Hızlı Cevap
- 0-1. saat: Etkilenen sistemleri ağdan izole edin, RAM imajı ve uçucu kanıt alın, fidye notunu ve uzantıları kayıt altına alın.
- 1-3. saat: USOM'a 3 saat içinde siber olay bildirimi yapın, üst yönetim ve hukuk birimini bilgilendirin, kriz ekibini kurun.
- 3-6. saat: Yedeklerin bütünlüğünü ve şifrelenmediğini doğrulayın, restore senaryosunu test ortamında deneyin, IOC'leri toplayın.
- 6-12. saat: KVKK kapsamına giren kişisel veri etkisini değerlendirin, 72 saatlik Kurul bildirimi için dosyayı hazırlamaya başlayın.
- 12-24. saat: Temiz ortama kontrollü restore başlatın, kök neden analizini yürütün, iletişim ve hukuki strateji ile fidye kararını netleştirin.
Fidye yazılım olayında ilk 24 saat, olayın gidişatını, hukuki maliyetini ve marka itibarını orantısız bir şekilde belirler. ENISA'nın Threat Landscape 2024 raporu, fidye saldırılarının ortalama izolasyon süresi ile veri sızdırma kayıp oranı arasında güçlü bir negatif korelasyon olduğunu belirlemektedir. Microsoft Incident Response Playbook, ilk dört saatlik karar pencerelerinin sonraki günlerin yedi katı etkiye sahip olduğunu ifade etmektedir. NIST SP 800-61 Revision 2, hız ile doğruluk arasındaki dengeyi koruyan ekiplerin daha hızlı kurtarma elde ettiğini istatistiksel olarak göstermektedir.
Bu rehber, fidye yazılımın tespit edildiği T0 anından T+24 saate kadar olan süreyi beş ayrı dilime böler. Her dilim için somut kontrol listesi, çıktı, sahibi ve dikkat edilmesi gereken hatalar yer alır.
Bölüm 1. T0 Anı, Olayın Tespiti
Fidye yazılım, dört farklı kanaldan haber verilebilir.
- Kullanıcı bildirimi. "Dosyalarım açılmıyor, fidye notu gördüm" çağrısı.
- EDR / XDR uyarısı. Şüpheli toplu dosya yeniden adlandırma, gölge kopya silme komutu.
- SIEM uyarısı. Domain controller üzerinde anormal aktivite, kerberos hatası fırtınası.
- Dışarıdan haber. Tehdit aktörü doğrudan e-posta ile irtibata geçer, veya darkweb'de duyuru görülür.
T0, ilk şüphenin makul gerekçeyle anlamlı hale geldiği andır. Bu zaman damgası, KVKK 72 saat ve USOM 3 saat sayaçlarının başlangıç noktasıdır. Yanlış damgalama, ilerideki Kurul incelemesinde ağırlaştırıcı sebep olur.
Bölüm 2. Dilim 1, 0-1 Saat. İzolasyon ve Uçucu Kanıt
Bu dilimin tek hedefi vardır, daha fazla makinenin şifrelenmemesi ve uçucu kanıtın kaybolmaması. Yedek bütünlüğünün kontrolü bu saatte değil, sonraki dilimde gelir.
