Lübnan Saldırıları sonrasında, herkes “Tedarik Zinciri” konusunda konuşmaya başladı. Çünkü saldırının temelinde, malzemelerin ( bu örnekte çağrı ve telsiz cihazları) satın alma sürecinde içine zarar verici (bombalama) bir şeyler eklediğini gördük.
Zaten günümüzde güvenlik anlamında yükselen risk alanlarından birisi küresel dağıtım yapılan ürünlerin “Tedarik Zincirleri“. Bu yazıda örnekleyeceğimiz gibi sadece Lübnan saldırıları ve fiziksel durumlar ile de sınırlı değil. Son bir kaç yıldır üstüste gelen olaylara bakıldığında, “bir taşla çok kuş vurmak” olarak tanımlayabileceğimiz, “Kitlesel saldırı” imkanı sağlayarak, büyük sorunlara yol açtığı düşünülürse, “Tedarik Zincirleri” konusunda, devletlerin ve hatta şirketlerin yeni yaklaşımlar geliştirmesinin gerektiği açık.
Tedarik zinciri, ürün ya da hizmetin tedarikçiden müşteriye doğru hareketini kapsayan ve bu süreç içerisindeki şirketler, insanlar, teknoloji, faaliyetler ve kaynaklar sistemlerinin bütününe verilen isimdir. “Elektronik“ ve “Bilgisayar“ dünyasının tedarik zincirinde çok sayıda oyuncu yer alıyor. Bunlar arasında donanım üreticileri, yazılım üreticileri ve iç bileşenlerin (OEM) üreticileri var.
Tedarik Zincirinin riskini ilk gördüğümüz olay, 2017’deki yazılım güncellemesi (yazılım tedariki) ile meydana gelen Petya saldırısı oldu. Bu olay gözlerin birden bilişim alanındaki Tedarik Zincirlerine çevrilmesine neden oldu. Ancak sadece saldırı olması gerekmiyor. Geçtiğimiz temmuz ayındaki “CrowdStrike” olayında, hatalı yazılım güncellemesinin de tedarik zincirlerindeki riskler arasında olduğunu farkettik.
Tedarik Zincileri tek bir üreticiden yani TEKEL‘den geldiği için “dağıtımı ne kadar çok müşteriye yapılıyorsa”, riski de o düzeyde büyük olacaktır. Tedarik zinciri riskini daha iyi anlamak için, yakın zamanda olmuş belli başlı sorunları en yeniden, eskiye doğru gözden geçirelim.
Lübnan Çağrı Cihazları ve Telsizler Saldırısı
En yeni tedarik zinciri saldırısı eylülde meydana gelen ve tüm dünyada şok (ve “cep telefonum patlar mı?” korkusu) yaratan saldırılar oldu. Üstelik üstüste gelen 2 saldırı konusunda hala kimse net bir şey söyleyemiyor. Ama bilinen şu; Hizbullah’ın satın aldığı çağrı cihazları ve telsizler içine tedarik zincirinin bir noktasında patlayıcılar yerleştirilmiş.
Krizi yaratan : Çağrı Cihazları ve Telsizler
Sonuç : İsrail, Hizbullah’a öldürerek ya da sakatlayarak, önemli sayıda “savaşçı kaybı” verdirmiş durumda. Yarattığı “korku” ve “endişe“yi de eklersek, bu saldırı adeta Çinli komutan Sun Tzu‘nun kitabından çıkmış bir saldırı gibi oldu.
CrowdStrike Sorunu
Temmuz 2024 sonunda küresel çapta meydana gelen büyük IT kesintisi bir siber saldırı değildi ama sonuçta Tedarik Zinciri riskini ortaya koyan diğer bir olaydır.
29 bin küresel müşterisi ile dünyanın en büyük güvenlik yazılımlarından biri olan CrowdStrike’ın olağan güncellemesi sırasında meydana gelen bir yazılım hatası, çalışmayan (mavi ekrana düşen) bilgisayarlar ile dünya çapında iş kesintisine neden oldu.
Krizi Yaratan : Windows çalıştıran bilgisayarlarda CrowdStrike yazılım güncellemesi
Sonuç : Bir sigorta firması olayın 5,4 milyar $ zarar verdiğini tahmin etti. Ancak sadece şirketlerin iş kaybı düşünülerek bulunmuş bir rakamdı bu. En büyük kullanıcılar arasındaki –THY dahil– Havayolları şirketlerinin çok sayıda uçuş iptallerini ve bu iptallerin insanlara maliyetini düşünürseniz, rakamın daha büyük olduğunu tahmin edebilirsiniz. Geçen hafta da ABD Kongresinden özür dilediler.
