Tedarikçi ve Üçüncü Taraf Güvenliği

Uyum ve Olay Yönetimi

👤 Güvenlik Uzmanı★ 2/3⏱ 12 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

2020 SolarWinds saldırısında saldırganlar tek bir yazılım tedarikçisini ele geçirerek 18.000'den fazla kuruma sızdı; en güçlü güvenlik duvarınız bile, kapıyı içeriden açan bir tedarikçi varsa işe yaramaz.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu derste tedarik zinciri (üçüncü taraf) güvenliğini ele alıyoruz: kurumunuzun verisine veya sistemlerine erişen dış firmaların riskini nasıl değerlendirir, sözleşmeyle nasıl bağlar ve sürekli nasıl izlersiniz. Soldaki interaktif sahnede (secAccessControl3D) bir tedarikçinin sistemlere hangi yetkiyle, hangi kapıdan eriştiğini ve 'en az ayrıcalık' ilkesinin erişimi nasıl daralttığını inceleyebilirsiniz.

Anlatım

TEDARİKÇİ VE ÜÇÜNCÜ TARAF GÜVENLİĞİ NEDİR? Kurumlar bulut sağlayıcılar, yazılım firmaları, muhasebe büroları, çağrı merkezleri, temizlik ve kargo şirketleri gibi çok sayıda dış tarafla çalışır. Bu tarafların birçoğu sizin verinize, ağınıza veya fiziksel ortamınıza erişir. Tedarik zinciri güvenliği, bu dış tarafların yarattığı riski tanımlama, değerlendirme, sözleşmeyle yönetme ve sürekli izleme disiplinidir. NEDEN KRİTİK? • Saldırı yüzeyi sizin sınırınızda bitmez: en zayıf tedarikçiniz kadar güçlüsünüzdür. • Sorumluluk transfer EDİLMEZ: KVKK'da veriyi işleten dış firma 'veri işleyen' olsa da, asıl 'veri sorumlusu' yine sizsiniz — ihlalde hesap veren taraf kurumunuzdur. • Tedarik zinciri saldırıları artıyor: yazılım güncellemesi, açık kaynak bağımlılık, yönetilen hizmet sağlayıcı (MSP) üzerinden sızma yaygın. ÜÇÜNCÜ TARAF YAŞAM DÖNGÜSÜ (4 AŞAMA) 1) SEÇİM ÖNCESİ (Due Diligence / Durum Tespiti) • Tedarikçiyi sözleşme imzalamadan ÖNCE değerlendirin: güvenlik sertifikaları (ISO 27001, SOC 2), referansları, mali durumu, geçmiş ihlalleri. • Güvenlik anketi (security questionnaire) gönderin; kritik tedarikçilerde bağımsız denetim raporu isteyin. • Riski sınıflandırın: erişeceği veri ne kadar hassas? Sistem kritikliği nedir? 2) SÖZLEŞME (Contracting) • Veri işleme şartlarını yazılı bağlayın (KVKK'da 'veri işleyen sözleşmesi' zorunlu). • Güvenlik gereksinimleri, denetim hakkı (right to audit), ihlal bildirim süresi, hizmet seviyesi (SLA), gizlilik, alt-yüklenici (4th party) kısıtı maddeleri. • Sözleşme sonu maddeleri: verinin iade/imha edilmesi. 3) İŞ BİRLİĞİ SÜRESİNCE (Ongoing Monitoring) • En az ayrıcalık: tedarikçiye yalnızca işi için gereken minimum erişimi verin, süreli ve izlenebilir olsun. • Periyodik yeniden değerlendirme, denetim, güvenlik raporlarının takibi. 4) İLİŞKİ SONU (Offboarding) • Erişimleri ANINDA iptal edin (hesaplar, VPN, API anahtarları). • Verinin geri alındığını/imha edildiğini yazılı teyit edin. İŞ YERİNDE SOMUT ÖRNEKLER • Bir SaaS aracını denemek için kurumsal müşteri verisini yüklemeden önce sözleşme ve veri işleme şartı olup olmadığını kontrol edin. • Bir danışmana sistem erişimi verilirken kendi adına bireysel, süreli hesap açın — paylaşılan ortak hesap (shared account) VERMEYİN. • Tedarikçi e-postayla 'acil ödeme/erişim' isterse, daha önce doğrulanmış bir kanaldan (telefon) teyit edin (tedarikçi kimliğine bürünme/BEC dolandırıcılığı yaygın). YAPILMASI GEREKENLER (DO) • Yeni tedarikçiyi BT/Bilgi Güvenliği ekibinin değerlendirmesinden geçirin. • Veri paylaşımını yalnızca sözleşmeli ve gerekli kapsamla yapın. • Tedarikçi erişimlerini envantere alın ve düzenli gözden geçirin. YAPILMAMASI GEREKENLER (DON'T) • Onaysız 'gölge BT' (shadow IT) araçlarına kurumsal veri girmeyin. • Tedarikçiye kalıcı, geniş yetkili veya paylaşılan hesap vermeyin. • Sözleşme bitince erişimleri açık bırakmayın. ISO 27001:2022 VE KVKK BAĞLANTISI • ISO/IEC 27001:2022 Annex A başlıkları: A.5.19 (Tedarikçi ilişkilerinde bilgi güvenliği), A.5.20 (Tedarikçi anlaşmalarında güvenliğin ele alınması), A.5.21 (BİT tedarik zincirinde güvenliğin yönetimi), A.5.22 (Tedarikçi hizmetlerinin izlenmesi, gözden geçirilmesi ve değişiklik yönetimi), A.5.23 (Bulut hizmetlerinin kullanımı için güvenlik). • KVKK (6698 sayılı Kanun): Veriyi sizin adınıza işleyen tedarikçi 'veri işleyen'dir; veri sorumlusu (siz) güvenlik tedbirlerini almakla müştereken sorumludur (md. 12). Veri işleyenle yazılı sözleşme ve uygun teknik/idari tedbirler şarttır.