2.1. 0-1 saat kontrol listesi
| Sıra | Aksiyon | Sahibi | Çıktı |
|---|---|---|---|
| 1 | Etkilenen makinenin ağdan izolasyonu (EDR isolation veya fiziksel kablo) | SOC | İzolasyon kaydı |
| 2 | RAM dump (WinPMem, FTK Imager Lite) yazma korumalı USB üzerinden | Adli bilişim ekibi | Hash'li imaj |
| 3 | Fidye notu, ekran görüntüsü, dosya uzantısı örnekleri | Tespit eden | Delil paketi |
| 4 | Olay biletinin açılması ve sınıflandırılması | SOC | Olay numarası |
| 5 | Komuta zinciri çağrısı, CISO, BT müdürü | SOC vardiya | Çağrı kaydı |
| 6 | Etkilenen makine sayısının ilk tahmini | BT | Ön envanter |
| 7 | Yedek altyapısının izolasyonu (saldırgan yedeklere ulaşmasın) | Backup ekibi | Yedek izolasyon kaydı |
| 8 | Domain Controller loglarının ek korumaya alınması | DC yöneticisi | Log koruma raporu |
2.2. Bu dilime özel uyarılar
Reboot etmeyin. Makineyi kapatmayın. RAM dump tamamlanmadan disk imajına geçmeyin. Antivirüs ile manuel temizlik denemeyin, bu IoC'leri yok edebilir. Saldırgan kanalını "biz konuşalım da fidye düşsün mü" diyerek erken açmayın.
2.3. Volatility 3 ilk artifact listesi
İlk RAM dump alındıktan sonra acil olarak çıkarılması gereken artifact'ler aşağıdadır.
| Plugin | Çıktı |
|---|---|
| windows.pslist | Aktif process listesi |
| windows.pstree | Parent-child ilişki ağacı |
| windows.netscan | Ağ bağlantıları, dinleyen portlar |
| windows.cmdline | Her process'in komut satırı |
| windows.malfind | Code injection bölgeleri |
| windows.handles | Açık handle'lar (özellikle named pipe) |
| windows.svcscan | Kayıtlı servisler ve durumları |
| windows.dlllist | Yüklenen DLL'ler |
Bu çıktılar, saldırganın C2 IP adresini, kullandığı binary'lerin yolunu, lateral movement araçlarını ortaya çıkarır. İlk dilim sonunda elde edilecek IoC seti, sonraki dilimlerin verimini ikiye katlar.
Bölüm 3. Dilim 2, 1-3 Saat. TLP Belirleme, USOM Bildirim, Çağrı Zinciri
Bu dilim, hukuki ve iletişimsel boyutun olaya katıldığı dilimdir. Teknik çalışma devam ederken paralel iki hat açılır.
3.1. 1-3 saat kontrol listesi
| Sıra | Aksiyon | Sahibi | Çıktı |
|---|---|---|---|
| 1 | TLP (Traffic Light Protocol) belirleme, paylaşım kapsamı | CISO | TLP etiketi |
| 2 | USOM 3 saat bildirim yükümlülüğü değerlendirmesi | Hukuk + CISO | USOM kararı |
| 3 | Kritik altyapı sektörü ise USOM bildirim teslimi | Hukuk | Bildirim ID |
| 4 | Üst yönetim brifingi (CEO ve uygun ise YK başkanı) | CISO | Brifing notu |
| 5 | Hukuk müşavirinin sürece resmen dahil olması | Genel Müdür | Hukuki not |
| 6 | Siber sigorta poliçesinin gözden geçirilmesi, sigortacıya ön bildirim | Hukuk + Mali İşler | Sigorta dosyası |
| 7 | KVKK kategorisi ön değerlendirmesi (özel nitelikli veri var mı) | KVKK irtibat kişisi | Kategori notu |
| 8 | Dış adli bilişim sağlayıcısının (DSET) çağrılması | CISO | Çağrı kaydı |
| 9 | İletişim direktörünün haberdar edilmesi (henüz duyuru yok) | Genel Müdür | İç bilgilendirme notu |
| 10 | Olay savaş odası fiziksel veya sanal kurulması | CISO ofisi | Oda erişim listesi |
3.2. TLP belirleme
Traffic Light Protocol, FIRST.org tarafından geliştirilmiş paylaşım sınıflandırma standardıdır. Fidye yazılım olayında tipik etiketleme aşağıdaki gibidir.
