Tek Vuruşta Herkesi Devirmek mi (Tedarik Zinciri Krizleri)

Covid salgını sonrasında, dünyanın farkına vardığı önemli bir konu, tedarik zinciri krizleri oldu. Çünkü Amerikalı olanlar başta olmak üzere batılı firmalar 30-35 yıldır, ucuz işçilik ve ölçek ekonomisi nedeniyle doğuda üretim yaptırıyordu. Salgın bu zincire hem üretim, hem taşımacılık anlamında zarar verdi ve ülkeler “yerinde üretim” kavramını tekrar ele aldı. Bugün Trump’ın hareketlerinde bunun yansımalarını görüyoruz.

Salgındaki tedarik zinciri sıkıntıları işin fiziksel yönüydü ama tedarik zincirlerinin bilişim tarafı daha da kötü durumda. 1990’lardan başlayarak, tüm dünyanın Microsoft, Oracle, SAP gibi yazılımları tekel halinde tercih etmesi, 2010’lardan başlayarak da global “hyperscale” denilen büyük bulut firmalarının tekelleşmesi (pazarın 3 firmanın elinde kalması), bu tehlikenin bileşenleri.

Ayrıca “ambargo” ya da “yaptırım” olayları da işin diğer yüzü. Rusya, İran, Venezüela bu yaptırımları, veri tabanından, ödeme sistemlerine kadar pek çok bilişim alanında çok yönlü yaşadılar. Bu yazıda bunu sadece hatırlatarak geçiyorum. Asıl uyarım bilişim tarafında.

Son 2 ayda 5 Global Bilişim Kesintisi Yaşandı

% 80-85 pazar payı ile dünyadaki ticaretin bel kemiği olan Deniz taşımacılığı, Haziran 2017’de büyük bir siber darbe aldı. Global gemi taşımacılığının % 18’ini gerçekleştiren Maersk, operasyonlarında kullandığı Microsoft yazılımlarının açığı üzerinden “Shadow Brokers” isimli hacker grubunun fidye saldırısına uğramışlardı. Sadece Maersk de değil, bağlantılı taşımacılık firmaları TNT, FedEx ve diğerlerine de yansıyan saldırının verdiği toplam iş hasarı 10 milyar $’ı buldu. Maersk’in işlerinin tekrar normale dönmesi 9 ayı buldu.

İlk o saldırı sonrasında dünya “tedarik zincirindeki siber riskleri” konuşmaya başladı. Bu riskleri sınıflandırırsak;

• Bu Lübnan’daki çağrı cihazlarının patlatılması gibi dijital araçlara yapılan fiziksel tedarik zincirisi saldırıları da olabilir,
• Amerikan Hükümetinin bazı yazılım ve hizmetlerin (mastercard, Visa vs) kullanımını engellemesi de (yaptırım) olabilir
• Ama daha yaygın hale gelebilecek, Maersk olayındaki ya da SolarWinds’e yapıldığı gibi yazılıma sızma kanalıyla bu yazılımı kullanan tüm firmalara siber saldırı da olabilir,
• Ya da saldırı olmayan, geçen yıl meydana gelen ve 5,6 milyar $’a mal olduğu raporlanan CrowdStrike yazılımının arızası, kesintisi gibi bir kriz de olabilir.

Üstelik bu siber tedarik zinciri riskleri giderek artıyor. Bu yazıyı yazmamın nedeni son 2 ayda meydana gelen global bilişim kesintileri. Hatırlatalım;

• 4 eylülde Türk Telekom kullanıcıları Google’un uygulamalarına (Gmail, Google map, Drive, YouTube, Analytics) bir kaç saat erişemediler. Anlaşılan bazı sunucularda sorun vardı. Sonuçta yönlendirme değiştirilince durum düzeldi.
• 7 eylülde Süveyş kanalından geçen kablolarda sıkıntı olduğu için Microsoft Azure’de kesintiler yaşandı. Akdeniz güzergahından akan küresel internet trafiğinin yaklaşık %17’sinin aksadığı raporlandı.
• 22 eylülde check-in, bagaj işlemleri vs yapılan Muse isimli yazılımına yapılan siber saldırı sonucunda, Londra / Heathrow, Brüksel gibi belli başlı Avrupa havalimanlarında işlemler gecikti ve uçuşların yarısı iptal oldu.
• 20 ekimde Amazon’un bulut servisi AWS’de 12 saate varan kesinti oldu. AWS’yi kullanan Amazon e-Ticaret, Zoom, Perplexity, Canva, Signal, Roblox, Fortnite ve sayısız diğer site ve hizmette kesintiler görüldü.
• 30 ekimde Microsoft Azure’de yazılım hatası sonucunda 8 saate varan kesinti meydana geldi.

