Haftanın Alarmı: Bir Tedarikçinin İçindeki 2,38 Milyon Dolarlık Açık

16.07.2026

Geçtiğimiz hafta ABD'de sonuçlanan bir dava, kurumsal sırların çoğu zaman şirketin kendi duvarları içinden değil, ona hizmet veren üçüncü bir tarafın içinden sızabileceğini çarpıcı biçimde gösterdi. Üstelik bu olayda verisi sızan şirketlerin hiçbir güvenlik hatası yoktu. Hata, güvendikleri tedarikçinin iç kontrollerindeydi.

ABD Adalet Bakanlığı'nın 7 Temmuz 2026 tarihli açıklamasına göre, 32 yaşındaki Justin Chen, içeriden öğrenilen bilgiyle ticaret komplosundan 27 ay hapis cezasına çarptırıldı. Chen'e ayrıca 1.828.442 dolarlık haksız kazancın müsaderesi ve 115.437,19 dolarlık tazminat ödemesi hükmedildi. Suç ortağı Jun Zhen ise Ekim 2025'te suçunu kabul etmiş olup cezasının açıklanmasını bekliyor.

Chen, DOJ belgelerinde "EDGAR Filer 1" olarak anılan bir kuruluşta müdür yardımcısı olarak çalışıyordu. SEC'in ağustos 2025'te açtığı paralel hukuk davasında bu kuruluşun EdgarAgents adlı bir "EDGAR dosyalama ajansı" olduğu belirtiliyor. Yılda 40 binden fazla SEC bildirimini işleyen bu şirket, halka açık şirketlerin zorunlu açıklamalarını SEC'in EDGAR sistemine iletmelerine aracılık ediyor. Chen ve Zhen'in görevi, müşterilerden gelen taslak bildirimleri yayımlanmadan önce incelemek ve biçimlendirme yapacak diğer çalışanlara aktarmaktı.

Sorun şuydu: Bu taslaklar, piyasayı hareket ettirecek nitelikte kamuya açıklanmamış önemli bilgiler içeriyordu. Birleşme ve satın almalar, ortaklıklar, varlık satışları ve çeyreklik kâr açıklamalarına ilişkin Form 8-K bildirimleri gibi. İkili, bu bilgi avantajını NASDAQ'ta işlem gören 13 şirketin hissesinde kullanarak en az 2,38 milyon dolar kâr elde etti.

Bir örnek, mekanizmanın ne kadar keskin işlediğini gösteriyor: 20 Mayıs 2025 öğleden sonra ve akşamı Chen ve Zhen, SigmaTron International'a ait yaklaşık 186.275 hisse satın aldı. Ertesi sabah şirket, kapanış fiyatının %134 üzerinde bir primle satın alınacağını duyurdu; hisse, açılışta bir önceki günün kapanışına göre yaklaşık %127 yükseldi. İkili, duyurudan yaklaşık yarım saat sonra tüm pozisyonlarını satarak yaklaşık 290.005 dolar kâr etti. SEC'in iddianamesine göre benzer bir işlemde Chen, Purple Innovation hisselerinin tamamını duyurudan yalnızca beş dakika sonra elden çıkarmıştı. İkili, 28 Haziran 2025'te Hong Kong'a gitmek üzere JFK Havalimanı'nda uçağa binmeye hazırlanırken FBI tarafından gözaltına alındı.

Önemli bir not: EdgarAgents herhangi bir suçlamayla karşı karşıya değil ve şirket, olay ortaya çıktıktan sonra her iki çalışanının da iş akdini feshetti. Aşağıdaki değerlendirme belirli bir şirketi hedef almıyor. Bu tür bir iş modelinin yapısal olarak taşıdığı riskleri ve alınabilecek dersleri ele alıyor.

SİZİN VERİNİZ, BAŞKASININ AĞINDA: ÜÇÜNCÜ TARAF VE TEDARİK ZİNCİRİ RİSKİ

Bu vakanın en can alıcı yönü şu: SigmaTron, Purple Innovation ya da Getty Images gibi verisi sızan şirketlerin kendi güvenlik sistemlerinde hiçbir zafiyet yoktu. Birleşme sırları, kendi ağlarından değil, bu bilgiyi işlemek üzere yasal olarak paylaştıkları bir hizmet sağlayıcının içinden sızdı. Kurumlar bugün hukuk bürolarına, denetim şirketlerine, yatırımcı ilişkileri ajanslarına, çeviri hizmetlerine ve dosyalama aracılarına en hassas verilerini rutin olarak teslim ediyor ve verinin kontrolü, o e-postayı gönderdikleri anda ellerinden çıkıyor.

