Bir Veri İhlali Gerçekleştiğinde İlk 72 Saatte Ne Yapılmalı? | KVKK ve Bilgi Güvenliği Perspektifi

Veri İhlali · Olay Müdahale · KVKK · İlk 72 Saat

Bir Veri İhlali Gerçekleştiğinde İlk 72 Saatte Ne Yapılmalı?

KVKK ve Bilgi Güvenliği Perspektifinden Olay Müdahale Süreçleri

Okuma süresi: ~7 dk Güncelleme: 22 Aralık 2025 Kategori: KVKK · IR

Dijitalleşmenin hız kazanmasıyla birlikte veri ihlalleri, artık yalnızca “olasılık” değil, kurumların her an karşılaşabileceği operasyonel bir risk haline gelmiştir. Siber saldırılar, insan hataları, yetkisiz erişimler veya sistem zafiyetleri sonucunda gerçekleşen veri ihlalleri; yalnızca teknik değil, aynı zamanda hukuki, idari ve itibari sonuçlar doğurmaktadır.

Bu noktada kritik olan unsur, ihlalin gerçekleşip gerçekleşmediğinden ziyade, ihlale ne kadar hızlı ve doğru müdahale edildiğidir. Özellikle KVKK kapsamında ilk 72 saat, kurumların hem hukuki sorumluluklarını yerine getirmesi hem de zararı minimize etmesi açısından belirleyici bir zaman dilimidir.

İhlal Nedir? İlk Tespit ve İzolasyon

İçindekiler 1. Veri İhlali Nedir? Hangi Durumlar İhlal Sayılır? 2. İlk Tespit Anı: Teknik Müdahale ve İzolasyon 3. Log Kayıtları ve Delil Bütünlüğünün Korunması 4. Hukuki Değerlendirme ve KVKK Bildirim Süreci 5. Kurum İçi İletişim ve Kriz Yönetimi 6. Proaktif Yaklaşım: Olay Müdahale Planı Olmadan Güvenlik Mümkün mü? 7. Nesil Teknoloji Yaklaşımı 8. Sık Sorulan Sorular

Hızlı Özet

0–4 saat: Tespit, izolasyon, yetki kısıtlama, ilk durum fotoğrafı.
4–24 saat: Log & delil bütünlüğü, etki/kapsam analizi, başlangıç aksiyon planı.
24–72 saat: Hukuki değerlendirme, bildirim kararları, iletişim planı, kalıcı iyileştirme adımları.
Kritik ilke: Panikle sistemi kapatmak yerine delil bütünlüğünü koruyarak kontrollü müdahale.

İzolasyon Delil Bütünlüğü Bildirim Değerlendirmesi Kriz Yönetimi

Not: İlk 72 saatte doğru adımları atmak; hem olayın teknik etkisini sınırlamak hem de kurumsal sorumlulukların ispatlanabilir biçimde yönetilmesini sağlamak açısından kritik önemdedir.

1. Veri İhlali Nedir? Hangi Durumlar İhlal Sayılır?

KVKK ve ilgili ikincil mevzuat çerçevesinde veri ihlali; kişisel verilerin hukuka aykırı olarak üçüncü kişilerin eline geçmesi, ifşa edilmesi, silinmesi, değiştirilmesi veya erişilemez hale gelmesi olarak tanımlanabilir.

Sıklıkla ihlal olarak değerlendirilen durumlara örnek vermek gerekirse:

Yetkisiz bir kullanıcının sistemlere erişim sağlaması
Phishing saldırısı sonucu kullanıcı hesaplarının ele geçirilmesi
Log kayıtlarının silinmesi veya manipüle edilmesi
Yedeklerin şifrelenmesi (ransomware)
E-posta yoluyla yanlış alıcıya kişisel veri gönderilmesi

Bu tür olayların önemli bir kısmı, ilk anda fark edilmemekte veya “önemsiz bir teknik sorun” olarak değerlendirilerek geciktirilmektedir. Oysa bu yaklaşım, ihlalin etkisini katlanarak artırmaktadır.

2. İlk Tespit Anı: Teknik Müdahale ve İzolasyon

Bir veri ihlalinden şüphelenildiği anda yapılması gereken ilk adım, olayın kapsamını büyütmeden kontrol altına alınmasıdır. Bu aşamada teknik ekiplerin refleksi kritik öneme sahiptir.

Öncelikli aksiyonlar şunlardır:

İhlalin gerçekleştiği sistemlerin ağdan izole edilmesi
Yetkili ve yetkisiz erişimlerin geçici olarak durdurulması
Şifre ve erişim bilgilerinin resetlenmesi
Şüpheli IP adreslerinin engellenmesi

Kritik uyarı: Sistemi tamamen kapatmak veya log kayıtlarını silmek, adli bilişim açısından delil bütünlüğünü zedeleyebilir ve olayın kök neden analizini zorlaştırabilir. Müdahale kontrollü ve kayıt altına alınabilir şekilde yürütülmelidir.

3. Log Kayıtları ve Delil Bütünlüğünün Korunması

Veri ihlallerinde teknik incelemenin temel dayanağı log kayıtlarıdır. Firewall, sunucu, uygulama, Active Directory, e-posta ve uç nokta logları; ihlalin ne zaman, nasıl ve kim tarafından gerçekleştiğini ortaya koyar.

Bu aşamada dikkat edilmesi gereken hususlar:

Logların değiştirilmeden muhafaza edilmesi
Zaman damgalarının doğruluğunun kontrol edilmesi
Yetkisiz erişim izlerinin belgelenmesi
Gerekirse adli bilişim kopyalarının alınması

KVKK m.12 kapsamında, veri sorumlularının erişim kayıtlarını tutma ve güvenliğini sağlama yükümlülüğü bulunmaktadır. Log yönetimi olmayan veya etkin çalışmayan kurumlar, ihlalin tespitinde ciddi zorluk yaşamaktadır.

