Lojistik Sektöründe Bilgi Güvenliği ve Boyutları

Altay ONUR,
Makine Y. Müh. / BVL Chapter Türkiye
altay.onur@gmail.com

Giriş

Tedarik zincirinin önemli bir bileşeni olan lojistik, günümüz dünyasında küresel ticaretin önemli süreçleri olarak ürünlerin, hizmetlerin ve ilgili bilgilerin başlangıç noktasından tüketim noktasına kadar akışının ve depolanmasının etkin ve verimli bir şekilde planlanması, uygulanması ve kontrol edilmesine yönelik bir dizi faaliyeti kapsamaktadır. Ürünlerin ve hizmetlerin doğru zamanda, doğru yerde ve doğru maliyetle müşterilere ya da son kullanıcılara ulaştırılması, tedarik zincirlerinin etkinliğini ve verimliliğini doğrudan etkilemektedir. Ancak, dijitalleşmenin hızla artmasıyla birlikte, lojistik sektörü de bilgi güvenliği risklerinin ve siber tehditlerin hedefi haline gelmiştir. Özellikle ulaşım operasyonel teknolojilerinin (OT) ve bilgi teknolojilerinin (IT) entegrasyonu, lojistik süreçlerini daha karmaşık hale getirirken, siber saldırganlar için yeni zafiyet alanları yaratmaktadır.

Bu makalede, lojistik sektöründe bilgi güvenliğinin önemini, karşılaşılan temel riskleri ve bu risklere karşı alınabilecek önlemler ele alınmıştır. Kara, deniz ve havayolu taşımacılığındaki özgün riskler incelenecek ve ISO 27001 “Bilgi güvenliği, siber güvenlik ve kişisel gizliliğin korunması – Bilgi güvenliği yönetim sistemi” standardının tedarik zinciri kontrolleri bağlamında sunduğu çözümler değerlendirilecektir.

Lojistik Sektöründe Bilgi Güvenliğinin Önemi ve Genel Boyutları

Lojistik sektörü, büyük miktarda hassas veriyi işleyen ve depolayan süreçleri içerir. Müşteri bilgileri, kargo verileri, rota planları, finansal ve operasyonel bilgiler gibi kritik veriler, siber saldırganlar için hedefler oluşturmaktadır. Bilgi güvenliğinin sağlanması, sadece veri gizliliğini korumakla kalmaz, aynı zamanda operasyonel sürekliliği, itibar yönetimini ve yasal uyumluluğu da doğrudan etkilemektedir. Lojistik sektöründe bilgi güvenliğinin genel boyutları genel olarak aşağıdaki başlıklar altında toplanabilir;

Veri gizliliği: Hassas verilerin yetkisiz erişimden korunması, müşteri güvenini sağlamak ve rekabet avantajını sürdürmek için hayati öneme sahiptir.

Veri bütünlüğü: Verilerin doğru, eksiksiz ve değiştirilmemiş olmasını sağlamak, operasyonel kararların doğru alınması ve tedarik zinciri boyunca güvenilirliğin korunması için kritik öneme sahiptir.

Veri erişilebilirliği: Bilgi sistemlerinin ve verilerin yetkili kullanıcılar tarafından ihtiyaç duyulduğunda erişilebilir ve kullanılabilir olmasını sağlamak, operasyonel kesintileri önlemek ve hizmet sürekliliğini garanti altına almak için gereklidir.

Operasyonel süreklilik: Siber saldırılar, lojistik operasyonlarını durdurabilir, sevkiyatları geciktirebilir ve büyük mali kayıplara yol açabilir. Bilgi güvenliği kapsamında iş sürekliliği, bu tür kesintileri en aza indirmeyi hedefler.

Yasal düzenlemelere uyum: GDPR (Genel Veri Koruma Tüzüğü), KVKK gibi veri koruma yasaları ve sektöre özgü düzenlemeler, lojistik şirketlerinin bilgi güvenliği konusunda belirli standartlara uymasını zorunlu kılmaktadır. Uyumsuzluk, ağır para cezalarına ve itibar kaybına yol açabilir.

