Tedarik Zincirinde Siber Güvenlik Yönetimi

GİRİŞ

Günümüz iş dünyasında pek çok şirket, gerek gider maliyetlerini azaltmak gerekse de iş yapış biçimini daha pratik ve hızlı hale getirmek için üçüncü taraf şirketler ile iş birliği içerisinde faaliyetlerini sürdürmektedir. Hal böyle olunca da pek çok şirket, birbirlerinin bilgi sistemleri ile bütünleşmiş hale gelmekte ve siber güvenlik risklerini ele alırken kendi organizasyon yapıları ile sınırlı bir gözetim ve denetim yapmak yerine tedarik zinciri kapsamındaki tüm üçüncü tarafların dahil olduğu daha geniş bir perspektif ile konuya yaklaşmaktadırlar. Biraz sonra değinilecek yasa ve uygulamalar, gün geçtikçe verilen önemin arttığı bu konuda hem yol gösterici hem de düzenleyici vasıfları haizdir.

Bu yazının odak noktası, tedarik zinciri yönetimindeki potansiyel risklerin sanal dünyası olacaktır.

ABD Ulusal Standartlar ve Teknoloji Enstitüsü’nün Mayıs 2022 tarihli güncel rehberi uyarınca tedarik zincirinde siber güvenlik riski, tedarik zinciri kapsamında yer alan ürün ve/veya hizmetlerdeki güvenlik zafiyetlerinden veya tedarikçiden kaynaklı meydana gelen siber güvenlik tehditlerini ifade etmektedir.¹ Tedarik zincirinden kaynaklı meydana gelen bu tehditler, şirket organizasyonları için maddi ve manevi kayıplara sebep olmakla beraber tedarik zincirine konu mal ve/veya hizmetlerin temini sürecini de önemli ölçüde zedelemektedir. Nitekim yapılan araştırmalar da bu durumu doğrulamakta olup Kaspersky'nin yıllık BT Güvenliği Ekonomisi Raporu uyarınca siber güvenlik olaylarında verilerin paylaşıldığı tedarikçiler aracılığıyla yaşanan ihlâller pandemi ile giderek artış göstermiş olup bu olayların şirket için ortalama finansal etkisi 2021 yılında 1,4 milyon Amerikan dolarına ulaşmıştır. ² Buradan hareketle, iş yapış biçimlerinin yeniden şekillendiği günümüz iş dünyasında, şirketlerin siber güvenlik kapsamında aldıkları kendi iç önlemleri kadar tedarik zincirinden kaynaklı meydana gelebilecek zararları yönetmek maksadı ile bir yol haritası belirlemesi giderek önemli bir hal almıştır. Artık konuya sadece şirket varlıklarının korunması olarak bakılmamakta, şirket itibarının korunması olarak da değerlendirilmektedir. Birbiri ile iç içe olan değer örgüsünün yapısı gereği de itibar kaybı yaşayan bir şirketin hızla müşteri, gelir ve nihai olarak da kâr kaybı yaşaması kaçınılmazdır. Rekabetin yüksek olduğu mal ve hizmet piyasalarında tüketicilerin güvenli alışveriş yapma maksadıyla hareket edeceği düşünüldüğünde siber güvenlik yeterliliği sağlamayan bir şirketin mal ve hizmetleri tercih edilmeyecektir.

Uluslararası Düzenlemeler

Son yıllarda yaşanan siber olaylar incelendiğinde yüksek maliyetli ihlâllerin birçoğunun ortak bir özellik gösterdiği tespit edilmektedir. Buna göre saldırganlar artık doğrudan hedef şirketin ağlarındaki değil, tedarikçilerinin ağlarındaki güvenlik açıklarından yararlanarak şirket sistemlerine girmeye başlamıştır. Saldırılardaki bu eğilim, pek çok ülkede düzenleyici kurumların odağında yerini almış olup bu kapsamda doğrudan ve dolaylı olarak birtakım kurallar belirlenmiştir;

