SupplyChainBrain Think Tank'ta Steve Durbin (SCB Yazarı), geniş ölçekli ağlara yönelik son siber saldırıların kendilerini bu tür tehditlerden bağışık sayan sektörleri sarstığını ele alıyor. Hem üreticiler hem de perakendeciler açısından bu olaylar, tehdidin tüm sektörlere sızdığı gerçeğini gözler önüne seriyor. Tedarik zinciri yönetimindeki teknoloji devrimi yeni güvenlik açıklarını da beraberinde getiriyor. 2024 raporuna göre tüm veri ihlallerinin yüzde 35,5'i üçüncü taraf tehditlerinden kaynaklanıyor — bir yıl önce bu oran yüzde 29'du. Amazon bünyesindeki Whole Foods'un birincil dağıtıcısı United Natural Foods Inc. (UNFI), bir siber saldırıyla Whole Foods'un operasyonlarını altüst eden bir krize sürüklendi. 30.000'den fazla mağazaya tedarik sağlayan UNFI, 5 Haziran 2025'te bilgisayar ağında yetkisiz erişim tespit etti ve belirli sistemleri çevrimdışına aldı. Saldırı UNFI'nın sevkiyat ve teslimat kapasitesini ciddi biçimde kısıtladı, Whole Foods raflarını boş bıraktı. Otomotiv ve havacılık sektörlerine sensör ve elektriksel bileşen üreten Sensata Technologies ise Mart ayında fidye yazılımı saldırısına hedef oldu; çalışan kişisel verilerinin ele geçirilmesinin yanı sıra sevkiyat, üretim ve diğer operasyonlar sekteye uğradı.
Steve Durbin, küresel siber güvenlik standartları geliştiren Londra merkezli bağımsız kuruluş Information Security Forum'un (ISF) CEO'su. Providence, Rhode Island merkezli UNFI, CEO Sandy Douglas yönetiminde ABD'nin en büyük gıda toptancısı konumunda; Amazon bünyesindeki Whole Foods Market (Austin, Texas; CEO Jason Buechel) ile uzun vadeli stratejik dağıtım anlaşması kapsamında çalışıyor. Attleboro, Massachusetts merkezli Sensata Technologies ise CEO Stephan von Schuckmann yönetiminde otomotiv, havacılık, endüstriyel ve HVAC sektörlerine hizmet veren küresel bir sensör ve kontrol üreticisi. Son dönemin diğer dikkat çekici tedarik zinciri siber saldırıları arasında Colonial Pipeline (Mayıs 2021, DarkSide), JBS Foods (Haziran 2021, REvil), SolarWinds Orion (Aralık 2020, APT29/Cozy Bear), Kaseya VSA (Temmuz 2021, REvil), MOVEit Transfer (Mayıs 2023, Cl0p), Change Healthcare (Şubat 2024, BlackCat/ALPHV), CDK Global (Haziran 2024, BlackSuit) ve UnitedHealth Group yer alıyor.
Küresel siber güvenlik ekosisteminin önde gelen sağlayıcıları şunlar: Microsoft Defender, CrowdStrike Falcon (CEO George Kurtz, Austin), Palo Alto Networks (CEO Nikesh Arora), Fortinet, Check Point, Cisco Talos, SentinelOne, Trend Micro, Sophos, Bitdefender, Kaspersky, ESET, McAfee, Symantec (Broadcom), Mandiant (Google Cloud), FireEye (Trellix), Rapid7, Tenable, Qualys, Splunk (Cisco), Datadog, Cloudflare, Akamai, Zscaler, Okta, CyberArk, Snyk, Wiz, Lacework ve Orca Security. Üçüncü Taraf Risk Yönetimi (TPRM) yazılım kategorisinin başlıca oyuncuları ise BitSight, SecurityScorecard, RiskRecon (Mastercard), Black Kite, Panorays, OneTrust, ProcessUnity, LogicGate, Archer ve ServiceNow GRC. Temel çerçeveler arasında SBOM, SLSA ve NIST SP 800-161 öne çıkarken CISA, NSA ve FBI Siber Bölümü ABD'nin önde gelen siber güvenlik aktörleri arasında yer alıyor.
Steve Durbin'in önerdiği beş risk azaltma yöntemi şöyle sıralanıyor: (1) tedarikçi siber güvenlik duruşunun sürekli değerlendirildiği üçüncü taraf risk değerlendirmesi; (2) sıfır güven mimarisi, kimlik ve erişim yönetimi (IAM) ile ayrıcalıklı erişim yönetimi (PAM); (3) olay müdahale planı ve masa başı tatbikatı; (4) uç nokta tespit ve yanıt (EDR), genişletilmiş tespit ve yanıt (XDR) ve güvenlik bilgisi ile olay yönetimi (SIEM); (5) çalışan eğitimi ve kimlik avı simülasyonu. AB'de 2024'te yürürlüğe giren NIS2 Direktifi siber güvenlik yükümlülükleri getirdi; DORA (Dijital Operasyonel Dayanıklılık Yasası) ise AB finans sektörü için Ocak 2025'ten itibaren geçerli oldu. ABD'de 14028 sayılı Cumhurbaşkanlığı Kararnamesi (Mayıs 2021) federal siber güvenlik standartlarını yükseltti. UNFI-Whole Foods ve Sensata Technologies olayları, tedarik zinciri siber risklerinin operasyonel, finansal ve itibar boyutlarını somut biçimde gözler önüne serdi; üreticiler ve perakendeciler için üçüncü taraf risk yönetimi artık stratejik bir zorunluluk.
Önemli Notlar:
1. Steve Durbin (ISF), tedarik zinciri siber risklerini azaltmanın beş yolunu aktarıyor.
2. 2024 verilerine göre tüm veri ihlallerinin yüzde 35,5'i üçüncü taraf tehditlerinden kaynaklanıyor.
3. UNFI, 5 Haziran 2025 siber saldırısının ardından Whole Foods dağıtımını durdurdu.
4. Sensata Technologies, Mart 2025 fidye yazılımı saldırısında operasyonel aksama yaşadı.
5. Sıfır güven, EDR/XDR/SIEM ve çalışan eğitimi başlıca azaltma araçları.