İtibar yönetimi: Bir siber saldırı veya veri ihlali, şirketin imajına ve itibarına ciddi zararlar verebilir, müşteri güvenini sarsabilir ve uzun vadeli iş ilişkilerini olumsuz etkileyebilir.

Lojistik sektöründe karşılaşılan genel siber tehditler arasında fidye yazılımları (ransomware), oltalama (phishing) saldırıları, Nesnelerin İnterneti (IoT) cihazlarına yönelik saldırılar ve veri hırsızlığı/ihlalleri bulunmaktadır [1]. Bu tehditler, lojistik şirketlerinin operasyonel ve finansal açıdan büyük zararlar görmesine neden olabilmektedir. Örneğin, Şubat 2022’de dünyanın önde gelen lojistik şirketlerinden Expeditors, büyük bir siber saldırıya maruz kalmış ve operasyonları önemli ölçüde etkilenmiştir. Benzer şekilde, İsviçre havaalanı yönetim hizmeti Swissport ve Belçika ile Hollanda’daki limanlar da fidye yazılımı saldırılarının hedefi olmuştur [2].

Kara Taşımacılığında Bilgi Güvenliği Riskleri

Kara taşımacılığı, lojistik sektörünün en yaygın ve esnek modlarından biridir. Karayolu ağlarının genişliği ve operasyonel esnekliği, bu taşıma modunu vazgeçilmez kılmaktadır. Ancak, dijitalleşme ve bağlantılı otomasyon teknolojilerin artmasıyla birlikte, kara taşımacılığı da kendine özgü bilgi güvenliği riskleriyle karşı karşıya kalmaktadır. Bu riskler, araç içi sistemlerden filo yönetimi yazılımlarına, sürücülerin mobil cihazlarından tedarik zinciri entegrasyonlarına kadar geniş bir yelpazeyi kapsar. Genel olarak kara taşımacılığındaki bilgi güvenliği ve siber güvenlik riskleri aşağıdaki şekilde sınıflandırılabilir;

Araç içi sistemlerin güvenliği: Modern kamyonlar ve tırlar, telematik sistemler, GPS navigasyon, motor kontrol üniteleri (ECU) ve diğer bağlı elektronik cihazlarla donatılmıştır. Bu sistemlerdeki güvenlik açıkları, kötü niyetli kişilerin araçların uzaktan kontrolünü ele geçirmesine, konum bilgilerini manipüle etmesine veya operasyonel verileri çalmasına olanak tanıyabilir. Örneğin, bir saldırgan, aracın motorunu durdurabilir veya fren sistemlerine müdahale edebilir, bu da ciddi kazalara yol açabilir.

Filo yönetim sistemleri ve yazılımları: Lojistik şirketleri, filolarını yönetmek için karmaşık yazılımlar kullanmaktadırlar. Hatta bazı taşımacılık şirketlerinin kendi geliştirdikleri yazılımları bulunmaktadır. Bu sistemler, rota optimizasyonu, yakıt tüketimi takibi, sürücü performansı analizi ve bakım planlaması gibi kritik işlevleri yerine getirir. Bu yazılımlara yönelik siber saldırılar (fidye yazılımları, veri ihlalleri), tüm filo operasyonlarını durdurabilir, hassas ticari bilgilerin çalınmasına veya operasyonel verilere müdahale edilmesine neden olabilir.

Mobil cihaz güvenliği: Sürücüler ve saha çalışanları, operasyonel görevler için akıllı telefonlar ve tabletler gibi mobil cihazları yoğun bir şekilde kullanmaktadır. Bu cihazların güvenliğinin sağlanamaması, oltalama saldırıları, kötü amaçlı yazılımlar veya cihaz hırsızlığı yoluyla şirket verilerine yetkisiz erişime yol açabilir. Mobil cihazlar üzerinden yapılan kimlik avı saldırıları, çalışanların hassas verilerini ele geçirmek için sıkça kullanılan bir yöntemdir.

