Şatoya Alınan Truva Atı: Tedarikçi Risk Yönetimi ve SOC 2’nin Karanlık Labirentleri

kullanici1

Nisan 7, 2026

KVKK,SOC

Siber güvenlikte “Tedarik Zinciri Saldırısı” (Supply Chain Attack) adı verilen acımasız bir konsept vardır. Zeki bir siber saldırgan (veya devlet destekli bir APT grubu), milyonlarca dolarlık güvenlik yatırımı olan, sızması imkansız bir bankayı veya bir devlet kurumunu doğrudan hacklemeye çalışarak zaman kaybetmez. Bunun yerine hedefini değiştirir: “Bu banka, içerideki ofis kameralarının bakımı için hangi taşeron firmayı kullanıyor? Veya çalışanlarına anket göndermek için hangi ucuz SaaS (Software as a Service) platformunu kiraladı?”

Saldırgan, güvenlik bütçesi bankanın binde biri bile olmayan o küçük ajansı veya yazılım firmasını hackler. O firmanın sistemleri üzerinden, tamamen “yasal ve güvenilir” bir bağlantıymış gibi bankanın ana damarlarına sızar. Tarihin en büyük siber felaketleri (SolarWinds vakası, Target mağazalarının iklimlendirme taşeronu üzerinden hacklenmesi) hep bu arka kapılardan gerçekleşmiştir. Güvenlik zinciriniz, sadece en zayıf halkanız (en zayıf tedarikçiniz) kadar güçlüdür.

Hukuki Yüzleşme: İhaleyi Başkasına Yıkamazsınız

SaaS (Hizmet Olarak Yazılım) modelinin en büyük illüzyonu şudur: “Sunucular onlarda, güvenlik onların işi, hacklenirsek suçlu onlardır.” KVKK (Kişisel Verilerin Korunması Kanunu) ve GDPR, bu tembel savunmayı anında paramparça eder. Hukuken siz “Veri Sorumlusu” (Data Controller), hizmet aldığınız o bulut firması ise “Veri İşleyen” (Data Processor) konumundadır. Kanun çok nettir: Kişisel verilerin güvenliğini sağlama yükümlülüğü (Madde 12) asli olarak Veri Sorumlusundadır.

Eğer tedarikçiniz hacklenir ve müşterilerinizin kredi kartları internete düşerse, basında tedarikçinizin değil, sizin adınız çıkar. Müşterileriniz tedarikçiye değil, size dava açar. KVKK Kurulu, “Biz veriyi onlara emanet etmiştik” bahanesini kabul etmez ve size şu öldürücü soruyu sorar: “Bu firmaya milyonlarca kişinin verisini teslim etmeden önce, onların güvenlik altyapısını hangi teknik ve idari standartlara göre denetlediniz?”

Eğer elinizde bu denetimi yaptığınıza dair sağlam kanıtlar yoksa, doğrudan “Ağır İhmal” ile yargılanırsınız. İşte bu “sağlam kanıtlar”, tedarikçiden talep edilen uluslararası güvenlik sertifikalarıdır.

Siber güvenlik temalı mavi bir arka plan üzerinde, ortasında anahtar deliği bulunan neon ışıklı bir koruma kalkanı ve dijital devre hatları.

Güvenin Kağıda Dökülmüş Hali: ISO 27001 ve SOC 2

Bir SaaS firmasına “Sistemleriniz güvenli mi?” diye sorduğunuzda hepsi “Evet, askeri düzeyde şifreleme kullanıyoruz” gibi süslü pazarlama cümleleri kurar. Gerçek bir risk yönetimi, pazarlama söylemlerine değil, bağımsız ve acımasız denetçilerin (KPMG, EY, PwC gibi) imzaladığı raporlara inanır.