Yerel Olmayan Altyapının, Global Bulut Altyapısının ve Tekel Yazılımların Riski

Bu kesintiler, bulut altyapısının ve Microsoft, SAP gibi tekel haline gelmiş yazılımların, AWS gibi hyperscale firmaların ne kadar kritik hale geldiğini gösteriyor. Tek bir saldırı (fidye virüsü) ya da yapılandırma hatası birden fazla hizmete (bulut bilişim, SaaS, medya, oyun) yansıyabiliyor. Bir yapılandırma değişikliğinin büyük bir hizmet kesintisine yol açması, tek sağlayıcılı bulut bağımlılıklarının kırılganlığını gösteriyor.

Örneğin 30 ekimdeki en son Microsoft yapılandırma hatası nedeniyle Azure’a güvenen (veya üzerinde barındırma hizmetleri barındıran) büyük firmalar ya da telekom operatörleri, veri merkezleri ve ekipman satıcıları, bu kesintiden kaynaklanan operasyonel risklerle karşı karşıya kaldı. Avrupa POP’ları aracılığıyla geçici paket kaybı, Microsoft 365 oturum açma işlemlerinin yavaşlamasına ve Outlook Online senkronizasyon hatalarına yol açtı. En ağır hizmet bozulması İngiltere, Almanya ve Hollanda’dan bildirildi. Somut örnek verirsek, Heathrow Havalimanı web sitesi, İngiltere’de bazı telekom ve İnternet Servis Sağlayıcılar (Community Fibre, bazı raporlarda Vodafone UK) ve perakende, finans siteleri etkilendi. Microsoft kullanıcı firmalar zaten yazılımlardaki açıklar nedeniyle yıllardır pek çok virüs saldırısının ana kurbanları durumunda.

Telekom altyapısı göz önüne alındığında, bu durum çoklu bulut, çok bölgeli yedeklilik ve kritik öneme sahip altyapıların yerelleştirilmesinin önemini gösteren bir örnek durumunda. Tek bir küresel bulut sağlayıcısına (özellikle de merkezi ve sunucuları yurtdışında olan bir sağlayıcıya) bağımlılığın giderek artması önümüzde önemli bir risk olarak duruyor. Kritik hizmet operatörleri –ki bu olayda zarar gören havaalanları, havayolları, telekomünikasyon firmalar raporlandı– için bulut kullanımı (genel veya hibrit), bulut sağlayıcı katmanında yaşanan kesintinin hızla alt akış hizmet kesintilerine dönüşmesi anlamına geliyor. Kesinti maliyeti ve itibar riski artıyor.

Önlemler Ne Olmalı?

Firmalar, ağ mimarilerinin (özellikle bulut, telekom, altyapı) genel bulut katmanında tek arıza noktalarına sahip olup olmadığını değerlendirmelidir. Örneğin, firmanın temel hizmetleri tek bir bulut sağlayıcı bölgesinde bulunuyorsa, böyle bir kesintiden doğrudan etkilenir.

Bulut kapasitesi kiralayan servis sağlayıcıları, iş sürekliliği planlarına kesinti senaryolarını dahil etmelidir. Şirketler, yalnızca tek bir sağlayıcıya (örneğin Azure) güvenmek yerine, özellikle kritik hizmetler (telekomünikasyon çekirdeği, veri merkezi barındırma, bulut tabanlı ağ işlevleri) için “birincil sağlayıcı A, yedek sağlayıcı B” stratejisini benimseyebilir.

Hükümetin de, bulut bağımlılığıyla ilgili politikalarını gözden geçirmesi ve kritik altyapıların “yerel” veya “güvenilir sağlayıcı” yedekleme kapasitesine sahip olmasını teşvik etmesi önemli. Türkiye’nin telekomünikasyon ve veri merkezi stratejisinde bir an önce bu konulara yakından bakması lazım.

Firmalar hyperscale olarak adlandırılan büyük bulut hizmetleri sağlayıcılara alternatifler araması ve bölgesel bulut sağlayıcılarının veya ikinci kademe oyuncuları destekleme stratejisini düşünmeye başlaması önemli.

Kim Ne Yapmalı?

Bilişim Teknolojileri ve telekomünikasyon açısından dayanıklılık planlamasını tanımlayan konu “teknopolitik risk kümesi”dir. Operatörlerin, hükümetlerin ve işletmelerin bir siber tedarik zinciri krizine maruz kalmayı azaltmak için almaları gereken –yazılım, donanım, bulut, şebeke ve yaptırımları kapsayan– önlemleri bir araya getiren kapsamlı bir çerçeve oluşturulmalıdır. Biz bunları özetleyelim;