Tedarik zinciri entegrasyonu ve veri paylaşımı: Kara taşımacılığı, tedarik zincirinin diğer halkalarıyla (depolar, gümrükler, müşteriler) sürekli veri alışverişi içindedir. Bu entegrasyon noktalarındaki güvenlik zafiyetleri, tedarik zinciri saldırılarına zemin hazırlayabilir. Bir tedarikçinin sistemine sızan bir saldırgan, kara taşımacılığı operasyonlarına ilişkin hassas bilgilere erişebilir veya bu bilgileri manipüle edebilir.

Otonom ve bağlantılı araç teknolojileri: Gelecekte otonom ve bağlantılı kara araçlarının yaygınlaşmasıyla birlikte, bu araçların siber güvenliği daha da kritik hale gelecektir. Araçlar arası iletişim (V2V; Vehicle-to-vehicle) ve araçtan altyapıya iletişim (V2I; vehicle-to-infrastructure) trafik güvenliğini artırmak ve trafik akışını iyileştirmek için önemli bir potansiyele sahiptir. Bu sistemlerdeki güvenlik açıkları, trafik akışını bozabilir, kazalara neden olabilir veya kötü niyetli kişilerin araçları uzaktan kontrol etmesine olanak tanıyabilir.

Fiziksel güvenlik ve siber güvenlik entegrasyonu: Kara taşımacılığında, fiziksel güvenlik (araç hırsızlığı, kargo hırsızlığı) ile siber güvenlik arasındaki bağlantı önemlidir. Örneğin, bir aracın uzaktan kontrolünü ele geçiren bir siber saldırgan, aracı çalınması için uygun bir konuma yönlendirebilir veya kargoyu çalmak için güvenlik sistemlerini devre dışı bırakabilir.

Bu tür risklere karşı, kara taşımacılığı şirketlerinin güçlü siber güvenlik politikaları oluşturması, çalışanlarına düzenli eğitimler vermesi, araç içi sistemleri ve filo yönetim yazılımlarını düzenli olarak güncellemesi ve siber güvenlik denetimleri yapması gerekmektedir.

Deniz Taşımacılığında Bilgi Güvenliği Riskleri

Deniz taşımacılığı, küresel ticaretin büyük bir kısmını oluşturan ve uluslararası tedarik zincirlerinin temelini teşkil eden hayati bir taşıma modudur. Modern gemiler, navigasyon, iletişim, motor kontrol ve yük yönetimi gibi birçok sistemin dijitalleşmesiyle birlikte giderek daha fazla otomasyona ve bağlantıya bağımlı hale gelmiştir. Bu dijitalleşme, verimlilik ve hız sağlarken, aynı zamanda deniz taşımacılığını siber saldırılara karşı savunmasız hale getiren yeni riskler ortaya çıkarmıştır. Deniz taşımacılığına özgü bilgi güvenliği riskleri aşağıda gruplandırılmıştır.

Navigasyon ve konumlandırma sistemlerine saldırılar (GPS spoofing/jamming): Gemilerin güvenli seyrini sağlayan Küresel Konumlandırma Sistemleri (GPS) ve diğer navigasyon sistemleri, siber saldırganlar tarafından manipüle edilebilir. GPS spoofing (sahte sinyal gönderme) veya jamming (sinyal karıştırma) saldırıları, gemilerin rotasından sapmasına, yanlış konum bilgileri almasına, hatta çarpışmalara veya karaya oturmasına neden olabilir. Bu tür saldırılar hem can güvenliği hem de çevresel felaketler açısından yıkıcı sonuçlar doğurabilir.

Gemi otomasyon ve kontrol sistemlerine saldırılar (OT sistemleri): Modern gemilerde motor kontrol sistemleri, balast sistemleri, dümen kontrolü ve kargo yükleme/boşaltma sistemleri gibi operasyonel teknoloji (OT) sistemleri bulunmaktadır. Bu sistemlere yapılan siber saldırılar, geminin kötü niyetli kişiler tarafından uzaktan kontrol edilmesine, operasyonel arızalara veya sabotajına yol açabilir. Örneğin, bir saldırgan, geminin motorunu durdurabilir veya kargo kapaklarını açarak kargo yüklerinin zarar görmesine neden olabilir.

