Tedarikçi Kaynaklı Yaşanan En Yaygın 5 Bilgi Güvenliği İhlal Olayı

Secure Fors — Vaka Analizi Serisi

Tedarikçi Kaynaklı En Yaygın
5 Bilgi Güvenliği İhlali

SolarWinds’ten MOVEit’e, Target’tan CrowdStrike’a. Tarihin en maliyetli tedarik zinciri saldırıları, saldırı vektörleri ve Türkiye kurumları için çıkarılması gereken dersler.

%55

güvenlik profesyonellerinin kurumu
tedarikçi kaynaklı ihlal yaşadı (Forrester)

12,5B$

Fortune 500’de tek yılda tedarikçi
kaynaklı ihlal maliyeti (2023)

287 gün

tedarikçi kaynaklı ihlalde
ortalama tespit süresi (IBM)

Tedarik zinciri saldırıları siber güvenliğin en tehlikeli tehdit vektörü haline gelmiştir. Saldırganlar artık büyük kurumların güçlü savunmalarını doğrudan aşmaya çalışmak yerine, aynı ağa, veriye veya sisteme erişimi olan daha az korumalı bir tedarikçiyi hedef alır. Bir hedefi değil, yüzlerce hedefi tek saldırıyla vurmak mümkün hale gelir.

Aşağıdaki beş vaka, tedarikçi kaynaklı güvenlik ihlallerinin farklı biçimlerini temsil etmektedir: yazılım tedarik zinciri saldırısı, kimlik bilgisi hırsızlığı, yazılım açığı sömürüsü, hatalı güncelleme ve operasyonel kesinti. Her biri gerçek bir kurumun yaşadığı, belgelenmiş bir felakettir.

Daha da önemlisi, her biri önlenebilirdi.

01

Vaka

Yazılım Tedarik Zinciri Saldırısı — 2020

SolarWinds — SUNBURST Operasyonu

18.000 müşteri / ABD federal kurumları / Fortune 1000 şirketleri

Tek cümlede ne oldu: Rusya bağlantılı APT29 grubu, SolarWinds’in Orion yazılım güncelleme sistemine sızdı ve meşru güncellemeler içine SUNBURST arka kapı zararlısını gömerek 18.000 kuruma eş zamanlı olarak ulaştı — hiçbiri farkında değildi.

Nasıl Gerçekleşti?

Saldırganlar Eylül 2019’da SolarWinds’in yapı (build) ortamına sızdı. Orion yazılımının derleme sürecine zararlı kod enjekte ettiler. Mart 2020’den itibaren 18.000 müşteriye dağıtılan meşru görünen güncellemeler, aslında bir arka kapı barındırıyordu. Zararlı aktivite Aralık 2020’ye kadar — tam 14 ay — tespit edilemedi. Saldırganlar bu süre içinde ABD Hazine Bakanlığı, Ticaret Bakanlığı ve Microsoft dahil pek çok kurumun ağında sessizce hareket etti.

Zarar ve Sonuçlar

  • 18.000 kurum aktif olarak güncellemeyi indirdi
  • ABD’nin 9 federal bakanlığı ihlal edildi
  • Fortune 1000 şirketlerinin %14’ü etkilendi
  • Ortalama şirket gelirlerinin %11’i oranında kayıp
  • SolarWinds hisseleri %40 düşüş yaşadı
  • SEC, SolarWinds CEO ve CISO’sunu bireysel olarak dava etti — CISO tarihte ilk kez bireysel yargılandı
  • Toplam kurtarma maliyeti 90 milyon doları aştı

Teknik Saldırı Vektörü

Saldırı, güvenilir yazılım güncellemesine yerleştirildi. Dijital imzalama süreci atlatıldı — güncellemeler meşru görünüyordu. SUNBURST zararlısı, tespit edilmemek için 2 hafta hareketsiz kaldı, sonra yavaşça aktivite başlattı. Sandbox ve antivirüs tespitlerinden kaçınmak için özel teknikler kullandı. Müşteriler “güvenlik güncellemesi yükleyin” uyarısına itaat ederek kendilerini tehlikeye attı.

