Lübnan saldırıları sonrasında, herkes "tedarik zinciri" konusunda konuşmaya başladı. Çünkü saldırının temelinde, malzemelerin (Bu örnekte çağrı ve telsiz cihazları) satın alma sürecinde içine zarar verici (Bombalama) bir şeyler eklediğini gördük.

Zaten günümüzde güvenlik anlamında yükselen risk alanlarından birisi küresel dağıtım yapılan ürünlerin "tedarik zincirleri." Bu yazıda örnekleyeceğimiz gibi, sadece Lübnan saldırıları ve fiziksel durumlar ile de sınırlı değil. Son birkaç yıldır üstüste gelen olaylara bakıldığında, "bir taşla çok kuş vurmak" olarak tanımlayabileceğimiz, “kitlesel saldırı" imkânı sağlayarak, büyük sorunlara yol açtığı düşünülürse, "tedarik zincirleri" konusunda, ülkelerin ve hatta şirketlerin yeni yaklaşımlar geliştirmesinin gerektiği açık.

Tedarik zinciri, ürün ya da hizmetin tedarikçiden müşteriye doğru hareketini kapsayan ve bu süreç içerisindeki şirketler, insanlar, teknoloji, faaliyetler ve kaynaklar sistemlerinin bütününe verilen isimdir. "Elektronik" ve "bilgisayar" dünyasının tedarik zincirinde çok sayıda oyuncu yer alıyor. Bunlar arasında donanım üreticileri, yazılım üreticileri ve iç bileşenlerin (OEM) üreticileri var.

Tedarik zincirinin riskini ilk gördüğümüz olay, 2017'deki yazılım güncellemesi (yazılım tedariki) ile meydana gelen Petya saldırısı oldu. Bu olay gözlerin birden bilişim alanındaki tedarik zincirlerine çevrilmesine neden oldu. Ancak sadece saldırı olması gerekmiyor. Geçtiğimiz temmuz ayındaki "CrowdStrike" olayında, hatalı yazılım güncellemesinin de tedarik zincirlerindeki riskler arasında olduğunu fark ettik.

Tedarik zincirleri tek bir üreticiden yani tekelden geldiği için "dağıtımı ne kadar çok müşteriye yapılıyorsa”, riski de o düzeyde büyük olacaktır. Tedarik zinciri riskini daha iyi anlamak için, yakın zamanda olmuş belli başlı sorunları en yeniden, eskiye doğru gözden geçirelim.

Lübnan çağrı cihazları ve telsizler saldırısı

En yeni tedarik zinciri saldırısı eylülde meydana gelen ve tüm dünyada şok (ve "cep telefonum patlar mı?" korkusu) yaratan saldırılar oldu. Üstelik üst üste gelen iki saldırı konusunda hala kimse net bir şey söyleyemiyor. Ama bilinen şu; Hizbullah'ın satın aldığı çağrı cihazları ve telsizler içine tedarik zincirinin bir noktasında patlayıcılar yerleştirilmiş. Özetlersek;

Krizi yaratan: Çağrı cihazları ve telsizler.

Sonuç: İsrail, Hizbullah'a öldürerek ya da sakatlayarak, önemli sayıda "savaşçı kaybı" verdirmiş durumda. Yarattığı "korku" ve "endişe"yi de eklersek, bu saldırı adeta Çinli komutan Sun Tzu'nun kitabından çıkmış bir saldırı gibi oldu.

CrowdStrike sorunu

Temmuz 2024 sonunda küresel çapta meydana gelen büyük IT kesintisi bir siber saldırı değildi ama sonuçta tedarik zinciri riskini ortaya koyan diğer bir olaydır.

29 bin küresel müşterisi ile dünyanın en büyük güvenlik yazılımlarından biri olan CrowdStrike'ın olağan güncellemesi sırasında meydana gelen bir yazılım hatası, çalışmayan (mavi ekrana düşen) bilgisayarlar ile dünya çapında iş kesintisine neden oldu.

Krizi yaratan: Windows çalıştıran bilgisayarlarda CrowdStrike yazılım güncellemesi.