Liman operasyonlarına yönelik siber saldırılar: Limanlar, gemi ve kara taşımacılığı arasındaki kritik bağlantı noktalarıdır. Limanlardaki otomasyon sistemleri, vinçler, gümrük sistemleri ve lojistik yönetim (depolama, yükleme-boşaltma) yazılımları siber saldırılara maruz kalabilir. Bu tür saldırılar, liman operasyonlarını durdurabilir, kargo akışını aksatabilir, tedarik zincirinde büyük gecikmelere ve ekonomik kayıplara neden olabilir. Belçika ve Hollanda’daki limanlara yapılan fidye yazılımı saldırıları, bu tür risklerin somut örnekleridir [2].

Veri hırsızlığı ve casusluk: Gemi ve kargo bilgileri, mürettebat verileri, rota planları, ticari anlaşmalar ve finansal veriler gibi hassas bilgiler, siber saldırganlar için önemli hedefler arasındadır. Bu bilgilerin çalınması, ticari sırların ifşa olmasına, rekabet avantajının kaybedilmesine veya casusluk faaliyetlerine zemin hazırlayabilir.

Eski ve güncellenmemiş sistemlerin zafiyetleri: Denizcilik sektöründe birçok gemi ve liman altyapısı, hala eski ve güncellenmemiş IT/OT sistemleri kullanmaktadır. Bu sistemler, modern siber tehditlere karşı savunmasızdır ve kolayca istismar edilebilir. Yama yönetimi eksikliği ve güvenlik güncellemelerinin yapılmaması, siber saldırganlar için kolay hedefler oluşturmaktadır.

Mürettebatın siber güvenlik farkındalığı eksikliği: Gemilerdeki mürettebatın siber güvenlik konusunda yeterli eğitim ve farkındalığa sahip olmaması, oltalama saldırıları, sosyal mühendislik veya kötü amaçlı yazılımların yayılması gibi insan kaynaklı hatalara yol açabilir. Bu tür hatalar, siber saldırganların gemi sistemlerine erişim sağlaması için bir başlangıç noktası olabilir.

Tedarik zinciri entegrasyon riskleri: Deniz taşımacılığı, küresel tedarik zincirinin ayrılmaz bir parçasıdır. Kara ve havayolu taşımacılığı ile entegre çalışması (intermodal), tedarik zincirindeki herhangi bir zayıf halkadan kaynaklanan siber saldırıların tüm sistemi etkileme potansiyelini artırır.

Uluslararası düzenlemelere uyum: Uluslararası Denizcilik Örgütü (IMO), gemilerde siber risk yönetimi konusunda düzenlemeler getirmiştir (örn. 2017 yılında kabul edilen IMO Resolution MSC.428, Deniz Siber Risk Yönetimine İlişkin Kılavuz MSC-FAL.1/Circ.3). Bu tür düzenlemeler mevcut risk yönetimi süreçlerine dahil edilebilecek deniz siber risk yönetimi için üst düzey öneriler sunmaktadır. Gemiler ve denizcilik operasyonlarında siber tehditlere karşı koruma sağlamayı amaçlayan bu düzenlemelere uyum sağlamamak, yasal yaptırımlara, sigorta sorunlarına ve operasyonel aksaklıklara yol açabilir. Şirketlerin bu düzenlemelere uyum sağlamak için siber güvenlik politikalarını ve prosedürlerini geliştirmesi gerekmektedir.