📌 Senaryolar

📌 Senaryo 1: Pazarlama ekibi, müşteri e-posta listesini analiz etmek için ücretsiz bir çevrim içi araca yüklemek istiyor; aracın firması ve veri politikası bilinmiyor.
  Doğru davranış: Veriyi yüklemeden önce durdurun; Bilgi Güvenliği ekibine yönlendirip tedarikçi değerlendirmesi ve veri işleme sözleşmesi yapılmasını isteyin. Onaysız araca kişisel veri girmeyin.
  Sonuç/Neden: Onaysız araç = gölge BT + olası KVKK ihlali; veri sorumlusu olarak hesap veren taraf kurumdur, ücretsiz aracın 'sorumluluk bende değil' demesi sizi korumaz.

📌 Senaryo 2: Bir dış yazılım danışmanı projeye başlıyor ve 'hızlı olsun diye' yöneticinizin admin hesabını ödünç istiyor.
  Doğru davranış: Reddedin; danışmana kendi adına, yalnızca ihtiyaç duyduğu sistemlerle sınırlı, proje süresiyle zamanlı bireysel bir hesap açtırın (en az ayrıcalık).
  Sonuç/Neden: Paylaşılan/admin hesabı izlenemez (kim ne yaptı belli olmaz) ve aşırı yetki verir; ISO 27001 A.5.19 ve erişim kontrolü ilkeleri bireysel ve asgari erişim ister.

📌 Senaryo 3: Yıllardır çalıştığınız bulut sağlayıcısının ISO 27001 sertifikasının süresi dolmuş ve yeni güvenlik raporu paylaşmıyor.
  Doğru davranış: Sözleşmedeki denetim/izleme hakkını işletin; güncel sertifika veya SOC 2 raporu talep edin, yanıt gelmezse riski yönetime raporlayıp yeniden değerlendirme başlatın.
  Sonuç/Neden: Tedarikçi güvenliği tek seferlik değil süreklidir (A.5.22 izleme ve gözden geçirme); sertifikanın geçerliliği kanıtlanmadan kritik veri emanet edilmez.

