Supply Chain (Tedarik Zinciri) Saldırıları: SolarWinds Benzeri Vakaların KVKK Sorumluluk Dağılımı
Dijital dünyada hiçbir kurum tamamen bağımsız değildir; her organizasyon dış kaynaklı yazılımlar, kütüphaneler ve servis sağlayıcılardan oluşan karmaşık bir ağa bağlıdır. Supply Chain (Tedarik Zinciri) Saldırıları, saldırganların doğrudan hedef kuruma saldırmak yerine, kurumun güvendiği bu üçüncü taraf yapıları (SolarWinds, Kaseya vb.) ele geçirerek “yasal bir güncelleme” veya “imzalı bir kod” kılığına girip binlerce sisteme aynı anda sızmasıdır. Bu yöntem, geleneksel güvenlik duvarlarının “güvenilir” kabul ettiği kanalları kullandığı için tespiti en zor saldırı türlerinden biridir.
Teknik olarak bu saldırılar, yazılım geliştirme aşamasında (SDLC) kaynak koduna yerleştirilen bir Backdoor (arka kapı) üzerinden ilerler. Saldırgan, kurumun ağ yönetim yazılımı gibi kritik araçlarına tam yetkiyle erişerek, kişisel verilerin tutulduğu mahzenlere sızabilir. KVKK Madde 12 uyarınca, veri sorumlusu olan kurum, verilerini emanet ettiği veya sistemlerine erişim verdiği “veri işleyen” (tedarikçi) üzerindeki denetim yükümlülüğünden feragat edemez. Bir ihlal durumunda “hata tedarikçideydi” savunması, teknik ve idari tedbirlerin yetersizliği nedeniyle cezai müeyyideleri engelleyemez.
Tedarik zinciri risklerini yönetmek için Sıfır Güven (Zero Trust) mimarisi benimsenmeli, kullanılan yazılım bileşenleri SBOM (Yazılım Kaynak Listesi) ile takip edilmeli ve tedarikçilerle yapılan sözleşmelerde (DPA) veri güvenliği taahhütleri hukuki olarak sağlama alınmalıdır. Siber dünyada güvenlik, sadece kendi duvarlarınızı örmekle değil; o duvarların içinden geçen her “misafiri” ve her “güncellemeyi” sıkı bir denetimden geçirmekle mümkündür.