Havayolu Taşımacılığında Bilgi Güvenliği Riskleri

Havayolu taşımacılığı, lojistik sektöründe hız ve küresel erişim sağlayan kritik, yüksek değerli ve zaman açısından hassas kargoların taşınmasında tercih edilmektedir. Aynı zamanda karmaşık operasyonel sistemleri, yüksek seviyeli kalite gereksinimleri ve geniş entegrasyon ağı nedeniyle siber saldırılara karşı oldukça hassastır. Havayolu taşımacılığına özgü bilgi güvenliği riskleri hem yerdeki havalimanı sistemlerini hem de uçakları kapsamaktadır.

Havalimanı bilişim sistemlerine yönelik tehditler: Hava trafik kontrol sistemleri ve uçak içi sistemler gibi kritik bileşenler siber saldırganlar için cazip hedeflerdir. Havalimanları, hava trafik kontrol sistemleri, havayolu bilişim altyapısı, havalimanı operasyonları (ör. check-in sistemleri, bagaj takip sistemleri, yolcu bilgileri, kargo yönetim sistemleri, güvenlik tarama sistemleri, yer hizmetleri) gibi birçok kritik bilişim sistemini barındırmaktadır. Bu sistemlere yapılan siber saldırılar (fidye yazılımları, kimlik avı, DDoS saldırıları), operasyonel aksaklıklara, uçuş gecikmelerine, veri kaybına ve güvenlik zafiyetlerine yol açabilir. Amaç, uçuş programlarını değiştirmek veya trafik kontrol sistemini bozarak operasyonları aksatmaktır. Ayrıca, yolcu bilgileri ve operasyonel verilerin ele geçirilmesi veya bozulması da önemli bir tehdit oluşturmaktadır. Örneğin, bir saldırı, tüm havalimanının operasyonlarını durdurarak küresel tedarik zincirinde büyük bir kaosa neden olabilir.

Uçak sistemlerine yönelik siber saldırılar: Modern uçaklar, aviyonik sistemler, uçuş kontrol sistemleri, navigasyon, iletişim ve eğlence sistemleri gibi yüksek derecede entegre ve bağlantılı sistemlere sahiptir. Bu sistemlerdeki güvenlik açıkları, kötü niyetli kişilerin uçağın kontrolünü ele geçirmesine, navigasyon verilerini manipüle etmesine veya kritik uçuş bilgilerini çalmasına olanak tanıyabilir. Her ne kadar uçuş güvenliği için katı önlemler alınsa da potansiyel siber tehditler sürekli bir risk oluşturmaktadır.

Hava trafik kontrol (ATC) sistemlerine yönelik tehditler: Hava trafik kontrol sistemleri, uçakların güvenli bir şekilde kalkış, iniş ve hava sahasında seyrini sağlamak için hayati öneme sahiptir. Bu sistemlere yapılan siber saldırılar, hava sahasında kaosa, uçakların çarpışmasına veya ciddi güvenlik ihlallerine yol açabilir. ATC sistemlerinin siber güvenliği, ulusal güvenlik açısından da büyük önem taşımaktadır.

Kargo ve yük güvenliği: Hava kargo taşımacılığında, kargoların içeriği, menşei ve varış noktası bilgileri büyük önem taşır. Siber saldırılar, kargo manifestolarının değiştirilmesine, tehlikeli maddelerin gizlenmesine, yasa dışı taşımacılığa veya terör eylemlerine olanak sağlayabilir. Kargo takip sistemlerine yapılan saldırılar, kargoların kaybolmasına veya yanlış yönlendirilmesine neden olabilir.

Veri gizliliği ve kişisel verilerin korunması: Havayolu şirketleri, yolcu bilgileri (pasaport, vize, sağlık bilgileri), mürettebat verileri ve kargo detayları gibi çok sayıda hassas kişisel veri işlemektedir. Bu verilerin ihlal edilmesi, GDPR, KVKK gibi veri koruma düzenlemeleri kapsamında ağır para cezalarına ve şirketin itibarına ciddi zararlar verebilir.