CrowdStrike firmasına açılan davalar var. Bunların nasıl sonuçlanacağını göreceğiz ama lisans anlaşmaları genellikle yazılım firmalarını koruyor. Bunu da not edelim.
Rusya’nın Ukrayna’ya Yaptığı Siber Saldırı
Rusya tarafından, 2021’deki işgal hareketinden 1 ay kadar önce, Ukrayna Ulusal Güvenlik ve Savunma Konseyi bünyesindeki Ulusal Siber Güvenlik Koordinasyon Merkezi, Yürütme Organlarının Elektronik Etkileşim Sistemi (SEI EB) aracılığıyla kötü niyetli belgeleri yayma girişimleri bulundu.
Krizi Yaratan : Microsoft yazılımı kullanan bilgisayarlar
Sonuç : Rusya’nın, Ukrayna’yı işgalinden kısa bir süre önce meydana gelen bu siber saldırıda, Ukrayna Kamu şirketlerinin verileri yokedildi.
Salgın ve de Süveyş Kanalı Kazası (Fiziksel Olaylar)
2020 ve 2021’de yaşanan olaylarda, bu sefer üretim kabiliyetindeki bozulmanın ya da paralelindeki gemi taşımacılığında yaşanacak sorunların da tedarik zincirini bozabileceğini gördük. Dünyanın son 40 yılda üretim tarzı, batıda tasarlanan ama doğuda (maliyet avantajı nedeniyle) üretilen ürünler olduğu için, bu ülkelerdeki gelişmeler ve gemi taşımacılığı önemli olabiliyor. Bu sorunu önce Covid salgını sırasında, doğuda üretimin zarar görmesiyle yaşadık. Sonra da Süveyş Kanalındaki gemi kazası konuyu bir daha önümüze getirdi. Çünkü doğudan batıya taşımada gemiciliğin oranı % 80.
Krizi Yaratan : Üretimde ya da Gemi taşımacılığında sıkıntı oluşması ya da yaratılması.
Sonuç : Bunların sonucunda “yerinde üretim” fikri geri döndü. Örneğin Çip üretimi konusunda, ülkeler Tayvan’a güvenmek yerine, kendi çip üretimlerini oluşturmak yönünde finansman ayırmaya başladılar.
Fireeye (SolarWinds) Saldırısı
Dünyanın en büyük siber güvenlik şirketlerinden biri olan FireEye’a 2020 sonunda yapılan bir siber saldırıydı. SolarWinds isimli ağ izleme programları firmasının kötücül kod bulaşmış yazılım güncellemeleri üzerinden yapılmıştı. Yani bir kez daha “Tedarik Zinciri” saldırısı meydana gelmişti.
Fortune 500 firmalarının büyük kısmı ve ABD kamu kurumlarının büyük kısmı networklerini SolarWinds ile izliyorlardı. Hepsi etkilendiler.
Krizi Yaratan : Solarwinds Ağ İzleme Yazılımı güncellemesi yoluyla FireEye’e sızılması.
Sonuç : Hesaplanamayan ve milyar $’lar denilen bir mali zarar dışında, FireEye firması CIA’in fonladığı ve Amerikan devlet kurumlarında kullanan bir yazılım olduğu için, saldırının “devlet destekli” bir hacker grubundan (Ruslar) geldiği iddia edildi ve ABD, siber güçleri konusunda itibar kaybı yaşadı.
Crypto AG Rezaleti
Bir diğer Tedarik Zinciri sorunu, şifreleme cihazları üreten Crypto AG firmasının aslında bir CIA projesi olduğunun ortaya çıkması oldu.
50 yıldan fazla bir süredir, tüm dünyadaki hükümetler casuslarının, askerlerinin ve diplomatlarının iletişimini gizli tutmak için Crypto AG isimli tek bir şirketin ürünlerini kullanıyor.
Krizi Yaratan : Casus-asker-Diplomatların iletişimi için gereken şifreleme cihazları.
Sonuç : İsviçreli Şirket, onlarca yıldır, mekanik dişlilerden elektronik devrelere ve son olarak silikon çiplere ve yazılımlara kadar teknoloji dalgalarını yönlendiren, şifreleme cihazlarının en önemli üreticisi oldu. Sonra sızan bir belgede ne gördük. Dünya hükümetler gizli bilgilerini CIA’in sahibi olduğu firmaya para ödeyerek şifreliyorlarmış. Yani hükümetler gizli bilgilerini vermek için CIA’e resmen para ödüyorlarmış. Bunun 50 yılda yol açtığı zararı hayal bile edemiyoruz.
