Pentest Sırasında Veri Sızıntısı Olursa Sorumluluk Kimde?
Pentest; açıkları bulmanın en güvenli yoludur. Peki ya nadir de olsa veri sızıntısı yaşanırsa? KVKK/GDPR ve sözleşmeler ışığında teknik–hukuki sorumlulukları, önlemleri ve iyi uygulamaları ele alıyoruz.
1) Penetrasyon Testi Nedir ve Neden Önemlidir?
Pentest; saldırgan bakış açısıyla sistemlere sızma, yetki yükseltme, veri erişimi/çıkışı gibi senaryoların kontrollü biçimde test edilmesidir. Açıkları erken yakalayıp güvenlik kontrollerini doğrular; yatırımların nereye yöneltileceğini gösterir ve uyumu kolaylaştırır.
- Erken açık tespiti → saldırıların önüne geçer
- Politika ve kontrollerin etkinliğini ölçer
- KVKK/GDPR uyumunu destekler
Risk Notu: Canlı veriler, yanlış yapılandırmalar veya aşırı yetkiler söz konusuysa, nadiren de olsa veri sızıntısı riski doğabilir. Bu yüzden süreç tasarımı ve sorumluluk dağılımı kritik önemdedir.
2) Veri Sızıntısı Nedir ve Pentest Sırasında Neden Olur?
- Yanlış ortam: Testin üretimde yapılması
- Zayıf yedekleme: Şifresiz/korumasız sonuç dosyaları
- Aşırı yetki: Gereğinden fazla erişim verilmesi
- Belge güvenliği: Rapor/log’ların güvensiz paylaşımı
- Üçüncü parti araçlar: Güvenliği doğrulanmamış yazılımlar
Unutmayın: Sızıntı; yetkisiz erişim, paylaşım ya da veri dışa çıkarımıdır. Pentest kontrollüdür; fakat kontrol dışı davranışlar/yanlış kurgu sızıntıya yol açabilir.
3) Hukuki Sorumluluk: KVKK ve GDPR Perspektifi
KVKK (Türkiye)
Veri sorumlusu (kurum), verilerin güvenliğinden birincil derecede sorumludur. Pentest esnasında sızıntı yaşanırsa yaptırımlar öncelikle kuruma yönelir. Ağır ihmal veya sözleşmeye aykırılık belgelenirse pentest firmasına rücu edilebilir.
GDPR (AB)
AB verileri söz konusuysa, veri sorumlusu ve veri işleyen (pentest firması) müteselsil sorumlulukla değerlendirilebilir. Sözleşme dışı erişim veya verinin güvensiz saklanması ciddi yaptırımlara yol açabilir.
4) Teknik Sorumluluk: Kim Ne Kadar Sorumlu?
- Hangi veriye erişildi? Canlı mı, maskeli mi?
- Yetki sınırları aşıldı mı? Loglarda olağandışı veri çıkışı var mı?
- Kuruluş; canlı veriyi test ortamına taşıyıp bildirmediyse, sorumluluk ağırlığı kurumda olabilir.
- Pentest ekibi sözleşme/kapsam dışına çıktıysa, firmaya sorumluluk doğabilir.
5) Sözleşmelerin Önemi: Sorumluluğu Netleştirme
- Kapsam (SoW): Sistemler, teknikler, araçlar ve sınırlar
- Veri Koruma Taahhüdü: Şifreleme, saklama, paylaşım
- NDA/Gizlilik: Üçüncü tarafla paylaşım yasağı
- Sorumluluk: Sızıntı durumunda zarar dağılımı
- Siber Sigorta: Poliçe kapsamı ve limitler
İpucu: Canlı veriye erişim gerekiyorsa Data Handling Plan ve Secure Evidence Handling (şifreli arşiv, erişim log’u, saklama süresi) şartlarını sözleşmeye ekleyin.
6) Gerçek Hayattan Örnekler
Vaka 1: Yanlış Ortam Erişimi
Test ortamı yerine üretime yetki verildi; müşteri verisi görüntülendi. Sözleşmede ortam ayrımı açık yazılmadığı için sorumluluk paylaşıldı, dosya uzlaşmayla kapandı.
Vaka 2: Şifresiz Yedek
Pentest çıktıları şifresiz uzak sunucuda tutuldu; saldırı sonrası veri sızdı. Veri koruma maddesi gereği sorumluluk pentest firmasına yüklendi ve tazminat ödendi.
7) Veri Sızıntısını Önlemek İçin Alınacak Önlemler
- Test Ortamı: Üretim yerine staging; mümkünse maskeli/sentetik veri
- Yetki Sınırı: En az ayrıcalık, zaman kısıtlı erişimler
- Şifreleme: Sonuçlar ve kanıtlar şifreli arşivlerde
- Güvenli Araçlar: Kaynağı/doğrulaması net test yazılımları
- Eğitim: Kurum + pentest ekibi için veri koruma eğitimleri
- İmha: İş bitince kanıt/rapor-log’ların güvenli imhası
- Kanıt Yönetimi: Erişim log’u, hash ve zaman damgası
- Change Freeze: Test sırasında kritik değişiklikleri dondurun
- DLP/SIEM: Anormal veri çıkışlarını anında yakalayın
8) Nesil Teknoloji ile Güvenli Pentest Süreci
Nesil Teknoloji; OSCP/CEH sertifikalı ekibiyle OWASP, NIST ve MITRE metodolojilerine uygun çalışır. Scope & Rules of Engagement, NDA, Data Handling Plan ve Secure Evidence Handling süreçleriyle sızıntı riskini minimize eder; kapsamlı raporlama ve öneri planlarıyla güvenlik olgunluğunuzu artırır.
Özetle…
Pentest vazgeçilmezdir; fakat yanlış kurgu sızıntıya yol açabilir. KVKK/GDPR veri sorumlusunu ve duruma göre veri işleyeni sorumlu tutar. Detaylı sözleşme, maskeli veri & sınırlı yetki, şifreli kanıt yönetimi ve güvenilir ekip ile riskler yönetilebilir.
