Tedarik zinciri saldırısı, suçluların asıl hedefe ulaşmak için güvenilir bir üçüncü tarafın güvenliğini ihlal etmesiyle gerçekleşir. Bu üçüncü taraf; sistemlere veya verilere erişimi olan bir yazılım satıcısı, BT sağlayıcısı, SaaS platformu veya iş ortağı olabilir.
Küçük ve orta ölçekli işletmeler için bu riskin hafife alınması kolaydır. Karmaşık bir altyapı yönetmiyor veya büyük bir BT ekibine sahip olmayabilirsiniz ancak şirketiniz muhtemelen birçok harici hizmete bağlıdır: iş e-postası, maaş bordrosu, muhasebe, bulut depolama alanı, müşteri desteği, CRM ve ödeme sistemleri. Bağlantı kuran her satıcı, ortamınıza giden potansiyel bir yol oluşturur.
Tedarik zinciri saldırısının ne olduğunu, bu saldırıların nasıl gerçekleştiğini, KOBİ’lerin neden hedef olduğunu ve üçüncü taraf tedarik zinciri riskinin nasıl değerlendirilip azaltılacağını açıklayacağız.
Tedarik zinciri saldırısı nedir?
Tedarik zinciri saldırıları nasıl gerçekleşir?
KOBİ’ler neden daha değerlidir?
Tedarik zinciri saldırılarına dair gerçek dünyadan örnekler
Üçüncü taraf riskinizi nasıl değerlendirebilirsiniz?
İşletmenizin riskleri azaltmak için yapabilecekleri
Tedarik zinciri saldırılarında kimlik doğrulama bilgileri bağlantısı
Üçüncü taraf güvenliğini günlük operasyonlara dahil edin
Tedarik zinciri saldırısı nedir?
Tedarik zinciri saldırısı, bir kuruluşa güvenilir bir harici ilişki yoluyla ulaşan bir siber saldırıdır. Doğrudan işletmenize saldırmak yerine suçlular bir satıcının, yazılım güncellemesinin, hizmet sağlayıcının, entegrasyonun veya üçüncü taraf hesabının güvenliğini ihlal eder ve bu erişimi kullanarak zincirin devamındaki müşterilerinize ulaşır.
Tedarikçinin bunlarla bağlantısı varsa kuruluşunuzun dışındaki bir zayıflık sistemlerinizi, verilerinizi veya operasyonlarınızı etkileyebilir. Uygulamada, bir tedarik zinciri siber saldırısı şunları içerebilir:
- Güvenliği ihlal edilmiş bir güncelleme mekanizmasına sahip bir yazılım satıcısı.
- Saldırganların müşteri verilerine erişmek için kullandığı bir SaaS platformu.
- Yönetici kimlik doğrulama bilgileri çalınan bir BT sağlayıcısı.
- Bir proje sona erdikten sonra bile erişimi devam eden bir yüklenici hesabı.
- Gerektiğinden daha fazla izne sahip olan bir üçüncü taraf entegrasyonu.
- Müşteri sistemlerine erişmek için kullanılan bir satıcı çalışanı hesabı.
Tedarik zinciri saldırıları güvene dayanır ve bu güveni istismar eder. Satıcının meşru bir rolü olduğu için işletmeniz bağlantıya izin verir ve ardından saldırganlar verilerinize, hesaplarınıza veya sistemlerinize yaklaşmak için bu güveni kötüye kullanır.
Tedarik zinciri saldırıları nasıl gerçekleşir?
Tedarik zinciri saldırıları genellikle güvenilir bir bağlantıyla başlar. Bir satıcı, yazılım sağlayıcısı, yüklenici veya entegrasyon değerli bir şeye zaten erişebiliyorsa saldırganın doğrudan işletmenize sızmasına gerek kalmaz.
