Türkiye Siber Tehdit Manzarası 2026

TL;DR: 2026'da Türkiye'nin gördüğü en ağır tehditler ransomware, hedefli oltalama (phishing/BEC), tedarik zinciri sızıntıları ve yapay zekâ destekli sosyal mühendislik. En çok hedeflenen sektörler bankacılık, kamu, telekom, sağlık ve savunma sanayii. Sebep belli, jeopolitik baskı, dijitalleşme hızı ve KOBİ tarafındaki güvenlik açığı. En kritik üç önlem MFA, immutable yedek ve düzenli yama yönetimi. Bu yazı ENISA Threat Landscape, CISA ve USOM verileri ışığında hazırlandı.

2026'da ne değişti?

Kısa cevap, saldırganlar artık daha hızlı, daha otomatik ve daha ucuz çalışıyor. Üretken yapay zekâ, üç yıl önce devlet destekli grupların ayrıcalığı olan kapasiteyi sıradan bir suçlu için ulaşılabilir hâle getirdi. Bir oltalama e-postasını dilbilgisi hatasız Türkçe yazan, hedefe özel bir LinkedIn profili eşleştiren, sahibinin sesini birkaç saniyelik örnekten klonlayan modeller artık herkesin elinde.

İkinci büyük değişim ekonomik. Ransomware-as-a-Service (RaaS) modeli olgunlaştı. Affiliate programları, dark web pazaryerleri, initial access broker'lar (IAB), kripto karıştırıcı servisler birlikte tam bir hizmet zinciri kurdu. CrowdStrike Global Threat Report bulgularına göre saldırganın kurban ağında ilk yerleşimden lateral movement'a geçme süresi (breakout time) saatler değil dakikalar seviyesine indi.

Üçüncüsü, tedarik zinciri. 2020 SolarWinds olayı tek seferlik bir kâbus değil, bir öğretici örnekti, sonra 2023'te MOVEit ve 3CX saldırıları aynı modelin başkaları tarafından da uygulanabileceğini gösterdi. Bir SaaS sağlayıcısı düştüğünde, müşterilerinin tamamı düşüyor.

Dördüncüsü, deepfake. 2024'te kamuya açık şekilde raporlanan Arup Hong Kong vakası, deepfake bir video konferans çağrısı üzerinden 25 milyon USD'lik transfere mal oldu. Saldırgan CFO ve diğer yöneticilerin yüzünü ve sesini bir Zoom toplantısında canlı olarak taklit etti. Bu vakanın gösterdiği şey teknik değil sosyal, kurumsal karar mekanizmalarının "ekrana baktım, ses tanıdık geldi" güvenine ne kadar bağımlı olduğu.

Beşincisi, kimlik tabanlı saldırıların ön plana çıkması. Klasik "malware bulaştır, ağda gez" senaryosu yerine artık saldırgan doğrudan kimlik bilgisi çalıyor (infostealer logları, MFA bypass, OAuth token sızdırma) ve geçerli kullanıcı olarak içeri giriyor. Bu hem EDR'ı yanıltıyor hem de log incelemesini zorlaştırıyor çünkü teknik olarak meşru bir oturum söz konusu. Microsoft Digital Defense Report bu trendi yıllardır kırmızı çizgilerle işaretliyor.

Altıncısı, OT ve IoT yüzeyinin büyümesi. Akıllı şehir altyapısı, endüstriyel kontrol sistemleri, akıllı sayaçlar, IP kamera ağları, hepsi saldırganın yeni av sahası. 2021 Colonial Pipeline vakası bir ofis BT ağına yapılan ransomware saldırısının OT tarafını da nasıl durdurabileceğini gösterdi.

Türkiye özelinde durum

Türkiye'nin coğrafi ve jeopolitik konumu, siber tehdit profilinde başlı başına bir parametre. NATO üyeliği, Rusya-Ukrayna savaşının yan etkileri, Suriye sınırı, Doğu Akdeniz dosyaları, hepsi devlet destekli aktörler için Türkiye'yi hem hedef hem de transit noktası yapıyor. USOM düzenli olarak kritik altyapıya yönelik saldırı denemelerini bültenlerle yayınlıyor.