| Etiket | Anlamı | Tipik kullanım |
|---|---|---|
| TLP:RED | Sadece toplantı katılımcıları | İç komuta zinciri toplantısı |
| TLP:AMBER | Sadece kurum içi paylaşılır | BT ekibi, hukuk, üst yönetim |
| TLP:AMBER+STRICT | Kurum içi belirli kişiler | Yalnız olay ekibi |
| TLP:GREEN | Topluluk içi paylaşım | Sektör ISAC, USOM |
| TLP:CLEAR | Kamuya açık | Olay sonrası raporlama |
3.3. USOM bildirim notu
Ulusal Siber Olaylara Müdahale Merkezi, kritik altyapı sektörlerinde 5/11/2013 tarihli ve 2013/4890 sayılı Bakanlar Kurulu Kararı çerçevesinde siber olayların bildirilmesi yükümlülüğünü işletir. Bildirim usom.gov.tr üzerinden veya 7/24 hattı üzerinden yapılabilir. Sektörel SOME'ler USOM ile koordineli çalışır. Bildirim süresi sektöre göre değişmekle birlikte, kritik altyapı operatörlerinde tipik olarak 3 saat eşik kabul edilir.
Bölüm 4. Dilim 3, 3-6 Saat. Yedek Doğrulama, Triage, AD Uzlaşma
Bu dilimde acil izolasyon tamamlanmıştır. Şimdi soru şudur, kurtarmaya geçebilir miyiz, yoksa daha derin uzlaşma var mı.
4.1. 3-6 saat kontrol listesi
| Sıra | Aksiyon | Sahibi | Çıktı |
|---|---|---|---|
| 1 | Yedek bütünlük doğrulaması (hash + restore testi izole ortamda) | Yedekleme ekibi | Yedek raporu |
| 2 | Yedek üzerinde fidye yazılım izi taraması (sleeper file kontrolü) | Adli bilişim | Temizlik teyidi |
| 3 | Disk imajı alımı (sektör düzeyinde, write-blocker ile) | Adli bilişim | Hash'li disk imajı |
| 4 | Aktif Dizin uzlaşma analizi (KRBTGT, ayrıcalıklı grup üyeliği) | DC yöneticisi | AD raporu |
| 5 | Lateral movement araçlarının tespiti (PsExec, WMI, PowerShell logları) | SOC | Yanal hareket raporu |
| 6 | Initial access vektörünün hipotezi (phishing, RDP, VPN, supply chain) | Adli bilişim | Vektör hipotezi |
| 7 | IoC listesinin genişletilmesi (hash, IP, domain, registry, dosya yolu) | SOC | IoC dökümü |
| 8 | Etkilenen sistem listesinin kesinleştirilmesi | BT | Sistem envanteri |
| 9 | Etkilenen veri kategorilerinin ön envanteri | Veri envanter sahibi | Veri kategori taslağı |
| 10 | Yedek izole bir restore alanında "altın kopya" hazırlığı | BT | Altın kopya kaydı |
4.2. Yedek doğrulama akışı
Yedeğin restore edilebiliyor olması, yedeğin temiz olduğu anlamına gelmez. Fidye gruplarının yaygın taktiği, ana saldırıdan haftalar önce yedeklere "uyuyan" binary ekleyerek restore sonrası yeniden başlatmadır. Bu yüzden yedek doğrulaması iki aşamalı olmalıdır.
- Restore edilebilirlik testi. Yedek izole sandbox'a açılır, dosya yapısı kontrol edilir.
- Temizlik teyidi. Restore edilen ortam üzerinde IoC taraması ve davranış analizi.
İkinci aşamayı atlayan kurumlar, kurtarma sonrası ikinci dalgaya maruz kalmaktadır.
4.3. Active Directory uzlaşma kontrolleri
Aktif Dizin üzerinde aşağıdaki kontroller bu dilimde tamamlanmalıdır.