Pratik öneri: Olay anında “tek kayıt noktası” (incident timeline) oluşturmak; kim, hangi saat aralığında, hangi aksiyonu aldı sorusuna denetlenebilir şekilde yanıt verilmesini sağlar.

4. Hukuki Değerlendirme ve KVKK Bildirim Süreci

Teknik müdahale ile eş zamanlı olarak, olayın hukuki boyutu değerlendirilmelidir. Her güvenlik olayı veri ihlali anlamına gelmeyebilir; ancak bu ayrım, uzman bir değerlendirme gerektirir.

KVKK kapsamında genel prensip olarak;

İhlal, ilgili kişilerin hak ve özgürlüklerini etkiliyorsa
Kişisel veriler üçüncü kişilerin eline geçmişse
Kurul’a bildirim yapılması zorunluluğu gündeme geliyorsa

Kurul, ihlalin öğrenilmesinden itibaren makul süre içinde bildirim yapılmasını beklemekte, uygulamada bu süre çoğunlukla 72 saat olarak değerlendirilmektedir. Geç veya eksik yapılan bildirimler; idari para cezaları ve ağır yaptırımlara yol açabilmektedir.

Operasyonel yaklaşım: Bildirim kararı; olayın kapsamı, veri kategorileri, etkilenen kişi sayısı, veri sızıntısı/erişilebilirliği, risk seviyesi ve alınan önlemler gibi parametrelerle birlikte değerlendirilmelidir.

5. Kurum İçi İletişim ve Kriz Yönetimi

Veri ihlalleri yalnızca BT departmanının konusu değildir. Hukuk, insan kaynakları, üst yönetim ve iletişim ekiplerinin sürece dahil edilmesi gerekir.

Bu aşamada:

Kurum içi panik ve bilgi kirliliği önlenmeli
Yetkisiz açıklamalardan kaçınılmalı
Gerekirse ilgili kişilere yapılacak bilgilendirmeler planlanmalıdır

Özellikle büyük ölçekli ihlallerde, itibar yönetimi teknik müdahale kadar kritik hale gelmektedir.

İletişim standardı: Tek bir sözcü/kanal üzerinden, onaylı metinlerle ve zaman planına bağlı bilgilendirme yapılması; hem hukuki hem itibari riskleri azaltır.

6. Proaktif Yaklaşım: Olay Müdahale Planı Olmadan Güvenlik Mümkün mü?

Birçok kurum, veri ihlali yaşanana kadar olay müdahale planı (Incident Response Plan) hazırlamamaktadır. Oysa bu planlar; kim, ne zaman, hangi adımı atacak sorularına önceden yanıt verir ve kaosu engeller.

Etkili bir olay müdahale planı:

Teknik ve hukuki süreçleri birlikte ele alır
Yetki ve sorumlulukları netleştirir
KVKK, ISO 27001 ve diğer regülasyonlarla uyumludur

Sürdürülebilirlik: Olay müdahale planı; masa başı doküman değil, tatbikatlar (table-top), log/izleme iyileştirmeleri ve periyodik gözden geçirmelerle yaşayan bir süreç olmalıdır.

7. Nesil Teknoloji Yaklaşımı

Nesil Teknoloji olarak, veri ihlallerini yalnızca teknik bir zafiyet olarak değil; kurumsal risk, hukuki sorumluluk ve iş sürekliliği meselesi olarak ele alıyoruz. Olay müdahale süreçlerinde; teknik analiz, log inceleme, hukuki değerlendirme ve raporlama adımlarını bütüncül şekilde yönetiyoruz.

Amaç; ihlal sonrası hasar kontrolü yapmak kadar, ihlalin tekrarını önleyecek kalıcı tedbirleri hayata geçirmektir.

Incident Response Delil Bütünlüğü Log Yönetimi KVKK Bildirim Kriz Yönetimi ISO 27001

8. Sık Sorulan Sorular

Her siber olay “veri ihlali” midir?

Hayır. Her olay veri ihlali olarak değerlendirilmez. Ancak kişisel verinin yetkisiz erişim, ifşa, kayıp, silinme veya erişilemezlik gibi sonuçlara yol açıp açmadığı; teknik bulgular ve hukuki değerlendirme ile netleştirilmelidir.

İlk 72 saatte en kritik öncelik nedir?

Olayın yayılımını durdurmak (izolasyon) ve delil bütünlüğünü koruyarak kapsam/etki analizini yapmak kritik önceliktir. Aynı anda bildirim ve iletişim süreçleri için kurumsal koordinasyon kurulmalıdır.

Loglar yoksa veya yetersizse ne olur?

Kök neden analizi ve etki tespiti zorlaşır. Bu durum hem teknik toparlanmayı geciktirir hem de Kurul incelemelerinde kurumun “gerekli teknik tedbirleri” etkin işletip işletmediği yönünde risk doğurabilir.

İlgili kişilere bilgilendirme ne zaman yapılmalıdır?

Bilgilendirme ihtiyacı; ihlalin niteliği, risk seviyesi ve ilgili kişilerin hak ve özgürlüklerine etkisi dikkate alınarak planlanmalıdır. Mesajın içeriği ve kanalı, kriz iletişimi standardı kapsamında yetkili ekiplerce yönetilmelidir.

İlgili hizmet: veri ihlali acil eylem planı hakkında detaylı bilgi almak için sayfamızı inceleyebilirsiniz.