BTK verilerine göre Türkiye'de internet abone sayısı ve veri trafiği yıldan yıla artmaya devam ediyor, bu da saldırı yüzeyini doğrudan büyütüyor. Telekom altyapısının yoğunluğu, mobil bankacılık penetrasyonunun yüksek olması ve e-devlet üzerinden sunulan kamu hizmetlerinin yaygınlığı saldırgan için zengin bir hedef listesi oluşturuyor.

Sektörel olarak en çok hedeflenenler şu sırada gidiyor, bankacılık ve finans (kart verisi, SWIFT, mobil bankacılık trojanları), kamu (siyasi motive saldırılar ve kişisel veri sızıntıları), telekom (omurga erişim için), sağlık (e-Nabız ve hastane bilgi sistemleri), enerji ve savunma sanayii (devlet destekli aktörler için stratejik hedef).

Coğrafi avantaj bir saldırı vektörüne de dönüşüyor. Türkiye üzerinden geçen denizaltı kabloları, IXP'ler (İstanbul'daki internet değişim noktaları), Avrupa-Asya veri trafiğinin önemli bir kısmının yöneldiği omurga rotası, hem stratejik hem de istihbarat değeri yüksek bir konum oluşturuyor. Bunun savunmacı taraftaki karşılığı, telekom altyapısının siber dayanıklılık seviyesinin doğrudan ulusal güvenlik meselesi olması.

Bir başka boyut, dil. Türkçe içerik üretimi son üç yıla kadar yabancı saldırganlar için ciddi bir bariyerdi, çevirisi bozuk e-postalar açık bir kırmızı bayraktı. Üretken yapay zekâ bu bariyeri kaldırdı. Artık akıcı, kurum jargonuna uygun, hatta yerel dil oyunlarını yakalamış oltalama metinleri saniyeler içinde üretilebiliyor. Türk kullanıcının "yabancı saldırgan = bozuk Türkçe" sezgisi güvenilir bir savunma değil artık.

En tehlikeli 7 tehdit kategorisi

1. Ransomware (fidye yazılım)

LockBit, BlackCat/ALPHV, Cl0p, Play, Akira, 8Base, Black Basta gibi gruplar 2024-2025 boyunca aktif çalıştı ve birçoğu 2026'ya kalan halefleriyle birlikte tehdit oluşturmaya devam ediyor. İş modeli artık tek aşamalı değil. Çift şantaj (double extortion) standart hâle geldi, hem dosyalar şifreleniyor hem de önce çalınıp leak sitesinde yayınlanmakla tehdit ediliyor. Bazı gruplar üçlü şantaja geçti, kurbanın müşterilerini ve düzenleyici kurumlarını da arıyor.

KVKK kapsamında bir veri ihlali yaşandığında 72 saat içinde KVKK Kurumu'na bildirim yapılması gerekiyor. Kritik altyapı operatörlerinin USOM'a bildirim süresi çok daha kısa.

Resmî tavsiye net, CISA ve FBI ortak bildirgesi fidye ödememe yönünde. Sebep iki, birincisi ödeme suç ekosistemini fonluyor, ikincisi anahtarın çalışacağı veya verinin geri verileceği garantisi yok. Pratik deneyimler ödenen vakaların önemli bir bölümünde verinin kısmen veya tamamen geri gelmediğini gösteriyor.

Türkiye için ek bir not, OFAC yaptırım listesindeki gruplara ödeme yapmak ABD bağlantılı banka, ödeme veya sigorta zincirinde ciddi hukuki risk doğurabilir. Çok uluslu şirketlerin Türkiye operasyonları bu nedenle ödeme kararını tek başına alamaz, küresel hukuk ve compliance ekibi dahil olur.

Savunma tarafında en yüksek getirili üç pratik şu, birincisi LSASS ve credential dump'a karşı Credential Guard ve LSA Protection, ikincisi SMB v1 kapalı + RDP'ye internetten doğrudan erişim yok, üçüncüsü backup'lar saldırgan domain admin olsa bile silinemeyecek şekilde immutable (object lock, WORM medya, offline taşıma).