- Domain Admins, Enterprise Admins, Schema Admins gruplarının son 30 gün üyelik değişiklikleri
- Yeni oluşturulmuş hesapların listesi
- KRBTGT hesabının son parola değişiklik tarihi
- ServicePrincipalName eklenmiş kullanıcı hesapları (Kerberoasting izleri)
- AdminSDHolder ACL üzerinde anormal değişiklik
- Golden ticket olasılığı için event log korelasyonu
Bölüm 5. Dilim 4, 6-12 Saat. KVKK Kapsam, Müşteri Mesajı, Sigorta
Bu dilimde paralel hatlardan teknik ve hukuki çıktılar birleşmeye başlar. Müşteri iletişimi taslağı hazırlanır, ancak henüz gönderilmez.
5.1. 6-12 saat kontrol listesi
| Sıra | Aksiyon | Sahibi | Çıktı |
|---|---|---|---|
| 1 | KVKK 72 saat sayacı kapsam belirleme, hangi veri kategorileri etkilendi | KVKK irtibat kişisi | Kapsam raporu |
| 2 | Etkilenen ilgili kişi sayısı tahmini (bant aralığı kabul edilir) | Veri envanter sahibi | Sayı tahmini |
| 3 | Müşteri iletişim mesajı taslağı (henüz yayınlanmıyor) | İletişim + Hukuk | Onay bekleyen taslak |
| 4 | Çalışanlara gönderilecek iç mesaj (görevleri, beklenen davranış) | İK + İletişim | İç mesaj |
| 5 | Sigortacı ile resmi çağrı, talep dosyası açılması | Mali İşler + Hukuk | Sigorta vaka numarası |
| 6 | Tedarikçi ve iş ortaklarına yapılacak bildirimin değerlendirilmesi | Hukuk | Bildirim listesi |
| 7 | Saldırgan iletişim kanalına yanıt verilip verilmeyeceğine karar | Üst yönetim + Hukuk | Karar notu |
| 8 | Üçüncü taraf sözleşmelerinde "veri ihlali" maddelerinin gözden geçirilmesi | Hukuk | Sözleşme notu |
| 9 | Hukuk biriminin Kurul'a bildirim taslağı | Hukuk + KVKK irtibat | KVKK form taslağı |
| 10 | Üst yönetim brifingi ikinci tur, basın stratejisi onayı | CISO + İletişim | Basın stratejisi |
5.2. Müşteri mesajı taslağı not
Bu dilimde müşteriye gönderilecek mesaj henüz "duyuru" değildir. Aşağıdaki ilkelere uyulmalıdır.
- Açıklanmamış teknik detay verilmez (saldırgan grubun adı, IoC, fidye miktarı)
- Etkilendiği teyit edilen müşterilere bireysel bildirim hazırlığı yapılır
- Mesaj, hukuk biriminin onayından geçmeden gönderilmez
- Şirket içi sözcü ve dış sözcü tek bir kişi olmalıdır
- "Olayı kontrol altına aldık" ifadesi, durum kesin değilse kullanılmaz
5.3. Siber sigortacı ile koordinasyon
Siber sigorta poliçeleri tipik olarak bildirim sürelerini sıkı tutar. Çoğu poliçe, olayın öğrenilmesinden itibaren 24-72 saat içinde sigortacıya ön bildirim yapılmasını şart koşar. Sigortacının önerdiği panel firma (forensic, hukuk, iletişim) listesine uyulmaması, tazminat ödemesini azaltabilir ya da reddetmesine yol açabilir. Bu yüzden poliçenin bu maddeleri olay öncesinde okunmuş ve özetlenmiş olmalıdır.
Bölüm 6. Dilim 5, 12-24 Saat. Restore, Hukuki Strateji, Fidye Ödeme Tartışması
Bu dilimde teknik kurtarma planı netleşir, hukuki strateji çerçevesi çizilir, fidye ödeme tartışması yapısal olarak ele alınır.