Yol değişebilir ancak izlenen yöntem genellikle benzerdir:
- Üçüncü tarafın güvenliğini ihlal etmek
- Müşterilere veya bağlantılı sistemlere ulaşmak için bu güvenilir ilişkiyi kullanmak
- İşletme ağınıza erişimi genişletmek
Güvenliği ihlal edilmiş satıcı hesapları aracılığıyla
Saldırganlar; bir satıcı, yüklenici, ajans veya yönetilen hizmet sağlayıcısının kimlik doğrulama bilgilerini çalabilir veya tahmin edebilir. Bu üçüncü tarafın sistemlerinize erişimi varsa saldırgan, güvenilir bir rota üzerinden giriş yapmak için meşru bir hesabı kullanabilir.
Satıcı hesaplarının geniş izinlere, zayıf parolalara sahip olması, iki adımlı doğrulama kullanmaması veya bir proje bittikten sonra kaldırılmayan erişim izinlerinin bulunması özellikle risklidir. Bu nedenle, üçüncü taraf erişimi düzenli olarak gözden geçirilmeli ve artık ihtiyaç duyulmadığında kontrollü bir yönetici süreciyle derhal geçersiz kılınmalıdır.
Yazılım güncellemeleri ve uygulamalar aracılığıyla
Yazılım tedarik zinciri saldırısı, saldırganlar bir uygulamanın oluşturulma, dağıtılma veya güncellenme şeklinin güvenliğini ihlal ettiğinde gerçekleşebilir. İşletmeniz, güncelleme üzerinde oynandığını fark etmeden güvenilir bir satıcıdan gelen yazılımı yükleyebilir veya güncelleyebilir.
Bu tür bir saldırıyı tespit etmek zordur çünkü etkinlik bilinmeyen bir kaynaktan değil, bilinen bir yazılım sağlayıcısından geliyor gibi görünür.
Üçüncü taraf entegrasyonları aracılığıyla
Birçok hizmet olarak yazılım (SaaS) aracı; entegrasyonlar, uygulama ekleri, API’ler ve izinler aracılığıyla birbiriyle bağlantı kurar. Bu bağlantılar ekiplerin daha hızlı çalışmasına yardımcı olur ancak gizli erişim yolları da oluşturabilir.
Bir entegrasyonun güvenliği ihlal edilirse veya gerektiğinden daha fazla izne sahip olursa saldırganlar, orijinal aracın ötesindeki verilere, hesaplara veya iş akışlarına ulaşabilir.
Paylaşılan kimlik doğrulama bilgileri ve yönetilmeyen erişim aracılığıyla
Satıcı erişimi; paylaşılan oturum açma bilgilerine, belgelerde saklanan parolalara veya sohbet ve e-posta yoluyla gönderilen kimlik doğrulama bilgilerine bağlı olduğunda da tedarik zinciri riski artar. Bu kimlik doğrulama bilgilerinden biri ifşa olursa işletmeniz bunu kimin kullandığını, nerede paylaşıldığını veya hâlâ kaç sisteme erişebildiğini bilemeyebilir.
Erişim kontrolü, tedarik zincirinizin güvenliğini korumak için en güçlü mekanizmanızdır. Her bir satıcı bağlantısı ne kadar kontrollü olursa bir şeyler ters gittiğinde hasarı sınırlamak o kadar kolay olur.
KOBİ’ler neden daha savunmasızdır?
KOBİ’ler genellikle tedarik zinciri saldırılarının büyük kuruluşların sorunu olduğunu düşünür. Gerçekte ise satıcı erişimi genellikle daha az resmi olduğu, daha az izlendiği ve daha az sıklıkta gözden geçirildiği için daha küçük işletmelere üçüncü taraflar aracılığıyla ulaşmak daha kolay olabilir.
Her SaaS hizmeti yeni bir bağımlılık ekler
Günümüzde çoğu küçük işletme günlük işleri için SaaS hizmetlerine bağımlıdır. Bunlar işletmelerin hızlı ve esnek hareket etmesine yardımcı olabilir ancak aynı zamanda iş verilerini barındırabilecek veya iş hesaplarına bağlantı kurabilecek sistemlerin sayısını da artırır.
Küçük bir ajans, danışmanlık firması, hukuk bürosu veya girişim (startup), buna tedarik zinciri demeden düzinelerce harici hizmet kullanıyor olabilir. Ancak güvenlik açısından bu hizmetler de zincirin bir parçasıdır.
