Bursa’daki bir otomotiv yan sanayi firması düşünün. Kendi ağını güçlü bir güvenlik duvarıyla koruyor, çalışanlarına düzenli farkındalık eğitimi veriyor, kritik sistemlere erişimi kısıtlıyor. Ama aynı firma, ERP sistemine uzaktan bağlanan lojistik yazılım tedarikçisinin altyapısını hiç sorgulamıyor. İşte bu boşluk, bugün siber saldırganların en çok istismar ettiği noktanın ta kendisi. Güvenlik yatırımlarınız ne kadar güçlü olursa olsun, zincirin en zayıf halkası sizi belirliyor. Ve o zayıf halka artık çoğunlukla kendi binanızın dışında.
Tedarikçi kaynaklı siber saldırılar, son birkaç yılda küresel ölçekte ciddi bir artış gösterdi. Bu saldırıların mekanizması genellikle şu şekilde işliyor: Saldırgan, hedef şirkete doğrudan sızmak yerine o şirkete hizmet veren bir yazılım firmasını, bakım şirketini veya bulut servis sağlayıcısını ele geçiriyor. Oradan meşru erişim kimlik bilgilerini kullanarak asıl hedefe ulaşıyor. Kurban şirket, saldırının farkına vardığında çoğu zaman saldırgan sisteme haftalar, hatta aylar önce girmiş oluyor. Türkiye’deki üretim ve tedarik zinciri firmalarının büyük çoğunluğu bu senaryoya karşı hazırlıksız. Bunun birkaç somut nedeni var.
Birincisi, KOBİ ölçeğindeki şirketlerin BT kaynakları sınırlı. Kendi iç güvenliklerini yönetmek bile başlı başına bir yük iken tedarikçilerinin güvenlik olgunluğunu değerlendirmek için ne zaman ne de bütçe kalıyor. İkincisi, tedarikçi seçimi çoğunlukla teknik yetkinlik ve fiyat ekseninde yapılıyor; güvenlik kriterleri sözleşme müzakerelerinde nadiren masaya geliyor. Üçüncüsü, 2019 itibarıyla Türkiye’de KVKK yürürlüğe girmiş olsa da veri işleyen üçüncü tarafların denetimi konusunda kurumsal pratik henüz olgunlaşmış değil. Yasal zorunluluk kağıt üzerinde var; uygulamayı izleyen mekanizma çoğu yerde eksik.
Peki ekosistem güvenlik değerlendirmesi pratikte ne anlama geliyor? Tedarikçinizin ISO 27001 sertifikası olup olmadığını sormak bir başlangıç noktası, ama yeterli değil. Sertifika, belirli bir andaki olgunluğu belgeler; sürekli güvenlik yönetimini garanti etmez. Daha işlevsel bir yaklaşım, tedarikçileri erişim yetkisi ve veri hassasiyetine göre katmanlara ayırmak ve her katman için farklı bir değerlendirme derinliği uygulamaktır. Sistemlerinize doğrudan bağlanan, üretim verilerinize veya müşteri bilgilerinize erişen tedarikçiler birinci öncelik katmanına girer. Bu tedarikçilerden yılda en az bir kez yazılı güvenlik beyanı, varsa sızma testi özeti ve olay müdahale planı istemek makul ve uygulanabilir bir başlangıçtır. Türkiye’de tekstil ihracatı yapan orta ölçekli bir firma bu yaklaşımı uyguladığında, tedarikçilerinden birinin iki yıldır güncellenmemiş VPN altyapısı üzerinden bağlandığını keşfetmesi gerçekçi bir senaryo. Çözüm pahalı değil; farkındalık ve sistematik sorgulama yeterli.
Sözleşmesel güvence çerçevesi, teknik değerlendirmeyi tamamlayan ve çoğu zaman ihmal edilen bir katman. Tedarikçi sözleşmelerinizde güvenlik yükümlülüklerini açıkça tanımlamak, hem riski paylaştırır hem de olası bir ihlalde hukuki zemini netleştirir. Bu çerçeve birkaç temel unsur içermeli: Tedarikçinin hangi verilere erişebileceğini ve bu verileri nasıl işleyeceğini tanımlayan veri işleme eki; güvenlik ihlali durumunda bildirim süresini belirleyen madde — KVKK uyumu açısından 72 saat bildirim yükümlülüğü zaten yasal bir zorunluluk, bunu sözleşmeye taşımak bu sorumluluğu tedarikçiye de yansıtır; ve tedarikçinin alt yüklenici kullanıp kullanmadığını, kullanıyorsa hangi güvenlik standartlarına tabi olduklarını açıklayan alt yüklenici şeffaflık maddesi. Bu maddeler standart sözleşme şablonlarına eklenebilir; özel bir hukuki süreç gerektirmiyor. Ama eklenmediğinde, bir güvenlik olayında sorumluluğun nerede başlayıp nerede bittiği tartışmalı hale geliyor.
Zero Trust mimarisinin kurumsal gündemlere girmeye başladığı bu dönemde, tedarikçi erişim yönetimini bu çerçevede ele almak giderek daha anlamlı hale geliyor. Temel ilke şu: Ağınıza bağlanan hiçbir kimliğe, konumdan bağımsız olarak, önceden güven tanımlamayın. Tedarikçi erişimini kalıcı VPN tünelleri yerine oturum bazlı, en az ayrıcalık ilkesiyle sınırlandırılmış bağlantılarla sağlamak bu ilkenin pratik yansıması. Türkiye’deki KOBİ’ler için bu tam anlamıyla Zero Trust mimarisi kurmak yerine, mevcut altyapı üzerinde uygulanabilecek somut adımlar daha gerçekçi: tedarikçi hesapları için ayrı ağ segmenti, çok faktörlü kimlik doğrulama zorunluluğu ve erişim loglarının düzenli incelenmesi. Bu üç adım, büyük bütçeler gerektirmeden saldırı yüzeyini anlamlı biçimde daraltıyor.
Tedarikçi ekosistemi güvenliği bir kez yapılan bir proje değil, sürekli yönetilen bir süreç. Yılda bir kez yapılan değerlendirme, tedarikçinin o yıl içinde yaşadığı güvenlik olaylarını veya altyapı değişikliklerini yakalayamaz. En azından kritik tedarikçilerle yılda iki kez yapılandırılmış bir güvenlik gözden geçirmesi ve yeni tedarikçi alımlarında standart bir güvenlik soruları listesi, bu süreci kurumsal bir reflekse dönüştürmenin pratik yolu. Kur baskısı ve maliyet kısıtlarının yüksek olduğu mevcut ortamda bu yaklaşımın cazip yanı şu: pahalı araçlar yerine iyi tasarlanmış bir süreç ve doğru sorular yeterli. Risk şirket dışından geliyor; ama onu yönetmek için önce nerede durduğunu bilmek gerekiyor.