USTKAB Başvuru Rehberi: Uluslararası Siber Tehdit ve Kötücül Aktivite Bildirimi

Türkiye'de bir kurumun başına ciddi bir siber olay geldiğinde, sadece içeride patch'lemek ve logları temizlemek yetmiyor. Olayın ulusal koordinasyon merkezine bildirimi zorunlu hale gelmiş durumda. Bu merkez USOM (Ulusal Siber Olaylara Müdahale Merkezi) ve onun altında işleyen USTKAB (Uluslararası Siber Tehdit ve Kötücül Aktivite Bildirimi) mekanizmasıdır.

Bu rehberde USTKAB'ın ne olduğunu, hangi olayların bildirilmesi gerektiğini, eşik sürelerini, bildirim formatını ve sonuçlarını adli bilişim perspektifinden detaylı ele alıyoruz. Konuyu bütüncül kavramak için önce ilgili mevzuat ve resmi otoritelerin rol dağılımını netleştirelim.

USTKAB Nedir, USOM ile İlişkisi

USOM, Bilgi Teknolojileri ve İletişim Kurumu (BTK) bünyesinde 2013 yılında kurulan ulusal CERT yapısıdır. Resmi adresi https://www.usom.gov.tr üzerinden işlem yapılır. USOM, kritik altyapı sektörlerindeki SOME (Sektörel ve Kurumsal Olaylara Müdahale Ekipleri) ile koordinasyonu sağlar, uluslararası muadil CERT'ler ve ENISA CSIRT Network ile bilgi paylaşımı yapar.

USTKAB, USOM içindeki ihbar ve istihbarat akış kanalıdır. Adının uzun açılımı sektörel kafa karışıklığı yaratıyor ama özünde basit: yurt dışı kaynaklı veya yurt dışına uzanan siber saldırı, kötücül yazılım, komuta-kontrol sunucusu, fishing kampanyası, devlet destekli APT aktivitesi gibi gözlemleri merkeze iletme platformudur. Sadece kurban değil, gözlemci de bildirim yapabilir. Tehdit istihbaratı paylaşan SOC ekipleri, MSSP firmaları, akademik araştırmacılar bu kanalı kullanır.

USOM'un yasal dayanağı 2013 tarihli ve 2020'de revize edilen "Ulusal Siber Olaylara Müdahale Merkezi Yönetmeliği"dir. Yetki çerçevesi BTK tarafından çıkarılır. Adli bilişim açısından kritik olan nokta şudur: USOM'a yapılan bildirim, delil zincirinin bir parçası olarak değerlendirilir. Bu yüzden bildirim zamanlaması ve içeriği titiz tutulmalıdır. Konunun delil-zinciri tarafı için adli bilişim süreci pillar yazımıza bakabilirsiniz.

Hangi Olaylar USTKAB'a Bildirilmeli

Mevzuat ve USOM rehberlerinde bildirim eşiği aşan olay türleri şu şekilde gruplanır:

1. Kritik altyapı saldırıları. Enerji, su, ulaştırma, finans, sağlık, telekomünikasyon, kamu hizmetleri gibi sektörlerde operasyonel aksamaya yol açan saldırılar. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi (CBDDO) tarafından yayımlanan Bilgi ve İletişim Güvenliği Rehberi bu sektörleri tanımlar ve bildirim zorunluluğunu ekstra ağırlaştırır.

2. Fidye yazılım olayları. Sistem şifrelemesi, veri çalma ve şifreleme kombinasyonu (double extortion), fidye notu içeren tüm olaylar. Fidye sonrası ilk 24 saatte yapılması gerekenleri ayrı bir fidye yazılımı ilk 24 saat rehberinde işledik, USTKAB bildirimi o akışın ilk üç adımı içinde yer alır.

3. Gelişmiş kalıcı tehdit (APT). Devlet destekli veya organize tehdit grupları tarafından gerçekleştirilen uzun süreli sızma operasyonları. IOC (Indicator of Compromise) paylaşımı USOM üzerinden ENISA ve dost CERT'lerle paylaşıma açılır.

4. Veri sızıntısı vakaları. Kullanıcı veritabanı, kredi kartı, kimlik bilgisi gibi kişisel verilerin sızdığı olaylar. Bu noktada KVKK ile USOM bildirimleri paralel yürütülür, biri diğerinin yerine geçmez.

5. Komuta-kontrol (C2) altyapısı tespiti. Bir SOC'un kendi ağında veya gözlemlediği trafikte yurt dışı C2 sunucusu, malware dağıtıcı, phishing kit barındıran alan adı tespit etmesi.