Türkiye Kurumları İçin Çıkarım

Türkiye’deki pek çok kurum yabancı yazılım tedarikçilerinden otomatik güncelleme alır. BT ekipleri bu güncellemeleri şüpheyle değil, güvenle karşılar. SolarWinds vakası şunu gösterir: Yazılım tedarikçisinin güvenlik duruşunu değerlendirmeden ve güncellemeleri aşamalı dağıtmadan kabul etmek, tedarikçiye kör güven anlamına gelir. ISO 27001 Ek A 5.21 (BİT tedarik zinciri güvenliği) tam olarak bu riski ele alır.

02

Vaka

Kimlik Bilgisi Hırsızlığı / Yanal Hareket — 2013

Target — HVAC Tedarikçisi Üzerinden İhlal

110 milyon müşteri etkilendi / 200+ milyon dolar maliyet

Tek cümlede ne oldu: Saldırganlar, Target’ın HVAC (ısıtma-soğutma-havalandırma) yüklenicisi Fazio Mechanical’ı phishing ile ele geçirdi ve tedarikçiye verilen ağ erişimini kullanarak Target’ın satış noktası (POS) sistemlerine ulaştı; 110 milyon müşterinin kart ve kişisel bilgilerini çaldı.

Nasıl Gerçekleşti?

Eylül 2013: Fazio Mechanical çalışanlarına yönelik spear phishing saldırısıyla Citadel zararlısı bulaştırıldı ve tedarikçinin Target ağ portalına giriş kimlik bilgileri çalındı.

15 Kasım 2013: Saldırganlar çalınan kimlik bilgileriyle Target’ın fatura ve proje yönetim portalına girdi. Ağda yatay hareket ederek POS sistemlerine ulaştı.

Kasım sonu: POS sistemlerine RAM-scraping zararlısı yüklendi; kart bilgileri işlem anında yakalanmaya başlandı. Black Friday hafta sonunda milyonlarca kart bilgisi toplandı.

Zarar ve Sonuçlar

  • 40 milyon kart numarası çalındı
  • 70 milyon müşterinin kişisel bilgisi ifşa oldu
  • Kâr 4. çeyrekte %46 düştü, hisse senedi %9 geriledi
  • CEO ve CIO görevden istifa etti
  • 47 eyalette 18,5 milyon dolarlık uzlaşma ödendi
  • Toplam maliyet 200 milyon doları aştı (tahminler 420 milyon dolara kadar çıkıyor)
  • FireEye sistemleri uyarı verdi — ama kimse yanıt vermedi

Asıl Sorun: Ağ Segmentasyonu Yoktu

Fazio Mechanical bir HVAC firmasıydı — ödeme sistemleriyle hiçbir ilgisi yoktu. Ancak Target’ın ağı segmentize edilmemişti; tedarikçinin erişim noktası ile POS sistemleri arasında duvar bulunmuyordu. Tedarikçiye verilen ağ erişimi minimum yetki ilkesine göre kısıtlanmamıştı. Üstelik FireEye sistemi uyarılar üretti; ancak bunlar değerlendirme dışı bırakıldı.

Türkiye Kurumları İçin Çıkarım

Türkiye’de bakım, temizlik, güvenlik, lojistik gibi sahada bulunan tedarikçilerin çalışanlarına ağ erişimi verilmesi son derece yaygındır. Çoğu kurum bu erişimlerin kapsamını ve kritikliğini değerlendirmez. Target vakası şunu kanıtlar: Bir HVAC firmasının çalışanı, doğrudan ödeme sistemlerine erişebilecek bir yolun başında duruyordu — ve kimse farkında değildi. KVKK kapsamında da bu tablo hukuki sorumluluk yaratır.