• Avrupa Birliği Genel Veri Koruma Tüzüğü: Mayıs 2018 tarihinde yürürlüğe giren Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) kapsamı ve yetki alanı itibari ile hiç şüphesiz konu kapsamındaki en etkili yasal düzenlemelerden bir tanesidir. Tüzük 28. maddesi ile veri sorumlularının yanı sıra veri işleyenlerin de almaları gereken teknik ve idari tedbirleri belirlemiş olup veri işleyenlerin veri sorumlularının talimatları doğrultusunda hareket etmelerini temin maksatlı taraflar arasında yazılı bir sözleşme akdedilmesini aramaktadır. ³ Tüzük, bu düzenlemeleri ile veri işleyenlerin de tıpkı veri sorumlusu gibi hesap verebilir bir şekilde hareket etmesini sağlamakta olup yetki alanında faaliyet gösteren şirketler ve tedarik zincirleri için siber güvenlik ve veri gizliliği kapsamında yapılması gerekenlere dair bir yol haritası sağlamaktadır.
• ABD Eyalet Gizlilik Yasaları: 2020 yılının Ocak ayında yürürlüğe giren Kaliforniya Tüketici Gizliliği Yasası (“CCPA”), ABD’deki en kapsamlı veri koruma yasası olarak kabul edilmektedir. 2023 yılının Ocak ayında yürürlüğe girmesi beklenen Mahremiyet Hakları Yasası ise CCPA düzenlemesinin geliştirilmiş versiyonu olup Avrupa Veri Koruma Tüzüğüne yaklaşan hükümler içermektedir. Burada yer alan düzenlemelerden en önemli olanlarından birisi hiç şüphesiz üçüncü taraflara dair getirilen yükümlülüklerdir⁴. Bu noktada sözleşme ile gerekli gizlilik tedbirlerinin sağlanması ve üçüncü partinin detaylı değerlendirilmesi gereklilikleri tedarik zincirinde siber güvenlik yönetimi açısından önem arz eden adımlar olacaktır. Mart 2021 tarihinde yürürlüğe giren Virginia Tüketici Gizliliği Yasası (“VCDPA”) ve 2023 yılının temmuz ayında yürürlüğe girmesi beklenen ABD’nin en kapsamlı üçüncü gizlilik yasası olarak ifade edilen Colorado Gizlilik Yasası (“CPA”) da üçüncü taraflara dair detaylı bir inceleme süreci öngörmekte olup bilgilere dair gizliliğin sağlanması amacı ile de gerekli tedbirlerin teminini şart koşmaktadır.
• Siber Güvenlik Otoritelerinin Düzenlemeleri: 2016 yılında Birleşik Krallık bünyesindeki siber tehditlere karşı yanıt sağlamak maksatlı kurulan Ulusal Siber Güvenlik Merkezi (“NCSC”), tedarik zincirlerinin genellikle çok kompleks yapılar olduğundan hareketle güvenlik açıklarının ortaya çıkması durumuna karşı hazırladığı 2018 tarihli rehberinde tedarik zincirinde siber güvenlik yönetimine dair temel ilke ve uygulama örneklerini şirketler ile paylaşmıştır. ⁵ Merkez, Mayıs 2021 tarihinde yayınladığı Rehber ile de tedarik zincirini iyi anlama ve tedarikçi sözleşmelerinin, siber güvenlik risklerini de güvence altına alacak şekilde tasarlanması gerektiğinin altını çizmiştir⁶. Merkez, yine mart 2022 tarihinde yayınladığı güncel rehberinde ise tedarik zincirinde ağ ekipmanlarının güvenliğinin sağlanmasına yönelik yol gösterici bilgiler paylaşmıştır. Bu kapsamda tedarikçilere yönetilmesi gereken sorular, iyi uygulamalar ve bu sürecin sürdürülebilirliğine dikkat çekilmiştir.⁷ Avustralya Siber Güvenlik Merkezi (“ASCS”) de Ekim 2021 tarihinde güncellediği rehberi ile iş süreçlerinde tedarikçi, üretici, distribütör vb. üçüncü taraflardan faydalanan şirketlerin tedarik zincirinde siber güvenlik risklerini yönetmesine yönelik yol gösterici bir rol oynamıştır.⁸ ABD Ticaret Bakanlığına bağlı Ulusal Standartlar ve Teknoloji Enstitüsü (“NIST”) de Mayıs 2022 tarihli rehberi ile şirketlere tedarik zincirinde siber güvenlik olaylarına karşı risk yönetiminin nasıl belirleneceği, değerlendirileceği, minimize edileceği ve yönetileceği konusunda tavsiyelerde bulunmuştur. ⁹
• Sektörel Siber Güvenlik Düzenlemeleri: Mart 2017 tarihinde New York Finansal Hizmetler Departmanı (“DFS”), finans şirketleri ve müşterilerini siber saldırılardan korumak için asgari güvenlik gereksinimleri belirlemiştir. Yönetmelik kapsamında finans şirketlerine siber güvenlik programı oluşturulması gerekliliği kadar üçüncü taraflara ilişkin de öngörülmüş bir süreç mevcuttur. Tedarik zincirindeki siber güvenliği sağlamaya yönelik adımlardan bazıları ise şu şekildedir;
  • Üçüncü taraf hizmet sağlayıcıların risk değerlendirmesi,
  • Güvenlik uygulamalarının etkinliğinin değerlendirmesi,
  • Üçüncü taraf politikalarının ve kontrollerinin periyodik incelemesi ve kontrolü
  13 Mayıs 2022 tarihinde ise Avrupa Komisyonu, siber güvenlik bağlamında özellikle kritik tedarik zincirlerini kapsamına alan bir düzenleme üzerinde anlaşmaya varmıştır. Komisyon, iki yıl NIS (Ağ ve Bilgi Güvenliği) Direktifi olarak bilinen mevcut kuralların kapsamını genişleterek, enerji, ulaşım, bankacılık, finans piyasası altyapısı, sağlık, aşılar ve tıbbi cihazlar, içme suyu, atık su, dijital altyapı, kamu yönetimi ve uzay gibi hassas sektörlerdeki tüm orta ve büyük şirketleri kapsamına almaktadır. ¹⁰.