Masaya gelen iki büyük standart vardır:

  1. ISO 27001: Avrupa ve dünyanın geri kalanında yaygındır. Kurumun bir “Bilgi Güvenliği Yönetim Sistemi” (BGYS) kurduğunu belgeler. Ancak yapısı gereği biraz daha bürokratiktir. Şirketin politika ve prosedürlerinin kağıt üzerinde tam olup olmadığına odaklanır.
  2. SOC 2 (Service Organization Control 2): Özellikle Amerikan menşeli bulut (SaaS) firmaları için “Altın Standart” kabul edilir. Sadece kağıt üzerindeki politikalara değil, sistemin teknik olarak nasıl çalıştığına, verinin nasıl korunduğuna çok daha derinden bakar.

Bizim odaklanacağımız yer, bir CISO’nun masasına geldiğinde haftalarca incelenen o karmaşık SOC 2 Raporu‘nun anatomisidir.

SOC 2'nin Anatomisi: Type I vs. Type II

Bir tedarikçi size gururla “SOC 2 sertifikamız var” dediğinde, sorulması gereken ilk hayati soru şudur: “Type I (Tip 1) mi, yoksa Type II (Tip 2) mi?” Aralarındaki fark, bir maketi incelemekle, gerçek bir binanın deprem testini izlemek kadar büyüktür.

  • SOC 2 Type I (Tasarım Testi – Fotoğraf Çekmek): Denetçi şirkete gider ve belirli bir “tek bir günde” sistemlerin tasarımına bakar. Şirket “Biz veritabanını şifreliyoruz ve işten ayrılan personelin yetkisini o gün anında kapatıyoruz” der. Denetçi tasarıma bakar, mantıklı bulur ve onaylar. Bu, şirketin “en iyi giyindiği gün” çekilmiş bir vesikalık fotoğraftır. Gerçek bir güvenlik güvencesi sunmaz.
  • SOC 2 Type II (Operasyonel Etkinlik – Film Çekmek): İşte gerçek zırh budur. Denetçi şirketi en az 6 ay, genellikle 1 yıl boyunca aralıksız izler (veya geçmişe dönük 1 yıllık kayıtları inceler). Şirket “İşten ayrılan personelin yetkisini kapatıyoruz” demişse, denetçi son 1 yılda işten ayrılan tüm personelin listesini İK’dan ister ve IT loglarıyla karşılaştırır. Eğer bir kişi bile işten ayrıldıktan 3 gün sonra sisteme girebilmişse, denetçi bunu rapora “İstisna” (Exception) yani hata olarak yazar. Type II, bir fotoğraf değil; 1 yıllık yorucu ve acımasız bir belgesel filmdir.

Büyük kurumsal firmalar (Bankalar, Telekomünikasyon şirketleri), tedarikçilerinden sadece SOC 2 Type II raporu kabul ederler. Type I ile gelen bir firmaya kritik veri asla emanet edilmez.

Bir SOC 2 Raporu Nasıl Okunur? (Şeytan Ayrıntıda Gizlidir)

SOC 2 raporu duvara asılan tek sayfalık bir diploma değildir; genellikle 100 sayfanın üzerinde, hukuk ve IT dillerinin harmanlandığı ağır bir dokümandır. Kurumun IT denetçisi bu raporu eline aldığında kapağı geçip doğrudan şu üç ölümcül bölüme bakar:

1. Denetçinin Görüşü (Auditor’s Opinion)

Raporun en kritik 2 sayfasıdır. Denetçi buraya nihai kararını yazar.

  • Unqualified Opinion (Şartsız / Temiz Görüş): Hedeflenen en iyi sonuçtur. Denetçi “Her şey iddia ettikleri gibi mükemmel çalışıyor, minik kusurlar olsa da sistemin ana omurgası çok sağlam” der.
  • Qualified Opinion (Şartlı Görüş): Kırmızı alarmdır! Denetçi “Genel olarak iyiler AMA şu departmanda güvenlik kontrolleri çökmüş” diyerek şerh düşmüştür.
  • Adverse (Olumsuz) veya Disclaimer (Görüş Bildirmekten Kaçınma): Eğer tedarikçi bu raporu size gönderdiyse, koşarak oradan uzaklaşmanız gerekir. Denetim felaketle sonuçlanmıştır.