03

Vaka

Yazılım Sıfırıncı Gün Güvenlik Açığı — 2023

MOVEit Transfer — Cl0p Fidye Grubu Saldırısı

2.700+ kurum / 95 milyon kişi / 15+ milyar dolar potansiyel maliyet

Tek cümlede ne oldu: Cl0p fidye yazılımı grubu, dosya transfer yazılımı MOVEit Transfer’daki sıfırıncı gün SQL injection açığını sömürerek 2.700’den fazla kurumun verilerini çaldı — bu kurumların büyük çoğunluğu MOVEit’i doğrudan değil, bordro ve İK hizmet sağlayıcıları gibi tedarikçileri aracılığıyla kullanıyordu.

Etkilenen Sektörler ve Öne Çıkan Kurumlar

%39

Eğitim sektörü

%20

Sağlık sektörü

%13

Finans / Profesyonel hizmetler

Etkilenen kurumlar arasında: BBC, British Airways, Boots, Aer Lingus, ABD devlet kurumları, Louisiana ve Oregon eyalet hükümetleri, Zellis (İngiltere’nin en büyük bordro sağlayıcısı)

Nasıl Gerçekleşti?

Cl0p, MOVEit Transfer’daki CVE-2023-34362 numaralı kritik SQL injection açığını (CVSS skoru: 9.8/10) istismar etti. Bu açık, kimlik doğrulama olmadan dosya sunucusuna tam erişim imkânı tanıyordu.

En dikkat çekici boyutu: Etkilenen kurumların büyük kısmı MOVEit’i doğrudan kullanmıyordu. Bordro şirketleri, İK platformları ve veri işleme firmaları MOVEit kullandığından, bu tedarikçilerin tüm müşterileri de dördüncü taraf riski kapsamında etkilendi.

4. Taraf Riskinin Somut Örneği

Zellis: İngiltere merkezli bordro şirketi. Zellis MOVEit kullandı. Zellis’in müşterileri arasında BBC, British Airways, Boots ve Aer Lingus vardı. Bu kurumlar MOVEit kullanmıyordu — ama tedarikçilerinin tedarikçisi kullanıyordu.

BBC çalışanlarının isim, adres, cinsiyet ve sosyal güvenlik numaraları ifşa oldu. BBC’nin MOVEit veya Zellis’in güvenliğini değerlendirmiş olması gerekirdi — ama değerlendirmemişti.

Türkiye Kurumları İçin Çıkarım

Türkiye’deki kurumlar bordro, insan kaynakları, muhasebe, lojistik gibi alanlarda SaaS çözümler kullanan tedarikçilerle çalışmaktadır. Bu tedarikçilerin kendi altyapılarında (bulut, dosya transfer, yazılım) ne kullandığı çoğunlukla bilinmez. MOVEit vakası, “tedarikçimizin tedarikçisi ne kullanıyor?” sorusunun artık hayati önem taşıdığını kanıtlamaktadır. ISO 27001 Ek A 5.21 ve KVKK kapsamında bu sorumluluk veri sorumlusuna aittir.

04

Vaka

Hatalı Yazılım Güncellemesi / Operasyonel Kesinti — 2024

CrowdStrike — Delta Airlines: 500 Milyon Dolarlık Güncelleme

8,5 milyon sistem / 7.000 iptal uçuş / 1,3 milyon yolcu

Tek cümlede ne oldu: Siber güvenlik şirketi CrowdStrike, 19 Temmuz 2024’te test edilmemiş bir Falcon sensör güncellemesi yayınladı; 8,5 milyon Windows sistemi çöktü — tarihte en büyük BT kesintisi olarak kayıtlara geçti. Delta Airlines’ın %60’ı Windows bazlı kritik sistemlerinin beş gün çalışamaması 7.000 uçuşun iptaliyle sonuçlandı.

Nasıl Gerçekleşti?

CrowdStrike, Falcon sensörü için hazırladığı bir içerik yapılandırma güncellemesini yetersiz testlerle dağıttı. Güncelleme Windows çekirdeğini çökertti; etkilenen sistemler “mavi ekran” (BSOD) vererek yeniden başlatılamaz hale geldi.