Sonuç: Bir sigorta firması olayın 5,4 milyar dolar zarar verdiğini tahmin etti. Ancak sadece şirketlerin iş kaybı düşünülerek bulunmuş bir rakamdı bu. En büyük kullanıcılar arasındaki -THY dahil- havayolları şirketlerinin çok sayıda uçuş iptallerini ve bu iptallerin insanlara maliyetini düşünürseniz, rakamın daha büyük olduğunu tahmin edebilirsiniz. Geçen hafta da ABD Kongresi’nden özür dilediler.

CrowdStrike firmasına açılan davalar var. Bunların nasıl sonuçlanacağını göreceğiz ama lisans anlaşmaları genellikle yazılım firmalarını koruyor. Bunu da not edelim.

Rusya'nın Ukrayna'ya yaptığı siber saldırı

Rusya tarafından, 2021'deki işgal hareketinden 1 ay kadar önce, Ukrayna Ulusal Güvenlik ve Savunma Konseyi bünyesindeki Ulusal Siber Güvenlik Koordinasyon Merkezi, yürütme organlarının Elektronik Etkileşim Sistemi (SEI EB) aracılığıyla kötü niyetli belgeleri yayma girişimleri bulundu.

Krizi yaratan: Microsoft yazılımı kullanan bilgisayarlar

Sonuç: Rusya'nın, Ukrayna'yı işgalinden kısa bir süre önce meydana gelen bu siber saldırıda, Ukrayna Kamu şirketlerinin verileri yok edildi.

Salgın ve Süveyş Kanalı kazası (fiziksel olaylar)

2020 ve 2021'de yaşanan olaylarda, bu sefer üretim kabiliyetindeki bozulmanın ya da paralelindeki gemi taşımacılığında yaşanacak sorunların da tedarik zincirini bozabileceğini gördük. Dünyanın son 40 yılda üretim tarzı, batıda tasarlanan ama doğuda (maliyet avantajı nedeniyle) üretilen ürünler olduğu için, bu ülkelerdeki gelişmeler ve gemi taşımacılığı önemli olabiliyor. Bu sorunu önce Covid salgını sırasında, doğuda üretimin zarar görmesiyle yaşadık. Sonra da Süveyş Kanalı’ndaki gemi kazası konuyu bir daha önümüze getirdi. Çünkü doğudan batıya taşımada gemi nakliyatının oranı yüzde 80.

Krizi yaratan: Üretimde ya da Gemi taşımacılığında sıkıntı oluşması ya da yaratılması.

Sonuç: Bunların sonucunda "yerinde üretim" fikri geri döndü. Örneğin Çip üretimi konusunda, ülkeler Tayvan'a güvenmek yerine, kendi çip üretimlerini oluşturmak yönünde finansman ayırmaya başladılar.

Fireeye (SolarWinds) saldırısı

Dünyanın en büyük siber güvenlik şirketlerinden biri olan FireEye'a 2020 sonunda yapılan bir siber saldırıydı. SolarWinds isimli ağ izleme programları firmasının kötücül kod bulaşmış yazılım güncellemeleri üzerinden yapılmıştı. Yani bir kez daha "tedarik zinciri" saldırısı meydana gelmişti.

Fortune 500 firmalarının büyük kısmı ve ABD kamu kurumlarının büyük kısmı networklerini SolarWinds ile izliyorlardı. Hepsi etkilendiler.

Krizi Yaratan: Solarwinds Ağ İzleme Yazılımı güncellemesi yoluyla FireEye'e sızılması.

Sonuç: Hesaplanamayan ve milyar dolarlar denilen bir mali zarar dışında, FireEye firması CIA'ın fonladığı ve Amerikan devlet kurumlarında kullanan bir yazılım olduğu için, saldırının "devlet destekli" bir hacker grubundan (Ruslar) geldiği iddia edildi ve ABD, siber güçleri konusunda itibar kaybı yaşadı.

Crypto AG rezaleti

Bir diğer tedarik zinciri sorunu, şifreleme cihazları üreten Crypto AG firmasının aslında bir CIA projesi olduğunun ortaya çıkması oldu.

50 yıldan fazla bir süredir, tüm dünyadaki hükümetler casuslarının, askerlerinin ve diplomatlarının iletişimini gizli tutmak için Crypto AG isimli tek bir şirketin ürünlerini kullanıyor.

Krizi Yaratan: Casus-asker-Diplomatların iletişimi için gereken şifreleme cihazları.