6. DDoS saldırıları. 10 Gbps üstü veya servis kesintisine yol açan tüm hacimsel saldırılar. Telekom operatörleri zaten otomatik raporlama yapar, kurumlar bağımsız olarak da bildirim yapabilir.

7. Zincir tedarikçi (supply chain) ihlalleri. Yazılım güncelleme, kütüphane, üçüncü taraf entegrasyon üzerinden gelen ihlaller. SolarWinds, MOVEit tipi olaylar bu kategoridedir.

Bildirim Eşik Süreleri ve KVKK Farkı

Burada en sık karıştırılan konu süre eşikleridir. Üç farklı mevzuat üç farklı süre dayatır ve her biri bağımsız işler:

Olay Türü	Otorite	Süre
Kritik altyapı olayı	USOM	3 saat
Normal siber olay	USOM	24 saat
Kişisel veri ihlali	KVKK	72 saat
AB vatandaşı verisi (GDPR)	İlgili AB DPA	72 saat

Kritik altyapı operatörleri için 3 saatlik pencere dramatik kısa. Olayın doğrulanmasını beklemek lüks değil, ön bildirim (preliminary notification) yapılıp sonra detay tamamlanır. Normal kurumlarda 24 saat geçerlidir ama olayın etkisi büyüdükçe SOME ve USOM bu süreyi pratikte 6 ila 12 saate çeker.

KVKK'nın 72 saatlik bildirim formu USTKAB ile tamamen ayrıdır. Hukuk birimleri ikisini birbirine karıştırma eğilimindedir, KVKK form süreci için KVKK veri ihlali bildirim rehberini ayrıca okumanızı öneririz. USOM bildirimi teknik koordinasyon, KVKK bildirimi ise kişisel veri sahiplerine karşı hesap verebilirlik amacı taşır.

5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun (resmi metin) ise içerik ve erişim sağlayıcılar için ek log saklama, içerik filtreleme yükümlülükleri getirir. Bir saldırıda log delili 5651'e göre 2 yıla kadar saklanmak zorundadır, USTKAB bildirimi yapılırken bu kayıtların referansı verilir.

Bildirim Formatı: STIX/TAXII ya da Manuel Form

USOM iki ayrı bildirim kanalı sunar:

STIX/TAXII otomatik kanal. Olgun SOC ekipleri ve MSSP'ler için. STIX (Structured Threat Information Expression) standardında IOC paketleri, TAXII (Trusted Automated Exchange of Intelligence Information) sunucusuna push edilir. Makine okuyabilir format, ölçeklenebilir paylaşım için ideal. ENISA bu standardı CSIRT Network içinde teşvik eder.

Manuel web formu. Geleneksel akış. USOM portalı üzerinden "Olay Bildir" sayfasına gidilir, kurum yetkilisi e-Devlet ile giriş yapar, form doldurulur. Form alanları kabaca şöyledir:

• Bildirimci kurum bilgileri
• Olay başlangıç ve tespit zamanı (UTC+3 ile)
• Etkilenen sistem ve servisler
• Saldırı türü (DDoS, ransomware, APT, phishing, vb.)
• IOC listesi (IP, alan adı, hash, e-posta adresi)
• TTP açıklaması (MITRE ATT&CK eşleştirmesi tercih edilir)
• Müdahale adımları
• Mevcut delil ve log durumu
• KVKK ihbar yapıldı mı (evet/hayır)
• Adli makamlara şikayet yapıldı mı

E-posta bildirim adresi iletisim [at] usom.gov.tr ve 7/24 ihbar hattı +90 850 277 USOM (kayıt için). Acil durumda telefonla ön bildirim, ardından yazılı form izlenmesi tavsiye edilen rotadır.

Bildirim sırasında ekleyeceğiniz teknik kanıt paketinin hazırlanması adli bilişim disiplinindedir. Memory dump, disk imajı, paketler, EDR telemetrisi gibi delillerin hash'leri formda referans gösterilmelidir. Adli bilişim ekibinizin hazırladığı raporun yapısı için bilirkişi raporu format rehberini inceleyebilirsiniz.

Bildirim Sonrası Süreç

Bildirim USOM'a düştüğü an aşağıdaki paralel akışlar tetiklenir:

Tetiklenen aktörler. İlgili sektör SOME'si bilgilendirilir. Kritik altyapıda BTK denetim ekibi bilgilendirilir. Kanunsuz fiil unsuru varsa Cumhuriyet Savcılığına suç duyurusu opsiyonu hatırlatılır. IOC paketi anonimleştirilerek diğer kurumlara erken uyarı olarak yayınlanır.