📌 Senaryo 4: Bir tedarikçiyle sözleşme sona erdi ama IT, tedarikçinin VPN hesabını ve API anahtarını kapatmayı unuttu.
  Doğru davranış: Offboarding kontrol listesini hemen tetikleyin; tüm hesap, VPN, API anahtarı ve fiziksel erişimleri iptal edin, verinin iade/imha edildiğini yazılı teyit alın.
  Sonuç/Neden: Açık kalan erişim, kullanılmayan ama yetkili bir arka kapıdır; eski tedarikçi veya onun ele geçirilen hesabı üzerinden sızma riski oluşur (offboarding, yaşam döngüsünün zorunlu adımıdır).

📌 Senaryo 5: Muhasebe, 'tedarikçiniz' olduğunu söyleyen birinden gelen e-postayla banka hesap (IBAN) değişikliği talebi alıyor; e-posta gerçek tedarikçinin adıyla imzalı.
  Doğru davranış: E-postadaki bilgilerle değil, daha önce doğrulanmış bir telefon numarasından tedarikçiyi arayarak talebi teyit edin; teyitsiz ödeme yapmayın.
  Sonuç/Neden: Tedarik zinciri, tedarikçi kimliğine bürünme/BEC dolandırıcılığının başlıca vektörüdür; yalnızca güvenilir, bağımsız bir kanaldan doğrulama (out-of-band) mali kaybı önler.

Özet

• Tedarikçi güvenliği = dış tarafların verinize/sistemlerinize erişiminden doğan riskin yönetimi; en zayıf tedarikçiniz kadar güçlüsünüzdür. • KVKK'da sorumluluk transfer edilmez: veri sorumlusu (siz) müştereken sorumlu kalır; veri işleyenle yazılı sözleşme zorunludur. • Yaşam döngüsü: durum tespiti → sözleşme (denetim hakkı, ihlal bildirimi, veri imhası) → sürekli izleme → erişimi anında kesen offboarding. • En az ayrıcalık: tedarikçiye süreli, bireysel ve asgari erişim verin; paylaşılan/admin hesabı vermeyin. • Onaysız 'gölge BT' araçlarına kurumsal veri girmeyin; tedarikçi kaynaklı ödeme/erişim taleplerini bağımsız kanaldan doğrulayın. • ISO 27001:2022 Annex A.5.19–A.5.23 tedarikçi ilişkileri, anlaşmaları, BİT tedarik zinciri, izleme ve bulut güvenliğini kapsar.

✅ Mini-Test (5)

1.Bir tedarikçiyle SÖZLEŞME İMZALAMADAN ÖNCE yapılan güvenlik değerlendirmesine ne ad verilir?

2.KVKK'ya göre veriyi sizin adınıza işleyen bir tedarikçiyle çalışırsanız, bir ihlal durumunda tüm sorumluluk tedarikçiye geçer ve kurumunuz sorumlu olmaz.

3.Bir dış danışmana sistem erişimi verirken en doğru yaklaşım hangisidir?

4.ISO/IEC 27001:2022 Annex A'da tedarikçi ilişkileri ve tedarik zinciri güvenliğini doğrudan kapsayan denetim grubu hangisidir?

5.Bir tedarikçiyle sözleşme sona erdiğinde tedarikçinin hesapları, VPN ve API anahtarları derhal iptal edilmelidir.

🧩 Uygulama Soruları (5)

1.Pazarlama ekibiniz, müşteri kişisel verisini analiz etmek için onaysız ücretsiz bir çevrim içi araca yüklemek istiyor. Ne yaparsınız?

2.Uzun süredir çalıştığınız bulut sağlayıcısı, sözleşmede belirtilen güncel güvenlik (ISO 27001/SOC 2) raporunu paylaşmayı reddediyor. Doğru tepki nedir?

3.Muhasebeye, mevcut tedarikçinizin adıyla imzalı bir e-posta geliyor ve ödeme yapılacak IBAN'ın değiştiğini bildiriyor. Ne yapılmalı?

4.Bir proje danışmanı 'işi hızlandırmak için' bir ekip üyesinin yönetici (admin) hesabını ödünç istiyor. En doğru davranış hangisidir?

5.Kritik bir tedarikçinin alt-yüklenicilere (4. taraf) veri vermesi durumunda, bu durumun sözleşmeyle kontrol altına alınması ve güvenlik şartlarının zincir boyunca taşınması gerekir.

← İş Sürekliliği ve Felaket Kurt

← Tüm modüllere dön · Güvenlik Sözlüğü