Tedarikçi Risk Yönetimi Sürecindeki Gri Alanlar Nelerdir?

Avrupa Birliği Siber Güvenlik Ajansı (“ENISA”) tarafından 9 Temmuz 2021 tarihinde yayımlanan Tedarik Zinciri Saldırıları için Tehdit Ortamı Raporu ve Ekim 2022 tarihinde yayımlanan “Siber Tehdit Durum Raporu”; tedarik zinciri saldırılarının ciddi bir paya sahip olduğunu somut örnekler ortaya koyarak göstermiştir. Öyle ki; bulut hizmet sağlayıcıları (CSP), yönetilen hizmet sağlayıcıları (MSP) ve bilgi teknolojileri desteği sağlayan firmalar; güven ilişkisinden yararlanan tehdit aktörleri için birincil hedef haline gelmişlerdir. İşte belki de bu yüzden, tedarikçi riskleri özellikle son yıllarda hepimizin gündeminde yer alan önemli konu başlıklarından biridir.

Kurumsal risk yönetiminin bir parçası olarak ele alınsa dahi; tedarikçi risklerinin yönetiminde dikkatle değerlendirilmesi gerektiğini düşündüğüm hala birçok konu başlığı bulunmaktadır. Bu yazı ile, “Güvenlik riski açısından kritik bir paya sahip tedarikçi risklerini gerçekten de yönetebiliyor muyuz?” sorusunu kendi deneyimlerim çerçevesinde yanıtlamaya çalışacağım.

Tedarik yönetimi sürecinin çoğu kurumda tasarlandığını ve risk değerlendirme çalışmaları çerçevesinde tedarikçi risklerinin de kapsama alındığını görmekle birlikte; hala yanlış işletilen ve bütünsel açıdan eksik yönetilen birçok noktanın da olduğunu görmekteyiz. Deneyimlerim çerçevesinde temel olarak ortaya çıkan 10 adet eksiklik aşağıdaki gibidir:

1. Hizmet alımı öncesinde konuşulması ve görüşülmesi gereken güvenlik gereksinimleri; ne yazık ki hizmet alımını geciktirdiği gerekçesi değerlendirilmemekte ya da ilgili değerlendirme projenin ileri bir tarihine adreslenmektedir.
2. Kurumun güvenlik personelinin sürece dahil edilmemesi ya da proje planını aksatmayacak şekilde yüzeysel bir değerlendirme yapılması talebi, risklerin belirlenmesinde güvenlik bakış açısının yansıtılamamasına neden olmaktadır.
3. Ağır birçok cezai şartları içeren hizmet sözleşmesi ve gizlilik sözleşmeleri, tedarikçi risklerinin yönetimi konusunda çoğu zaman paydaşların iç huzur bulması için yeterli olmakta, yapılması gereken her şeyin yapıldığı yanılgısını doğurmaktadır.
4. Güven ilişkisine bağlı olarak tanımlanan ayrıcalıklı erişimler için periyodik kontrol faaliyetleri çoğu zaman gerçekleştirilmemekte; “Personelin işten ayrılması durumunda kurumun bilgilendirilmesi” şeklinde sözleşmeye konulan bir yükümlülük çoğu zaman yeterli görülmektedir.
5. Hizmet alımı çerçevesinde ilgili paydaşların rol ve sorumlulukları net olarak tariflenmemekte (Rol ve sorumluluk matrixi) ve süreç içerisinde adreslenmeye çalışılan bir adım olarak yürütülmektedir.
6. Üretim ortamına aktarım öncesinde uygulama güvenlik testi ya da yazılım kaynak kod analizi çalışması çoğu zaman zorunlu bir adım olarak tesis edilmemekte, planlamalar çoğunlukla ileriye dönük olarak gerçekleştirilmektedir.
7. Hizmet alımının gerçekleştirildiği dış hizmet firmanın (tedarikçi) organizasyon yapısı ve personel yeterliliği değerlendirilmemekte ya da değerlendirme sonucuna göre kontrol tesis edilmesi gereken alanlar belirlenmemektedir. Örnek olarak, kontrollerin belirlenmesinde ve yürütülmesinde önemli rol oynayan bilgi güvenliği, iç kontrol, iç denetim, risk yönetimi gibi rolleri üstlenen personelin dış hizmet firma (tedarikçi firma) bünyesinde istihdam edilmemesi durumunda; hizmet alımı ile örtüşen ve risk teşkil eden alanlar için kontrol faaliyetlerinin belki de müşterinin kendi iç ekipleri tarafından gerçekleştirilmesi daha güvenli bir ortam sağlayacaktır.
8. Dış hizmet firma (tedarikçi) tarafından asgari olarak yerine getirilmesi beklenen kontroller ve güvenlik gereksinimleri; hizmet alımı öncesinde görüşülmemekte ve beklentiler net olarak dokümante edilmemektedir. Bu durum, tedarikçi bünyesinde asgari olarak yerine getirilmesi beklenen kontrol faaliyetlerinin işletilmemesine neden olmaktadır.
9. Süreçlerin hızlı bir şekilde yürütülebilmesi, izlenilebilirliğin arttırılması ve çoğu zaman hizmet seviye anlaşmalarının sağlıklı bir şekilde yürütülebilmesi için sistemler arasında entegrasyonlar kurulmaktadır. Ancak; bu entegrasyonun yaratabileceği güvenlik riskleri çoğu zaman değerlendirilmemekte ve entegrasyon öncesinde firmanın siber güvenlik olgunluk düzeyini gösterir güvenlik testleri çoğunlukla yapılmamaktadır.
10. Hizmet alımı çerçevesinde üretim ortamı verilerinin dış hizmet firmaya (tedarikçi firma) aktarılması gerekiyor ise; verilerin taşınması, iletilmesi, işlenmesi, saklanması ve yedeklenmesi esnasında firmanın veri güvenliğini sağlamaya yönelik mevcut kontrol ortamının yeterliliği etkin şekilde değerlendirilmemektedir.

Photo by Olav Ahrens Røtne on Unsplash

Hizmet alımı öncesinde konuşulması ve değerlendirilmesi gerektiğini düşündüğüm yukarıdaki konu başlıkları; belki de saldırı vektörünün büyümesine en büyük katkıyı sağlamaktadır. Özellikle bilgi sistemlerine yönelik hizmet alımlarında, “güvenliğin” her zaman odağımızda yer aldığı yaklaşımları benimsememiz ve tedarikçi risklerinin yönetiminde de aynı hassasiyeti sürdürmemiz gerekmektedir.

Bu süreç çerçevesinde sizlerin de gözlemlediği, edindiği ya da araştırdığı aksaklıkları yazıya eklemekten memnuniyet duyarım. Tedarikçi risklerinizi sağlıkla yönetebildiğiniz ve veri sızıntısına konu olmadığınız bir dönem diliyorum!

Herkese iyi haftalar,

Sevgilerimle,

Meltem Yapar

Yazılım Emanet Sözleşmesi (Escrow) İle Kaynak Kodlar Gerçekten Kullanılabilir Durumda mı?

Eski Çalışanın Kurumsal E-posta Hesabına İşveren Tarafından Erişilmesi Veri İhlali midir?

Kişisel Verilerin Korunması Kanunu’nun Uygulanmasında En Çok Görülen Hatalar ve Başarısızlıklar