Küçük ekipler satıcı gözden geçirme süreçlerinden yoksun olabilir
Büyük kuruluşlarda genellikle satın alma, satıcı riski anketleri, güvenlik incelemeleri ve yasal süreçler bulunur. KOBİ’ler ise bunun yerine gayriresmî güvene ve hıza güvenebilir.
2025 yılının başından bu yana, Proton’un Veri İhlali Gözlemevi 902 milyondan fazla kaydı açığa çıkaran 512 veri ihlali tespit etti. Bu tür bir görünürlük önem taşır çünkü kimlik doğrulama bilgileri, kişi bilgileri veya iş verileri ifşa edildiğinde birçok ihlal tek bir şirketle sınırlı kalmaz.
Bu durum, küçük işletmelerin kurumsal bürokrasiye ihtiyaç duyduğu anlamına gelmez. Ancak erişim izni vermeden önce temel soruları sormak ve iş değiştikten sonra erişimi gözden geçirmek için pratik bir yola ihtiyaç duydukları anlamına gelir.
Satıcı erişimi genellikle gereğinden daha geniştir
Bir işletme içindeki satıcı erişimi genellikle pratik nedenlerle genişler. Bazen bir yüklenicinin paylaşılan bir Drive’a erişmesi gerekir veya bir ajansın analiz ya da reklam hesabı erişimine ihtiyacı olur. O anda erişim izni vermek, özellikle çok sayıda çalışanı veya kaynağı olmayan küçük bir işletme için işlerin aksamadan yürümesini sağlamanın en hızlı yolu gibi görünür.
Risk ancak daha sonra, söz konusu izinler daraltılmadığında, gözden geçirilmediğinde veya kaldırılmadığında ortaya çıkar. Bir tedarikçi, bir proje sona erdikten sonra da erişimi elinde tutabilir, paylaşılan bir oturum açma bilgisi dolaşımda kalmaya devam edebilir veya bir entegrasyon, asıl ihtiyaç ortadan kalktıktan uzun süre sonra bile bağlı kalabilir.
Tedarik zinciri saldırılarına dair gerçek dünyadan örnekler
Yakın tarihli veri sızıntısı verileri, üçüncü taraf riskinin teorik olmadığını gösteriyor. Veri Sızıntısı Gözlemevimiz için yaptığımız araştırmalar sırasında, üçüncü taraf veya tedarik zinciri maruziyetiyle bağlantılı birkaç olay ortaya çıkardık. Bu olaylar, etkilenen kuruluşun mutlaka asıl ele geçirilme noktası olmasa bile müşteri, çalışan veya işletme verilerinin sızıntı veri kümelerinde nasıl yer alabileceğini göstermektedir.
Amtrak
Nisan 2026’da Veri Sızıntısı Gözlemevi, Amtrak ile ilişkili, 7,4 milyondan fazla ifşa edilmiş kaydı barındıran üçüncü taraf kaynaklı bir olayı ortaya çıkardı ve listeledi. Ele geçirilen veriler arasında isimler, fiziksel adresler, posta kodları, telefon numaraları, e-posta adresleri ve kullanıcı adları yer alıyordu.
İşletmeler için bu durum, üçüncü taraf kaynaklı bir olayın kimlik ve iletişim verilerini büyük ölçekte nasıl ifşa edebileceğinin açık bir örneğidir; bu da kimlik avı girişimleri, kimliğe bürünme ve kimlik doğrulama bilgilerine dayalı saldırılar için zincirleme riskler yaratır.
Canada Goose
Giyim şirketi Canada Goose, Şubat 2026’da 921.000’den fazla kaydın ifşa olduğu üçüncü taraf kaynaklı bir olaydan etkilendi. Ele geçirilen veriler arasında isimler, fiziksel adresler, telefon numaraları ve e-posta adresleri yer alıyordu.
Parolalar olmasa bile bu tür bir veri kümesi işletme riskini yine de artırabilir; çünkü saldırganlar, dolandırıcılıkları, kimlik avı girişimlerini ve sosyal mühendisliği daha inandırıcı hale getirmek için iletişim bilgilerini kullanabilir.