2. Phishing ve iş e-postası kandırma (BEC)

Klasik oltalama e-postası bittiği için değil, çok daha karmaşık varyantlarıyla birlikte yaşıyor. CEO fraud (yönetici taklidi), vendor invoice fraud (sahte tedarikçi faturası), Office 365 oturum çalma (adversary-in-the-middle phishing), MFA bypass kitleri. Microsoft Digital Defense Report son yıllarda kimlik tabanlı saldırıların hacminde ciddi artış raporluyor.

Türkiye için ekstra bir risk faktörü var, DMARC, SPF ve DKIM yapılandırması hâlâ pek çok kurumda eksik veya gevşek (p=none modunda). Bu, kurum adına gönderilen sahte e-postaların alıcının inbox'ına düşmesini kolaylaştırıyor. Hızlı bir kontrol önerisi, kendi domain'inizin DMARC kaydını dmarcian gibi bir araçla doğrulayın, p=none ise raporlama aşamasından p=quarantine ve sonunda p=reject'e geçişi planlayın.

BEC saldırılarının imzası tipik olarak şu, gerçek bir tedarikçi e-postası ele geçirilir, saldırgan haftalarca sessizce yazışmaları okur, sonra "banka hesabımız değişti, lütfen yeni IBAN'a transferi yapın" satırını araya sıkıştırır. Bu tarz vakalarda klasik teknik kontroller çoğu zaman ses çıkarmaz çünkü e-posta gerçekten meşru bir hesaptan geliyor. Tek etkili kontrol süreçsel, IBAN değişikliği talebi geldiğinde tedarikçinin bilinen telefon numarasından out-of-band doğrulama, ikinci imza yetkili onayı.

3. Tedarik zinciri saldırıları

2020 SolarWinds Orion olayı, bir yazılımın güncelleme kanalına saldırarak müşterilerine ulaşmanın endüstri standardı bir taktik hâline gelmesinin başlangıcıydı. 2023 3CX ve MOVEit Transfer (Cl0p) saldırıları aynı modelin farklı vektörlerde tekrarlandığını gösterdi.

Açık kaynak ekosistemi tarafında dependency confusion, typosquatting, malicious npm/PyPI paketleri ciddi bir tehdit. CI/CD pipeline'ına sızan bir paket, geliştiriciden production'a tek hamlede ulaşabiliyor. Türkiye için kritik nokta, SaaS bağımlılığı ve üçüncü taraf entegrasyonları. Her API key, her OAuth scope, her vendor erişimi bir saldırı yüzeyi.

4. Sıfır-gün açıkları (zero-day)

Microsoft Patch Tuesday'lerinde her ay onlarca güvenlik açığı yamanıyor, bunların önemli bir kısmı yayınlandığı anda zaten istismar ediliyor. CISA Known Exploited Vulnerabilities (KEV) catalog aktif istismar edildiği doğrulanan açıkların referans listesi olarak takip edilmeli.

Türkiye'de yama yönetimi kültürü hâlâ olgunlaşma sürecinde. ICS/OT ortamlarında "üretim duracak" gerekçesiyle yıllarca güncellenmemiş sistemler var. Ofis tarafında Windows ve Office güncellemesi genelde takip ediliyor ama edge cihazlarda (firewall, VPN concentrator, mail gateway) gecikmeler kritik açıkları açık bırakıyor.

Edge cihazlarına özel bir not, son üç yılda Fortinet, Ivanti, Cisco ASA, Palo Alto, Citrix gibi büyük üreticilerin tamamı CISA KEV listesine giren kritik açıklarla karşılaştı. Bunlar internet kenarındaki cihazlar, dolayısıyla bir gün içinde otomatik tarayıcıların hedefine giriyor. Patch SLA'sı edge için ofise göre çok daha agresif olmalı, ideal olarak 72 saat.

5. Sosyal mühendislik ve deepfake

Arup Hong Kong olayı (Şubat 2024) deepfake'in artık akademik bir korku değil, operasyonel bir saldırı vektörü olduğunu gösterdi. Voice cloning teknolojileri Türkçe doğal dili rahatlıkla taklit edebilir hâle geldi. Çağrı merkezi sosyal mühendisliği, IT helpdesk'i arayıp "şifre sıfırla" talebi, kurum içi Teams/Zoom toplantısında sahte yönetici, hepsi sahaya inmiş senaryolar.