Düzeltme için her etkilenen sistemin fiziksel müdahale gerektirmesi, iyileşme sürecini uzattı. Delta’nın 40.000 sunucusunun manuel olarak yeniden başlatılması gerekti. Diğer havayolları bir-iki günde normale dönerken Delta beş gün ayağa kalkamadı.

Zarar ve Hukuki Boyut

  • Delta: 380 milyon dolar gelir kaybı, 170 milyon dolar doğrudan maliyet
  • Delta, CrowdStrike’a 500 milyon dolar+ tazminat davası açtı
  • CrowdStrike, Delta’yı karşı dava ile yanıtladı
  • ABD Ulaştırma Bakanlığı Delta hakkında soruşturma başlattı
  • CrowdStrike hissesi bir ayda %30+ değer kaybetti
  • CrowdStrike CEO’su Kongre’de özür diledi
  • 8,5 milyon sistem küresel ölçekte etkilendi — havacılık, sağlık, bankacılık, acil servisler

Bu Vakanın Farklı Boyutu: Veri İhlali Değil, Operasyonel Çöküş

CrowdStrike vakası klasik bir “veri ihlali” değil; tedarikçi kaynaklı bir operasyonel kesinti vakasıdır. Tedarikçi riski yalnızca veri çalınmasıyla değil, iş sürekliliğini tamamen bozan hizmet kesintileriyle de somutlaşır. Tedarikçi değerlendirme sürecinde “bu tedarikçi çöktüğünde ne olur?” sorusu, “bu tedarikçi veri çalarsa ne olur?” sorusu kadar kritiktir.

Türkiye Kurumları İçin Çıkarım

Türkiye’de birçok kurum uç nokta güvenliği, antivirüs, SIEM gibi güvenlik araçlarının güncellemelerini otomatik ve doğrulama yapmadan kabul eder. CrowdStrike vakası, güvenlik sağlayıcınızın kendisinin en büyük operasyonel riskiniz olabileceğini kanıtlar. Kritik yazılım tedarikçileri için aşamalı güncelleme politikası, değişiklik yönetimi prosedürü ve iş sürekliliği planına tedarikçi kesintisi senaryosunun dahil edilmesi artık zorunluluktur.

05

Vaka

Fidye Yazılımı / Üretim Durdurma — 2022

Toyota — Kojima Industries Saldırısı

14 fabrika / Küresel üretimin 1/3’ü / Tek bir tedarikçi saldırısı

Tek cümlede ne oldu: Mart 2022’de Toyota’ya plastik parça sağlayan tedarikçi Kojima Industries fidye yazılımı saldırısına uğradı; Toyota Japonya’daki tüm 14 fabrikasında 28 üretim hattını durdurdu — küresel üretiminin üçte birini tek bir tedarikçi saldırısı çökertti.

Nasıl Gerçekleşti?

Kojima Industries, Toyota’ya plastik ve elektronik bileşen sağlayan kritik bir tedarikçiydi. Firmaya yapılan fidye yazılımı saldırısı sistemleri ve iletişim altyapısını çökertti.

Toyota’nın üretim sistemi “just-in-time” (tam zamanında teslimat) anlayışına dayanıyordu — yedek stok yoktu. Kojima parça tedarik edemeyince Toyota’nın üretimi durdu.

Saldırı Kojima’ya yapıldı; Toyota’nın kendi sistemleri ihlal edilmedi. Ama sonuç Toyota’ya aitti.

Zarar ve Bağlam

  • Japonya’daki tüm 14 fabrika (28 hat) durdu
  • 13.000 araçlık üretim kaybı tek günde
  • Küresel Toyota üretiminin ~%33’ü etkilendi
  • McKinsey verisi: 30 günlük tedarik kesintisi EBITDA marjının %3-5’ini tehdit eder
  • Toyota, olayın ardından tedarikçi güvenlik gereksinimlerini köklü biçimde güçlendirdi
  • Aynı dönemde yarı iletken tedarikçisi MKS Instruments’a yapılan saldırı Applied Materials’a 250 milyon dolar maliyete yol açtı

Bu Vakanın Kritik Mesajı: Tek Kaynak Bağımlılığı

Toyota, Kojima’nın güvenliğini değerlendirip değerlendirmediği bilinmemekle birlikte, temel sorun tek kaynak bağımlılığıydı. Kojima saldırıya uğradığında alternatif tedarikçi yoktu. Tedarikçi risk değerlendirmesi yalnızca siber güvenlik değil, aynı zamanda iş sürekliliği risk yönetimini de kapsamalıdır: Bu tedarikçiyi kaybedersek ne olur?