6.1. 12-24 saat kontrol listesi
| Sıra | Aksiyon | Sahibi | Çıktı |
|---|---|---|---|
| 1 | Restore planının iş kritikliği önceliği ile sıralanması | BT + İş birimleri | Restore çizelgesi |
| 2 | Kurtarma sonrası artırılmış izleme planı (14 gün) | SOC | İzleme planı |
| 3 | Fidye ödeme tartışmasının yapısal değerlendirilmesi | Üst yönetim + Hukuk | Karar dosyası |
| 4 | OFAC ve AB yaptırım listelerinde grup taraması | Hukuk + Uyum | Tarama raporu |
| 5 | Kanun uygulayıcısıyla irtibat (uygun ise) | Hukuk | Yazışma kaydı |
| 6 | KVKK bildirim formunun ilerletilmiş taslağı | KVKK irtibat | Onay öncesi form |
| 7 | İç iletişim ikinci dalga, çalışan bilgilendirme | İK + İletişim | İletişim kaydı |
| 8 | İş sürekliliği planı devreye alındı mı kontrolü | BCP sahibi | BCP raporu |
| 9 | Müşteri çağrı merkezi briefing'i (sorulara nasıl cevap) | Müşteri Hizmetleri | Q&A dokümanı |
| 10 | İlk 24 saat lessons learned ön notları | CISO | Ön rapor |
6.2. Fidye ödeme tartışması, hukuki çerçeve
Fidye ödeme kararı sadece etik veya finansal bir karar değildir, doğrudan hukuki sonuçları olan bir karardır.
ABD OFAC perspektifi: ABD Hazinesi Office of Foreign Assets Control, 21 Eylül 2021 tarihinde yayımladığı güncellenmiş kılavuzda fidye yazılım ödemelerinin yaptırım listesindeki gruplara yapılması halinde ABD vatandaşı veya ABD ile bağlantılı kuruluşlar için yaptırım ihlali oluşturduğunu belirtmiştir. Türk şirketleri ABD ile iş yapıyor, ABD bankacılık sistemini kullanıyor ya da ABD vatandaşı yöneticileri varsa risk taşır.
AB perspektifi: Avrupa Birliği yaptırım listeleri (Council Regulation EU 269/2014 ve devamı) belirli kişi ve kuruluşlara karşı varlık dondurma uygular. Fidye ödemesi bu kişilere giden bir transfer ise AB'de iş yapan veya AB vatandaşı çalıştıran şirketler için ciddi yaptırım riski doğar.
Türkiye perspektifi: Türk hukukunda fidye ödenmesine ilişkin doğrudan bir yasak bulunmamaktadır, ancak terör örgütü veya yaptırım listesindeki kuruluşa yapılan ödeme MASAK ve diğer ilgili mevzuat çerçevesinde sorumluluk doğurabilir.
Karar dosyasında şu sorular yazılı olarak cevaplanmalıdır.
- Fidye ödenmediği takdirde restore süresi ne kadardır
- Sızdırılan veri için ödeme yapılsa dahi grubun "yok ettiği" iddiası ne kadar güvenilirdir
- Grup, OFAC ya da AB yaptırım listesinde midir
- Sigorta poliçesi fidye ödemesini kapsar mı, koşulları nedir
- Kanun uygulayıcısının görüşü nedir
- Şirketin uluslararası iş bağlantıları ödeme nedeniyle yaptırıma maruz kalır mı
Bu sorular cevaplanmadan fidye ödeme kararı, sonraki yıllarda yönetim sorumluluğu davalarına konu olabilir.
6.3. Hangi durumlarda DSET'i arayın
Aşağıdaki durumların herhangi biri varsa +90 536 662 38 09 numaralı hat 7/24 erişilebilir durumdadır.
