3 KASIM 2025
2025 Siber Risk Trendleri: Tedarik Zincirinde Siber Dayanıklılık Nasıl Artırılır?
Yapay zeka, nesnelerin interneti ve bulut dönüşüm ekseninde günden güne büyüyen teknoloji kümeleri, tedarik zincirlerinde siber güvenliği kritik unsurlardan biri haline getiriyor. Bu yazıda, siber risklere dair güncel veriler üzerinden tehdit ortamını anlamaya odaklanıyor; ardından tedarik zincirlerinin siber dayanıklılığını artırmanın üç yolunu inceliyoruz.
Bulut bilişim, nesnelerin interneti, yapay zeka gibi teknolojiler, şirketlerin dijital ekosistemlerini günden güne büyütüyor. Bu durum, daha fazla teknoloji sağlayıcısıyla çalışmayı beraberinde getirirken, işletmelerin siber risklere maruz kalma olasılığını da artırıyor. Dünya Ekonomik Forumu’na (WEF) göre, dünya çapındaki kuruluşlar, iş ortaklarında meydana gelen siber olaylardan giderek daha fazla etkiliyor. Tedarik zinciri siber olaylarının sayısı ve etkilerinin büyüklüğü de artıyor. Güncel rakamlara göre büyük kuruluşlar, %25 olasılıkla, iyileşme ve normale dönme maliyeti 4,9 milyon dolara kadar çıkabilen risklerle karşı karşıya. Verizon’un 2024’e dair verileri, yazılım kaynaklı güvenlik açıklarından köklenen siber olayların sayısının 2023’te bir önceki yıla göre %180 arttığını gösteriyor. Bu saldırıların %15’inin üçüncü taraf tedarikçilerden kaynaklanması, tedarik zincirinde siber güvenli kritik başlıklardan birine dönüştürüyor.
10 milyar dolarlık maliyet: CrowdStrike kesintisi
Temmuz 2024’te yaşanan CrowdStrike kesintisi, giderek daha fazla birbirine bağlı hale gelen sistemlerin yol açtığı risklere en güncel örneği teşkil ediyor. Microsoft’un siber güvenlik sağlayıcılarından CrowdStrike’ta yaşanan bir güncelleme hatası, dünya çapında binlerce kuruluşta 8,5 milyon sistemin çökmesine neden oldu. Tamamen kasıtsız olarak, bir veri tabanı hatasından kaynaklanan bu kesinti, toplamda 10 milyar doları aşan kayıplara yol açtı. Bunun bir siber saldırı olarak, kasıtlı bir biçimde, özellikle de yapay zekanın siber saldırı orkestrasyonunda insan müdahalesine dahi büyük ölçüde ihtiyaç duymadığı bir dönemde gerçekleştirilmesi ihtimali, daha büyük kayıplara kapı aralıyor.
Yapay zekanın siber saldırılar için kullanımına yönelik en yeni örneklerden biri, yapay zeka şirketi Anthropic tarafından raporlandı. Anthropic, kasım ayında, kodlama aracı Claude Code’un eylül ayında dünya genelinde 30 kuruluşa saldırmak üzere “manipüle edildiğini” ve “birkaç başarılı saldırı” gerçekleştirdiğini bildirdi. Şirket, bu saldırılar sırasında büyük ölçüde bağımsız hareket ettiğini, insan müdahalesine ihtiyaç duymadığını, saldırı kapsamındaki operasyonların %80 ila %90’ının insan olmadan gerçekleştirildiğini yazdı.
Güncel siber risk ortamı manzarası
Allianz Commercial tarafından yayımlanan ve 2025’in ilk yarısına dair veriler içeren rapor, 2025’in ilk yarısında, geçtiğimiz yıla paralel bir biçimde, 300 siber hasar bildirimi yapıldığını gösterdi. Sigorta bildiriminde bulunulan saldırıları raporlayan kuruluş, 2025 toplamı için öngörüsünü 700 saldırı olarak paylaştı ve özellikle Black Friday indirim döneminde yoğunlaşma beklediğini yazdı.
Allianz’ın raporu, büyük hasarların %60’ının ransomware yani fidye yazılımı kaynaklı olduğunu vurguladı. Şantaj ve veri sızıntısının arttığını gösteren rapor, 2025’in ilk yarısında büyük hasar değerinin %40’ının veri hırsızlığı içerdiğini ve veri sızıntılı kayıpların maliyetinin 2 kat daha yüksek olduğunu ortaya koydu. Fidye yazılımı saldırılarının özellikle KOBİ’leri daha fazla etkilediği, KOBİ veri ihlallerinin %88’inde fidye yazılımı saldırılarının rol oynadığı yazıldı. Sektörel kırılıma bakıldığında ise %33 oranla imalat şirketlerinin açık hedef olduğu, üretim sektörünü de %18 ile profesyonel hizmetler, %9 ile perakende sektörü izledi.
