Ankara Siber Güvenlik: Kurumsal Pentest, KVKK Uyum ve KAOS Yerli AI Motoru

TL;DR: DSET, Ankara Hacettepe Teknokent merkezinde 2003'ten bu yana siber güvenlik hizmeti veriyor. Ekip başında 6 yıl Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Daire Başkanlığı'nda görev yapmış, Ankara Üniversitesi Adli Bilişim Yüksek Lisans tezli mezunu Hamza Aytaç Doğanay bulunuyor. Penetrasyon testi, ISO/IEC 27001 uyum danışmanlığı, KVKK teknik tedbir denetimi, fidye yazılım sonrası müdahale ve USOM ihbar koordinasyonu sunuluyor. DSET'i farklı kılan en kritik yetenek: yerli geliştirilen KAOS yerli AI motoru. Veri Türkiye sınırları içinde kalır, model MITRE ATT&CK tekniklerini agentic AI olarak çalıştırır.

Ankara siber güvenlik ekosistemi neden önemli?

Ankara, Türkiye'nin sadece yargı ve regülasyon merkezi değil; aynı zamanda savunma sanayinin, kritik altyapının ve siber güvenlik akademik araştırmasının kalbi. Bu yoğunluk, şehirde faaliyet gösteren kurumlar için siber riski sıradan bir İT meselesi olmaktan çıkarıp ulusal güvenlik düzeyine taşıyor.

Şehrin ekosistemi şu bileşenlerden oluşuyor:

• Savunma sanayii: ASELSAN, ROKETSAN, HAVELSAN, STM ve TUSAŞ Ankara merkezli. Bu kurumların alt yüklenici ağı binlerce KOBİ'yi kapsıyor ve hepsi tedarik zinciri güvenliği açısından yüksek hassasiyetli.
• Devlet teknik aklı: TÜBİTAK BİLGEM Ankara'da; yerli kriptografi, milli SOME desteği ve standart geliştirme çalışmaları buradan yürüyor. CBDDO (Cumhurbaşkanlığı Dijital Dönüşüm Ofisi) ve USOM Ankara'da koordinasyon yapıyor.
• Akademi: Hacettepe, ODTÜ ve Bilkent siber güvenlik laboratuvarları aktif. Hacettepe Teknokent ve Cyberpark Bilkent, siber girişimleri tek çatı altında topluyor.
• Düzenleyici merkez: BDDK, SPK, BTK ve KVKK Kurumu Ankara'da. Bu yapıyla iletişim, finansal sektörde ve regüle sektörlerde her gün canlı bir gündem.
• Regülasyon yoğunluğu: BTK bilgi ve iletişim güvenliği rehberi, KVKK ikincil mevzuatı, bankacılık BDDK çerçevesi Ankara üzerinden tanımlanıyor.

Bu yoğunluk, Ankara'da çalışan bir siber güvenlik firmasının teknik düzeyinin sıradan piyasa standardının üzerinde olmasını şart koşuyor. DSET'in Hacettepe Teknokent içindeki konumu hem kampüs güvenlik koridorunda olması hem de bu ekosisteme yakınlığı bakımından stratejik.

Hangi sektörlere hizmet veriyoruz?

Savunma sanayii alt yüklenicileri

ASELSAN, ROKETSAN, HAVELSAN, STM ve TUSAŞ tedarik zincirine bağlı KOBİ'lerin pek çoğu sözleşme gereği ISO 27001 sertifikasyonu, KVKK uyum kanıtı ve düzenli penetrasyon testi raporu sunmak durumunda. DSET bu üçlüyü tek pakette ele alıyor.

Bankacılık ve finans

BDDK ve SPK düzenleyici çerçevesi her yıl bağımsız sızma testi ve uyumluluk denetimi gerektiriyor. Ankara'daki finans grupları ve katılım bankası altyapı sağlayıcıları için web uygulaması, mobil bankacılık ve API güvenliği testleri yürütüyoruz.

