Menu
ChatGPT Image 25 Şub 2026 15_36_53

3rd Party & Supply Chain Riskleri: Kurumun Dış Kaynaklı Tehditleri

3rd Party & Supply Chain Riskleri: Kurumun Dış Kaynaklı Tehditleri

Kurumlar genelde güvenlik ürünlerine yatırımları artıyor. Kullanılan güvenlik ürünleri ve kontrol süreçleriyle beraber ağ içi görünürlük artıyor, olaylara müdahale süreleri kısalıyor ve iç tehditlere karşı olgunluk seviyesi yükseliyor. Ancak bu yatırımların büyük bir bölümü kurumun kendi sınırları içinde etkili kalıyor.

Peki ya tedarikçi güvenliği nasıl sağlanıyor?

Bir kurum, ne kadar güçlü bir siber savunma mimarisine sahip olursa olsun; erişim verdiği, veri paylaştığı veya operasyonel olarak bağımlı olduğu üçüncü taraflar kadar güvenlidir. Bugünün en büyük siber risklerinden biri artık doğrudan saldırılar değil, tedarik zinciri üzerinden yapılan saldırılardır.

Günümüzde tedarik zinciri saldırıları; Doğrudan hedef alınması zor olan kurumlara dolaylı erişim sağlamak, güvenilir bir tedarikçi üzerinden yetkili erişim elde etmek, ya da yazılım, güncelleme ve entegrasyon kanalları üzerinden sessizce sistem içine sızmak  amacıyla gerçekleştirilmektedir.

3rd Party Supply Chain Nedir?

3rd party supply chain riski; kurumun hizmet aldığı veya entegre çalıştığı dış firmalar üzerinden maruz kalabileceği siber riskleri ifade eder.

Örnekler:

  • Bulut servis sağlayıcıları
  • Yazılım firmaları
  • Fintech entegrasyonları
  • Outsource çağrı merkezi
  • IT bakım firmaları
  • SWIFT servis sağlayıcıları
  • Açık kaynak kütüphaneler

Yani aslında kurumun dijital ekosistemidir.

Neden Bu Kadar Tehlikeli?

1. Saldırganlar En Zayıf Halkayı Seçer

Ana kuruma girmek zor olabilir. Ama örneğin, küçük bir yazılım tedarikçisine girmek daha kolaydır. Sonra güncelleme mekanizması üzerinden binlerce kuruma erişim sağlanır.

SolarWinds saldırısı bunun en bilinen örneğidir.

Saldırı Nasıl gerçekleşti?

Saldırganlar, SolarWinds’in yazılım geliştirme ve derleme (build) ortamına sızmayı başardı. Bu erişim sayesinde:

  1. Orion yazılımının kaynak koduna müdahale edildi
  2. Yazılıma zararlı bir arka kapı (backdoor) eklendi
  3. Bu zararlı kod, resmî ve imzalı güncellemelerin içine gizlendi
  4. Güncelleme mekanizması kullanılarak müşterilere dağıtıldı

Yani kurumlar, güvendikleri bir üreticiden dijital olarak imzalanmış resmî güncellemeyi kendi sistemlerine isteyerek yüklemiş oldu.

2. Görünürlük Eksikliği

Kurum kendi sistemlerini bilir ama:

  • Tedarikçi hangi güvenlik kontrollerini uyguluyor?
  • Erişimleri nasıl yönetiyor?
  • Log tutuyor mu?
  • Alt tedarikçi kullanıyor mu?

çoğu zaman bilinmez.

3. Aşırı Yetki Problemi

Tedarikçilere genellikle:

  • VPN erişimi
  • Üretim ortamı erişimi
  • Veritabanı erişimi
  • Domain yetkisi verilir.

En tehlikeli kombinasyon: Dış erişim + yüksek yetki + zayıf kontroldür.

4. Regülasyon Riski

Finans ve regüle sektörlerde:

  • Veri sorumluluğu kurumda kalır.
  • İhlal olsa bile “tedarikçi yaptı” demek yeterli değildir.

KVKK ve BDDK bankacılık düzenlemelerinde açık bir şekilde belirtildiği üzere Veri sorumluluğu devredilemez.

3rd Party Risk Nasıl Yönetilir?

1. Tedarikçi Risk Sınıflandırması

Her tedarikçi aynı kritiklik seviyesinde değildir. Bu nedenle tedarikçiler, kuruma olan etkileri ve erişim düzeyleri dikkate alınarak risk bazlı bir yaklaşımla sınıflandırılmalıdır.