Yerel Düzenlemeler

Tedarik zincirinde siber güvenliğe ilişkin yapılan güncel araştırma uyarınca son yıllarda konunun giderek önem kazanmasına rağmen işletmelerin yalnızca %13'ü birincil tedarikçilerinden kaynaklanan riskleri değerlendirirken, %7 oranındaki işletme ise daha geniş tedarik zincirlerini siber güvenlik açısından incelemektedir. ¹¹Araştırma henüz konunun tüm şirketler için başlangıç safhasında olduğunu gösterse de Türkiye’de de tedarik zincirinde siber güvenliğin değerlendirilmesine ilişkin birtakım düzenlemeler mevcuttur;

• Kişisel Verilerin Korunması Kanunu (“KVKK”): Nisan 2016 tarihinde yürürlüğe giren Kanun, temel olarak kişisel veri işleyen veri sorumluları için bir takım gizlilik ve güvenlik yükümlülükleri getirmiştir. GDPR ile karşılaştırıldığında veri işleyen üçüncü taraflar için Kanun kapsamında detaylı düzenlemeler mevcut olmasa da Yasa’nın 12. maddesi veri sorumlusu adına hareket ederek veri işleyen tedarik zincirindeki tüm tarafları müşterek bir sorumluluk içerisinde değerlendirmektedir. ¹² Buradan hareketle de veri sorumlusunun sistemlerinde kişisel verinin güvenliğini sağlamak için alması gereken tüm teknik ve idari tedbirlerden tedarikçiler ve veri sorumluları müşterek olarak sorumlu olacaklardır. Kanun, tedarik zincirinde siber güvenliği sağlamak için açık hükümler getirmese de dolaylı olarak bunu temin maksatlı bir sorumluluk zinciri düzenlemiştir.
• Sektörel Siber Güvenlik Düzenlemeleri: Hassas tedarik zincirlerinden biri olan bankacılık sektöründe de bu kapsamda önemli düzenlemeler yürürlüğe alınmıştır. Mart 2020 tarihli Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik, bankaların kendi iç kontrolleri dışında tedarikçi ve diğer üçüncü taraf şirketlerin kontrollerinin de denetiminden sorumlu olduğunu belirtmektedir. Bu kapsamda bankaların dışarıdan tedarik ettikleri uygulamaların güvenlik testlerinin yapılması ve düzenli olarak bakımlarının gerçekleştirilmesi gerektiği düzenlenmiştir. ¹³Kasım 2011 tarihli Bankaların Destek Hizmeti Almalarına İlişkin Yönetmelik ise dış hizmet alımlarının öncelikle bir risk çerçevesinde gizlilik ve güvenlik bakımından değerlendirilmesi gerektiğini işaret etmektedir. Bu yönetmelik kapsamında üçüncü taraf şirketlerin kritiklik ve önem seviyesinin belirlenmesi ve denetimlere tabi tutulması gerekliliği gibi önemli düzenlemeler mevcuttur.¹⁴