Sağlık ve özel hastane grupları

Hasta verisi KVKK tanımı gereği özel nitelikli kişisel veri. Hastane bilgi sistemleri (HBYS), PACS görüntüleme arşivi ve mobil sağlık uygulamaları en sık hedef alınan alanlar.

Kamu ve belediye

Belediye e-devlet entegrasyonları, vatandaş portali ve ödeme sistemleri için bağımsız güvenlik denetimi. Kamu kurumlarına USOM ihbar süreçleri konusunda da koordinasyon desteği veriyoruz.

Hukuk büroları ve aile şirketleri

Müvekkil verisi ve hassas yazışma sızıntısı, hukuk bürosu için itibar ve sorumluluk açısından en yüksek risklerden biri. Küçük ofislerden büyük ortaklıklara kadar uygun ölçekli paket sunuluyor.

E-ticaret ve yazılım şirketleri

Yıllık ciroya bağlı düzenleyici eşikler ve büyük müşteri sözleşmeleri çoğu zaman ISO 27001 ve pentest raporu istiyor. Cyberpark ve Hacettepe Teknokent içindeki yazılım girişimleri bu konuda komşu destekten yararlanıyor.

Hizmet hatlarımız

Penetrasyon testi (pentest)

Web uygulaması, ağ altyapısı, mobil uygulama, bulut ortam ve kablosuz ağ tipleri için. Metodoloji OWASP Top 10 ve NIST SP 800-115 çerçevesinde. Black box, gray box ve white box modlarında. Detaylı süreç için pentest süreç ve fiyat rehberi yazımız.

ISO/IEC 27001 uyum danışmanlığı

ISO/IEC 27001 bilgi güvenliği yönetim sistemi (ISMS) sertifikasyonu için sıfırdan kurulum, GAP analizi, risk değerlendirmesi, prosedür yazımı, iç tetkik ve belgelendirme denetimine hazırlık. Rehber niteliğinde ISO 27001 uygulama rehberi yazımız.

KVKK teknik tedbir denetimi

KVKK Kurumu'nun yayımladığı veri güvenliği rehberinde yer alan teknik tedbir başlıklarının (sızma testi, log yönetimi, yetkilendirme, şifreleme, anti-malware, yedekleme) kuruluş özelinde denetimi ve eksiklerin tamamlanması.

Fidye yazılım sonrası müdahale

Şifrelenmiş sistemler, çalınan veri ve operasyonel kesinti durumunda saat bazlı acil müdahale. İlk 24 saat planı için fidye yazılım ilk 24 saat yazımız.

Tehdit istihbaratı ve sürekli izleme

Marka, alan adı, sızdırılmış kullanıcı verisi, açık kaynak ve karanlık ağ takibi. Bulgular USOM ile koordineli şekilde ele alınır.

EDR ve uç nokta güvenliği danışmanlığı

Kurumsal uç noktada antivirüs ötesine geçmek isteyen kurumlar için EDR seçim, devreye alma ve ayarlama danışmanlığı. Karşılaştırma için EDR vs AV yazımız.

Adli bilişim entegrasyonu

Siber saldırı sonrası mahkeme delili gerektiğinde, Ankara adli bilişim hattımız aynı çatı altında çalışıyor; chain of custody kaybolmadan delil korunuyor.

Veri kurtarma entegrasyonu

Fidye yazılım veya donanım arızası sonrası verinin geri getirilmesi için Ankara veri kurtarma labımız devreye alınıyor.

KAOS yerli AI motoru: DSET'i farklı kılan teknoloji

Yapay zeka tabanlı siber güvenlik araçları küresel ölçekte yayılırken bu araçların çok büyük bir kısmı yurt dışı bulut servislerinde çalışıyor. Bu durum Türkiye'de regüle sektör müşterileri için iki sorun yaratıyor: birincisi taranan trafiğin ve sızdırılan bulgularının yabancı altyapıda işlenmesi, ikincisi yabancı modelin Türkiye özelindeki tehdit aktörü, mevzuat ve yerel teknoloji yığınına yabancılığı.

