Covid salgını sonrasında, dünyanın farkına vardığı önemli bir konu, tedarik zinciri krizleri oldu. Çünkü Amerikalı olanlar başta olmak üzere batılı firmalar 30-35 yıldır, ucuz işçilik ve ölçek ekonomisi nedeniyle doğuda üretim yaptırıyordu. Salgın bu zincire hem üretim hem taşımacılık anlamında zarar verdi ve ülkeler "yerinde üretim" kavramını tekrar ele aldı. Bugün Trump'ın hareketlerinde bunun yansımalarını görüyoruz.
Salgındaki tedarik zinciri sıkıntıları işin fiziksel yönüydü ama tedarik zincirlerinin bilişim tarafı daha da kötü durumda. 1990’lardan başlayarak, tüm dünyanın Microsoft, Oracle, SAP gibi yazılımları tekel halinde tercih etmesi, 2010’lardan başlayarak da global “hyperscale” denilen büyük bulut firmalarının tekelleşmesi (pazarın üç firmanın elinde kalması), bu tehlikenin bileşenleri.
Ayrıca "ambargo" ya da "yaptırım" olayları da işin diğer yüzü. Rusya, İran, Venezüela bu yaptırımları, veri tabanından, ödeme sistemlerine kadar pek çok bilişim alanında çok yönlü yaşadılar. Bu yazıda bunu sadece hatırlatarak geçiyorum. Asıl uyarım bilişim tarafında.
Son iki ayda beş global bilişim kesintisi yaşandı
Yüzde 80-85 pazar payı ile dünyadaki ticaretin bel kemiği olan deniz taşımacılığı, Haziran 2017'de büyük bir siber darbe aldı. Global gemi taşımacılığının yüzde 18'ini gerçekleştiren Maersk, operasyonlarında kullandığı Microsoft yazılımlarının açığı üzerinden "Shadow Brokers" isimli hacker grubunun fidye saldırısına uğramışlardı. Sadece Maersk de değil, bağlantılı taşımacılık firmaları TNT, FedEx ve diğerlerine de yansıyan saldırının verdiği toplam iş hasarı 10 milyar doları buldu. Maersk'in işlerinin tekrar normale dönmesi dokuz ayı buldu.
İlk o saldırı sonrasında dünya "tedarik zincirindeki siber riskleri" konuşmaya başladı. Bu riskleri sınıflandırırsak;
- Bu Lübnan'daki çağrı cihazlarının patlatılması gibi dijital araçlara yapılan fiziksel tedarik zincirisi saldırıları da olabilir,
- Amerikan hükümetinin bazı yazılım ve hizmetlerin (mastercard, Visa vs.) kullanımını engellemesi de (yaptırım) olabilir
- Ama daha yaygın hale gelebilecek, Maersk olayındaki ya da SolarWinds'e yapıldığı gibi yazılıma sızma kanalıyla bu yazılımı kullanan tüm firmalara siber saldırı da olabilir,
- Ya da saldırı olmayan, geçen yıl meydana gelen ve 5,6 milyar dolara mâl olduğu raporlanan CrowdStrike yazılımının arızası, kesintisi gibi bir kriz de olabilir.
Üstelik bu siber tedarik zinciri riskleri giderek artıyor. Bu yazıyı yazmamın nedeni son iki ayda meydana gelen global bilişim kesintileri. Hatırlatalım;
- 4 Eylül'de Türk Telekom kullanıcıları Google'un uygulamalarına (Gmail, Google map, Drive, YouTube, Analytics) bir kaç saat erişemediler. Anlaşılan bazı sunucularda sorun vardı. Sonuçta yönlendirme değiştirilince durum düzeldi.
- 7 Eylül'de Süveyş kanalından geçen kablolarda sıkıntı olduğu için Microsoft Azure'de kesintiler yaşandı. Akdeniz güzergahından akan küresel internet trafiğinin yaklaşık %17'sinin aksadığı raporlandı.
- 22 Eylül'de check-in, bagaj işlemleri vs yapılan Muse isimli yazılımına yapılan siber saldırı sonucunda, Londra / Heathrow, Brüksel gibi belli başlı Avrupa havalimanlarında işlemler gecikti ve uçuşların yarısı iptal oldu.
- 20 Ekim'de Amazon'un bulut servisi AWS'de 12 saate varan kesinti oldu. AWS'yi kullanan Amazon e-Ticaret, Zoom, Perplexity, Canva, Signal, Roblox, Fortnite ve sayısız diğer site ve hizmette kesintiler görüldü.