Tedarik Zincirinde Siber Güvenliği Sağlamak Adına Neler Yapılmalıdır?

Tedarik zincirinde siber güvenlik yönetimi yalnızca bir teknoloji problemi değil aksine bir yönetişim, farkındalık ve süreç yönetimidir. Tedarik zincirinde siber güvenlik riskleri tedarikçi yönetimine, tedarik zinciri devamlılığına, kalitesine ve lojistiğine kadar birçok hususa temas etmektedir. Buradan hareketle, şirketlerin alması gereken temel aksiyonlara dair sürdürülebilir bir yol haritası belirlemesi büyük önem arz etmekte olup temel başlıkları şu şekilde özetlemek mümkündür;

• Tedarikçileri ve hizmet sağlayıcıları belirlemek:Şirketlerin tedarik zinciri yapıları incelendiğinde genellikle karmaşık iş süreçleri ve kişi grupları göze çarpmaktadır. Tedarikçileri siber güvenlik açısından doğru bir yönetim sistemi dahilinde değerlendirmede ise ilk basamak karmaşık tedarik zincirlerini belirli bir hale getirmekle başlayacak olup şirketlerin çalıştıkları üçüncü tarafları ve bu zincirleri doğru bir şekilde haritalaması büyük önem arz eder.
• Tedarikçilerle paylaşılan veya tedarikçiler tarafından erişilebilir olan varlıkların ve bilgilerin sınıflandırılması ve bunlara erişim için ilgili prosedürlerin tanımlanması: Tedarik zincirleri kapsamında şirketler, üçüncü taraflara pek çok bilgi varlıklarını açmaktadır. Bunlar arasında gizli bilgiler, ticari bilgiler, kişisel bilgiler, hassas bilgiler vb. yer alabilecek olup her bir tedarikçi ile paylaşılan bilgilerin bu doğrultuda kategorize edilmesi büyük önem arz eder. Zira şirketlerin tedarik zincirinde siber güvenliği sağlarken göz önüne alması gereken en önemli konu, tedarikçinin erişimi olan bilgi varlıkları özelinde değerlendirilip izlenmesi olacaktır. Genel geçer tek bir politika ile tedarikçi yönetimi kapsamında tüm ağı ele almak, sağlıklı sonuçlar vermeyeceği gibi doğru bir yönetim model de olmayacaktır.
• Tedarikçi ve hizmet türleri için risk kriterlerinin tanımlanması: Şirketlerin çalıştıkları tedarikçiler, üreticiler, distribütörler ve perakendecilerin bir listesini oluşturularak belirlemesinin ardından bu şirketlerin oluşturduğu siber tedarik zinciri riskini anlamaya çalışması gerekecektir. Risk değerlendirmesi yapılırken çalışılan tedarikçi ile yapılan işin mahiyeti, erişime açılan bilgilerin niteliği vb. hususlar göz önüne alınmalıdır.
• Tedarikçiler için asgari siber güvenlik beklentilerini belirleme ve iyi uygulama örnekleri konusunda yönlendirmelerin sağlanması: Şirketler, siber tedarik zinciri riskleri de dahil olmak üzere kendi güvenlik standartlarını uygun şekilde yönetmelerini sağlamak için tedarikçilerden siber güvenlik beklentilerini yapmakta oldukları hizmet ve/veya ürün alım sözleşmelerinde açıkça düzenlemelidir. Tedarikçiler ile mutabakat sürecinde, siber güvenlik beklentilerine dair bu hususlar açık ve şeffaf bir şekilde sunularak iyi uygulama örnekleri konusunda tedarikçilere yönlendirmelerin sağlanması fayda sağlayacaktır.