Savunma tarafında "out-of-band doğrulama" prensibi temel kural. Sesli veya görüntülü olarak gelen bir transfer talimatı, asla aynı kanaldan doğrulanmamalı. Bilinen başka bir numaradan geri aramak ya da resmî kanal üzerinden ikinci onay almak zorunlu.

6. Bulut yanlış yapılandırması

S3 bucket'ın public açık unutulması, Azure Storage SAS token'ın kod deposuna kazara commit edilmesi, GCS service account anahtarının repo'ya sızması, Kubernetes etcd'nin authentication'sız internete açık bırakılması. Bunlar yıllardır listede ama hâlâ ihlal raporlarının üst sıralarında.

Verizon Data Breach Investigations Report yıllardır insan hatasının (misconfiguration dahil) ihlallerde önemli bir pay aldığını raporluyor. Cloud Security Alliance'ın Top Threats yayını yanlış yapılandırmayı her yıl ilk üçe sokuyor.

Pratik kontrol listesi, IaC kullan (Terraform, Pulumi), her bucket için public access block politikası, SAS token süresi ve scope kısıtı, Kubernetes RBAC ve network policy, secret manager kullan (asla repo'da düz metin).

7. İç tehdit (insider threat)

Edward Snowden ve Anthony Levandowski (Google'dan Uber'e veri sızdırması) kamuya açık iki referans vaka. Kurumsal istifa sonrası veri sızdırma, finansal motivasyonla kasıtlı içeriden sızıntı veya tamamen niyetsiz hata (yanlış kişiye e-posta, yanlış paylaşılan link). Hepsi aynı şemsiye altında değerlendiriliyor.

Tespit için UEBA (User Entity Behavior Analytics) ve DLP (Data Loss Prevention) çözümleri kritik. Anomalinin bir kullanıcının normalde indirmediği boyutta veri çekmesi, normalde erişmediği dosya paylaşımına bağlanması, mesai dışı saatte VPN aktivitesi gibi sinyallerle yakalanması mümkün.

Süreç tarafında en kritik kontrol, joiner-mover-leaver (JML) süreci. Çalışan işe başlarken hangi erişimleri alacak, pozisyonu değişince eski erişimler nasıl temizlenecek, ayrılırken hesap ve token'lar ne kadar süre içinde devre dışı kalacak. Türkiye'de orta ölçek şirketlerin önemli bir kısmında "leaver" adımı ihmal edilir, eski çalışanın e-posta hesabı veya VPN erişimi aylarca aktif kalır. Bu, kasıtlı içeriden sızıntının en sevdiği boşluktur.

Sektörel hedef analizi

Finans ve bankacılık

BDDK regülasyonları Türkiye'de finansal kurumlara dünya standardının üzerinde uyumluluk yükümlülüğü getiriyor, bu hem zorunluluk hem savunma katmanı. SWIFT saldırıları tarihsel olarak ciddi maliyetli oldu, 2016 Bangladesh Bank vakası (81 milyon USD çalındı) hâlâ ders kitabı örnek.

Mobil bankacılık trojanları (Anubis, Hydra, ERMAC, SharkBot gibi aileler) Türkçe lokalize edilmiş overlay'larla Türk kullanıcıyı hedef alıyor. APK sideload ve SMS phishing en yaygın dağıtım kanalları. Card-not-present dolandırıcılığı ve magstripe verisi e-skimming saldırılarıyla toplanmaya devam ediyor.

Sağlık

2021 Ireland HSE ransomware saldırısı bir ulusal sağlık sisteminin nasıl haftalarca felç olabileceğini gösteren açık vaka. Türkiye'de e-Nabız ve hastane bilgi yönetim sistemleri çok büyük bir saldırı yüzeyi. Hasta verisi karaborsada en yüksek fiyata satılan kişisel veri kategorilerinden biri. KVKK özel nitelikli veri kapsamında sağlık verisi için ek koruma şartı getiriyor.