Geri bildirim ve takip. USOM'dan vaka numarası verilir. Takip eden 48 saat içinde uzaktan teknik mülakat, gerekirse saha ziyareti talep edilir. Müdahale ekibiniz dışarıdan, üçüncü taraf adli bilişim firmasından destek alıyorsa firmanın yetki belgesi paylaşılır.

İletişim katmanı. Hassas vakalarda USOM bildirimcinin kimliğini ENISA paylaşımında anonimleştirir, sadece IOC ve TTP paylaşılır. Bu özellikle ticari sır kaygısı taşıyan kurumlar için kritik bir güvencedir.

Olay müdahale akışınızın disipline edilmesi için NIST 800-61 tabanlı IR playbook yazımıza bakabilirsiniz. Bu çerçeve içinde USTKAB bildirimi Identification ve Containment fazları arasında konumlanır.

TÜBİTAK BİLGEM ve Sertifikalı Müdahale

TÜBİTAK BİLGEM bünyesindeki Siber Güvenlik Enstitüsü, USOM ile teknik kapasitede yan yana çalışır. Kritik altyapı operatörlerinde sızma testi ve adli bilişim yetkinliği aranan personel için BİLGEM sertifikaları gerekmektedir. Sızma testi mevzuatına dair detayı pentest süreç rehberinde ele aldık.

BİLGEM ayrıca olay sonrası teknik analizde bağımsız uzman görüşü sunabilir, mahkemeye giden vakalarda bu görüşün ağırlığı büyüktür. Kritik altyapı operatörlerinde BİLGEM denetim raporları yıllık olarak BTK'ya iletilir, bu raporlardaki açıklar kapatılmadığında ihlal anında "olayın öngörülebilir olduğu" tespiti yapılır ve kusur yükü artar. Bu yüzden olay öncesi BİLGEM uyum çerçevesinin kapatılması, olay sonrası en pahalı sürprizleri önler.

Bildirim Hazırlığı: Olay Öncesi Yapılması Gerekenler

USTKAB bildirimi olay anında değil, olaydan önce hazırlanır. Bunun temel adımları:

• Yetkili kişi ve yedeği belirlenmeli, e-Devlet erişimleri kurum hesabıyla eşleştirilmeli.
• USOM e-posta listesine kurumsal SOC adresi eklenmeli.
• IOC paylaşım formatı (STIX/JSON veya CSV) iç araçlarda otomatik üretilebilir hale getirilmeli.
• Olay sınıflandırma tablosu hazırlanmalı, hangi olayın hangi eşik süresine girdiği yazılı olmalı.
• Senede en az bir kez tatbikat yapılarak süreç test edilmeli, tatbikat sonrası rapor üst yönetime sunulmalı.

Hazırlık olmadığında ilk gerçek olayda 24 saatlik pencere veri toplama ve form doldurma karmaşasında kolayca eriyor. Tatbikatlı kurumlarda aynı süreç 2 ila 4 saate sıkışıyor ve ön bildirim aynı gün içinde gerçekleşiyor.

ENISA CSIRT Network ve AB NIS2 Yansıması

Türkiye AB üyesi değil ama dijital altyapı uyumu için ENISA CSIRT Network ile bilgi paylaşımı yürütüyor. 2023 yılında yürürlüğe giren NIS2 direktifi (Network and Information Systems 2), AB içinde olay bildirim eşiklerini sertleştirdi: kritik ve önemli sektörlerde 24 saat içinde "erken uyarı", 72 saat içinde olay bildirimi ve 1 ay içinde nihai rapor istiyor.

Türkiye CBDDO Bilgi ve İletişim Güvenliği Rehberi'nde paralel yapılanma görülüyor. Mevzuat henüz NIS2'ye birebir uyumlu değil ama uygulama eşikleri yakınsıyor. AB vatandaşı verisi tutan veya AB'ye hizmet veren Türk şirketleri her iki çerçeveye birden uymak zorunda. Bu durumda USTKAB bildirimi + ENISA üzerinden ilgili AB CERT bildirimleri eş zamanlı yapılır.

Bildirim Yapmamanın Sonuçları

Bildirim yükümlülüğüne uymamanın yaptırımları çok katmanlı:

İdari para cezası. BTK, kritik altyapı operatörlerinde milyonlarca lira ölçeğinde idari yaptırım uygulayabilir. Tekrar eden ihlallerde lisans iptaline kadar gider.

KVKK ayrı yaptırım. Kişisel veri ihlali bildirilmemişse KVKK kendi cezai çerçevesini ayrıca uygular.

Cezai sorumluluk. 5651 ile saklanması zorunlu logların imha edilmesi veya saklanmaması TCK kapsamında ayrıca suç teşkil eder.