- Olay mesai dışında veya hafta sonu fark edildi
- İç ekibinizin adli bilişim deneyimi sınırlı
- Etkilenen veri kategorisinde özel nitelikli veri var (sağlık, biyometrik, ceza mahkumiyeti)
- KVKK 72 saat bildirim metninde teknik destek gerekiyor
- USOM ile koordineli süreç yönetimi ihtiyacı var
- Yedek bütünlüğü konusunda şüphe var
- Saldırgan grup TLP:RED düzeyinde tehdit avı gerektiriyor
- Tedarik zinciri etkisi şüphesi var
Bölüm 7. İlk 24 Saat Birleşik Özet Tablo
Aşağıdaki tablo, beş dilimi tek sayfada görme imkanı sunar.
| Dilim | Süre | Ana hedef | Kritik çıktılar |
|---|---|---|---|
| 1 | 0-1 saat | İzolasyon, uçucu kanıt | RAM dump, ağ kesme, komuta zinciri |
| 2 | 1-3 saat | Hukuki süreç başlangıcı | USOM bildirim, sigorta ön bildirim, DSET çağrısı |
| 3 | 3-6 saat | Kapsam ve uzlaşma | Yedek doğrulama, AD analizi, IoC listesi |
| 4 | 6-12 saat | KVKK kapsam, iletişim hazırlığı | KVKK form taslağı, müşteri mesaj taslağı |
| 5 | 12-24 saat | Restore ve hukuki strateji | Restore çizelgesi, fidye ödeme dosyası, KVKK form |
Bölüm 8. Yapmayın Listesi
İlk 24 saatte yapılmaması gerekenler.
- Etkilenen makineyi reboot etmek
- Antivirüs ile manuel temizlik denemek (IoC kaybolur)
- Saldırgan ile yetkisiz kişiler arasında erken iletişim
- Sosyal medyada veya basında "olay yok" açıklaması
- Sayıyı küçültmek için "100 müşteriyi etkiledi" gibi yetersiz teyitli rakam vermek
- Yedeği taramadan production'a açmak
- Sigortacıya 24 saati geçince bildirim yapmak
- KVKK 72 saat sayacının başlangıcını gerçeğin sonrasına çekmek
- Hukuk biriminin onayını almadan müşteri duyurusu yayımlamak
- Fidye ödemesi kararını yaptırım listesi taraması yapmadan vermek
Bölüm 9. DSET Incident Response Retainer ve Çapraz Bağlantılar
DSET, 20 yılı aşkın siber olay müdahale ve adli bilişim deneyimiyle Türkiye'nin önde gelen bağımsız uzman ekiplerinden biridir. Hacettepe Üniversitesi Teknokent Beytepe yerleşkesindeki ekibimiz, ISO 27037 standardına uygun delil zinciri ile çalışır.
9.1. Retainer hizmeti kapsamı
- 7/24 acil hat. +90 536 662 38 09 numaralı hattan saha ekibi yönlendirmesi.
- Uzaktan ve yerinde adli bilişim desteği.
- KVKK 72 saat ve USOM 3 saat bildirim koordinasyonu.
- Yedek bütünlük doğrulaması ve altın kopya restore mimarisi.
- Olay sonrası lessons learned ve aksiyon takibi.
9.2. İlgili rehberler
Aşağıdaki DSET rehberleri bu sayfayı tamamlar.
- KVKK 72 Saat Veri İhlali Bildirim Şablonu rehberi, ihlal bildirim sürecini saat saat işler.
- Siber Olay Müdahale Playbook NIST SP 800-61 Rev. 2 rehberi, kurumsal IR yapısının dört fazını tanımlar.
Görüşme için [email protected] adresine yazabilir veya doğrudan +90 536 662 38 09 numaralı hattı arayabilirsiniz. İlk kapsam görüşmesi ücretsizdir ve gizlilik anlaşması altında yapılır.
Kapanış Notu
Fidye yazılım olayında ilk 24 saat, sonraki 24 günü, 24 haftayı ve sonra gelecek olası davaları belirler. Bu rehberi kurum içi runbook'unuza adapte etmek ve yılda en az iki tabletop tatbikatı ile pratiğe dökmek, gerçek olay anında soğukkanlılığınızı koruyabilmenizin tek garantisidir. Hazırlık olmadan hızlı karar verilmez, hızlı karar verilmediğinde 24 saat içinde kaybolan değer geri kazanılmaz.