Genel olarak tedarikçiler:

  • Kritik: Kurumsal verilere erişimi olan, üretim ortamına veya iş sürekliliğini etkileyen sistemlere dokunan tedarikçiler
  • Orta: Sınırlı veri veya sistem erişimi bulunan, dolaylı etkiye sahip tedarikçiler
  • Düşük: Veri erişimi olmayan veya yalnızca kamuya açık bilgilerle çalışan tedarikçiler

olarak sınıflandırılabilir. Her sınıf için uygulanacak güvenlik kontrolleri, denetim sıklığı, yetkilendirme ve izleme mekanizmaları ayrı ayrı tanımlanmalı ve düzenli olarak gözden geçirilmelidir. Böylece kaynaklar doğru alanlara odaklanır ve tedarikçi kaynaklı riskler etkin şekilde yönetilir.

2. Güvenlik Değerlendirmesi (Due Diligence)

Tedarikçi firmalarla sözleşme öncesi, bağımsız denetimler tarafından kurumun denetlenmesi düzenli yapılıyor mu, en temel seviyede güvenlik ihtiyaçlarını karşılıyor mu gibi ön değerlendirme yapılmalıdır.

  • ISO 27001 var mı?
  • SOC 2 raporu var mı?
  • Penetrasyon testi yapılıyor mu?
  • Incident response süreci var mı?

Checklist değil, gerçek değerlendirme yapılmalıdır.

3. Sözleşmesel Güvenlik Maddeleri

Kurumlar; tedarikçi firmalarla anlaşma yapmadan önce kendi ihtiyaçlarını, risk iştahlarına göre minumum isterleri belirleyerek sözleşme maddelerine eklemeli ve uygulamalıdır.

  • Veri işleme şartları
  • Denetim hakkı
  • İhlal bildirim süresi
  • Log paylaşımı
  • Alt tedarikçi bildirimi

Hukuki koruma teknik kontroller kadar önemlidir.

4. Erişim Kontrolü ve PAM

Tedarikçilerin erişim ihtiyacı varsa bu yetkiler ihtiyaçlarını karşılayacak şekilde minimum düzeyde verilmelidir.

  • Sadece ihtiyaç anında erişim
  • Ayrıcalıklı erişim yönetimi
  • Ayrı hesap kullanımı
  • Süreli erişim

Olarak yetkiler sınırlandırılabilir. Belirlenen periyotlarda yetki kontrolü de yapılmalıdır. “Kalıcı admin hesabı” devri kapanmalıdır.

5. Sürekli İzleme

Risk, yalnızca işe alım (onboarding) sürecinde bir kez bakılıp bırakılacak bir konu değildir. Onboarding aşamasında (kullanıcı, çalışan, tedarikçi ya da müşteri sisteme ilk kez dahil olurken) yapılan risk değerlendirmesi başlangıç için gereklidir, ama yeterli değildir. Çünkü:

  • Kişilerin rolleri ve yetkileri zamanla değişir
  • Sistemler ve uygulamalar güncellenir
  • Tehditler ve saldırı yöntemleri sürekli evrilir
  • Başta düşük riskli görünen bir erişim, zamanla kritik hale gelebilir

Bu yüzden risk; süreklidir, periyodik olarak yeniden değerlendirilmelidir, yetki değişikliklerinde, rol değişimlerinde ve kritik aksiyonlarda tekrar ele alınmalıdır

Risk, bir kerelik değil; yaşam döngüsü boyunca yönetilmesi gereken bir süreçtir. Tedarikçi güvenliği dinamik bir süreçtir.

6. Çıkış Stratejisi

Tedarikçi ile sözleşme sona erdiğinde, teknik ve operasyonel erişimlerin kontrollü bir şekilde kapatılması kritik önem taşır. Ancak bu adım, pratikte en sık atlanan veya gözden kaçan süreçlerden biridir.

Sözleşme bitiminde mutlaka kontrol edilmesi gerekenler:

  • Tüm kullanıcı ve sistem erişimleri kapatıldı mı?
  • Paylaşılan veya işlenen veriler silindi ya da iade edildi mi?
  • Yedekler (backup’lar) dâhil olmak üzere tüm kopyalar temizlendi mi?

Unutulmamalıdır ki erişimi sonlandırılmayan bir tedarikçi hesabı, sözleşme bitmiş olsa bile kurum için kalıcı bir güvenlik riski oluşturmaya devam eder.

Gerçek Problem Nedir?

Birçok kurum güvenliği kendi duvarları içinde düşünür. Oysa dijital dünyada duvar kalmadı. Kurumun sınırı artık sadece ağ değil, ekosistemdir.

Sonuç

3rd party supply chain riski teknik bir konu değil, stratejik bir risk yönetimi konusudur. Siber güvenlik artık: Firewall korumak değil, ekosistem yönetmektir.

Kurumunuzun en zayıf halkası içeride olmayabilir. Dışarıda olabilir.

Related Posts