Tedarik zinciri zafiyetleri: Havayolu taşımacılığı, uçak üreticileri, bakım şirketleri, yer hizmetleri sağlayıcıları, kargo acenteleri ve diğer birçok paydaşla entegre bir tedarik zincirine sahiptir. Bu zincirdeki herhangi bir zayıf halka, siber saldırganların sisteme sızması için bir giriş noktası oluşturabilir. Tedarik zinciri saldırıları, havayolu operasyonlarının tamamını etkileyebilir.

İnsan kaynaklı hatalar ve farkındalık eksikliği: Havayolu şirketleri çalışanlarının (pilotlar, yer ekibi, güvenlik personeli, IT uzmanları) siber güvenlik farkındalığının düşük olması, oltalama saldırıları, sosyal mühendislik veya kötü amaçlı yazılımların yayılması gibi insan kaynaklı hatalara yol açabilmektedir. Bu tür hatalar, siber saldırganların sistemlere erişim sağlaması için en yaygın yollardan biridir.

Havayolu taşımacılığında bilgi güvenliği ve siber güvenliğin sağlanması, sadece teknolojik altyapının güçlendirilmesiyle değil, aynı zamanda kapsamlı eğitim programları, düzenli güvenlik denetimleri ve uluslararası standartlara uyum ile mümkündür. Bu hem operasyonel güvenliği hem de yolcu ve kargo güvenliğini sağlamak için kritik öneme sahiptir.

ISO 27001 ve Tedarik Zinciri Bilgi Güvenliği Kontrolleri

ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS), kuruluşların bilgi varlıklarını korumak için uluslararası kabul görmüş bir çerçeve sunar. Lojistik sektöründe, tedarik zincirinin karmaşıklığı ve çok paydaşlı yapısı nedeniyle bilgi güvenliği riskleri daha da artmaktadır. 2022 yılında yayımlanan güncel ISO 27001 versiyonunda, bu riskleri yönetmek ve azaltmak için özellikle tedarikçi ilişkileri ve tedarik zinciri bilgi güvenliği kontrollerine yer verilmiştir.

Tedarikçi ilişkilerinde bilgi güvenliği: Standardın Ek-A kontrolleri içinde yer alan A.5.19 “Tedarikçi ilişkilerinde bilgi güvenliği” kontrolleri, tedarikçi ilişkilerinde üzerinde anlaşmaya varılmış bir düzeyde bilgi güvenliği sağlamak amacıyla, tedarikçinin ürün veya hizmetlerinin kullanımıyla ilgili bilgi güvenliği risklerini yönetmek için süreçler ve prosedürler tanımlanması ve uygulanması yönünde bir dizi kontrol adımlarını belirlemiştir. Bu tür kontroller lojistik şirketlerinin tedarik zinciri boyunca bilgi güvenliğini sağlamalarına yardımcı olur.

Tedarikçi anlaşmalarında bilgi güvenliği: Kuruluşlar, tedarikçilerin bilgi varlıklarına erişimiyle ilgili riskleri azaltmak amacıyla bilgi güvenliği gereksinimlerini tedarikçilerle yazılı olarak kararlaştırmalıdır. İlgili bilgi güvenliği gereklilikleri, tedarikçi ilişkisinin tipine dayandırılarak her tedarikçi ile oluşturulmalı ve üzerinde anlaşmaya varılmalıdır. Belirlenen bilgi güvenliği gerekliliklerinin karşılanması için şartların sözleşmelere dahil edilmesi düşünülebilir (ISO 27001:2022, Ek-A.5.20). Bu politika, özellikle kuruluşun bilgilerine erişen tedarikçileri ele almalı ve uygulanacak bilgi güvenliği kontrollerini net bir şekilde tanımlamalıdır. Bu, lojistik operasyonlarında kullanılan üçüncü taraf yazılımlar, donanımlar veya hizmet sağlayıcıları için kritik öneme sahiptir.

