Bir üretim firmasının ERP sistemine yetkisiz erişim yaşandığında, ilk şüphe genellikle iç personele yönelir. Ancak olayın kök nedeni araştırıldığında tablo çoğu zaman farklı çıkıyor: sisteme bağlanan lojistik yazılımı tedarikçisi, bakım sözleşmesi olan teknik servis firması ya da muhasebe entegrasyonu için uzaktan bağlantı yetkisi verilmiş bir dış danışman. Üçüncü taraf erişimleri, kurumsal güvenlik mimarisinin en az denetlenen ve en az belgelenen katmanını oluşturuyor. Bu durum, siber güvenlik yatırımlarını artıran şirketlerin bile farkında olmadan kapıyı açık bırakmasına yol açıyor.
Tedarik zinciri kaynaklı siber risk, temelde bir erişim yönetimi sorunudur. Bir tedarikçiye verilen ağ bağlantısı yetkisi, o tedarikçinin kendi sistemlerindeki zafiyetleri de kurumun iç ağına taşır. Tedarikçi firmanın güncel olmayan bir işletim sistemi çalıştırması, zayıf parola politikası uygulaması ya da kendi çalışanlarına aşırı geniş erişim tanımlamış olması, doğrudan sizin savunma perimetrenizi etkiler. Güvenlik değerlendirmesi yalnızca kendi sistemlerinizle sınırlı tutulduğunda, dışarıdan içeri açılan bu kanallar kör nokta olarak kalır.
Bu riski somutlaştırmak için birkaç tipik senaryo düşünmek yeterli. Bakım sözleşmesi kapsamında uzaktan bağlantı yetkisi verilen bir endüstriyel ekipman tedarikçisi, bu bağlantıyı yalnızca planlı bakım dönemlerinde kullanmak yerine kalıcı açık tutuyor olabilir. Muhasebe yazılımı entegrasyonu için e-Fatura sistemine bağlantı yetkisi tanınan bir dış servis sağlayıcısı, bu yetkiyi gerekenden daha geniş bir ağ segmentine karşı kullanıyor olabilir. Lojistik platformuyla veri alışverişi yapan bir nakliye firmasının API bağlantısı, yeterli kimlik doğrulama katmanı olmadan kurgulanmış olabilir. Bu senaryoların ortak özelliği şu: her biri meşru bir iş gereksiniminden doğmuş, ancak güvenlik disiplini olmadan yapılandırılmış.
Tedarikçi güvenlik değerlendirmesi, bu riski yönetmenin birincil aracıdır. Değerlendirme süreci iki katmanda ele alınmalıdır. İlk katman, tedarikçinin kendi güvenlik olgunluğunu ölçer: ISO 27001 gibi belgelenmiş bir bilgi güvenliği yönetim sistemi var mı, personel güvenlik farkındalık eğitimi alıyor mu, yama yönetimi süreci işliyor mu? İkinci katman ise bu tedarikçiye tanınan erişimin kapsamını ve denetimini sorgular: erişim hangi sistemlere, hangi zaman dilimine ve hangi işlemlerle sınırlı, bu bağlantı loglanıyor mu, kim izliyor? Türkiye’deki birçok KOBİ henüz bu iki katmanı birbirinden ayırt etmeden, tedarikçiyle imzalanan gizlilik sözleşmesini yeterli güvence olarak kabul ediyor. Oysa gizlilik sözleşmesi bir hukuki belge; teknik erişim kontrolünün yerini tutmuyor.
Erişim sınırlama disiplini ise değerlendirmeden bağımsız olarak uygulanması gereken operasyonel bir ilkedir. En iyi güvenlik pratiği, ‘en az ayrıcalık’ ilkesi üzerine kurulur: bir tedarikçiye yalnızca görevini yerine getirmesi için zorunlu olan sisteme, zorunlu olan süre boyunca erişim tanınır. Bu ilkeyi hayata geçirmek için kullanılan başlıca araçlar arasında VPN erişimini belirli IP aralıklarıyla kısıtlamak, geçici erişim hesapları oluşturup işlem tamamlandığında kapatmak, ağ segmentasyonuyla tedarikçi trafiğini iç sistemlerden izole etmek ve erişim loglarını düzenli gözden geçirmek sayılabilir. Bulut tabanlı kimlik yönetimi çözümleri bu süreci kolaylaştırıyor; ancak araç ne olursa olsun, disiplin olmadan hiçbir teknoloji yeterli değil.
Pratikte bu disiplini sürdürmenin önünde gerçek engeller var. Tedarikçi ilişkileri çoğu zaman BT departmanından bağımsız olarak satın alma veya operasyon ekipleri tarafından yönetiliyor. Yeni bir tedarikçiye erişim yetkisi verildiğinde BT’nin haberi olmayabiliyor ya da bilgi geç ulaşıyor. Sözleşme süresi dolan tedarikçilerin erişim hesapları bazen yıllarca aktif kalıyor. Mobil ERP ve bulut uygulamalarının yaygınlaşmasıyla birlikte erişim noktaları çoğaldı; her yeni entegrasyon, yeni bir saldırı yüzeyi anlamına geliyor. Dijital dönüşüm projelerinin hızlanması bu riski daha da büyütüyor: entegrasyon sayısı artıyor, ancak güvenlik denetimi aynı hızda büyümüyor.
Yöneticiler için kritik soru şu: tedarikçilerinize verdiğiniz erişim yetkilerini bugün listeleyebiliyor musunuz? Bu listeyi BT ekibinizle çapraz doğrulayabiliyor musunuz? Eğer cevap belirsizse, ilk adım bir erişim envanteri çıkarmaktır. Hangi tedarikçi hangi sisteme, hangi yetki düzeyinde bağlanıyor; bu bağlantıların hangisi aktif, hangisi pasif? Bu envanter olmadan tedarikçi güvenlik değerlendirmesi yapmak, haritasız bir arazide güvenlik turu atmaya benziyor. Tedarik zinciri siber riskini yönetmek büyük bütçeler gerektirmiyor; ancak süreç disiplini, net sorumluluk ataması ve düzenli denetim gerektiriyor. Bu üç unsur olmadan, güvenlik yatırımlarınız kendi kapınızın önünü değil, komşunun bahçesini koruyor olabilir.