Çip Sıkıntısı
Tedarik Zinciri konusundaki “en önemli” sorun bu oldu. Covid salgını başladığında, hastalanan Tayvanlı işçiler, sokağa çıkma yasakları, gemi taşımacılığının durması, bir sonraki sene etkilenen sektörlerin (beyaz eşya, otomotiv vs) gereğinden fazla stok yapması derken, Çip krizi meydana geldi.
Krizi Yaratan : Çip üretiminin ve de taşımacılığının bir şekilde kesilmesi.
Sonuç : Çünkü çipler özellikle 21.yüzyılda, batıda tasarlanıp, –ölçek ekonomisi nedeniyle– doğuda üretiliyordu. Ama Covid krizi yerel üretimin önemini ortaya koydu. Sonuçta Güney Kore, İspanya, İtalya, Almanya, Avrupa Birliği ve tabii ki ABD, üretimi kendi ülkelerine geri çekmeye yönelik teşvikler açıkladılar. Ama henüz büyük bir değişim meydana gelmiş değil.
ABD Yaptırımları
Tedarik krizi yaratacak en enteresan konulardan birisi de, ABD’nin canı istediği zaman yaptırım uygulaması oluyor. Çünkü bugün kullanılan pek çok yazılım ABD malı. Hatta SAP gibi Alman malı olanlar bile ABD’de satmak ve de borsada hareket etmek için ABD kurallarına uymak zorunda.
ABD’nin sağladığı bilişim araçları, yazılımlar, bulut servisleri, Gmail, Whatsapp türü uygulamalar. Hatta internet ağı. Bu tehdit uzak da değil. Trump’ın Başkanken Türkiye’ye yaptığı tehditi hatırlatalım. Diğerlerini de zaman gördük. Mesela Oracle Rusya’ya Java’yı yasakladı. Adobe, Venezüela’ya yaptırım uyguladı. Ukrayna işgali nedeniyle bir çok Amerikalı şirket –istemese bile– Rusya’ya yaptırım uyguladı. Mesela Mastercard ve Visa, ödemeleri bloke etti.
Krizi Yaratan : Yazılımları ya da donanımları bloke etmek
Sonuç : Bu yazılımların ve donanımların dayandığı iş süreçleri yok olur. Çözüm ise açık kaynaktır.
Petya Saldırısı
Yine Amerikan istihbarat örgütü NSA’in yarattığı söylenen kodların kullanılarak yaratıldığı düşünülen ve Windows açığını kullanan Petya, bir tür fidye saldırısıydı. Mart 2016’da keşfedildi ama en büyük saldırısını haziran 2017’de yaptı. Farklılıklar olduğu için bu sefer notPetya olarak adlandırıldı.
Bu saldırı, yazılımda “tedarik zinciri saldırısı” olarak adlandırılan ilk olay oldu. Çünkü, PETYA başta Ukrayna olmak üzere tüm sistemlere, şaşırtıcı bir şekilde “otomatik yazılım güncellemesi” ile sızmıştı.
Araç : Burada, tedarik zincirinde, yine Microsoft üretici, bayileri ise dağıtıcı durumundaydı.
Sonuç : Bu saldırıda Ukrayna, Fransa, Almanya, İtalya, Polonya, İngiltere, Çin ve Amerika Birleşik Devletleri’nde çeşitli özel ve kamu şirketlerinin etkilendiği bildirdi. Sonuçta 10 milyar $’lık bir zarar yol açtığı hesaplandı.
En çok etkilenen firmaların başında Denizcilik firması Maersk geliyordu. Firmanın 49 bin bilgisayarı devredışı kaldı ve 1200 yazılım ile ilişkisi koptu. 14 gün sonra geriye dönmeye başladılar. Bu esnada 350 milyon $ kayıp meydana gelmişti.
WannaCry Saldırısı
Nisan 2017 sonlarında, Rus ShadowBrookers isimli bir hacker grubu, Amerikan istihbarat örgütü NSA’in yarattığı düşünülen bir hacking aracı yayınladı. Bu araç, WannaCry olarak bilinen saldırıya zemin sağlıyordu. Microsoft’un Windows işletim sisteminde yer aldığı belirtilen EternalBlue isimli bir açığı kullanarak bilgisayarlara sızıyor ve içindeki bilgilere erişimi sağlıyor ya da bilgisayarın kumandasını ele geçirmeye yarıyordu.
Araç : WannaCry saldırısında üretici Microsoft idi. Dağıtıcı da her ülkedeki Microsoft bayileri. Ruslar tek bir atışla çok sayıdaki bilgisayarı etkilemişlerdi.