Kamu ve savunma

MITRE ATT&CK framework'ünde belgelenmiş APT grupları (APT28/Fancy Bear, APT29/Cozy Bear, Lazarus Group, APT41, Turla, Sandworm) devlet destekli aktörler. Türkiye gibi jeopolitik kavşaktaki bir ülke için bu aktörler kronik bir tehdit. Spear phishing, watering hole, supply chain ve zero-day, hepsi TTP repertuvarında.

Savunma sanayii şirketleri özellikle insansız hava aracı, radar, elektronik harp gibi alanlarda yoğun ilgi görüyor. SOC 24/7 izleme, threat intelligence beslemesi, kırmızı takım egzersizleri bu sektör için zorunlu pratikler.

KOBİ

En savunmasız segment. Çoğu zaman dedicated IT departmanı yok, yönlendirilmemiş hazır SaaS bağımlılığı yüksek, güvenlik bütçesi sıfır. ENISA SME raporu KOBİ'lerin önemli bir kısmının yeterli korumadan yoksun olduğunu yıllardır vurguluyor.

Saldırgan için KOBİ iki şekilde değerli, ya doğrudan fidye için yeterli kâr eşiğini geçiyor ya da daha büyük bir kurumun tedarik zinciri kapısı oluyor. Küçük bir muhasebe firması, müşterisi olan büyük bir holdingin kapısı olabiliyor.

KOBİ için pratik ekonomi şu, kurumsal SOC kurmak gerçekçi değil ama MDR (Managed Detection and Response) hizmeti alınabilir. Microsoft 365 Business Premium gibi paketler MFA, conditional access, e-posta DLP, basit EDR seviyesinde Defender'ı dahil bir lisansla sunuyor. Backup için Veeam veya Acronis ile immutable hedef yeterli, ek olarak cloud object storage (S3 object lock + versiyonlama) çok düşük maliyetli ransomware koruması veriyor.

E-ticaret

Magecart tipi ödeme sayfası skimming saldırıları, üçüncü taraf script yüklemelerine sızarak kart bilgisini sessizce çalıyor. PCI-DSS uyumu için tokenization, kart verisini hiç kendi sistemine almama yaklaşımı, CSP (Content Security Policy) header'ı doğru ayarlama ve script integrity (SRI) zorunlu hijyen pratikleri.

Türkiye'de iyzico, PayTR, Param gibi yerli ödeme servis sağlayıcıları üzerinden kart verisinin merchant'tan ayrıştırılması yaygın ve doğru bir model. Ama checkout sayfasına bağımlı üçüncü taraf JS (analitik, chatbot, A/B test) hâlâ risk.

Savunma stratejisi, NIST CSF 2.0 ile yapı kur

NIST Cybersecurity Framework 2.0 2024'te yayınlandı ve önceki sürümün 5 fonksiyonuna yeni bir tane ekledi, böylece 6 oldu.

GOVERN (yeni): Siber güvenlik kararlarının kurumsal stratejiyle hizalanması, risk iştahının tanımlanması, üst yönetim sorumluluğu. Türkiye'de yönetim kurulları için artık opsiyonel değil.

IDENTIFY: Varlık envanteri, veri sınıflandırma, üçüncü taraf risk değerlendirmesi, regülatör gereksinim haritası (KVKK, BDDK, EPDK).

PROTECT: Erişim kontrolü (MFA + least privilege), şifreleme (at-rest + in-transit), yama yönetimi, eğitim. Bu fonksiyonda en somut ROI bulunuyor.

DETECT: SIEM, EDR/XDR, NDR, log toplama ve korelasyon, threat intelligence beslemesi. Yerli ürünler tarafında ULAK ve KAOS gibi seçenekler gün geçtikçe olgunlaşıyor.

RESPOND: IR playbook, kriz iletişim planı, hukuki ve PR koordinasyonu, USOM ve KVKK bildirim akışı.

RECOVER: Backup ve restore drilling (yedek varsa ama restore test edilmediyse yedek yoktur), business continuity, lessons learned.