Bu nedenle üçüncü taraf risk yönetimi, bir "satın alma prosedürü" olmaktan çıkıp bilgi güvenliğinin doğrudan bir parçası haline gelmelidir. Uygulamada bu, tedarikçi seçiminde teknik güvenlik durum tespiti yapmayı, sözleşmelere asgari güvenlik kontrolü şartları ve denetim hakkı maddeleri koymayı, tedarikçinin bağımsız denetim raporlarını (SOC 2, ISO 27001 vb.) talep etmeyi ve en önemlisi tedarikçiyle paylaşılan veriyi minimuma indirmeyi kapsar. Paylaşılmayan veri sızdırılamaz. Bu, veri minimizasyonu prensibinin en yalın ifadesidir.

ORTAK POSTA KUTUSU: HERKESİN GİRDİĞİ, KİMSENİN SORUMLU OLMADIĞI ODA

SEC'in iddianamesindeki teknik bir ayrıntı, olayın kalbindeki tasarım hatasını açığa vuruyor: Müşteriler taslak bildirimlerini şirkette tutulan ortak bir gelen kutusuna gönderiyordu ve Chen ile Zhen bu kutuya erişebiliyordu. Ortak hesaplar, bilgi güvenliğinin en sinsi zafiyetlerinden biridir. Çünkü ortak bir hesapta erişim, kişiye değil role bağlıdır, "kimin, hangi mesajı, ne zaman açtığı" sorusunun kesin bir cevabı yoktur ve bu da hesap verebilirliği baştan yok eder.

Bunun yerine erişimin kimliğe bağlanması gerekir: paylaşılan kimlik bilgileri yerine her kullanıcının kendi hesabıyla, kendi yetkisiyle ve kendi izini bırakarak erişmesi. Modern posta platformlarında bu, ortak kutuya bireysel delegasyon yetkileri tanımlayarak ve her bir erişimi kullanıcı bazında kayıt altına alarak sağlanır. Buna ek olarak, taslakların şifresiz e-posta ile toplanması yerine erişimi denetlenen güvenli bir portal üzerinden alınması, hem şifreleme hem de izlenebilirlik açısından kıyaslanamayacak kadar sağlam bir zemin sunar.

ÇİN SEDDİ: BİLGİ, İŞİ GÖRECEK KADAR PAYLAŞILIR

Finans dünyasının onlarca yıldır bildiği bir kavram var: bilgi bariyerleri, ya da bilinen adıyla "Çin Seddi". MNPI'ya erişen ekipler, bu bilgiyi ticari kararlarla temas edebilecek herkesten yapısal olarak izole edilir. Bu vakada asıl sorulması gereken soru şu: Bir bildirimi biçimlendirmek için o bildirimin içeriğindeki birleşme haberini okumak gerçekten şart mıydı?

Çoğu iş akışında cevap, sanıldığından çok daha sık "hayır"dır. İş süreçlerinin bilmesi gereken prensibine göre bölümlendirilmesi, içerik ile biçimin ayrıştırılması, hassas alanların işlem sırasında maskelenmesi veya redakte edilmesi ve MNPI'ya erişimin yalnızca gerçekten gerekli olan minimum sayıda kişiyle sınırlandırılması, riski kaynağında küçültür. Erişim yetkisi ne kadar geniş dağıtılırsa, kötüye kullanım ihtimali o oranda artar. Bu, bir güven meselesi değil, bir olasılık meselesidir.

KİMİN NEYE YATIRIM YAPTIĞINI BİLMİYORSANIZ, DENETİM YOK DEMEKTİR

MNPI'ya erişen çalışanları olan kurumlar için finans sektöründe standart sayılan, ancak bu sektörün dışında neredeyse hiç uygulanmayan bir kontrol seti var: yasaklı/izleme listeleri, çalışanların kişisel yatırım hesaplarını beyan etme zorunluluğu ve kişisel işlemler için ön onay mekanizması.
Mantığı basittir: Şirketiniz bir müşterinin gizli birleşme bildirimini işliyorsa, o müşterinin hissesi otomatik olarak yasaklı listeye girer, bu bilgiye erişimi olan hiçbir çalışan ve o hisseyi bildirim yayımlanana kadar alıp satamaz. Çalışanların aracı kurum hesaplarını beyan etmesi ve işlemlerinin bu listelerle otomatik karşılaştırılması, bir çalışanın tam da erişim sağladığı şirketin hissesini bir gün önceden almasını daha gerçekleşmeden görünür kılar. Bu tür bir kontrol devrede olsaydı, SigmaTron işlemi gerçekleştiği gün değil, gerçekleşmeden önce alarm üretirdi.

