Pandemi sonrası uzaktan çalışma ihtiyacının artışı ile birlikte hali hazırda hızla artan bilgi varlıklarının dijitalleşme süreci daha da hızlanmıştır. Bu süreç içerisinde bazı kurum ve kuruluşlar bilgi varlıklarını kendi bünyelerinde depolayarak iş süreçlerini devam ettirse de hosting hizmeti kullanarak iş süreçlerini devam ettiren kurum ve kuruluşların sayısı oldukça fazladır. Bilgi varlıklarını kendi bünyelerinde bulunduran kurum ve kuruluşlar kendi güvenlik önlemlerini alarak bunların güvenliğini sağlamaktadırlar. Peki hosting hizmeti alanlar bilgi varlıklarının güvenliğini sağlamak için bir şeyler yapabilirler mi veya yapmalılar mı?
Tedarikçi Güvenliği Nedir ve Neden Önemlidir?
Tedarikçi güvenliği, bir kuruluşun tedarikçilerinden kaynaklanan riskleri yönetme ve azaltma sürecidir. Bu, tedarikçilerin finansal istikrarını, siber güvenliğini, veri koruma uygulamalarını ve iş etiğini değerlendirmeyi içerir. Amacı, tedarik zincirinin kesintiye uğramasını, siber saldırıları, veri ihlallerini ve itibar kaybını önlemektir.
Hosting, tedarik hizmetleri içerisinde bilgi varlıklarının depolanmasını sağlayan bir hizmet türüdür. Hosting hizmeti veren firmalarda veri ihlalinin gerçekleşmesi sonucu sadece hosting firması değil, tedarikçisi olduğu kurum ve kuruluşlar da veri ihlaline uğramaktadır. Bu durumun son örneği Tekrom Teknoloji’nin 2 Mayıs 2024 tarihinde bildirdiği veri ihlalidir. Tekrom Teknoloji’nin yaşadığı veri ihlali sonucu en az 28 şirket veri ihlaline uğrarken en az 862.000 kişinin verileri çalınmıştır [1][2][3][4].
Tekrom Teknoloji’de yaşanan veri ihlali bir istisna veya nadir bir durum değildir. Geçtiğimiz yıllarda Vodatech ve Mivento gibi hosting hizmeti veren firmalar da veri ihlaline uğramış ve Beşiktaş, Vodafone, Toyota gibi şirketler de bu veri ihlallerinden zarar görmüşlerdir [5][6][7]. Her geçen gün yeni bir veri ihlalinin yaşandığı günümüzde sadece kendimizi değil, ilişkili olduğumuz kurum ve kuruluşların da kendi güvenliklerini sağladığından emin olmalıyız.
Tedarikçi Güvenliği İçin Neler Yapmalıyız?
Ulusal ve uluslararası alanda bilgi güvenliği için hazırlanan tedbirler arasında tedarikçi güvenliği de ele alınmıştır. Bunlar arasında ISO 27001, ISO 27701, GDPR gibi standartlar ve mevzuatın yanı sıra ülkemizde Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’nin hazırlamış olduğu Bilgi ve İletişim Güvenliği Rehberi içerisinde de tedarikçi güvenliğine yönelik tedbirler hazırlanmıştır.
Ülkemizde kamu kurum ve kuruluşlarının bilgi güvenliğini sağlaması için hazırlanan Bilgi ve İletişim Güvenliği Rehberi içerisinde 3.5.3 Tedarikçi İlişkileri Güvenliği başlığı altında tedarikçi güvenliğine yer verilmiştir. Bu tedbirler, tedarik zincirinde yer alabilecek zafiyetleri ortadan kaldırmayı amaçlar ve tedarikçiler için belirli tedbirler sunar. Rehber, tedarikçi güvenliğine yönelik olarak:
- Kuruluşun tedarikçi ilişkilerinde bilgi güvenliği politikalarının tanımlanmasını,
- Sözleşmelerde bilgi güvenliğinin ele alınmasını,
- Kabul kriterleri ile güvenlik kriterlerinin uyumlu olmasını,
- İletişim metotlarının belirlenmesini,
- Yüklenici ve alt yüklenici ile ilgili sorumlulukların belirlenmesini,
- Tedarik hizmetlerinin ve tedarik zincirinin izlenmesini ister.
Rehbere uyumu zorunlu olan kamu kurum ve kuruluşları, uyguladıkları tedbirler sayesinde bilgi güvenliği konusunda bilinçlenmiş ve tehditlere karşı önlemler almışlardır. Rehberin bilgi güvenliğini sağlama başarısı, KVKK tarafından her yıl hazırlanan faaliyet raporlarında gözlemlenebilmektedir. KVKK’nın 2021 Yılı Faaliyet Raporu’na göre kurula gelen tüm şikâyet ve ihbarların %56’lık kısmı kamu kurum ve kuruluşlarından oluşmaktaydı [8]. Rehbere uyumun zorunluluk haline gelmesi ve farkındalığın artması ile birlikte kamu kurum ve kuruluşlarının payı 2022 yılında %14’e, 2023 yılında ise %5’e gerilemiştir [9][10].
Microsoft, 2023 yılı için hazırlamış olduğu Dijital Savunma Raporu’nda 2023 yılından “Siber tehdit termometresinin kaynama noktasına geldiği yıl.” olarak bahsetmiştir [11]. Tehdidin ve risklerin giderek arttığı günümüzde kuruluşların bilgi güvenliği konusunu bütüncül bir halde ele alarak tehditlere karşı zayıf noktaları olabildiğince azaltmaları gerekmektedir. Tedarikçi güvenliği, bütüncül bir korumanın en önemli noktalarından birini oluşturmaktadır ve tedarikçi güvenliği sağlanmadığı durumlarda da yaşanan veri ihlalleri örneklerle sabittir. Bu kapsamda ISO 27001, ISO 27701, Bilgi ve İletişim Güvenliği gibi bilgi güvenliğini sağlama yollarına uyum sağlamak, dijital veya fiziksel bilgi varlığı olan tüm kurum ve kuruluşlar için zorunluluk haline gelmektedir.
Kaynakça
[1] Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Tekrom Teknoloji A.Ş. (KVKK)
[2] Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Asimetrik Ses Işık ve Görüntü Sistemleri A.Ş. (KVKK)
[3] Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Lizay Kuyumculuk Ticaret Anonim Şirketi (KVKK)
[4] Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Aker Mağazacılık Tekstil Ticaret ve Sanayi Anonim Şirketi (KVKK)
[5] Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Beşiktaş Sportif Ürünleri Sanayi ve Ticaret A.Ş. (KVKK)
[6] Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Vodafone Dağıtım Servis ve İçerik Hizmetleri A.Ş. (KVKK)
[7] Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Toyota Türkiye Pazarlama ve Satış Anonim Şirketi (KVKK)
[8] 2021 Yılı Faaliyet Raporu (KVKK)
https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/eaf2f71e-efa5-48e2-9326-9b7fa2813193.pdf
[9] 2022 Yılı Faaliyet Raporu (KVKK)
https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/aae3c721-9da4-43c7-95a6-8d14e6413a36.pdf
[10] 2023 Yılı Faaliyet Raporu (KVKK)
https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/1ee4f609-711f-4a85-aefc-69181bbcdf3a.pdf
[11] Dijital Savunma Raporu 2023 (Microsoft)
https://www.microsoft.com/tr-tr/security/security-insider/microsoft-digital-defense-report-2023