Minimum güvenlik seviyesi (KOBİ için)

  1. MFA her yerde. Özellikle e-posta, VPN, admin paneller, bulut konsolu. SMS yerine TOTP veya passkey tercih.
  2. Patch management. İşletim sistemi, uygulamalar, edge cihazlar (firewall, VPN, NAS). Aylık değil sürekli.
  3. Backup 3-2-1. Üç kopya, iki farklı medya, bir tane offsite ve immutable. Ransomware en sevdiği şey online erişilebilir tek yedek.
  4. EDR/XDR. Klasik antivirus polymorphic ve fileless saldırılara karşı yetersiz. EDR davranış tabanlı tespit yapar.
  5. Email security. SPF + DKIM + DMARC (p=reject hedef), gateway'de URL rewriting ve attachment sandboxing.
  6. Network segmentation. Düz ağ yok. Kullanıcı, sunucu, IoT, misafir Wi-Fi, hepsi ayrı VLAN ve ACL.
  7. Vendor risk assessment. Her SaaS ve entegrasyon sağlayıcısı için SOC 2, ISO 27001, veri işleme sözleşmesi.
  8. Phishing eğitimi. Yılda bir slayt sunumu değil, sürekli simülasyon ve mikro modül.
  9. IR playbook. "Saldırı olursa kim ne yapar" yazılı olmalı. Olay anında karar veren ekibin telefonu, kriz iletişim taslağı, hukuki dayanak hazır.
  10. KVKK uyum. VERBİS kaydı, aydınlatma metni, açık rıza, veri işleme envanteri, ihlal bildirim akışı.

Olay müdahale (incident response) planı

SANS ve NIST SP 800-61 altı aşamalı IR çerçevesi sunar.

  1. Preparation. Playbook, ekip, araçlar, iletişim listesi, hukuki çerçeve hazır.
  2. Identification. SIEM alarmı, kullanıcı bildirimi, EDR tetiklemesi, harici uyarı. Olay mı yoksa false positive mi karar verilir.
  3. Containment. Etkilenen makine ağdan izole edilir, kompromize hesaplar devre dışı bırakılır, kötü amaçlı IOC'ler bloklanır.
  4. Eradication. Kalıcılık mekanizmaları (scheduled task, service, registry run key, web shell) temizlenir, açık olan zafiyet kapatılır.
  5. Recovery. Sistemler temiz yedekten geri yüklenir, yamanır, izlemeye geri alınır, doğrulanır.
  6. Lessons Learned. Post-mortem raporu, kök neden, kontrol iyileştirme aksiyonları.

Kritik altyapı operatörleri için USOM bildirim yükümlülüğü çok kısa, ciddi olaylarda 3 saat hedef. KVKK ihlali için 72 saat. Bu süreler IR planının metnine, ekibin alışkanlığına geçmiş olmalı.

Yapay zekâ savunmayı nasıl değiştiriyor?

İki yönlü bir silah. Saldırgan tarafında, otomatik oltalama içeriği üretimi, polymorphic malware varyant üretimi, kod zafiyet keşfi, deepfake ses ve görüntü, reconnaissance otomasyonu. Bir saldırgan artık yüzlerce hedefe tek başına paralel saldırı yürütebilir.

Savunmada da aynı kapasite var. Anomali tespiti, davranış analizi (UEBA), log korelasyonu, threat hunting otomasyonu, IOC zenginleştirme, alert triage, doğal dil sorgulama ile SOC analizi. AI destekli SOC ürünleri (Microsoft Security Copilot, CrowdStrike Charlotte, Google Sec-PaLM tabanlı çözümler) bu alanda agresif yatırım çekiyor.

Burada Türkiye'ye özel bir not var. Yabancı kapalı kaynak AI savunma ürünleri bağlandığı sektör ve veri hassasiyetine göre veri egemenliği problemi yaratır. Şifresiz log gönderimi, hassas alert payload'larının ABD veya AB bölgelerinde işlenmesi, regülatör ve KVKK açısından risk doğurabilir.

DSET'in geliştirdiği KAOS yerli yapay zekâ güvenlik motoru, tam da bu boşluğu kapatmak için tasarlandı. Yerel çalışır (sıfır dış API zorunluluğu), bulut bağımlılığı yok, log ve sızma sinyalleri kurum dışına çıkmaz. Türkçe doğal dil sorgulama, MITRE ATT&CK tekniği eşleşmesi, otomatik triage ve çoklu uzman ajan mimarisi içerir. Bu yaklaşım hem KVKK uyumu hem operasyonel egemenlik açısından stratejik bir tercihtir.