• Tedarik zinciri risklerinin ve tehditlerinin izlenmesi: Tedarik zinciri riskinin zaman içinde sürdürülebilir bir şekilde yönetilmesini sağlamak için şirketler, tedarikçilere rutin siber güvenlik denetimleri gerçekleştirmelidir. Tedarikçinin kendi bünyesindeki durumu, alınan tedbirleri, olası zafiyet noktalarını tespit edebilmek için düzenli izleme faaliyetleri yapılması gerekmekte olup yıllık tedarik zinciri siber güvenlik denetimleri bu kapsamda bir iyi uygulama oluşturacaktır.
• Tedarik zinciri siber saldırılarına karşı olay müdahale planlarının hazırlanması: Şirketler, tedarik zincirini siber güvenlik açısından detaylı olarak bir uyum sürecine dahil etmekle beraber siber saldırılara karşı da her an hazırlıklı olacak şekilde planlamalarını yapmalıdır. Bu kapsamda iyi düşünülmüş bir olay müdahale planı, iş sürekliliği hedeflerini hızlandıracak ve bir saldırıdan önce uygun önlemleri almak, itibar risklerini ve olası dava riskini azaltmaya yardımcı olacaktır. Bu olay müdahale planlarının şirket bünyesinde yazılı bir uygulama haline getirilmesi kadar konuya dair çalışan farkındalığının sağlanması da bir o kadar önemlidir. İşbu planlamalar şirket iç metinleri olarak kalmamalı düzenli olarak yapılacak tatbikat ve benzeri çalışmalar ile bu senaryolar gözden geçirilmeli ve tartışılmalıdır.

Tedarik Zincirinde Siber Güvenlik Uyumu: Colonial Pipeline Saldırısı

Mayıs 2021 tarihinde ABD’nin doğu yakasının dizel, benzin ve jet yakıtı ihtiyacının %45’ini karşılayan Colonial Pipeline isimli boru hattı şirketi, Amerikan enerji sisteminde şimdiye kadar yapılan en büyük siber saldırıya maruz kalmıştır.

Yaşanılan siber saldırı akabinde Şirket, tehdidi kontrol altına almak için IT sistemlerini ve tüm boru hattı işleyişini geçici olarak durduğunu açıklamıştır. Şirketin faaliyetlerini durduğu bu süreçte ülkenin doğu ve güneydoğusunda pek çok eyalette akaryakıt sıkıntısı yaşanmış, Virginia ile Florida’da acil durum ilan edilmiştir.

Şirketin yaşadığı bu siber saldırı tedarik zinciri açısından incelendiğinde boru hatlarının, ham petrol ve diğer yakıt ürünlerinin rafinerilere ve tesislere getirilmesinden, kullanıcılara ve müşterilere ürün teslimatı sağlamaya kadar tüm enerji tedarik zinciri için kritik bir öneme sahip olduğu görülecektir. Buradan hareketle, zincirin kritik bir parçası olan boru hatlarındaki kesintilerin, tüm tedarik süreci için aksama, fiyat artışları gibi ciddi etkileri olabilecektir.¹⁵

Colonial Pipeline ve benzeri kritik tedarik zincirlerinde yaşanan bu tip siber saldırılar artık yalnızca ilgili hedef şirketin bir sorunu olmaktan çıkmakta tedarik ağı içerisinde yer alan tüm tarafları irili ufaklı olarak etkisi altına almaktadır. Bu sebeple de günümüzde tedarik zincirinin siber güvenlik açısından bir uyum sürecine dahil edilmesi giderek önemli bir husus haline gelmektedir.