DSET, bu boşluğu doldurmak üzere KAOS adlı yerli AI penetrasyon ve güvenlik motorunu geliştiriyor. KAOS'un öne çıkan özellikleri:

• Veri Türkiye'de kalır: KAOS, DSET kontrolündeki Türkiye sınırı içinde konumlu altyapıda çalışır. Müşteri verisi, hedef sistem bilgisi veya bulgu raporu yurt dışı bulut servisine gönderilmez.
• Agentic AI mimarisi: KAOS, klasik bir "tarayıcı + rapor üretici" değil. Birden çok uzman aracın (specialist) tek koordinatör altında, bağlama duyarlı şekilde sırayla görev üstlendiği çok ajanlı bir orkestrasyondur. Recon, web tarama, ağ değerlendirme, exploit doğrulama, OSINT ve raporlama ajanları sıralı olarak çalışır.
• MITRE ATT&CK eşlemesi: Bulgular, MITRE ATT&CK tekniklerine ve NIST CSF işlevlerine (Identify, Protect, Detect, Respond, Recover) eşlenir. Bu sayede rapor sadece açık listesi olmaktan çıkar, kurumun savunma matrisinde nereyi onarması gerektiği netleşir.
• Üret-doğrula motoru: KAOS, açık iddialarını otomatik test ortamında veya hedef üzerinde güvenli sınırlar içinde doğrular. CONFIRMED veya REJECTED kararı verir; halüsinasyon riskine karşı politika katmanı vardır.
• OWASP, USOM, vendor PSIRT feed entegrasyonu: OWASP Top 10, USOM bültenleri ve vendor güvenlik açığı duyuruları KAOS'a sürekli besleniyor.
• İnsan denetiminde: KAOS otonom bir saldırgan değil. Hamza Aytaç Doğanay ve DSET ekibi, motorun her bulgusunu doğrular ve müşteriye iletilen raporun her satırını üstlenir.

Bu mimari, DSET'in pentest hizmetinde sıradan piyasa standardının üzerine çıkmasını mümkün kılıyor. Aynı süre içinde daha geniş kapsama bakılıyor, daha fazla manuel doğrulama yapılıyor ve rapor müşteriye yerel mevzuat çerçevesinde sunuluyor.

Süreç: bir pentest projesi nasıl ilerler?

1. Ön görüşme ve kapsam tanımı (ücretsiz): hedef varlık listesi (URL, IP, mobil app, bulut hesabı), test tipi (black/gray/white), kısıtlamalar (üretim ortamı pencereleri), beklenen çıktı.
2. NDA ve test izin sözleşmesi: hem gizlilik hem de Türk Ceza Kanunu 243-244 kapsamında yetki belgesi.
3. Recon ve haritalama: pasif istihbarat, açık kaynak tarama, hedef yüzey çıkarımı.
4. Aktif test: OWASP Top 10 ve NIST SP 800-115 metodolojisi üzerinden manuel ve KAOS destekli zafiyet tespiti.
5. Sömürü doğrulama: bulunan zafiyetlerin gerçek istismar edilebilirliği güvenli sınırlar içinde kanıtlanır. Veri çekilmez, sadece kanıt görüntüsü alınır.
6. Post-exploitation değerlendirmesi: privilege escalation, lateral movement, persistence potansiyeli.
7. Raporlama: yönetici özeti, teknik bulgular, risk skoru (CVSS), kanıt görüntüleri, çözüm önerisi, MITRE ATT&CK eşlemesi.
8. Sunum: yönetici ve teknik ekiple yüz yüze (Ankara ofisinde) veya çevrim içi sunum.
9. Yeniden test (retest): müşteri tarafından düzeltmeler tamamlandıktan sonra ücretsiz veya indirimli retest.

Süre kapsama göre 5 ila 25 iş günü arasında değişir. Fiyat varlık sayısı, test derinliği ve raporlama detayı ile belirlenir; ilk görüşme ücretsizdir, ardından yazılı teklif sunulur.