Türkiye Kurumları İçin Çıkarım

Türkiye’de üretim ve lojistik sektöründe tek kaynaklı tedarikçi bağımlılığı son derece yaygındır. Otomotiv, savunma, tekstil ve elektronik sektörlerinde kritik parçaları sağlayan tek tedarikçinin fidye yazılımına uğraması, üretimi tamamen durduracak bir domino etkisi yaratabilir. Tedarikçi risk değerlendirmesinin iş sürekliliği planıyla entegre edilmesi — “bu tedarikçi çalışamazsa ne yaparız?” sorusunun yanıtlanması — Toyota vakasının Türkiye’ye özgü dersidir.

5 Vakanın Karşılaştırmalı Özeti

Vaka İhlal Tipi Saldırı Vektörü Tahmini Maliyet Önlenebilirdi mi?
SolarWinds (2020) Yazılım tedarik zinciri Build ortamına sızma + zararlı güncelleme 90M$+ (doğrudan) Kısmen
Target (2013) Kimlik bilgisi hırsızlığı Tedarikçi phishing → yanal hareket → POS 200M$+ (420M$’a kadar) Evet
MOVEit / Cl0p (2023) Sıfırıncı gün açığı SQL injection → toplu veri hırsızlığı 15B$+ (tahmin) Kısmen
CrowdStrike (2024) Hatalı güncelleme / kesinti Test edilmemiş güncelleme → sistem çöküşü 500M$+ (Delta tek başına) Evet
Toyota / Kojima (2022) Fidye yazılımı / üretim durdurma Tedarikçi fidye → iş sürekliliği çöküşü 13.000 araç üretim kaybı Evet

Beş Vakadan Yükselen 5 Ortak Tema

Bu vakalar birbirinden farklı sektörlerde, farklı saldırı vektörleriyle ve farklı boyutlarda gerçekleşti. Ancak beşinde de tekrar eden beş yapısal sorun dikkat çekmektedir:

T1

Tedarikçiye kör güven

Beş vakada da kurumlar tedarikçilerini sistematik olarak değerlendirmemişti. Sertifika, uzun süreli iş ilişkisi ya da “büyük ve güvenilir” olma algısı, gerçek güvenlik değerlendirmesinin yerini tutmamıştı.

T2

Ağ segmentasyonu ve minimum yetki eksikliği

Target vakasında HVAC firması ödeme sistemlerine ulaşabildi çünkü ağ segmentize değildi. Tedarikçilere gereğinden geniş erişim yetkisi tanımak, güvenlik açığı değil; güvenlik felaketi reçetesidir.

T3

4. taraf (tedarikçinin tedarikçisi) görünmezliği

MOVEit vakasında BBC, Zellis’in MOVEit kullandığını bilmiyordu. Tedarikçi değerlendirmesi yalnızca birinci halkayı kapsamak zorundadır; alt yükleniciler ve kritik yazılım bağımlılıkları da kapsama alınmalıdır.

T4

İş sürekliliğine tedarikçi entegrasyonu yapılmamış

Toyota üretim planında Kojima’nın çökmesi senaryosu yoktu. CrowdStrike’ın sistem çöküşüne karşı Delta’nın olay müdahale planı yetersizdi. Tedarikçi riski, iş sürekliliği ve felaket kurtarma planlarıyla entegre edilmeden yönetilemiyor.