Sonuç

Günümüzde değişen iş dinamikleri ve teknolojinin hızlı gelişimi ile tedarik zincirinde siber güvenlik konusu pek çok şirketin öncelikli konularından biri haline gelmektedir. Dünya çapında yaşanan tüm örnekler göstermektedir ki siber olaylar yalnızca ilgili şirketin yaşadığı bir teknoloji sorunu değil, hem ilgili vakayı yaşayan şirketin hem de ilgili şirketle aynı tedarik ağında yer alan tüm kuruluşların güvenlik, itibar, kalite ve lojistik sorunudur.

Bu konunun ihtiva ettiği riskleri öngörerek önlem almak ve düzenli olarak siber güvenlik faaliyetlerini sürdürmek isteyen şirketlerin, organizasyon yapılarında bilgi güvenliği ekipleri, sanal güvenlik mimarları, sanal güvenlik operatörleri, sanal güvenlik analistleri, sanal güvenlik risk ve uyum uzmanları, siber saldırılara yanıt verebilecek etkinlikte ilgili diğer uzmanları istihdam ettikleri ve bu yapılar tarafından kullanılmak üzere gerekli kaynakların sağladıkları görülmektedir.

Tüm bunlardan hareketle tedarik zincirinde siber güvenliği sağlamak için şirketlerin hızlı bir şekilde uyum planlarını çıkarması ve bu bağlamda farkındalık çalışmalarını arttırması gerekmektedir.

Dipnotlar

• 1 Bkz. Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-161r1.pdf Sayfa 299, Erişim Tarihi: 03.06.2022.

• 2 https://www.kaspersky.com.tr/about/press-releases/2021_ucuncu-parti-olaylar-2021de-en-maliyetli-kurumsal-veri-ihlalleri-arasinda-yer-aldi, Erişim Tarihi: 04.06.2022

• 3 https://eur-lex.europa.eu/eli/reg/2016/679/oj, Erişim Tarihi: 04.06.2022

• 4 https://cpra.gtlaw.com/cpra-full-text/, Erişim Tarihi: 04.06.2022

• 5 https://www.ncsc.gov.uk/collection/supply-chain-security, Sayfa 2-11, Erişim Tarihi: 04.06.2022

• 6 https://www.ncsc.gov.uk/collection/10-steps/supply-chain-security, Sayfa 11, Erişim Tarihi: 04.06.2022

• 7 https://www.ncsc.gov.uk/report/vendor-security-assessment, Erişim Tarihi: 04.06.2022

• 8 https://www.cyber.gov.au/acsc/view-all-content/publications/cyber-supply-chain-risk-management, Erişim Tarihi: 04.06.2022

• 9 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-161r1.pdf, Sayfa 18-153, Erişim Tarihi: 04.06.2022

• 10 https://ec.europa.eu/commission/presscorner/detail/en/IP_22_2985, Erişim Tarihi: 04.06.2022

• 11 https://thelens.slaughterandmay.com/post/102hmpf/latest-government-cyber-breaches-survey-published, Erişim Tarihi: 04.06.2022

• 12 https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5, Erişim Tarihi: 04.06.2022

• 13 https://www.resmigazete.gov.tr/eskiler/2020/03/20200315-10.htm, Erişim Tarihi: 04.06.2022

• 14 https://www.mevzuat.gov.tr/File/GeneratePdf?mevzuatNo=15481&mevzuatTur=KurumVeKurulusYonetmeligi&mevzuatTertip=5, Erişim Tarihi: 04.06.2022 , Erişim Tarihi: 04.06.2022

• 15 https://siberbulten.com/kritik-altyapi-guvenligi/colonial-pipeline-saldirisi-hakkinda-bilmeniz-gereken-5-sey/, Erişim Tarihi: 04.06.2022