiye’ye özgü regülasyonlar olan KVKK ile 7545 Sayılı Kanun gereksinimleri temel alınarak hazırlanmalıdır.
3. Kanıt Toplayın, Beyan Kabul Etmeyin
“Evet” yanıtları değil, kanıtlar değerlendirilmelidir. Çok faktörlü kimlik doğrulamanın etkin olduğunu gösteren sistem yapılandırma belgeleri, güncel yama kayıtları, sızdırılmamış hesapları gösteren harici kaynaklardan alınan raporlar ve bağımsız denetim bulguları temin edilmelidir. Bu kanıtları talep etmek tedarikçiyi rahatsız edebilir, ancak kritik bir tedarikçiden bu bilgileri alamıyorsanız bu durum başlı başına önemli bir risk sinyalidir.
4. Sürekli İzleme Mekanizması Kurun
Tedarikçi değerlendirmesi yılda bir yapılan bir etkinlik değil, sürekli bir süreçtir. Kritik tedarikçilerinizi etkileyen veri sızıntılarını, yeni açıklanan güvenlik açıklarını ve kamuya yansıyan güvenlik olaylarını takip eden bir izleme mekanizması kurulmalıdır. SecurityScorecard, BitSight gibi araçlar tedarikçilerin dışarıdan görünen güvenlik profillerini sürekli olarak ölçmekte ve bir değişiklik olduğunda uyarı vermektedir. Tedarikçinizin bir veri sızıntısı yaşadığını onlardan değil, siz öğrenmelisiniz.
5. Tedarikçi Sözleşmelerine Güvenlik Maddelerini Ekleyin
Teknik denetim kadar önemli olan bir diğer boyut hukuki çerçevedir. Tedarikçi sözleşmelerine şu maddeler mutlaka eklenmelidir: bir güvenlik ihlali durumunda kurumunuzu 72 saat içinde bilgilendirme yükümlülüğü, yılda en az bir kez bağımsız denetim yaptırılmasına ya da sizin tarafınızdan denetim yapılmasına izin veren “denetim hakkı” maddesi, belirlenen güvenlik açıklarının kapatılması için somut SLA süreleri ve sözleşme sona erdiğinde tedarikçide kalan veri ve erişimlerin nasıl yok edileceğini düzenleyen veri iade ve imha yükümlülüğü.
Türkiye’de Hangi Regülasyonlar Sizi Zorunlu Kılıyor?
Türkiye’deki siber güvenlik mevzuatı son iki yılda önemli ölçüde kapsamını genişletti ve tedarikçi yönetimi bu mevzuatın ayrılmaz bir parçası haline geldi.
7545 Sayılı Siber Güvenlik Kanunu, hizmet aldığınız üçüncü tarafların güvenlik açıkları nedeniyle gerçekleşen ihlallerde sorumluluğu doğrudan kurumunuza yüklüyor. BDDK, finansal kuruluşların kritik hizmet sağlayıcılarını düzenli aralıklarla denetlemesini ve denetim kanıtlarını belgelemesini zorunlu kılıyor. ISO 27001:2022’nin A.5.19-5.23 kontrol alanları, tedarikçi ilişkilerinin belgelenmiş bir süreçle yönetilmesini şart koşuyor. KVKK ise kişisel verileri işleyen tedarikçilerin veri işleme faaliyetlerinden veri sorumlusunu —yani sizi— sorumlu tutuyor.
Tüm bu düzenlemelerin ortak mesajı şu: Tedarikçi güvenliği artık yalnızca iyi bir uygulama değil, yasal bir zorunluluktur.
Şirket İçinde mi Yönetmeli, Dış Destek mi Almalısınız?
Tedarikçi güvenliği programı kurmak ve sürdürmek ciddi bir uzmanlık ve kaynak gerektiriyor. Bu uzmanlık; hangi soruların sorulacağını bilmek, alınan yanıtların gerçekçi olup olmadığını ayırt edebilmek, sektöre özgü riskleri kavramak ve yerel regülasyonlara hâkim olmak anlamına geliyor.
Küçük ve orta ölçekli firmalar için bu yetkinliği şirket içinde oluşturmak çoğunlukla pratik değil. Hem işe alım süreci hem de uzmanın sürekli güncellenen tehdit ortamını ve mevzuatı takip etme yükü ciddi bir maliyet oluşturuyor. Profesyonel tedarikçi güvenliği danışmanlığı ise hazır metodoloji, sektörel deneyim ve regülasyon bilgisini çok daha hızlı ve ölçeklenebilir biçimde sunar.
Secure Fors Tedarikçi Güvenliği Hizmetleri, Türkiye’deki şirketlere tedarikçi envanteri oluşturmaktan kanıt tabanlı değerlendirmeye, sözleşme iyileştirmesinden sürekli izleme altyapısına kadar uçtan uca destek sağlıyor. KVKK, 7545 Sayılı Kanun ve ISO 27001:2022 uyumluluğunu merkeze alan yaklaşımımızla tedarikçi ekosisteminizi gerçek anlamda görünür ve yönetilebilir kılıyoruz.
Tedarikçi kaynaklı siber güvenlik risklerini yönetmek, yalnızca bir ISO belgesi talep etmekten çok daha derin bir süreç gerektiriyor. Envanter çıkarmak, kritikliğe göre önceliklendirmek, kanıt toplamak, sürekli izlemek ve sözleşmeleri güvenlik perspektifiyle güncellemek —bu beş adım bir arada uygulandığında tedarik zinciriniz bir risk kaynağı olmaktan çıkıp yönetilen bir güvenlik alanına dönüşüyor.
Kurumunuzun tedarikçi güvenliği olgunluğunu değerlendirmek ya da programınızı sıfırdan kurmak istiyorsanız Secure Fors Tedarikçi Güvenliği Hizmetleri sayfasını ziyaret edin ve ücretsiz ön değerlendirme için bizimle iletişime geçin.