BİT tedarik zincirinde bilgi güvenliği yönetimi: BİT ürünleri ve hizmetleri tedarik zinciri ile ilişkili bilgi güvenliği risklerini yönetmek için süreçler ve prosedürler tanımlanmalı ve uygulanmalıdır (ISO 27001:2022, Ek-A.5.21). BT hizmetleri, lojistik araçları, finansal hizmetler, BT altyapı bileşenleri gibi kuruluşun bilgilerine erişim izni verilen farklı tedarikçi türleri belirlenmeli ve bu türler için özel güvenlik gereksinimleri tanımlanmalıdır. Her tedarikçi türü için risk seviyesi farklı olacağından, buna uygun güvenlik önlemleri alınmalıdır. Sözleşmeler, farklı kuruluşlar ve tedarikçi türleri arasında önemli ölçüde farklılık gösterebilir. Bu nedenle, bilgi güvenliği risklerini ele almak için ilgili tüm gereklilikleri dahil etmeye özen gösterilmelidir.

Standart proses ve yaşam döngüsü: Tedarikçi ilişkilerini yönetmek için standart bir süreç ve yaşam döngüsü oluşturulmalıdır (Ek-A.5.21). Bu, tedarikçi seçimi, sözleşme yönetimi, performans izleme ve sözleşme sonlandırma süreçlerinde bilgi güvenliği gereksinimlerinin entegre edilmesini sağlar.

Erişim kontrolü ve izleme: Tedarikçilerin kuruluşun bilgi sistemlerine erişim türleri ve seviyeleri belirlenmeli, bu erişimler sıkı bir şekilde kontrol edilmeli ve sürekli olarak izlenmelidir (Ek-A.5.19). Yetkisiz erişim denemeleri veya şüpheli faaliyetler anında tespit edilmeli ve müdahale edilmelidir.

Asgari bilgi güvenliği gereksinimleri: Kuruluşun iş ihtiyaçları, yasal gereksinimler ve risk profili temel alınarak, her bir tedarikçi anlaşması için asgari bilgi güvenliği gereksinimleri belirlenmelidir (Ek-A.5.19). Bu gereksinimler, veri şifreleme, erişim kontrolü, güvenlik denetimleri ve olay yönetimi gibi konuları kapsayabilir.

Uyumluluğun izlenmesi ve denetimi: Tedarikçilerin belirlenen bilgi güvenliği gereksinimlerine uyumunu izlemek ve düzenli olarak denetlemek önemlidir (Ek-A.5.22). Bu, üçüncü taraf denetimleri, güvenlik testleri veya performans değerlendirmeleri yoluyla yapılabilir. Lojistik şirketleri, tedarikçilerinin ISO 27001 sertifikasına sahip olmasını veya benzer güvenlik standartlarına uymasını talep edebilir. Örneğin Yetkilendirilmiş Yükümlü Statüsü (AEO: Authorized Economic Operator) uluslararası ticarette gümrük işlemlerini kolaylaştırmak amacıyla güvenilir firmalara ISO 27001 belgesi şartı gerektirmektedir.

Veri bütünlüğü ve doğruluk kontrolleri: Tedarikçiler tarafından sağlanan veya işlenen bilgilerin doğruluğunu ve bütünlüğünü sağlamak için kontroller uygulanmalıdır. Bu, veri giriş kontrolleri, veri doğrulama mekanizmaları ve veri bütünlüğü denetimlerini içerebilir (Ek-A.5.20).

Acil durum ve ihlal olaylarının yönetimi: Tedarikçi erişimiyle ilişkili acil durumlar (örneğin, siber saldırılar, veri ihlalleri) ve olaylar için hem kuruluş hem de tedarikçilerin sorumluluklarını içeren prosedürler oluşturulmalıdır. Olay müdahale planları, bu tür durumların hızlı ve etkili bir şekilde yönetilmesini sağlamalıdır (Ek-A.5.20).

Kurtarma ve acil durum düzenlemeleri: Bilgi ve bilgi işleme sistemlerinin kullanılabilirliğini sağlamak için esneklik ve gerektiğinde kurtarma ve acil durum düzenlemeleri yapılmalıdır (Ek-A.5.22). Bu, yedekleme (Ek-A.8.13) ve felaket kurtarma planlarını içerebilir (Ek-A.5.30).