T5

Sözleşmede güvenlik maddeleri eksik

CrowdStrike – Delta davasında tarafların sözleşmedeki “sınırlı sorumluluk” maddesi belirleyici oldu. Tedarikçi sözleşmelerinde güvenlik gereksinimleri, ihlal bildirimi, güncelleme prosedürleri ve sorumluluk sınırları açıkça tanımlanmadan tedarikçi ilişkisi başlatılmamalıdır.

Sık Sorulan Sorular

Bu vakalar Türkiye kurumlarını da etkiledi mi?

SolarWinds vakasında Orion yazılımını kullanan Türkiye merkezli kurumlar da riskte idiler. MOVEit güvenlik açığı, küresel ölçekte bu yazılımı kullanan tedarikçi firmaların tüm müşterilerini etkiledi — Türkiye’de faaliyet gösteren çok uluslu şirketler ve bu şirketlerin yerel tedarikçileri kapsam dahilinde olabilirdi. CrowdStrike’ın müşteri tabanı Türkiye’de de mevcuttur; yalnızca havacılık değil finans ve sağlık sektörünü de etkileyen bir yazılım tedarikçisidir.

Bu tür saldırıları tamamen önlemek mümkün mü?

Sıfırıncı gün açıklarını ve karmaşık yazılım tedarik zinciri saldırılarını tamamen önlemek mümkün değildir. Ancak beş vakanın dördünde sorunun özü teknik değil süreç eksikliğiydi: tedarikçi değerlendirme yapılmamış, ağ segmentize edilmemiş, güncellemeler aşamalı test edilmemiş, iş sürekliliği planı tedarikçi kesintisi senaryosunu kapsamamıştı. Bu süreç eksiklikleri giderilmiş olsaydı hasarın büyük kısmı önlenebilir ya da en azından sınırlandırılabilirdi.

KVKK kapsamında bu vakalar nasıl değerlendirileceği?

KVKK Madde 12 kapsamında veri sorumlusu, veri işleyen tedarikçinin güvenliğini sağlamakla yükümlüdür. Target, MOVEit ve SolarWinds vakalarında kişisel veriler ifşa oldu. Türkiye hukukunda bu vakaların eşdeğeri bir ihlalin yaşanması halinde, veri sorumlusu “gerekli teknik ve idari tedbirleri almadığı” gerekçesiyle Kurul kararı ve idari para cezasıyla karşılaşabilir — tedarikçisinin zayıf güvenliği mazeret olarak kabul edilmez.

Bu vakalar göz önüne alındığında hangi tedarikçiler önce değerlendirilmeli?

Öncelik sırası üç kritere göre belirlenir: kişisel veriye erişimi olan tedarikçiler (KVKK zorunluluğu), kritik sistemlere ağ veya uzaktan erişimi olan tedarikçiler (Target tipi risk) ve otomatik güncelleme mekanizmasıyla sisteminize kod dağıtan tedarikçiler (SolarWinds/CrowdStrike tipi risk). Bu üç kategoride yer alan tedarikçi, listede ilk sıraya alınmalıdır.

Secure Fors — TPRM Danışmanlığı

Bu Vakalar Sizin Kurumunuzda
Tekrarlanmasın

SolarWinds, Target, MOVEit, CrowdStrike ve Toyota vakalarının ortak paydası sistematik tedarikçi risk değerlendirmesinin yokluğudur. Secure Fors olarak, THY tedarikçi ekosistemi ve kritik sektörlerdeki saha deneyimimizle tedarikçilerinizi bu risklere karşı sistematik biçimde değerlendiriyoruz.

Tedarikçi risk değerlendirme programı kurulumu

ISO 27001 Ek A 5.19–5.22 uyum değerlendirmesi

Kritik tedarikçilere ikinci taraf denetim

KVKK veri işleyen değerlendirmesi ve VİS desteği

Tedarikçi sözleşme güvenlik maddesi gözden geçirmesi

İş sürekliliği planına tedarikçi kesintisi entegrasyonu

Sosyal medyada paylaş
Facebook
Twitter
LinkedIn
Telegram