Küresel tedarik zinciri siber risklerini yönetmek için 3 temel ilke
Dünya Ekonomik Forumu, kuruluşların tedarik zinciri siber risk ve dayanıklılığını etkili bir şekilde yönetmeleri için gereken üç ilkeyi öne çıkarıyor. Bu ilkeler, yerleşikliği teşvik etmek, gelişmiş teknolojilerden yararlanmak, uyarlanabilir ve proaktif olmak olarak sıralanıyor. Yerleşiklik, dayanıklılığın tedarik zincirine ve diğer kuruluşlardaki organizasyonel süreçlere ve kültüre derinlemesine entegre edilmesini ve bu yaklaşımın operasyonel süreçlerin temel bir ilkesi haline getirilmesini kapsıyor. Siber savunmayı güçlendirmek, risk değerlendirmesini kolaylaştırmak ve dayanıklılığı artırmak için başvurulacak yegane kaynak ise yüksek teknoloji olarak öne çıkıyor. WEF ayrıca kurumsal kültür ve zihniyetin dayanıklılık konusundaki rolüne de atıfta bulunuyor. Esnek ve proaktif bir yaklaşım, gelişen siber tehditlere hızlı adaptasyonun koşulları arasında öne çıkıyor.
Global tedarik zincirinde siber riskleri azaltmanın 3 yolu
Bu ilkeler, topyekun küresel tedarik zinciri risklerini azaltma uygulamalarının nasıl yapılacağına da referans oluşturuyor. Bu başlıklar, şu şekilde sıralanıyor:
“Rekaberlik”
Küresel tedarik zincirlerinin maruz kaldığı siber riskleri azaltmanın ilk yolu, rakiplerin belirli alanlarda işbirliği yapmasını(coopetition = rekaberlik) gerektiriyor. WEF’e göre rakiplerin belirli alanlarda işbirliği yapması, tehdit bilgisi ve en iyi uygulamaların paylaşılmasıyla siber dayanıklılığı artırıyor. Öte yandan bu birlikte çalışabilirlik yolunda büyük şirketlere, KOBİ’lerin güvenlik kapasitesindeki eşitsizliği azatlamada önemli rol düşüyor. Güvenlik yetkinliklerinin şirket bazında değil, tedarik zinciri seviyesinde ele alınması; risklere karşı mücadelede ölçek ekonomisi yaratılmasına, dayanıklılığı sektör ve daha genel anlamda tedarik zinciri bağlamında artırmaya zemin hazırlıyor.
Teknolojiden daha etkin yararlanmak
Yapay zekanın, büyük ölçekli bir hack operasyonunun önemli bir bölümünü kendi başına yönetebilecek hale geldiği günümüzde, işletmelerin de bu teknolojiyi aynı ölçekte, riskten korunmak için kullanması gerekiyor. Bulut teknolojisi, yüksek bilgi işlem kapasitesi ve yapay zeka, tedarik zincirinin karmaşıklığını ölçmeyi ve yönetmeyi kolaylaştırıyor. Zira MIT tarafından 40 bini aşkın şirketin verisiyle yapılan bir araştırma, tedarik zincirinin yapısal özelliklerinin siber riskin en büyük belirleyicisi olduğuna vurgu yapıyor. Kritik noktaları ortaya çıkarmak, tekil bilgi birikimini ekosisteme yayarak tedarik zinciri karmaşıklığını anlama sürecinde de rakiplerle işbirliği yapmak ve risk ölçümünde yapay zekadan yararlanmak, küresel tedarik zincirinin kötü niyetli kişilere karşı savunma kapasitesini artırma potansiyeli taşıyor.
Dayanıklılığı öncelemek ve adaptif olmak
Dünya Ekonomik Forumu, tedarik zinciri tasarımında “dayanıklılığı” önceliklendirmenin önemine vurgu yaparak, bunun için dikkate alınabilecek bir kavramsal çerçeve de sunuyor. Yedeklilik (redundancy), çeşitlilik (diversity), koruma (buffers) ve modülarite (modularity), siber saldırıların etkisini sınırlamaya yarıyor. Saldırıya uğrayan bölümü sistemin geri kalanından izole eden modüler mimariler, tüm zinciri korumada önemli rol oynuyor. Öte yandan bu yaklaşım ve adaptif kavrayış, saldırıları yalnızca tespit etmede değil, öngörebilmede ve etkisini sınırlayacak şekilde müdahale planları geliştirmede şirketlerin elini rahatlatıyor.