Sonuç : Bir gün içinde dünyaya yayıldı, 150 ülkede 230 binden fazla bilgisayar sistemini etkiledi ve yaklaşık 4 milyar dolarlık mali kayba neden oldu. İngiltere’de sağlık sistemi, İspanya’da Telefonica, Almanya’da tren istasyonlarındaki ekranlar, Rus İçişleri Bakanlığı sorun yaşayan yerler arasındaydı.
O günlerde bu olay henüz tedarik zinciri saldırısı diye sınıflandırılmamıştı ama öyleydi.
Cihazlara Böcek Yerleştirilmesi
Snowden 2014 yılında, diğer ülkelerin bakanlık, başbakanlık ya da Merkez bankası gibi önemli bölümlerine satılan Cisco cihazların içine, dağıtıcı firma tarafından bazı dinleme / takip cihazları konulduğuna dair bir dosya yayınladı. Yani, yabancı devletlerin özel ya da kamu şirketleri internet bağlantı cihazları aldıklarında aslında kendilerinin dinlenmesi için üste para ödüyor durumundaydılar.
Bu nedenle de şimdi ABD bas bas bağırıyor; Çinli telekom firmalarının ürünleri “milli güvenlik riski” taşıyor diyorlar. Çünkü kendileri yıllardır bunu yapıyorlardı.
Araç : Her türlü yazılım ya da donanım araçları.
Sonuç : Kimbilir ne bilgiler sızdı?
Tedarik Zinciri Risklerine Karşı Neler Yapılmalı?
Kısaca gözden geçirdiğimiz bu olayların dışında bu kadar büyük olmayan yani küresel değil yerel soruna neden olanlar da mevcut. Hepsinde Tedarik Zinciri sürecinin içindeki bazı dikkatsizliklerle ya da tekele bağımlı olmakla ilgili. Buradaki riskler, Lübnan olayındaki ölüm ve yaralanmalar dışında, iş kesintisi, verilerin kaybı (mesela alacak-verecek hesapları yani muhasebe), kıymetli verilerin sızması (müşteri veri tabanı, üretim sırları gibi), itibar kaybı olarak tanımlanabilir.
Başta da belirttiğimiz üzere, tedarik zincirlerinin işleyişinde dikkat edilmesi gereken hususlar olduğu açık. Bu nedenle nelere dikkat edilmeli dersek; hemen aklımıza gelenler şunlar (daha aklınıza gelen varsa ekleyiniz).
- Dünyadaki “Yerinde Üretim” doğru bir stratejidir. Özellikle kritik ürünler açısından da önemlidir.
- Tekel haline gelmiş ve tüm dünyada (ya da geniş bir yayılma ile) kullanılan yazılımlar önemli bir tehdit olabiliyor. Örneğin yukarıdaki olaylara bakın, hemen hepsinde Microsoft’un yazılımı ile ilgili sorunlar gözüküyor. Bunların bir kısmı Microsoft’un yazılım kalitesi ile ilgili olsa da, çok dağılmış yazılımların açıklarının mutlaka tespit edileceğini düşünmek lazım. Bunun çözümü;
- Bu tür yazılımları kullanmamak
- Kullanmak mecburiyeti varsa da yedekleme ve güncellemeler konusundaki prosedürlerin iyi oluşturulması ve uygulanması gereklidir.
- Bağlı olmayan ortamda bir yedekleme stratejisi de iyi olabilir. Petya saldırısında, Maersk’i kurtaran Nijerya’daki şubenin elektriklerinin kesik olmasıydı.
- Bağımsız yazılım üreticileri (ISV) açısından bakarsak da, sistem çekirdeğine doğrudan erişim vermek ya da otomatik güncellemeler konusu hassas (Petya ve CrowdStrike olayları).
- “Sessiz yama” yani otomatik güncellemeler konusunda da yöntemlerin yeniden tanımlanması lazım.
- Siber güvenlik prosedürlerinin sürekli güncellenmesi şarttır.
- Sistemdeki yeni uygulamalar konusunda muhafazakar olun. İyice emin olmadan kullanımına yol vermeyin. Bu yapay zeka uygulamaları için özellikle geçerli.
Ama şunu farketmek lazım. Günümüzde bilişim araçları ve üretimler bu kadar tekelleşmişken, başımız gerekten belada. Yani çok geç olmadan, bunların şirket / kamu / hükümet düzeyinde analiz edilmesi ve önlemler alınması şarttır. Aksi durum, –en iyi ihtimalle– herkesi ortaçağa gönderir.
Kaynak : 