Farkındalık Eğitimi: Kuruluşun satın alma ve tedarikçi ilişkileriyle ilgili personelinin bilgi güvenliği politikaları ve prosedürleri hakkında farkındalık eğitimi alması sağlanmalıdır. Ayrıca, tedarikçi personeliyle etkileşimde olan kuruluş personeli için de siber güvenlik farkındalığı eğitimleri düzenlenmelidir.

Sonuç

Lojistik sektörü, küresel ekonominin ve ticaretin bel kemiğini oluştururken, dijitalleşmenin getirdiği kolaylıkların yanı sıra ciddi bilgi güvenliği riskleriyle de karşı karşıyadır. Günümüzde siber suçların artması ve sürekli yeni tehditlerin ortaya çıkmasıyla riskleri yönetmek gittikçe zorlaşmaktadır. Kara, deniz ve havayolu taşımacılığı gibi farklı modlar, kendilerine özgü operasyonel yapıları ve teknolojik bağımlılıkları nedeniyle çeşitli siber tehditlere maruz kalmaktadır. Fidye yazılımları, oltalama saldırıları, tedarik zinciri zafiyetleri, IoT cihazlarına yönelik tehditler ve veri hırsızlığı, lojistik şirketlerinin operasyonel sürekliliğini, finansal istikrarını ve itibarını doğrudan etkileyen başlıca risklerdir.

Bu risklerle mücadele etmek ve lojistik operasyonlarının güvenliğini sağlamak için kapsamlı bir bilgi güvenliği stratejisi benimsemek zorunludur. Kuruluşların çalışanları, süreçleri ve kullandıkları teknoloji boyutlarında bilginin gizlilik, bütünlük ve erişilebilirlik özellikleri bağlamında yönetilmesi için bir rehberlik sağlayan ISO 27001 sadece yasal ve düzenleyici gereklilikleri karşılamakla kalmaz, aynı zamanda operasyonel dayanıklılığı artırır, müşteri güvenini pekiştirir ve şirketin itibarını korur. ISO 27001 Bilgi Güvenliği Yönetim Sistemi, ISO 22301 İş Sürekliliği Yönetim Sistemi gibi uluslararası kabul görmüş standartlar bu stratejinin temelini oluşturarak, özellikle tedarik zinciri boyunca bilgi güvenliği kontrolleri ile şirketlere yol göstermektedir. Tedarikçi ilişkilerinde bilgi güvenliği politikalarının oluşturulması, tedarikçi türlerinin belirlenmesi, erişim kontrolü, uyumluluğun izlenmesi ve acil durum yönetimi gibi kontroller, lojistik sektöründeki siber riskleri minimize etmek için hayati öneme sahiptir.

Sonuç olarak, lojistik sektöründe bilgi güvenliği, sadece bir IT konusu olmayıp, operasyonel mükemmelliğin, yasal uyumluluğun ve sürdürülebilir büyümenin temel bir bileşenidir. Şirketlerin, teknolojik önlemlerin yanı sıra, çalışan farkındalığını artırarak, düzenli güvenlik denetimleri yaparak ve uluslararası standartlara uyum sağlayarak siber dayanıklılıklarını güçlendirmeleri gerekmektedir. Bu sayede, lojistik sektörü, dijital çağın getirdiği zorlukların üstesinden gelerek, küresel tedarik zincirlerinin güvenli ve kesintisiz akışını sağlamaya devam edebilecektir.

Altay ONUR,
Makine Y. Müh. / BVL Chapter Türkiye
altay.onur@gmail.com

Referanslar:

[1] “Lojistik Sektöründe Siber Güvenlik Tehditleri ve Korunma Yöntemleri”. Erişim adresi: https://www.securefors.com/lojistik-sektorunde-siber guvenlik-riskleri-ve-korunma-yontemleri/

[2] “Lojistik Sektöründe Siber Güvenlik”. Erişim adresi: https://krontech.com/tr/lojistik-sektorunde-siber-guvenlik