Sonuç: İsviçreli Şirket, onlarca yıldır, mekanik dişlilerden elektronik devrelere ve son olarak silikon çiplere ve yazılımlara kadar teknoloji dalgalarını yönlendiren, şifreleme cihazlarının en önemli üreticisi oldu. Sonra sızan bir belgede ne gördük. Dünya hükümetler gizli bilgilerini CIA'ın sahibi olduğu firmaya para ödeyerek şifreliyorlarmış. Yani hükümetler gizli bilgilerini vermek için CIA’e resmen para ödüyorlarmış.  Bunun 50 yılda yol açtığı zararı hayal bile edemiyoruz.

Çip sıkıntısı

Tedarik zinciri konusundaki "en önemli" sorun bu oldu. Covid salgını başladığında, hastalanan Tayvanlı işçiler, sokağa çıkma yasakları, gemi taşımacılığının durması, bir sonraki sene etkilenen sektörlerin (beyaz eşya, otomotiv vs) gereğinden fazla stok yapması derken, Çip krizi meydana geldi.

Krizi yaratan: Çip üretiminin ve de taşımacılığının bir şekilde kesilmesi.

Sonuç: Çünkü çipler özellikle 21.yüzyılda, batıda tasarlanıp, -ölçek ekonomisi nedeniyle- doğuda üretiliyordu. Ama Covid krizi yerel üretimin önemini ortaya koydu. Sonuçta Güney Kore, İspanya, İtalya, Almanya, Avrupa Birliği ve tabii ki ABD, üretimi kendi ülkelerine geri çekmeye yönelik teşvikler açıkladılar. Ama henüz büyük bir değişim meydana gelmiş değil.

ABD yaptırımları

Tedarik krizi yaratacak en enteresan konulardan birisi de ABD'nin canı istediği zaman yaptırım uygulaması oluyor. Çünkü bugün kullanılan pek çok yazılım ABD malı. Hatta SAP gibi Alman malı olanlar bile ABD'de satmak ve de borsada hareket etmek için ABD kurallarına uymak zorunda.

ABD'nin sağladığı bilişim araçları, yazılımlar, bulut servisleri, Gmail, WhatsApp türü uygulamalar. Hatta internet ağı. Bu tehdit uzak da değil. Trump'ın Başkanken Türkiye'ye yaptığı tehditi hatırlatalım. Diğerlerini de zaman gördük. Mesela Oracle Rusya'ya Java'yı yasakladı. Adobe, Venezüela'ya yaptırım uyguladı. Ukrayna işgali nedeniyle birçok Amerikalı şirket -istemese bile- Rusya'ya yaptırım uyguladı. Mesela Mastercard ve Visa, ödemeleri bloke etti.

Krizi Yaratan: Yazılımları ya da donanımları bloke etmek.

Sonuç: Bu yazılımların ve donanımların dayandığı iş süreçleri yok olur. Çözüm ise açık kaynaktır.

Petya saldırısı

Yine Amerikan istihbarat örgütü NSA'in yarattığı söylenen kodların kullanılarak yaratıldığı   düşünülen ve Windows açığını kullanan Petya, bir tür fidye saldırısıydı. Mart 2016'da keşfedildi ama en büyük saldırısını Haziran 2017'de yaptı. Farklılıklar olduğu için bu sefer notPetya olarak adlandırıldı.

Bu saldırı, yazılımda "tedarik zinciri saldırısı" olarak adlandırılan ilk olay oldu. Çünkü, PETYA başta Ukrayna olmak üzere tüm sistemlere, şaşırtıcı bir şekilde "otomatik yazılım güncellemesi" ile sızmıştı.

Araç: Burada, tedarik zincirinde, yine Microsoft üretici, bayileri ise dağıtıcı durumundaydı.

Sonuç: Bu saldırıda Ukrayna, Fransa, Almanya, İtalya, Polonya, İngiltere, Çin ve Amerika Birleşik Devletleri'nde çeşitli özel ve kamu şirketlerinin etkilendiği bildirdi. Sonuçta 10 milyar dolarlık bir zarar yol açtığı hesaplandı.