KVKK ve regülasyon uyumu

KVKK Kurumu'nun açıkladığı veri güvenliği rehberi, kişisel veri işleyen tüm kuruluşlar için teknik tedbirler tanımlıyor. Bunların başlıcaları:

• Düzenli sızma testi (penetrasyon testi)
• Log yönetimi ve saklama
• Yetkilendirme ve erişim kontrolü
• Şifreleme (durağan ve iletim hâlinde veri)
• Anti-malware ve uç nokta güvenliği
• Yedekleme ve kurtarma testleri
• Veri ihlali bildirim hazırlığı

BTK ayrıca elektronik haberleşme ve kritik altyapı sektörleri için ek bilgi güvenliği rehberi yayımlıyor. Bankacılık tarafında BDDK'nın bilgi sistemleri yönetmeliği, ödeme hizmetlerinde TCMB ve BKM kuralları geçerli. DSET, bu çerçevelerin Ankara'daki regüle müşteriler için günlük gündem olduğunu deneyimliyor.

ISO/IEC 27001 sertifikasyonu, KVKK uyumun büyük bir kısmını teknik altyapı tarafında karşılayan en pratik tek çatı. DSET, sertifikasyon süreci için sıfırdan kurulum danışmanlığı veriyor; iç tetkik dahil, belgelendirme tetkikine kadar tam takip.

Hamza Aytaç Doğanay'ın özgeçmişi

Hamza Aytaç Doğanay, Türkiye'de siber güvenlik, adli bilişim ve veri kurtarma alanında 20 yılı aşan saha tecrübesine sahip kıdemli bir uzmandır.

• 6 yıl Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Daire Başkanlığı'nda adli bilişim uzmanı olarak görev. Bu süreçte yüzlerce ceza dosyasında dijital delil işlemi, siber saldırı sonrası inceleme ve fidye yazılım vakalarında müdahale.
• Ankara Üniversitesi Adli Bilişim Yüksek Lisans tezli mezunu. Tez konusu mobil cihaz adli bilişiminde delil zinciri ve karşılaşılan güncel zorluklar. Tez YÖK Ulusal Tez Merkezi üzerinden taranabilir.
• ACELab Greatest Data Recovery 2023 ödülü sahibi (uluslararası).
• KAOS yerli AI motoru baş mimarı. Türkiye'nin yerli, agentic AI tabanlı penetrasyon motorunun teknik tasarımcısı.
• DSET'in 2003'ten bu yana sürdürdüğü siber güvenlik, adli bilişim ve veri kurtarma hizmetinin teknik lideri.

Bu özgeçmiş, hem teknik derinlik hem hukuki süreç ve regülasyon farkındalığı taşıyan ender bir profili temsil ediyor. Müşteriye verilen rapor, hem mahkeme uyumlu hem regülatör uyumlu olarak şekillenebiliyor.

Ankara'da fiziksel olarak nerede buluşuyoruz?

DSET ofisi Hacettepe Teknokent içinde. Kampüs giriş kontrolü, Teknokent yönetiminin fiziksel güvenliği ve ofis içi kilitli analiz laboratuvarı üç katmanlı koruma sağlıyor. Ankara Adliyesi, Söğütözü iş merkezi koridoru ve Çankaya regülatör hattı (KVKK, BDDK, BTK) makul ulaşım mesafesinde. Ankara dışı vakalarda saha çıkışı planlanabiliyor.

Sıkça Sorulan Sorular

Pentest yaptırmak yasal olarak güvenli mi?

Evet. Yazılı yetki sözleşmesi (NDA + test izin belgesi) imzalandığı sürece, Türk Ceza Kanunu 243-244 kapsamı dışında kalır. DSET her projeye yazılı yetki belgesi ile başlar. Yetki belgesi olmayan hiçbir test yürütülmez.

Üretim sistemini kırma riskim var mı?

Pentest, mutabık kalınan pencerede ve mutabık kalınan kısıtlar dahilinde yürütülür. Yıkıcı testler (denial of service, veri silme) varsayılan olarak kapsam dışıdır; sadece müşterinin açık talebiyle ve test ortamında yapılır. KAOS motoru ise sömürü doğrulamasını veri çekmeden, kanıt görüntüsü ile sınırlı yapacak şekilde yapılandırılmıştır.