AI savunmanın olgunlaştığı üç konkre kullanım alanı var. Birincisi alert triage, bir SOC analistinin günde 1000+ uyarı arasından gerçek olayı ayırması imkânsız, AI gürültü filtrelemesi ile manuel inceleme süresini önemli ölçüde azaltır. İkincisi threat hunting, doğal dil sorgu ile "son 30 gün içinde domain admin hesaplarından yapılan ama daha önce hiç görülmemiş RDP bağlantılarını göster" gibi karmaşık sorgular dakikalar içinde çalıştırılabilir. Üçüncüsü playbook otomasyonu, tipik IR adımları (host izole et, kullanıcı disable et, IOC blokla) AI orkestrasyonu ile dakikalar yerine saniyeler içinde uygulanır.

AI'nın limitleri de net olmalı. Halüsinasyon riski savunma kararlarında felakettir, "AI doğruladı" gerekçesiyle yanlış pozitif alarma göre üretim hattının durdurulması ciddi maliyet yaratır. KAOS'un tasarımındaki anti-halüsinasyon politikası tam olarak bu noktaya cevap verir, motor cevap üretmeden önce kaynak alıntı zorunluluğu uygular ve "bilmiyorum" demeyi destekler.

Türkiye'nin yerli güvenlik ekosistemi

USOM, BTK, KVKK gibi düzenleyici ve operasyonel kurumlar mevcut. TÜBİTAK BİLGEM Siber Güvenlik Enstitüsü Ar-Ge tarafında, HAVELSAN, ASELSAN, STM gibi savunma sanayii şirketleri ürün ve hizmet tarafında çalışıyor. Hacettepe Teknokent başta olmak üzere üniversite kuluçka merkezleri yeni nesil yerli ürün gelişimini destekliyor.

Yerli olmanın stratejik önemi üç ana eksende, birincisi veri yurt dışına çıkmaması (KVKK ve operasyonel egemenlik), ikincisi tedarik zinciri bağımsızlığı (geopolitik gerilimde kapatılma riski yok), üçüncüsü yerel tehdit ortamına özel kalibrasyon (Türkçe içerik, yerel APT TTP'leri, sektörel düzenleyici uyum).

Akademik tarafta Hacettepe, ODTÜ, Sabancı, Bilkent, GTÜ, İTÜ ve birkaç başka üniversite siber güvenlik lisansüstü programları ve siber güvenlik araştırma laboratuvarları açtı. Mezun arzı son beş yılda ciddi biçimde arttı ama hâlâ talebi karşılayamıyor, özellikle olay müdahale, kötü amaçlı yazılım analizi ve uygulamalı sızma testi alanlarında nitelikli uzman açığı sürüyor. Bu açık, dış kaynak kullanımını ve eğitime yatırımı kritik kılıyor. DSET'in 1350 mezun rakamı tam da bu açığın kapatılmasına yönelik 20 yıllık yatırımın somut çıktısı.

Düzenleyici tarafta KVKK, BDDK, EPDK, SPK, BTK her sektör için farklı uyum yükümlülükleri tanımlıyor. Kamu kurumlarına yönelik Cumhurbaşkanlığı Dijital Dönüşüm Ofisi (CBDDO) rehberleri, bilgi güvenliği yönetim sistemi şartlarını TS ISO/IEC 27001 etrafında konsolide etti. Türk Standartları Enstitüsü TSE-ISO uyum belgelendirme süreci, kurumsal alıcının vendor seçiminde fiilen ön şart hâline geldi.

SSS

Şirketim küçük, bana neden saldırırlar?

İki sebep var. Birincisi, otomatik tarama. Saldırganlar artık hedefe bakmıyor, IP aralığı tarayıp savunmasız olanı buluyor. Düşük güvenlik = kolay hedef = otomatik fidye. İkincisi, sen daha büyük bir kurumun tedarik zinciri kapısı olabilirsin. Müşterin bir holding ise saldırgan sana ulaşıp oradan müşterine sıçramayı planlıyor.

Antivirus yeterli mi?

Hayır. Klasik AV imza tabanlıdır, modern saldırılar polymorphic ve fileless. EDR/XDR davranış analizi yapar, process injection, suspicious child process, registry persistence gibi davranışları yakalar. KOBİ için bile artık temel gereksinim.

