USOM Bildirim Formu Nasıl Doldurulur? 3 Saat İçinde Adım Adım
USOM portali (sg.usom.gov.tr) üzerinden 3 saat içinde bildirim. Form alanları: kurum, olay tipi, etki, IOC, alınan aksiyon. BKK 2013/4890 kritik altyapı zorunluluğu.
USOM bildirim formu, siber olayın tespitinden sonra en geç 3 saat içinde sg.usom.gov.tr adresinden iletilir. Form; kurum bilgisi, olay tipi, etki düzeyi, IOC (gözlemlenen göstergeler) ve alınan aksiyonlar olmak üzere beş ana bölümden oluşur. Kritik altyapı sektörleri için 11/06/2012 tarihli 2012/3842 sayılı BKK ve 2013/4890 sayılı BKK çerçevesinde bildirim zorunludur.
TL;DR
- Bildirim portali: sg.usom.gov.tr (Siber Olay İhbar ve Bildirim Sistemi).
- Süre: olayın tespitinden en geç 3 saat.
- Beş ana alan: kurum, olay tipi, etki, IOC, aksiyon.
- Kritik altyapı için BKK 2013/4890 zorunluluk.
- KVKK 72 saat süreci ile paralel yürütülür, biri diğerinin yerine geçmez.
Detaylı cevap
USOM nedir, hangi olaylar bildirilir?
USOM (Ulusal Siber Olaylara Müdahale Merkezi), BTK bünyesinde çalışan ulusal CSIRT'tir. SOME (Sektörel/Kurumsal Siber Olaylara Müdahale Ekipleri) yapısının merkezindedir. Bildirime tabi olaylar:
- Kritik sistemin erişilebilirliğini etkileyen siber saldırılar
- Veri sızıntısı ve fidye yazılım vakaları
- DDoS, hizmet kesintisi olayları
- Yetkisiz erişim, kötü amaçlı yazılım bulguları
- Tedarik zinciri uzlaşmaları
Hukuki çerçeve
- 5809 sayılı Elektronik Haberleşme Kanunu
- 2012/3842 sayılı BKK (Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi)
- 2013/4890 sayılı BKK (Kritik altyapı sektörlerinin USOM/SOME ile koordinasyonu)
- 6698 sayılı KVKK (paralel veri ihlali bildirimi)
Form alanları ve doldurma rehberi
| Bölüm | Alan | Açıklama |
|---|---|---|
| 1. Kurum | Ad, MERSİS, sektör, SOME yetkilisi | Kayıtlı kurum hesabı üzerinden |
| 2. Olay tipi | Fidye, DDoS, yetkisiz erişim vb. | Çoklu seçim mümkün |
| 3. Etki | Düşük/Orta/Yüksek/Kritik | Hizmet kesintisi süresi, etkilenen kullanıcı |
| 4. IOC | Hash, IP, domain, URL, dosya adı | STIX/CSV ek yüklenebilir |
| 5. Aksiyon | İzolasyon, yedek, dış destek | Zaman çizelgesi ile |
3 saatlik akış
- 0-30 dakika: olay doğrulama, kapsam tahmini, ekipler bilgilendirme.
- 30-60 dakika: ilk izolasyon (ağdan ayırma, hesap kilitleme).
- 60-120 dakika: IOC toplama (EDR, SIEM, firewall log).
- 120-180 dakika: form doldurma, ekleri yükleme, gönderim.
Bu akış fidye yazılım ilk 24 saat aksiyon çizelgesi içindeki "Saat 1-3" zaman dilimi ile birebir uyumludur.
IOC ne yazılır?
USOM, IOC paylaşımını STIX 2.1 veya CSV formatında kabul eder. Alanlar:
- IP adresi (kaynak veya C2)
- Domain veya FQDN
- URL
- Dosya hash (MD5, SHA-1, SHA-256)
- E-posta gönderici, oltalama konusu
- Kötü amaçlı yazılım ailesi adı (varsa)
Hash hesaplama detayları için hash doğrulama nedir MD5 SHA-1 SHA-256 yazımıza bakılabilir.