En çok etkilenen firmaların başında denizcilik firması Maersk geliyordu. Firmanın 49 bin bilgisayarı devredışı kaldı ve kullandığı 1200 yazılım ile ilişkisi koptu. 14 gün sonra geriye dönmeye başladılar. Bu esnada 350 milyon $ kayıp raporlanmıştı.

WannaCry saldırısı

Nisan 2017 sonlarında, Rus ShadowBrookers isimli bir hacker grubu, Amerikan istihbarat örgütü NSA’ın yarattığı düşünülen bir hacking aracı yayınladı. Bu araç, WannaCry olarak bilinen saldırıya zemin sağlıyordu. Microsoft’un Windows işletim sisteminde yer aldığı belirtilen EternalBlue isimli bir açığı kullanarak bilgisayarlara sızıyor ve içindeki bilgilere erişimi sağlıyor ya da bilgisayarın kumandasını ele geçirmeye yarıyordu.

Araç: WannaCry saldırısında üretici Microsoft idi. Dağıtıcı da her ülkedeki Microsoft bayileri. Ruslar tek bir atışla çok sayıdaki bilgisayarı etkilemişlerdi.

Sonuç: Bir gün içinde dünyaya yayıldı, 150 ülkede 230 binden fazla bilgisayar sistemini etkiledi ve yaklaşık 4 milyar dolarlık mali kayba neden oldu. İngiltere’de sağlık sistemi, İspanya’da Telefonica, Almanya’da tren istasyonlarındaki ekranlar, Rus İçişleri Bakanlığı sorun yaşayan yerler arasındaydı.

O günlerde bu olay henüz tedarik zinciri saldırısı diye sınıflandırılmamıştı ama öyleydi.

Cihazlara böcek yerleştirilmesi

Bu olay, son Lübnan saldırısından farksız bir saldırı cinsi. Snowden 2014 yılında, diğer ülkelerin bakanlık, başbakanlık ya da Merkez bankası gibi önemli bölümlerine satılan Cisco cihazların içine, dağıtıcı firma tarafından bazı dinleme / takip cihazları konulduğuna dair bir dosya yayınladı. Yani, yabancı devletlerin özel ya da kamu şirketleri internet bağlantı cihazları aldıklarında aslında kendilerinin dinlenmesi için üste para ödüyor durumundaydılar.

Bu nedenle de şimdi ABD bas bas bağırıyor; Çinli telekom firmalarının ürünleri "milli güvenlik riski" taşıyor diyorlar. Çünkü kendileri yıllardır bunu yapıyorlardı.

Araç: Her türlü yazılım ya da donanım araçları.

Sonuç: Kim bilir ne bilgiler sızdı?

Tedarik zinciri risklerine karşı neler yapılmalı?

Kısaca gözden geçirdiğimiz bu olayların dışında bu kadar büyük olmayan yani küresel değil yerel soruna neden olan olaylar da mevcut.  Hepsinde Tedarik Zinciri sürecinin içindeki bazı dikkatsizliklerle ya da tekele bağımlı olmakla ilgili.   Buradaki riskler, Lübnan olayındaki ölüm ve yaralanmalar dışında, iş kesintisi, verilerin kaybı (mesela alacak-verecek hesapları yani muhasebe), kıymetli verilerin sızması (müşteri veri tabanı, üretim sırları gibi), itibar kaybı olarak tanımlanabilir.

Başta da belirttiğimiz üzere, tedarik zincirlerinin işleyişinde dikkat edilmesi gereken hususlar olduğu açık. Bu nedenle nelere dikkat edilmeli dersek; hemen aklımıza gelenler şunlar (daha aklınıza gelen varsa ekleyiniz).

1. Dünyadaki "yerinde üretim" doğru bir stratejidir. Özellikle kritik ürünler açısından da ö

2. Tekel haline gelmiş ve tüm dünyada (ya da geniş bir yayılma ile) kullanılan yazılımlar önemli bir tehdit olabiliyor. Örneğin yukarıdaki olaylara bakın, hemen hepsinde Microsoft'un yazılımı ile ilgili sorunlar gözüküyor. Bunların bir kısmı Microsoft'un yazılım kalitesi ile ilgili olsa da, çok dağılmış yazılımların açıklarının mutlaka tespit edileceğini düşünmek lazım. Bunun çözümü;
   • Bu tür yazılımları kullanmamak
   • Kullanmak mecburiyeti varsa da yedekleme ve güncellemeler konusundaki prosedürlerin iyi oluşturulması ve uygulanması gereklidir.
   • Bağlı olmayan ortamda bir yedekleme stratejisi de iyi olabilir. Petya saldırısında, Maersk'i kurtaran Nijerya'daki şubenin elektriklerinin kesik olmasıydı.