Üçüncü taraf riskinizi nasıl değerlendirebilirsiniz?
İşletmenizin riskini değerlendirmeye başlamak için büyük bir risk ekibine veya çok sayıda kaynağa ihtiyacınız yoktur. Basit bir envanterle başlayın ve en çok önem taşıyan tedarikçilere odaklanın.
1. Tedarikçilerinizi ve erişimleri haritalandırın
Sistemlerinize veya verilerinize erişimi olan tedarikçileri, SaaS hizmetlerini, yüklenicileri ve ortakları listeleyin. Her biri için şunları not edin:
- Hangi verilere erişebildikleri.
- Hangi hesapları veya entegrasyonları kullandıkları.
- Yönetici izinlerine sahip olup olmadıkları.
- Erişimin bireysel mi yoksa paylaşımlı mı olduğu.
- Çok faktörlü kimlik doğrulamanın gerekli olup olmadığı.
- Kurum içinde bu ilişkiyi kimin yönettiği.
- Erişimin en son ne zaman gözden geçirildiği.
Tedarikçi erişimi; net bir sahiplik, yönetici görünürlüğü ve iptal edilebilir erişim sunan kontrollü bir sistem üzerinden yönetildiğinde, bu envanteri güncel tutmak çok daha kolaydır.
2. Tedarikçileri riske göre sıralayın
Her tedarikçinin ayrıntılı bir şekilde gözden geçirilmesi gerekmez. Bir bordro sağlayıcısı, bulut depolama platformu, BT sağlayıcısı, CRM veya yönetilen hizmet sağlayıcısı, hassas verileri olmayan düşük riskli bir hizmete göre daha fazla incelemeyi hak eder.
Müşteri verilerini, kimlik doğrulama bilgilerini, ödemeleri, çalışan bilgilerini, üretim sistemlerini veya yönetici erişimini yöneten tedarikçilere öncelik verin.
3. Erişim vermeden önce güvenlik soruları sorun
Erişim vermeden önce, bir adım geri çekilip üçüncü tarafın gerçekten gerekli olup olmadığını, hangi sistemlere veya verilere erişmesi gerektiğini ve bu erişim düzeyinin haklı olup olmadığını değerlendirmek yararlıdır. Bu aşamada birçok kuruluş, tahmin ettiklerinden daha fazla tedarikçiye, entegrasyona ve harici hesaba güvendiklerini fark eder.
Hafif bir tedarikçi incelemesi yine de yararlı olabilir. Şunları sorun:
- Ayrılırsak verilerimize ne olur?
- İki adımlı doğrulamayı destekliyor musunuz?
- Müşteri verilerini nasıl koruyorsunuz?
- Rol tabanlı erişim kontrolleri sunuyor musunuz?
- Denetim günlüklerine veya etkinlik raporlarına izin veriyor musunuz?
- İlgili herhangi bir güvenlik sertifikasına sahip misiniz veya kabul görmüş güvenlik standartlarını takip ediyor musunuz?
- Olaylar hakkında müşterileri nasıl bilgilendiriyorsunuz?
- Çalışanların erişimini şirket içinde nasıl yönetiyorsunuz?
- En düşük yetkili erişim ilkesini destekliyor musunuz?
İşletmenizin maruziyeti azaltmak için yapabilecekleri
Tedarik zinciri riskini azaltmak kontrolle başlar. Pratikte bu, işletmenizin tedarikçilerin nasıl denetleneceği, nelere erişebilecekleri, etkinliklerinin nasıl izleneceği ve bir üçüncü tarafın güvenliği ihlal edildiğinde ne olacağı konusunda net kurallara ihtiyacı olduğu anlamına gelir.
Üçüncü taraf tedarikçileri güvenlik uygulamaları açısından denetleyin
Bir tedarikçiye işletme sistemlerine veya hassas verilere erişim vermeden önce, güvenlik uygulamalarının riskle uyuşup uyuşmadığını kontrol edin. Müşteri kayıtlarını, finansal verileri veya yönetici erişimini yöneten bir tedarikçi, temel bir üretkenlik uygulamasından daha yüksek bir standardı karşılamalıdır.