İKİ KİŞİ ANLAŞIRSA: GÖREVLER AYRILIĞININ SINIRI VE İLETİŞİM ANALİZİ

Burada, güvenlik mimarisinin acı bir gerçeğiyle yüzleşmek gerekiyor. Görevler ayrılığı iç tehdide karşı en güçlü kontrollerden biridir. Ancak yalnızca taraflar birbiriyle anlaşmadığı sürece. Bu vakada süreç zaten bölünmüştü: biri taslağı inceliyor, diğeri biçimlendiriyordu. İki kişi işbirliği yaptığı anda bu ayrım koruma olmaktan çıktı ve bir suç ortaklığı ağına dönüştü. "Dört göz prensibi", gözlerin aynı yöne bakması halinde tek göz kadar korur.

İşte tam bu noktada, teknik erişim kontrollerinin göremediğini iletişim analizi görebilir. SEC'in iddianamesi, ikilinin işlem öncesinde ve sonrasında birbirleriyle mesajlaştığını ve telefonla görüştüğünü; bu yazışmalarda paradan ve "içeride kalmaktan" söz ettiklerini ortaya koyuyor. Yani niyet, ihlalden çok önce dijital iz bırakmıştı. Kurumsal e-posta ve mesajlaşma kanallarını analiz eden çözümler, örneğin SearchInform Risk Monitor bünyesindeki AI Cybersecurity Assistant, MailController ve IMController indekslerindeki içerikleri işleyip önceden tanımlanmış kriterlere göre yapay zekâ etiketleri atar. Bu tür şüpheli iletişimi henüz planlama aşamasındayken görünür kılabilir. Ayrıca çalışanların birbirleriyle ve dışarıyla iletişim yoğunluğunu haritalayan kullanıcı ilişki grafikleri, iç soruşturmalarda olağandışı yakınlaşmaları ortaya çıkarır. Kötü niyet nadiren sessizdir ve genellikle bir yerde yazıya döküldüğü için yakalanır.

TESPİT NEREDEN GELDİ? (VE NEREDEN GELMEDİ)

Bu vakadaki belki de en rahatsız edici ayrıntı, şemayı kimin ortaya çıkardığıdır. Kamuya açık kayıtlar, işlemlerin piyasa gözetimi ve düzenleyici analitik yoluyla, SEC ve FINRA tarafındaki gözetim mekanizmalarıyla, tespit edildiğine işaret ediyor. İkilinin iş akdi ise ancak olay adli makamlara intikal ettikten sonra feshedildi. Yani şema aylarca sürdü ve işveren onu kendi içinde yakalayamadı.

Buradan çıkacak ders keskin: Tespit kabiliyetinizi dışarıya devretmeyin. Bir düzenleyicinin ya da müşterinizin size ihlali haber vermesi, olayın kendisi kadar maliyetlidir. Çünkü o noktada hem zarar gerçekleşmiş hem de kurumun kontrol yeteneğine olan güven sarsılmıştır. Kurum içi tespit, dış denetimin yerine geçmez, ama dış denetimden önce gelmelidir. Erişim kayıtlarının denetlenmesi, davranışsal sapmaların izlenmesi ve bunların merkezi olarak ilişkilendirilmesi, aradaki o aylar boyunca süren sessizliği ortadan kaldırır.

SONUÇ: GÜVEN BİR KONTROL DEĞİLDİR

Bu dava, bilgi güvenliğinde sık tekrarlanan ama nadiren içselleştirilen bir gerçeği hatırlatıyor: Politika yazmak, kontrol uygulamak değildir. EdgarAgents'ın çalışanlarının MNPI ile işlem yapmasını yasaklayan politikaları vardı. Ancak bir yasağın kâğıt üzerinde olması, onu teknik olarak imkânsız kılmaz. Aynı şekilde, bir tedarikçiye güvenmek de bir kontrol değildir. Kontrol, o güvenin doğrulanabilir olmasıdır.

Kurumların çıkarması gereken dersler katmanlı: verinizi kimlerle paylaştığınızı, onların hangi kontrollere sahip olduğunu bilmek, ortak hesaplar yerine kimliğe bağlı ve izlenebilir erişim kurmak, iş akışlarını bilmesi gereken prensibine göre bölmek, hassas bilgiye erişenler için yasaklı liste ve ön onay gibi çıkar çatışması kontrolleri işletmek ve teknik kontrollerin göremediği niyeti iletişim analiziyle yakalamak. SearchInform DLP ve Risk Monitor çözümleri bu katmanların önemli bir bölümünde, özellikle e-posta ve mesajlaşma kanallarının analizi, yapay zekâ destekli şüpheli iletişim tespiti, dosya erişim denetimi ve kullanıcı ilişki analizi konularında kurumlara, bu vakada aylarca eksik kalan görünürlüğü sağlar.

Letter Bültenimize abone olun! Sektör trendlerini takip edin, veri sızıntıları ve siber olaylara karşı nasıl önlem alacağınızı öğrenin.