3. Bağımsız yazılım üreticileri (ISV) açısından bakarsak da sistem çekirdeğine doğrudan erişim vermek ya da otomatik güncellemeler konusu hassas (Petya ve CrowdStrike olayları).

4. "Sessiz yama" yani otomatik güncellemeler konusunda da yöntemlerin yeniden tanımlanması lazım.

5. Siber güvenlik prosedürlerinin sürekli güncellenmesi şarttır.

6. Sistemdeki yeni uygulamalar konusunda muhafazakâr olun. İyice emin olmadan kullanımına yol vermeyin. Bu yapay zeka uygulamaları için özellikle geç

Bir yandan da şunu fark etmek lazım. Günümüzde bilişim araçları (yazılım, bulut vs.) ve üretimler bu kadar tekelleşmişken, başımız gerçekten belada. Yani çok geç olmadan, bunların şirket / kamu / hükümet düzeyinde analiz edilmesi ve önlemler alınması şarttır. Aksi durum, -en iyi ihtimalle- herkesi ortaçağa gönderir.

Füsun Nebil kimdir? Füsun Sarp Nebil, İstanbul, Bakırköy'de doğdu. Eğitimini Çanakkale, İzmir ve İstanbul'da yaptı. Evli, 2 çocuk sahibidir. Denizcilik meraklısıdır (amatör kaptan). Master derecesini Istanbul Teknik Üniversitesi Nükleer Yüksek Mühendisliği bölümünden aldı (Şimdi Enerji Enstitüsü). THY, Nasas Alüminyum Fabrikası ve Alemdar Holding Grubunda çeşitli görevlerde bulundu. 1997 Türkiye'nin ilk ISP'lerinden Alnet'in Genel Müdürlüğüne getirildi. 1999 yılında turk-internet.com'un da dahil olduğu çeşitli siteleri yayınlayan Intervizyon Ltd. şirketini kurdu. Şirket halen Kadinvizyon.com gibi başka siteleri de yönetmektedir. 1998 - 2011 arasında Ulaştırma Bakanlığı tarafından kurulan İnternet Kurulu üyeliği yaptı. Devletin özel sektörü aldığı çeşitli komisyonlarda çalıştı. 2016'dan beri TOBB Telekom Meclisi üyesidir. Nebil, Eylül 2001 yılında Birleşmis Milletler tarafından Türkiye'den seçilen başarılı iş kadınları arasında yer aldı (UNECE INCLUDES 9 TURKISH BUSINESSWOMEN ON ITS LIST). 2010-2013 arasında Türkiye Dijital Oyun Federasyonu Yönetim Kurulu Üyesi olarak görev yaptı. 2011 - 2015 arasında 4 yıl Eutelsat Avrupa TV Ödüllerinde Jüri Üyeliği görevi aldı. Türkiye İhracatçılar Merkezi dahil, çeşitli projelerde "Bilişim ve İletişim Sistemleri Danışmanlığı" vermektedir. Konusuyla ilgili olarak TV programlarına ya da konferanslara katılarak, konuşma yapmaktadır. Yazıları internet üzerinden turk-internet.com sitesinin yanısıra, yetkinreport.com, bilisimdergisi.org.tr, Boğaziçi Üniversitesi Mezunlar Derneği Dergisi, 21.Yüzyıl Türkiye Enstitüsü, Güncel Hukuk Dergisi, Ankara Baro Dergisi, journo.com, Tüketiciler Birliği Etikett gibi çeşitli ortamlarda yayımlanıyor. 2014 yılından beri T24'te yazıyor. Türk Telekom ve Turkcell konusunda araştırmaları ve uzmanlığı var. 2018 nisan ayında "Bitcoin ve Kripto Paralar" isimli ilk kitabı yayınlandı. Detaylı bilgi için https://wiki-turk.com/fusun-sarp-nebil/ adresine bakabilirsiniz.