Hükümetler ve düzenleyiciler açısından

• Telekom, bulut, veri merkezleri, IXP’ler ve denizaltı kablolarını içeren, ulusal kritik altyapı sınıflandırması yapılmalıdır.
• Ülkedeki (kamu ya da şirketlerin) yaygın kullandığı tedarikçilerin bileşen kaynağını açıklamasını ve donanım yazılımı, OSS kütüphaneleri ve kapsayıcı imajları için zincirleri güncellemesi istenmelidir.
• Tüm kritik devlet ağları için kimlik doğrulama/bölümleme standartlarını (NIST SP 800-207, ENISA yönergeleri) zorunlu kılmak gerekir.
• İhracat kontrolü veya yaptırım rejimleri altında kesintiye uğrayabilecek tedarikçilere veya rotalara olan bağımlılıkların güncel bir envanterini gerekir.
• Kablo kesintilerini, bulut kesintilerini ve donanım yazılımı tedarik saldırılarını simüle etmek, siber tatbikat yapmak önemli. USOM ve SOME’ler, telekomünikasyon şirketleri ve bulut operatörleri arasında ortak müdahale kılavuzları sağlanmalı.

Operatörler ve işletmeler için

• Çoklu tedarikçi kaynak kullanımı ve donanım menşeinin periyodik bağımsız denetimlerini kullanılmalı.
• Tüm ana bant, yönlendirici ve IoT donanım yazılımları kriptografik olarak imzalanmalıdır; otomatik bütünlük kontrol sistemleri dağıtılmalı.
• Tek bir tedarikçinin çekirdek veya RAN yığınına %100 bağımlılıktan kaçınmak lazım. En az bir “soğuk yedek” tedarikçi olanağı planlanmalı.
• Ambargo veya ihracat kontrol kesintileri durumunda, bilinen iyi yazılımlara sahip kritik bileşenlerin stratejik stoklarını bulundurulmalı.

Bulut ve Yazılım Tedarik Zinciri Açısından

• Kritik iş yüklerini ≥ 2 hiper ölçekleyici veya bir hiper ölçekleyici + yerel egemen bulutta çalıştırmalı ve yedekliliği düzenli olarak test etmeli.
• SBOM + sürekli SCA taraması: Her tedarikçinin SBOM’leri teslim etmesini ve açık kaynaklı bağımlılıklardaki (örneğin, Log4j türü olaylar) güvenlik açıklarını izlemesini zorunlu kılmak gerekli.
• Derleme sistemlerini üretim ağlarından ayırın; derleme hattının tehlikeye atılmasını önlemek için yeniden üretilebilir derlemeler ve kod imzalama kullanın.
• Coğrafi olarak yedekli veri çoğaltmak önemli. Yerel veri merkezlerinde en az bir kopya bulundurun.

Fiziksel ve Şebeke Katmanı

• Denizaltı kablosu yedekliliği gerekli. Birden fazla iniş noktası ve çeşitli rotalar (örneğin Akdeniz + Karadeniz) oluşturulmalı.
• Komşu devletler üzerinden fiber koridorları güvence altına almak lazım. Acil durum olarak uydu/LEO kapasitesini entegre edilmeli.
• Kurcalama veya sabotaja karşılık, kritik kablolar izlenmeli.

Siber Güvenlik ve Operasyon Katmanı

• Ağ segmentasyonu ve sıfır güven kimliği. Kontrol düzlemini, yönetimi ve müşteri trafiğini izole etmek gerekli.
• Sürekli izleme ve tehdit istihbaratı paylaşımı. Operatör SOC’lerini ulusal USOM’a ve sektörel SOME’lere bağlamalı
• Yapay zeka destekli anomali tespiti. Tedarik zinciri ihlal imzalarını (anormal DNS, sertifika değişimleri, güncelleme kalıpları) yakalamak için telemetri konusunda eğitilmiş makine öğrenimi modellerini entegre edin.
• Olay müdahale planlaması. Hızlı yeniden yönlendirme veya DNS devralma için İSS’ler/bulutlar arasında karşılıklı yardımlaşmayı önceden planlayın.

Yasal/Ekonomik Katman

• Kritik öneme sahip hizmetlerin, e-devlet, sağlık, acil durum iletişimleri gibi ulusal mevzuata tabi altyapılarda barındırılmasını gerekir.
• Yaptırımlara karşı, tedarik süreçlerinde, satıcıları emanet anahtar, kaynak veya yedek parça sağlamaya zorlayan “ihracat kısıtlaması altında süreklilik” maddeleri eklenmeli.
• Siber sigorta, tedarik zinciri haritalamasını ve hızlı güvenlik açığı açıklama yükümlülüklerini zorunlu kılınmalıdır.

Stratejik Çeşitlendirme ve Ar-Ge

• Açık RAN, açık kaynaklı bulut yığınları ve çip paketleme/test yetenekleri tek ülke riskini azaltır.
• Ulusal sertifika yetkilileri önemli ve DNS çözümleyicileri güvence altına alınmalı.
• Telekom mühendislerine siber adli bilişim ve tedarik zinciri güvenliği konusunda çapraz eğitim verilmeli; güncelleme sunucularına ve NMS platformlarına kırmızı takım saldırılarını simüle edilmeli.