Tabletop Tatbikat Nasıl Yapılır? Siber Olay Müdahale Hazırlık Şablonu
Tabletop = senaryo bazlı, fiziksel sistem dokunulmadan oynanan IR tatbikatı. 2-4 saat, 6-12 katılımcı. 4 aşama: kapsam, senaryo enjekt, karar verme, lessons learned.
Tabletop tatbikatı, üretim sistemlerine dokunulmadan, 6 ila 12 katılımcının bir masa etrafında veya çevrimiçi toplantıda 2-4 saat boyunca senaryo bazlı kararlar verdiği siber olay müdahale hazırlık tatbikatıdır. NIST SP 800-84 rehberine göre dört aşamada yürütülür: hazırlık, oynatım, değerlendirme ve takip. Amaç süreç boşluklarını ortaya çıkartmaktır, teknik kanıtlama değil.
TL;DR
- Tabletop = masa başı senaryolu IR tatbikatı, sistemlere dokunulmaz.
- Süre 2-4 saat, katılımcı 6-12 kişi (BT, hukuk, üst yönetim, iletişim, İK).
- NIST SP 800-84 ve CISA Tabletop Exercise Package referans alınır.
- Çıktı: bulgular raporu, aksiyon listesi, sahiplik atamaları.
- Yılda en az 1 kez, kritik altyapı için 2 kez önerilir.
Detaylı cevap
Tabletop ile diğer tatbikat türleri farkı
| Tip | Yöntem | Süre | Risk |
|---|---|---|---|
| Tabletop | Tartışma, senaryo | 2-4 saat | Düşük |
| Functional | Sınırlı sistem etkisi, kontrollü | 4-8 saat | Orta |
| Full-scale | Canlı sistemde simülasyon | 1-3 gün | Yüksek |
| Red team | Saldırgan simülasyonu | 2-6 hafta | Yüksek |
Tabletop, olgunluk yolculuğunun ilk adımıdır. Üst yönetim ve hukuk gibi teknik olmayan birimlerin sürece dahil olmasının en pratik yoludur.
Aşama 1: Hazırlık
- Kapsam belirleyin: hangi sistem, hangi olay tipi (fidye, veri sızıntısı, DDoS, insider).
- Hedefleri yazın: ör. "KVKK 72 saat süresi içinde Kurul bildirimi taslağı çıkartılabiliyor mu?".
- Katılımcı listesini hazırlayın: BT/SOC, hukuk, KVKK uyum sorumlusu, üst yönetim, iletişim/PR, İK, finans, operasyon.
- Bir kolaylaştırıcı (facilitator) ve bir gözlemci/raportör atayın.
- Senaryo kartlarını ve enjektleri hazırlayın (ör. T+0 ilk alarm, T+30 dakika ikinci sistem etkilendi, T+2 saat basında haber).
Aşama 2: Oynatım
Toplantı genellikle şu akışı izler:
- 15 dakika: rollerin ve kuralların tanıtımı.
- 30 dakika: ilk senaryo brief'i ve katılımcı tepkileri.
- 90-120 dakika: enjekt akışı, karar noktaları, çapraz sorgu.
- 30 dakika: anlık sıcak değerlendirme (hot-wash).
Kolaylaştırıcı senaryo dışına çıkmadan kararları açığa çıkartır. Doğru veya yanlış cevap yoktur; süreç boşluğu vardır. Sorular örnek:
- "Şu an Kurul'a kim bildirim atacak?"
- "Yedeklerimizden son 7 günlüğü kim doğrulayacak?"
- "Üçüncü taraf adli bilişim firmasını ne zaman çağıracağız?"
Bu aşamada fidye yazılım ilk 24 saat aksiyon çizelgesi gibi mevcut çizelgeleriniz test edilir; çelişen sahiplikler hemen görünür hale gelir.
Aşama 3: Değerlendirme
Hot-wash'tan sonra 1 hafta içinde resmi rapor yazılır. Rapor şunları içermelidir:
- Senaryo özeti, katılımcılar.
- Karar zaman çizelgesi.
- Tespit edilen boşluklar (people, process, technology).
- Önerilen aksiyonlar, sahip, son tarih.
- Sonraki tatbikatta test edilecek konular.
Aşama 4: Takip
Aksiyon listesi 30/60/90 gün takvimine bağlanır. 90. günde geri dönüş toplantısı yapılır. KVKK Kurulu'na uyum açısından bu döngü kanıtlanabilir kayıt olarak tutulmalıdır; KVKK 72 saat veri ihlali bildirim şablonu süreciniz tatbikat öğrenimleri ile güncellenmelidir.
Örnek senaryolar
| Senaryo | Hedef birimler |
|---|---|
| Üretim hattı SCADA fidye yazılımı | BT, OT, üst yönetim, iletişim |
| Müşteri veritabanı sızıntısı | BT, hukuk, KVKK, PR |
| CEO impersonation BEC dolandırıcılığı | Finans, hukuk, BT |
| Geliştirici hesabı ele geçirildi, kaynak kod sızdı | BT, hukuk, ürün |
| RAID 5 üzerinde fidye sonrası yedek bozulması | BT, depolama, sigorta |
Bu senaryolarda siber olay müdahale playbook NIST 800-61 checklist'i ile birlikte oynatılması önerilir. Depolama hattı senaryolarında RAID 5 çöktü kurtarma süreci ve maliyet yazımız enjekt kaynağı olarak kullanılabilir.
Yaygın hatalar
- Yalnız BT'nin katılması, hukuk ve iletişimin dışlanması.
- Senaryonun aşırı teknik kalıp üst yönetimi bağlamaması.
- "Doğru cevap" arayışı, gerçek boşlukların gizlenmesi.
- Rapor yazılmaması, aksiyonların unutulması.
- Yılda bir kez yapılıp tekrar tatbikat planlanmaması.
Kanıt ve uyum
Kritik altyapı operatörleri için BTK, BDDK, EPDK gibi düzenleyiciler ve ISO 27001:2022 A.5.24 kontrolü olay müdahale planlarının test edilmesini şart koşar. Tabletop kayıtları (katılımcı listesi, senaryo, rapor) bu denetimlerde delildir.
SSS
Tabletop tatbikatı kaç kişiyle yapılır?
Optimal sayı 6 ila 12 kişidir. Daha azı disiplinler arası eksiklik yaratır, daha fazlası tartışmayı zayıflatır. 12'den fazla katılımcı varsa gözlemci olarak ayrılmaları önerilir.
Hangi sıklıkla yapılmalı?
Yılda en az 1 kez tüm kurum için, kritik altyapı operatörleri ve finansal sektörde 2 kez tavsiye edilir. Büyük değişikliklerden sonra (yeni ERP, yeni veri merkezi) ek tatbikat yapılır.
Çevrimiçi tabletop etkili olur mu?
Evet, Zoom/Teams üzerinden başarıyla yürütülür. CISA Tabletop Exercise Package ve NIST SP 800-84 örnek paketlerinde çevrimiçi formatlar belgelenmiştir.
Tatbikat maliyeti ne kadar?
Dış kolaylaştırıcılı tabletop yaklaşık 25.000 ila 80.000 TL bandındadır. Kurum içi olarak yürütülürse maliyet sadece personel zamanıdır. Hasar potansiyelini görmek için ransomware hasar tahmin aracını kullanabilirsiniz.
DSET tabletop kolaylaştırıcılığı yapıyor mu?
Evet. DSET, NIST SP 800-84 uyumlu tabletop tatbikatları tasarlar, kolaylaştırır ve raporlar. İletişim: Hacettepe Teknokent Beytepe, +90 536 662 38 09, [email protected].
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.