KAOS AI motoru müşteri verisini yurt dışına gönderir mi?

Hayır. KAOS, DSET kontrolündeki Türkiye sınırı içinde konumlu altyapıda çalışır. Tarama trafiği, bulgular, raporlar veya hedef sistem bilgisi yabancı bulut servislerine gönderilmez. Bu mimari özellikle savunma sanayii alt yüklenicileri ve regüle sektör müşterileri için kritik bir tasarım kararıdır.

ISO 27001 sertifikamızı almak ne kadar sürer?

Kuruluş ölçeğine göre 4 ile 12 ay arasında değişir. Sıfırdan başlayan bir KOBİ için ortalama 6-9 ay; mevcut prosedürleri olan kuruluşlarda 4-6 ay tipik. DSET GAP analizi sonrası net takvim sunar.

Fidye yazılım yedik, ne yapalım?

Önce sistemleri kapatın, ağ bağlantılarını ayırın ve fidye yazılım ilk 24 saat rehberindeki adımları başlatın. Ardından DSET acil müdahale hattıyla irtibata geçin. USOM ihbarı, KVKK 72 saat bildirimi ve adli bilişim raporu paralel yürütülür.

Sürekli izleme servisini Ankara dışından alabilir miyim?

Evet. Sürekli izleme ve tehdit istihbaratı uzaktan sağlanabilir; aylık veya çeyreklik raporlama ile. Ankara'da fiziksel buluşma sadece sözleşme aşamasında veya yıllık değerlendirme toplantısında gerekiyor.

EDR mi alalım, antivirüs mü yeter?

Kurumsal ortamda EDR (Endpoint Detection and Response) artık standart. Klasik antivirüs sadece imza tabanlıdır ve modern saldırgan davranışına yetmez. Karşılaştırma için EDR vs AV yazımız ayrıntılı.

USOM ihbarı kim yapmalı?

Kritik altyapı sektörleri (enerji, finans, ulaşım, sağlık, su, elektronik haberleşme) için USOM ihbarı yasal yükümlülük. Diğer kurumlar için tavsiye edilir ve örnek olay paylaşımı yoluyla sektörel bağışıklığı artırır. DSET, ihbar koordinasyonunda eşlik eder.

DSET ile çalışmak (Ankara ofisi)

Türkiye'nin yargı, regülasyon ve savunma sanayii kalbi olan Ankara'da; Hacettepe Teknokent'in kampüs güvenlik koridoru içinde 2003'ten bu yana iş gören ekibimiz, hem klasik penetrasyon testi disiplinini hem yerli geliştirilen KAOS AI motorunu aynı çatı altında veriyor. Veri Türkiye sınırını terk etmez, rapor hem regülatör hem mahkeme uyumludur.

Adres: Hacettepe Teknokent, Üniversiteler Mah. 1596. Cad. 6. AR-GE Blokları C Blok, Beytepe / Çankaya / Ankara. Telefon: +90 536 662 38 09 E-posta: [email protected]

Süreç şöyle işliyor: randevulu görüşme, NDA imzalanması, kapsam belirleme, yazılı teklif, kabul, çalışmanın başlaması. İlk görüşme ücretsizdir.

İlgili kaynaklarımız:

• Pillar makale: Türkiye Siber Tehdit Manzarası 2026
• Pentest süreç ve fiyat: Pentest süreci, fiyat ve şirketim için gerekli mi
• ISO 27001 rehberi: ISO 27001 KOBİ rehberi
• Fidye yazılım ilk 24 saat: Fidye yazılım ilk 24 saat eylem planı
• EDR vs antivirüs: EDR vs antivirüs kurumsal rehber
• Adli bilişim entegrasyonu: Ankara adli bilişim
• Veri kurtarma entegrasyonu: Ankara veri kurtarma

---

Kaynaklar: USOM, BTK, KVKK, ISO/IEC 27001, NIST CSF, OWASP Top 10, TÜBİTAK BİLGEM, MITRE ATT&CK