2. İstisnalar (Exceptions / Deviations)

Kusursuz bir Type II raporu neredeyse imkansızdır, çünkü bir yıl içinde mutlaka bir insan hatası olur. Raporun arka sayfalarında “Exceptions” (İstisnalar) tablosu bulunur. Denetçi yazar: “100 yeni personelin 3’ünün arka plan güvenlik taraması işe girdikten sonra yapılmış.” Burada tedarikçi risk yöneticisinin (siz) görevi bu istisnanın “Kabul edilebilir bir risk” mi yoksa “Sistematik bir çöküş” mü olduğunu analiz etmektir. Yanında mutlaka firmanın savunması (Management Response) okunmalıdır: “Evet hata yaptık ama süreci otomatize ettik, artık yaşanmıyor.”

3. Ölümcül Tuzak: CUEC (Tamamlayıcı Kullanıcı Kurum Kontrolleri)

Birçok şirketin KVKK cezası yemesine sebep olan, raporun en karanlık bölümüdür. CUEC (Complementary User Entity Controls), tedarikçinin size (müşteriye) yüklediği ev ödevleridir. SaaS firması rapora şunu yazdırır: “Sistemim çok güvenli, ancak bu güvenliğin geçerli olabilmesi için Müşterinin (Sizin) kendi panellerinden MFA’yı (Çok Faktörlü Doğrulama) aktif etmesi ZORUNLUDUR.” Siz SOC 2 raporunu alıp “Oh, harika bir tedarikçi bulduk” diyerek arşive atarsınız. Ancak CUEC bölümünü okumadığınız için MFA’yı aktif etmeyi unutursunuz. Ertesi ay sistem hacklenir. Suçlu SaaS firması değildir; suçlu, CUEC şartlarını yerine getirmeyen ve kendi verisinin mahremiyetini tehlikeye atan sizsinizdir.

Sürekli İzleme (Continuous Monitoring)

Tedarikçi risk yönetimi, sözleşme imzalandığı gün biten bir iş değildir. SOC 2 raporlarının bir geçerlilik süresi (kapsam dönemi) vardır. Siber güvenlikte 6 ay önce güvenli olan bir sistem, bugün delik deşik olabilir.

Bu nedenle modern şirketler tedarikçileriyle yaptıkları sözleşmelere “Denetim Hakkı” (Right to Audit) maddesi koyarlar. “Yılda bir kez güncel Sızma Testi (Pentest) raporunuzu isteyeceğiz, gerekirse kendi ekibimizi gönderip sizi biz denetleyeceğiz” derler. Ayrıca SecurityScorecard veya BitSight gibi tedarikçilerin dışa açık zafiyetlerini (açık portlarını, DNS sorunlarını) 7/24 otomatik olarak puanlayan istihbarat platformları kullanılır.

Sonuç

Siber dünyada güven, bir duygu değil; sürekli kanıtlanması gereken matematiksel ve hukuki bir süreçtir. Tedarikçi Risk Yönetimi, bir şirketin verilerini buluta taşıma hevesiyle körleşmesini engelleyen en rasyonel frendir. Bulut hizmetleri bize inanılmaz bir hız, esneklik ve maliyet avantajı sağlasa da, faturanın altındaki “Veri İhlali” sorumluluğunu kimseye devredemeyiz. İyi bir SOC 2 analizi; süslü sözlerin, parlak logoların ve pazarlama vaatlerinin ardındaki o soğuk, acımasız ve teknik gerçeği görmemizi sağlayan en güçlü dürbünümüzdür. Şatonun anahtarlarını dışarıya verirken, o anahtarı tutacak ellerin titremeyeceğinden emin olmak, en az şatoyu inşa etmek kadar kritik bir güvenlik operasyonudur.

Tags :
#ISO27001,#KVKK,#SaaSGuvenligi,#SiberDenetim,#SOC2,#SupplyChainAttack,#TedarikçiRiski,#VeriSorumlusu
Share This :

Diğer Yazılar

Bize Soru Sorun

Soru ve görüşleriniz için bizimle iletişime geçebilirsiniz.

Instagram Youtube

Telif Hakkı © 2021 SiberTim Tüm Hakları Saklıdır.