Yönetici sorumluluğu. Bilgi güvenliğinden sorumlu yönetici, üst yönetim ve veri sorumlusu kişiler şahsi olarak hesap verir. Yargı sürecinde "olayı biliyor muydu" sorusunun cevabı USTKAB bildirim tarihi üzerinden okunur.

Sigorta etkisi. Siber sigorta poliçeleri olay bildirimini ön koşul olarak yazar. Bildirim yapılmadıysa ödemenin reddi sıkça karşılaşılan bir durumdur.

Sıkça Sorulan Sorular

1. USTKAB bildirimi yaparken kurum bilgisi gizli kalır mı? ENISA paylaşımında anonimleştirme yapılır. Yurt içinde ilgili SOME ve denetim makamları bilgiyi görür. Tamamen anonim bildirim değildir, sorumluluk zinciri korunur.

2. Olay henüz doğrulanmadıysa beklemeli miyim? Hayır. Şüphe seviyesi yüksekse ön bildirim (preliminary) yapılır. 24 saatlik pencereyi doğrulama beklemek için tüketmek riskli, sonra yetişmeyebilirsiniz.

3. USTKAB ve KVKK bildirimi aynı anda mı yapılır? İkisi paralel ama bağımsızdır. USOM'a 24 saatte, KVKK'ya 72 saatte bildirim yapılır. KVKK formu çok daha detaylıdır, hukuk birimi sürer.

4. STIX/TAXII kanalını nasıl açtırırım? Kurum yetkilisi USOM'a yazılı başvuru yapar, sertifika tabanlı kimlik doğrulama ile TAXII endpoint paylaşılır. Genelde MSSP veya SOC olgunluğu seviye 3 üstü kurumlarda kullanılır.

5. Bireysel kullanıcı bildirim yapabilir mi? Evet. Phishing, dolandırıcılık, malware bulaşması gibi olaylar bireysel olarak da bildirilebilir. Form aynı portal üzerindedir.

6. Bildirim sonrası USOM ekip gönderir mi? Kritik altyapı veya yaygın etkili olaylarda saha desteği talep edilebilir. Standart vakalarda uzaktan koordinasyon yürütülür, müdahale kurumun kendi adli bilişim ekibi veya dış uzman tarafından yapılır.

7. Adli süreç açısından USTKAB bildirimi delil değeri taşır mı? Doğrudan delil değil, fakat olayın zamanında tespit edildiğinin ve raporlandığının belgesidir. Davalarda kurumun ihmal iddiasına karşı kullanılır.

8. Kurum dışı tehdit istihbaratı paylaşımı USTKAB'a uygun mu? Evet. SOC ekipleri gözlemledikleri C2, malware dağıtıcı, phishing kit bilgilerini USTKAB üzerinden topluma yayar. Bu paylaşımlar topluluk savunmasının temel taşıdır.

DSET ile USTKAB Koordinasyonu ve Adli Bilişim

DSET Bilişim olarak Hacettepe Teknokent Ankara merkezimizden, müdahale ekibi ihtiyacı olan kurumlara olay yönetimi, USTKAB ve KVKK bildirim koordinasyonu, adli bilişim raporlaması hizmetlerini birleşik biçimde sunuyoruz. Hafta sonu, gece, resmi tatil fark etmez; saldırı saatine bağlı çalışır, ilk 3 saat penceresini kaçırmadan ön bildirim yapar, paralel olarak delil zincirini başlatırız.

Saldırı altındaysanız veya bildirim eşiği konusunda emin değilseniz +90 536 662 38 09 hattından doğrudan kıdemli olay müdahale ekibimize ulaşabilirsiniz. Konuşma kayıt altında değildir, hassas bilgi paylaşmadan önce kapsam belirleriz. Yüz yüze görüşme tercih ederseniz Hacettepe Teknokent ofisimizde randevu açabiliriz.

Olay bittiğinde iş orada kapanmıyor. Kalıcı çözüm için tehdit modelleme, segmentasyon, EDR/XDR konuşlanması, çalışan eğitimi ve düzenli sızma testi paketleri sunuyoruz. Tek kerelik bir bildirim yapmak yerine, olay öncesi disipline edilmiş bir güvenlik programı kurmanızı öneriyoruz. Bu programın bir parçası olarak yıllık sızma testleri ve adli bilişim hazır bulunma denetimleri yapıyoruz.

USTKAB bildirimi bir bürokrasi işi değildir. Türkiye'nin ulusal savunma istihbaratına katkıdır ve kurumunuzu hem yasal hem teknik anlamda korur. Eşikleri kaçırmamak ve raporu doğru hazırlamak için disiplinli bir süreç ister, bu da hazır olmayı gerektirir.