İki adımlı doğrulama desteği, rol tabanlı izinler, denetim günlükleri, olay bildirimi taahhütleri, veri tutma kontrolleri ve net ilişik kesme süreçleri arayın.
Üçüncü taraf erişimine en düşük yetki ilkesini uygulayın
En düşük yetki ilkesi, bir tedarikçi hesabının güvenliği ihlal edildiğinde etki alanını azaltır. Bu, salt okunur erişim yeterliyken yönetici izinleri vermekten veya belirli bir klasör iş görecekken geniş paylaşımlı klasörler sağlamaktan kaçınmak anlamına gelir.
Tedarikçiler için sıfır güven ilkelerini kullanın
Sıfır güven, her tedarikçiye güvensizlik duymak anlamına gelmez. Güvenilir bir ilişkinin sınırsız erişim sağlaması gerektiğini varsaymamak anlamına gelir.
Tedarikçi erişimi için bu; kimliğin doğrulanması, izinlerin sınırlandırılması, erişimin düzenli olarak gözden geçirilmesi, iki adımlı doğrulama talep edilmesi, etkinliğin izlenmesi ve her bağlantıya yönetilmesi gereken bir unsur olarak yaklaşılması anlamına gelir.
Sıra dışı erişim kalıplarını izleyin
Tedarikçiye bağlı hesaplar, normal kullanıma uymayan davranışlar açısından izlenmelidir. Sıra dışı oturum açma konumlarına, beklenmedik indirmelere, yeni yönetici kullanıcılara, izin değişikliklerine, mesai saatleri dışındaki etkinliklere, yeni entegrasyonlara veya tedarikçinin rolü dışındaki verilere erişime karşı dikkatli olun.
Bu sinyaller her zaman bir güvenlik ihlalini kanıtlamaz ancak ekibinizin, küçük bir sorun daha geniş bir sızıntıya dönüşmeden önce harekete geçmesine yardımcı olabilir.
Üçüncü taraf güvenlik ihlallerine karşı hazırlık yapın
Sizin olay müdahale planınız satıcı kaynaklı olayları da içermelidir. Bir tedarikçi ele geçirilme bildirdiğinde, işletmenizin bir sonraki adımda ne yapacağını bilmesi gerekir. İşletmeler için, işletmenizin üçüncü taraf uzlaşmasına vereceği yanıtı yapılandırmanıza yardımcı olabilecek veri ele geçirilmesi koruması hakkında yazdık.
Satıcıyla kimin iletişime geçeceğini, erişimi kimin gözden geçireceğini, günlükleri kimin kontrol edeceğini, kimlik doğrulama bilgilerinin yenilenip yenilenmeyeceğine kimin karar vereceğini ve gerekirse müşterilerle veya düzenleyici kurumlarla kimin iletişim kuracağını tanımlayın.
Her satıcı ve üçüncü taraf araç için benzersiz kimlik doğrulama bilgileri kullanın
Benzersiz kimlik doğrulama bilgileri, tedarik zinciri etki alanını azaltmanın en basit yollarından biridir. Bir satıcı portalı ele geçirilirse ve bir çalışan bu parolayı başka bir yerde yeniden kullanırsa, saldırganlar aynı kimlik doğrulama bilgisini e-posta, SaaS platformları, finans araçları veya yönetici sistemlerine karşı deneyebilir.
Satıcı başına benzersiz bir parola, bu doğrudan yeniden kullanımı önler. Ayrıca olay müdahalesini daha sorunsuz hale getirir. Bir satıcı uzlaşmaya uğradığında, aynı parolanın nerede kullanılmış olabileceğini merak etmek yerine hangi kimlik doğrulama bilgilerinin ilgilenilmesi gerektiğini bilirsiniz.
Proton Pass, ekibinizin her satıcı ve üçüncü taraf hizmet için güçlü, benzersiz parolalar oluşturmasına, bunları şifrelenmiş kasalarda saklamasına, otomatik doldurmayı kullanmasına ve erişimi güvenli bir şekilde paylaşmasına yardımcı olabilecek bir işletme parola yöneticisidir. Bu durum, modern işletmelerin güvendiği birçok harici hizmet genelinde kimlik doğrulama bilgisi hijyeninin korunmasını kolaylaştırır.