Bildirim sonrası süreç
USOM, vakanın ciddiyetine göre:
- Geri dönüş ve ek bilgi talebi gönderir.
- Sektör SOME'sini bilgilendirir (örn. finans için BDDK SOME).
- Gerekirse uluslararası CSIRT'lere paylaşır (FIRST ağı).
- Diğer kurumlara erken uyarı IOC yayını yapar.
Kurum tarafında ise:
- KVKK Kurulu bildirimi (varsa kişisel veri ihlali) KVKK 72 saat veri ihlali bildirim şablonu ile yürütülür.
- Hukuk ve PR koordinasyonu sürdürülür.
- Adli süreç başlatılacaksa ISO/IEC 27037 uyumlu delil toplama yapılır.
Yaygın hatalar
- Bildirimi 3 saati aşan gecikme ile yapmak; idari para cezası riski.
- IOC paylaşılmadan boş form göndermek; geri dönüş gecikir.
- KVKK bildirimini USOM bildirimi yerine saymak; ikisi farklıdır.
- Sektörel SOME'yi atlamak; bazı sektörlerde önce sektör SOME, sonra USOM yolu vardır.
- Yedek ve adli imaj almadan sistemleri yeniden kurmak; delil kaybı.
Siber olay müdahale playbook NIST 800-61 checklist yazımız bu hataları kalıcı süreçle önler.
Sektörel SOME zorunluluğu
2013/4890 BKK ile aşağıdaki sektörler kritik altyapı sayılır ve sektörel SOME kurmakla yükümlüdür:
- Enerji (EPDK koordinasyonunda)
- Elektronik haberleşme (BTK)
- Finans (BDDK, SPK, TCMB)
- Ulaşım
- Kritik kamu hizmetleri
- Su yönetimi
Bu sektörlerde olay önce sektör SOME'ye, oradan USOM'a iletilir.
Üç paralel bildirim hattı
Tam uyumlu kurumlar üç bildirim hattını eş zamanlı yönetir:
| Hat | Süre | Yetkili | Konu |
|---|---|---|---|
| USOM | 3 saat | BTK / USOM | Siber olay genel |
| KVKK | 72 saat | KVKK Kurulu | Kişisel veri ihlali |
| Sektörel düzenleyici | 24-48 saat | BDDK, EPDK, BTK | Hizmet kesintisi, iş sürekliliği |
Üç hattı tek formla birleştirmek mümkün değildir; içerikleri farklıdır. Olay yöneticisi her üçü için ayrı sahip atamalı, takvim ile takip etmelidir. Bu nedenle olay öncesi tabletop tatbikatında her üç sürecin senaryo enjekti içine konulması ve sahiplerinin doğrulanması iyi pratiktir.
SSS
USOM bildirimi gönüllü mü zorunlu mu?
Kritik altyapı sektörlerinde 2013/4890 BKK kapsamında zorunludur. Diğer kurumlar için tavsiye edilir, ancak olay paylaşımı erken uyarı ekosisteminin temelidir.
Bildirim kaç saat içinde yapılmalı?
USOM rehberinde olayın tespitinden itibaren en geç 3 saat içinde bildirilmesi öngörülür. KVKK'nın 72 saat süresi ile karıştırılmamalıdır; ikisi ayrı yükümlülüklerdir.
Form gizliliği nasıl korunur?
USOM portali TLS üzerinden çalışır, kurumsal hesap ile giriş yapılır. Paylaşılan bilgi yalnız ilgili sektör SOME'si ve uluslararası ortaklarla TLP (Traffic Light Protocol) kuralları çerçevesinde paylaşılır.
Bildirim sonrası ceza riski var mı?
Olayı bildiren kurum için doğrudan ceza yoktur; aksine bildirim koruma sağlar. Bildirmemek veya gecikmek kritik altyapı operatörlerinde idari para cezası ve denetim riski doğurur.
DSET USOM bildirim sürecinde destek verir mi?
Evet. DSET, USOM bildirim formu hazırlama, IOC paketleme ve sektörel SOME koordinasyonu konularında 7/24 olay müdahale desteği sunar. İletişim: Hacettepe Teknokent Beytepe, +90 536 662 38 09, [email protected].
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.