- 30 Ekim'de Microsoft Azure'de yazılım hatası sonucunda 8 saate varan kesinti meydana geldi.
Yerel olmayan altyapının, global bulut altyapısının ve tekel yazılımların riski
Bu kesintiler, bulut altyapısının ve Microsoft, SAP gibi tekel haline gelmiş yazılımların, AWS gibi hyperscale firmaların ne kadar kritik hale geldiğini gösteriyor. Tek bir saldırı (fidye virüsü) ya da yapılandırma hatası birden fazla hizmete (bulut bilişim, SaaS, medya, oyun) yansıyabiliyor. Bir yapılandırma değişikliğinin büyük bir hizmet kesintisine yol açması, tek sağlayıcılı bulut bağımlılıklarının kırılganlığını gösteriyor.
Örneğin 30 Ekim'deki en son Microsoft yapılandırma hatası nedeniyle Azure'a güvenen (veya üzerinde barındırma hizmetleri barındıran) büyük firmalar ya da telekom operatörleri, veri merkezleri ve ekipman satıcıları, bu kesintiden kaynaklanan operasyonel risklerle karşı karşıya kaldı. Avrupa POP'ları aracılığıyla geçici paket kaybı, Microsoft 365 oturum açma işlemlerinin yavaşlamasına ve Outlook Online senkronizasyon hatalarına yol açtı. En ağır hizmet bozulması İngiltere, Almanya ve Hollanda'dan bildirildi. Somut örnek verirsek, Heathrow Havalimanı web sitesi, İngiltere'de bazı telekom ve İnternet Servis Sağlayıcılar (Community Fibre, bazı raporlarda Vodafone UK) ve perakende, finans siteleri etkilendi. Microsoft kullanıcı firmalar zaten yazılımlardaki açıklar nedeniyle yıllardır pek çok virüs saldırısının ana kurbanları durumunda.
Telekom altyapısı göz önüne alındığında, bu durum çoklu bulut, çok bölgeli yedeklilik ve kritik öneme sahip altyapıların yerelleştirilmesinin önemini gösteren bir örnek durumunda. Tek bir küresel bulut sağlayıcısına (özellikle de merkezi ve sunucuları yurtdışında olan bir sağlayıcıya) bağımlılığın giderek artması önümüzde önemli bir risk olarak duruyor. Kritik hizmet operatörleri --ki bu olayda zarar gören havaalanları, havayolları, telekomünikasyon firmalar raporlandı-- için bulut kullanımı (genel veya hibrit), bulut sağlayıcı katmanında yaşanan kesintinin hızla alt akış hizmet kesintilerine dönüşmesi anlamına geliyor. Kesinti maliyeti ve itibar riski artıyor.
Önlemler ne olmalı?
Firmalar, ağ mimarilerinin (özellikle bulut, telekom, altyapı) genel bulut katmanında tek arıza noktalarına sahip olup olmadığını değerlendirmelidir. Örneğin, firmanın temel hizmetleri tek bir bulut sağlayıcı bölgesinde bulunuyorsa, böyle bir kesintiden doğrudan etkilenir.
Bulut kapasitesi kiralayan servis sağlayıcıları, iş sürekliliği planlarına kesinti senaryolarını dahil etmelidir. Şirketler, yalnızca tek bir sağlayıcıya (örneğin Azure) güvenmek yerine, özellikle kritik hizmetler (telekomünikasyon çekirdeği, veri merkezi barındırma, bulut tabanlı ağ işlevleri) için "birincil sağlayıcı A, yedek sağlayıcı B" stratejisini benimseyebilir.
Hükümetin de, bulut bağımlılığıyla ilgili politikalarını gözden geçirmesi ve kritik altyapıların "yerel" veya "güvenilir sağlayıcı" yedekleme kapasitesine sahip olmasını teşvik etmesi önemli. Türkiye'nin telekomünikasyon ve veri merkezi stratejisinde bir an önce bu konulara yakından bakması lazım.
Firmalar hyperscale olarak adlandırılan büyük bulut hizmetleri sağlayıcılara alternatifler araması ve bölgesel bulut sağlayıcılarının veya ikinci kademe oyuncuları destekleme stratejisini düşünmeye başlaması önemli.
Daha detaylı önlemleri burayı tıklayarak okuyabilirsiniz.