Tedarik zinciri saldırılarında kimlik doğrulama bilgisi bağlantısı
Tedarik zinciri saldırıları genellikle satıcılarla başlar, ancak kimlik doğrulama bilgileri etkinin ne kadar uzağa yayılabileceğini belirler.
Bir yüklenici hesabı uzlaşmaya uğrarsa ancak sınırlı erişime sahipse, hasar kontrol altında tutulabilir. Aynı hesap geniş izinlere, paylaşılan kimlik doğrulama bilgilerine, yeniden kullanılan parolalara veya hassas sistemlere erişime sahipse, saldırganın hareket etmek için daha fazla alanı olur.
Parola ve erişim yönetiminin tedarik zinciri risk yönetiminin içinde yer almasının nedeni budur. İşletmeniz, her satıcı veya üçüncü taraf araç için şunları bilmelidir:
- Hangi kimlik doğrulama bilgilerinin mevcut olduğu.
- Bunlara kimlerin erişimi olduğu.
- Parolanın benzersiz olup olmadığı.
- MFA’nın açılıp açılmadığı.
- Erişime hâlâ ihtiyaç duyulup duyulmadığı.
- Hesabın paylaşılan mı yoksa bireysel mi olduğu.
- Kurum içinde hesaba kimin sahip olduğu.
Proton Pass gibi bir işletme parola yöneticisi bu soruların yanıtlanmasını kolaylaştırmaya yardımcı olur. Kimlik doğrulama bilgilerinin hesap tablolarında, tarayıcı profillerinde, sohbet iletilerinde veya kişisel notlarda bulunması yerine, satıcı parolaları güvenli paylaşım ve daha net bir sahiplik sunan kontrollü bir sistemde depolanabilir.
Bu durum, satıcıları denetleme veya etkinliği izleme ihtiyacını ortadan kaldırmaz. En yüksek etkiye sahip kontrollerden birini güçlendirir: üçüncü taraf bir ele geçirilme durumunun, kendi işletmeniz genelinde bir parolanın yeniden kullanılması sorununa dönüşmemesini sağlamak.
Üçüncü taraf güvenliğini günlük operasyonlara dahil edin
Bir tedarik zinciri saldırısı, güveni içeriye giden bir yola dönüştürür. Normalde işletmeyi destekleyen bir satıcı, yazılım güncellemesi, SaaS hesabı, yüklenici veya entegrasyon, saldırganların verilere veya sistemlere ulaşmak için kullandığı rota haline gelebilir.
Küçük işletmeler üçüncü taraflardan kaçınamazlar ve buna ihtiyaçları da yoktur. SaaS araçları, BT sağlayıcıları, yükleniciler ve satıcılar, modern işletmelerin çalışma şeklinin bir parçasıdır. Amaç, bu ilişkileri yeterli kontrolle yönetmektir, böylece tek bir uzlaşma daha geniş bir ele geçirilme durumuna dönüşmez.
Temel bilgilerle başlayın: satıcılarınızı haritalandırın, erişimi değerlendirin, güvenlik soruları sorun, en az ayrıcalık ilkesini uygulayın, sıfır güven ilkelerini kullanın, olağan dışı etkinlikleri izleyin ve üçüncü taraf uzlaşması için plan yapın. Ardından, her satıcıya ve üçüncü taraf hizmete kendi benzersiz parolasını vererek kimlik doğrulama bilgiisi riskini azaltın.
Proton Pass, işletmelerin bu kontrolü günlük uygulamaya geçirmelerine yardımcı olur. Her satıcı oturum açma bilgisinin kendi benzersiz kimlik doğrulama bilgisi olduğunda, paylaşılan erişim şifrelenmiş kasaların içinde kalır ve ekipler bir ilişki sona erdiği an erişimi geçersiz kılabilir; böylece ele geçirilmiş tek bir parolanın işletme hesaplarınız genelinde bir zincirleme reaksiyonu tetikleme olasılığı çok daha düşük olur.