Ransomware ödeme yapsam veri geri gelir mi?

Çoğu vakada hayır veya kısmen. CISA ve FBI ortak tavsiyesi ödeme yapmamak yönünde. Anahtarın çalışacağı garanti değil, çift şantajda veri zaten sızdırılmış olabilir, ödeme aynı grup veya başka gruplar için sizi tekrar hedef yapar. Para suç ekosistemini fonlar.

KVKK ihlali olursa kaç saat içinde bildirmem gerek?

72 saat. KVKK Kurumu'na ve etkilenen veri sahibine "en kısa sürede" bildirim yapılması gerekli, üst sınır 72 saat olarak yorumlanıyor. KVKK Kurulu kararları bu süreyi geçen vakalarda idari para cezası uyguladı.

USOM'a hangi olayları bildirmek zorundayım?

Kritik altyapı sayılan sektörler (enerji, finans, telekom, sağlık, su, ulaşım, kritik kamu) ciddi olayları kısa sürede bildirmek zorunda. USOM resmi sayfasında bildirim formu ve kategori detayları mevcut.

En kritik üç önlem nedir?

  1. Tüm hesaplara MFA (özellikle e-posta ve admin paneller).
  2. Offline ve immutable yedek (ransomware-proof).
  3. Düzenli phishing simülasyonu ve eğitim.

Bu üçü ihlallerin ezici çoğunluğunu durdurur veya hasarını minimize eder.

Siber sigorta yaptırmalı mıyım?

Evet, ama poliçeyi dikkatle oku. Ransomware ödeme bazı poliçelerde hariç tutulur. Savaş ve devlet destekli aktör istisnası (war exclusion) bazı kapsamlarda devreye girer. KVKK idari para cezası kapsamı poliçeye göre değişir. Broker ile detay görüşmek şart.

Saldırıya uğradığımı nasıl anlarım?

Tipik göstergeler, beklenmeyen ağ trafiği (özellikle yurt dışına büyük data exfil), yeni admin hesabı oluşumu, log silme veya log servisi durma, RDP ve SSH üzerinde brute force, normal dışı saatte VPN aktivitesi, beklenmeyen scheduled task, antivirus servisinin "kazara" durdurulması, Active Directory'de yeni servis hesabı. Tek bir gösterge yeterli değil, ama kombinasyon güçlü işarettir.

DSET ile çalışmak

DSET, 20 yıllık siber güvenlik deneyimi, 1350 mezunluk akademik birikimi, 100'ün üzerinde kurumsal müşteri portföyü ve 20.000 TB veri yönetim altyapısıyla Türkiye'nin yerli siber güvenlik ekosisteminin merkezindeki firmalardan biri.

Sızma testi, dijital adli bilişim, olay müdahale, SOC kurulumu, KVKK uyum danışmanlığı ve eğitim alanlarında uçtan uca hizmet sunuyor. ISO/IEC 27037 ve KVKK uyumlu adli inceleme süreçleri, ISO/IEC 27001 referanslı yönetim sistemi yaklaşımı kullanıyor.

DSET'in farklılaşan tarafı, KAOS yerli yapay zekâ güvenlik motoru. Türkiye'de geliştirilmiş, yerel çalışan, bulut bağımlılığı olmayan, MITRE ATT&CK tabanlı çoklu uzman ajan mimarisi. Hem ofansif (sızma testi otomasyonu, exploit doğrulama) hem defansif (anomali tespiti, threat hunting) tarafta kullanıma uygun.

Kurumunuz için sızma testi, KVKK uyum projesi, olay müdahale tatbikatı veya yapay zekâ destekli güvenlik motoru entegrasyonu konusunda görüşmek isterseniz:

Adres: Hacettepe Teknokent, Beytepe, Ankara Telefon (7/24 acil müdahale): +90 536 662 38 09 Web: dset.com.tr

Siber güvenlik bir ürün değil, bir süreçtir. Doğru ekip, doğru süreç ve doğru araçla yönetildiğinde kurumunuzun değil saldırganın gece uykusuz kalmasını sağlar.

Kaynaklar: