Telekomünikasyon Şirketlerine Yeni Zorunluluk: Sızma Testi Artık Kanun Gereği
Telefon görüşmesi yapıyoruz, internet bağlantısı kullanıyoruz, SMS alıyoruz. Tüm bu iletişimi mümkün kılan telekomünikasyon altyapısı, aynı zamanda siber saldırganların en çok hedef aldığı sistemler arasında. 2025 yılında yürürlüğe giren yeni bir kanunla Türkiye’deki telekomünikasyon şirketleri artık yılda en az bir kez “sızma testi” yaptırmak zorunda. Üstelik bu testi yapacak kişilerin de belirli yetki belgelerine sahip olması gerekiyor.
Bu değişikliğin arkasında ne var? Kısaca şu: Eskiden Bilgi Teknolojileri ve İletişim Kurumu (BTK) bu denetimleri yürütüyordu. 2025’te çıkan 7545 sayılı Siber Güvenlik Kanunu ile bu görev yeni kurulan Siber Güvenlik Başkanlığı’na (SGB) devredildi. Kurumun adı değişti, kurallar sıkılaştı, yaptırımlar ağırlaştı. Bu rehberde, hem teknik ekiplerin hem de yöneticilerin anlayabileceği bir dille bu süreci adım adım açıklıyoruz.
Yeni otorite: Siber Güvenlik Başkanlığı (SGB), 18 Eylül 2025 itibarıyla BTK’nın siber güvenlik denetim yetkisini devraldı.
Tam uyum tarihi: 19 Mart 2026.
Test zorunluluğu: Yılda en az bir kez ve her önemli sistem değişikliğinin ardından.
En ağır ceza: Yıllık cironun yüzde beşi kadar idari para cezası veya 1–3 yıl hapis.
Uzman şartı: TSE TS 13638 standardına uygun yetki belgesi.
1. BTK’dan SGB’ye: Ne Değişti?
Telekomünikasyon şirketlerini eskiden BTK (Bilgi Teknolojileri ve İletişim Kurumu) denetliyordu. 19 Mart 2025’te yürürlüğe giren 7545 sayılı Siber Güvenlik Kanunu ile bu tablo değişti. Siber güvenlik alanındaki tüm denetim ve düzenleme yetkisi yeni kurulan Siber Güvenlik Başkanlığı (SGB)‘na devredildi.
Bu değişikliği gündelik bir örnekle açıklayalım: Daha önce trafik denetimini trafik polisi yapıyordu. Şimdi bu görev yeni kurulan, daha geniş yetkili bir trafik denetleme merkezine geçti. Kurallar aynı kalmadı; yeni merkez daha sıkı standartlar getirdi ve denetimleri daha merkezi bir yapıya taşıdı.
Telekomünikasyon şirketleri için bu geçiş, pratikte şu anlama geliyor: 19 Mart 2026’ya kadar hem BTK’nın eski mevzuatına hem de SGB’nin yeni kurallarına uyum sağlamak gerekiyor. İki farklı otoriteye, iki farklı standart — ve bu süreci dikkatli yönetmezseniz farkında olmadan kurala aykırı duruma düşebilirsiniz.
Geçiş Takvimi
| Tarih | Ne Oldu? |
|---|---|
| 19 Mart 2025 | 7545 sayılı Kanun yürürlüğe girdi. Siber güvenlik yükümlülükleri başladı. |
| 18 Eylül 2025 | BTK’dan SGB’ye denetim ve teknik altyapı devri tamamlandı. |
| 18 Aralık 2025 | SGB’nin personel atamaları ve iç yapılanması tamamlandı. |
| 19 Mart 2026 | Tüm ikincil kuralların (yönetmelik, tebliğ vb.) tamamlanması ve tam denetimin başlaması. |
2. Sızma Testi Kapsamı: Ne, Nerede, Nasıl?
Sızma testi en basit tanımıyla şunu soruyor: “Kötü niyetli biri bu sisteme girebilir mi?” Bunu anlamak için yetkili uzmanlar, gerçek bir saldırganın kullanacağı yöntemleri kontrollü bir ortamda uygular. Telekomünikasyon şirketleri için bu testlerin kapsamı özellikle geniştir, çünkü bu şirketlerin altyapısı tek bir binada ya da şehirde değil; coğrafi olarak her yere dağılmış durumdadır.
Saldırganlar çoğu zaman merkez sistemlerine doğrudan saldırmaz. Bunun yerine, güvenliği görece zayıf olan bir şube ofisinden, bayiden ya da uzak bir teknik istasyondan sisteme sızıp oradan merkeze ulaşmayı tercih ederler. Bu yüzden testlerin yalnızca genel merkezi değil, tüm ağ yapısını kapsaması şarttır.
Nerelerden Test Yapılır?
Düzenleyici kurum, testlerin üç farklı konumdan yapılmasını istiyor. İnternet üzerinden: Uzmanlar, şirketi tanımayan biri gibi dışarıdan sisteme girmeye çalışır. Tüm internet üzerinden erişilebilen sistemler bu kapsamda test edilir. İç ağdan: Şirketin kendi ofis ağına bağlı biri gibi davranılır. İçeriden yapılabilecek zararlar ve yetkisiz erişim denemeleri bu aşamada incelenir. Şube ve bayi ağlarından: Uzak bir şube ya da bayi noktasından merkez sisteme ulaşılıp ulaşılamayacağı test edilir.
Hangi Kullanıcı Profillerinden Test Yapılır?
Gerçekçi bir sızma testi, farklı yetki seviyelerindeki kişilerin sisteme ne kadar zarar verebileceğini de ölçer. Mevzuat beş farklı profili zorunlu kılıyor:
| Kim? | Açıklama | Ne Test Ediliyor? |
|---|---|---|
| Anonim Kullanıcı | Hiçbir hesabı veya yetkisi olmayan dışarıdan biri | İnternet üzerinden erişilebilen sistemlerin güvenliği |
| Misafir Kullanıcı | Fiziksel olarak içeride ama sınırlı ağ erişimi olan kişi | Ağ bölümlendirmesinin gerçekten işe yarayıp yaramadığı |
| Çalışan | Standart yetkilerle çalışan kurum personeli | İç tehditler ve yetkisiz yetki yükseltme riski |
| Müşteri | Şirketin hizmet verdiği yetkili kullanıcı | Bir müşterinin başka müşterinin verisine erişip erişemediği |
| Teknik Destek Personeli | Dışarıdan hizmet alan, uzaktan erişim yetkisi olan kişi | Dış kaynak güvenliği ve uzaktan yönetim açıkları |
Sistemi yavaşlatabilecek ya da kısa süreli kesintiye yol açabilecek testler (örneğin yoğun trafik saldırısı simülasyonu) mesai saatleri dışında ve şirketle tam koordinasyon içinde yapılır. Kimse sabah 10’da canlı sistemi test edeceğini haber vermeden gelmez.
3. Testi Kim Yapabilir? Uzman ve Firma Şartları
Sızma testinin yasal geçerliliği büyük ölçüde testi yapan kişi ve firmanın yetkinliğine bağlıdır. Yeterli belgeye sahip olmayan biri tarafından yapılan test, denetimde geçersiz sayılabilir. Türkiye’de bu kriterleri TSE TS 13638 standardı belirliyor.
Uzman Seviyeleri: Dört Kademe
TSE, sızma testi uzmanlarını dört farklı seviyede sınıflandırıyor. Bunu bir mesleğin çıraklıktan ustalığa giden kademelendirmesi gibi düşünebilirsiniz:
- Stajyer Uzman: Altı aylık deneyim ya da sınav başarısı yeterli. Ancak bu seviyedeki biri tek başına resmi rapor hazırlayamaz; mutlaka bir üst seviyenin gözetiminde çalışır.
- Kayıtlı Uzman: En az bir yıl bilgi güvenliği deneyimi ve hem teorik hem uygulamalı sınavlardan geçmiş uzmanlar. Standart test aşamalarını bağımsız olarak yürütebilirler.
- Sertifikalı Uzman: İki yıllık deneyime ek olarak yayımlanmış bir makale veya daha önce keşfettiği bir güvenlik açığı kaydı aranır. Karmaşık teknik analizleri bu seviyedeki uzmanlar yapar.
- Kıdemli Uzman: Dört yıllık deneyim ve uzmanlık sınavında tam başarı şartı. Test ekibini yönetir, stratejik planlamayı üstlenir ve en karmaşık projelerde söz sahibi olur.
Firma Belgelendirmesi: A, B ve C
Uzman kadrosuna ve ekipmanına göre firmalar da üç seviyede belgelendiriliyor. Telekomünikasyon gibi kritik bir sektörde A ya da B seviyesi firma ile çalışmak düzenleyici beklenti olarak öne çıkıyor:
- A Seviyesi: En az bir kıdemli, bir sertifikalı, bir kayıtlı ve iki stajyer uzman bulundurmak ve TÜRKAK onaylı ISO 27001 belgesine sahip olmak gerekiyor. En karmaşık altyapıları test edebilecek kapasiteyi temsil ediyor.
- B Seviyesi: En az bir sertifikalı, bir kayıtlı ve bir stajyer uzman ile ISO 27001 belgesi yeterli. Orta ölçekli telekomünikasyon şirketleri için uygun profil.
- C Seviyesi: Yalnızca bir kayıtlı uzman aranıyor. Kritik altyapı sektörlerinde bu seviyeyi tercih etmek denetimde açıklanması gereken bir durum yaratabilir.
4. Test Sonrası Ne Yapılmalı? Raporlama ve Takip
Test bitti, uzmanlar ayrıldı. Ama iş henüz bitmedi — aksine asıl önemli aşama şimdi başlıyor. Bulunan açıklar ne kadar ciddiye alındı? Kapatıldı mı? Yetkililere zamanında bildirildi mi? Bu soruların yanıtları, denetimde kurumunuzun nasıl değerlendirileceğini doğrudan etkiler.
Raporun İçeriği Ne Olmalı?
İyi bir sızma testi raporu iki farklı okuyucuya hitap eder. Genel müdür raporu bir bakışta anlayabilmeli; teknik ekip ise her açığın tam olarak nerede, neden oluştuğunu ve nasıl kapatılacağını görebilmeli. Bir raporda şunlar bulunmalıdır: yönetici özeti, kullanılan test yöntemleri, bulunan açıkların risk derecesi ve kanıtları, her açık için çözüm önerisi. Raporlar gizli belgelerdir ve yalnızca yetkili kişilerle paylaşılabilir.
Açıklar Nasıl Sınıflandırılır?
Tıpkı bir hastanede triyaj gibi — önce en kritik hasta müdahaleye alınır. Açıklar beş seviyede değerlendirilir:
- Acil: Neredeyse herkesin sistemi dışarıdan ele geçirebileceği çok ciddi açıklar. Hiç beklenmeden kapatılmalı.
- Kritik: Yetenekli bir saldırganın hassas verilere veya kritik sistemlere ulaşmasını sağlayan açıklar.
- Yüksek: Kısıtlı hasar verebilecek ama yine de kısa sürede kapatılması gereken açıklar.
- Orta: Yalnızca iç ağdan ya da özel koşullarda istismar edilebilen, daha az acil açıklar.
- Düşük: Güvenlik en iyi pratiklerinden sapmalar. Acil değil ama görmezden gelinmemeli.
Doğrulama Testi: “Kapatıldı” Sözü Yetmez
Açıkların giderildiğini söylemek kanıtlamak değildir. Düzeltme çalışmaları bittikten sonra aynı bağımsız ekip tekrar gelir ve gerçekten kapatılıp kapatılmadığını doğrular. Bu “doğrulama testi” hem mevzuat gereği hem de iyi güvenlik pratiği açısından zorunludur. Doğrulama testinin raporu da asıl raporla birlikte saklanmak zorundadır.
SGB’ye Ne Zaman Bildirilmeli?
Sızma testi tamamlandıktan sonra nihai rapor, bir ay içinde SGB veya BTK’ya sunulmalıdır. Bu süreyi kaçırmak doğrudan idari yaptırım riskini tetikler. Kurumunuzda bu bildirimi kimin yapacağını ve takip sürecini önceden planlamak çok önemlidir.
5. Kurallara Uymazsak Ne Olur? Yaptırımlar
7545 sayılı Kanun’un getirdiği yaptırım rejimi oldukça ağır. Şirketi yönetenler veya teknik sorumlu konumundaki kişiler bu yaptırımlardan şahsen etkilenebilir. İşte netleştirilmesi gereken tablo:
Para Cezaları
| Ne Yapılırsa? | Ceza Ne Kadar? |
|---|---|
| Bilgi güvenliği ihlali | Yıllık net satışların yüzde üçüne kadar |
| Denetim yükümlülüklerine aykırılık (sızma testi yapmamak dahil) | 100.000 TL – 1.000.000 TL veya yıllık cironun yüzde beşine kadar |
| Denetçilerin talep ettiği bilgi ve belgeyi vermemek | Yıllık net satışların binde üçü ile yüzde biri arasında |
| Yanıltıcı bilgi vermek | Yıllık net satışların yüzde ikisine kadar |
| İzinsiz faaliyet yürütmek | 10.000.000 TL – 100.000.000 TL |
Hapis Cezaları
Kanun para cezasıyla sınırlı kalmıyor. Bazı durumlarda sorumlu kişiler hapis cezasıyla da karşılaşabilir:
- SGB denetçilerine engel olmak veya istenen verileri gizlemek: 1 yıldan 3 yıla kadar hapis ve 750.000 TL’ye kadar adli para cezası.
- Kritik altyapıda ihmal sonucu veri sızıntısına yol açmak: Benzer hapis ve para cezası.
- Gizli bilgileri ifşa etmek: 4 yıldan 8 yıla kadar hapis — en ağır yaptırım bu.
Mahkemede Tazminat Davası Riski
Yaptırımların gündeme gelmediği ama en az diğerleri kadar önemli olan bir boyut daha var: tazminat davaları. Türk mahkemeleri, gerekli güvenlik önlemlerini (sızma testi ve kayıt tutma dahil) almayan şirketleri siber saldırı sonucu oluşan zararlardan doğrudan sorumlu tutabiliyor. Müşteri verileri sızdırıldığında idari cezaların çok ötesine geçen milyonlarca liralık tazminat davaları gündeme gelebiliyor. Bir sızma testi raporu, bu davalarda “gerekli önlemi aldım” demenin en somut kanıtıdır.
6. Mart 2026’ya Kadar Yapılması Gerekenler
Sektörde güvenlik anlayışı değişiyor. Yılda bir kez yapılan büyük test yine de gerekli, ama tek başına artık yeterli değil. Sürekli tarama, anlık uyarı sistemleri ve düzenli saldırı simülasyonları giderek gündemin üst sıralarına çıkıyor. Peki şimdiden ne yapmalısınız?
Varlık envanteri çıkarın. Hangi sunucular var, hangi yazılımlar çalışıyor, veriler nerede duruyor? Bunu bilmeden ne test kapsamını belirleyebilirsiniz ne de denetimde “sistemlerimize hakimiz” diyebilirsiniz.
Sızma testini tek başına bir kutucuk olarak değil, genel uyum stratejinizin merkezi olarak görün. KVKK (kişisel veri koruma) ve diğer mevzuat gerekliliklerini aynı anda karşılamak için bu testleri entegre bir çerçevede planlamak hem zaman hem maliyet tasarrufu sağlar.
Milli ve yerli çözümlere öncelik verin. SGB’nin kanun kapsamındaki yükümlülükleri arasında yerli güvenlik araçlarını tercih etmek yer alıyor. Bu hem yasal uyum hem de ülke güvenliği açısından stratejik bir tercih haline geliyor.
Personel farkındalığını ihmal etmeyin. Teknik sistemler ne kadar güçlü olursa olsun, çalışanların siber tehditlere karşı bilinçsiz olması tüm savunmayı zayıflatır. Sahte e-posta testleri hem bir ölçüm aracı hem de en etkili farkındalık eğitimlerinden biridir.
SOME (Siber Olaylara Müdahale Ekibi) kurun. Telekomünikasyon işletmecileri kendi bünyelerinde bir müdahale ekibi kurmak ya da sektörel bir ekibe dahil olmak zorunda. Bu ekip, sızma testi bulgularını gerçek savunma senaryolarına dönüştürür. Sadece “açık var” bilgisi değil, “açık saldırıya dönüşürse ne yapacağız” sorusunun yanıtı da hazır olmalıdır.
Kontrol Listesi
- Donanım, yazılım ve veri varlıkları için güncel envanter oluşturuldu mu?
- TSE TS 13638 belgeli uzman ya da A/B seviyesi firma ile anlaşma yapıldı mı?
- Yıllık sızma testi takvimi hazırlandı ve onaylandı mı?
- Açıkların kapatılmasını doğrulayacak takip testi prosedürü belirlendi mi?
- Raporların bir ay içinde SGB’ye iletilmesi için iç süreç kuruldu mu?
- Kurumsal SOME kuruldu ya da sektörel SOME’ye üyelik sağlandı mı?
- Personel sahte e-posta ve sosyal mühendislik testleri planlandı mı?
- KVKK gereklilikleri sızma testi planına entegre edildi mi?
7. Sık Sorulan Sorular
Yılda bir test yaptırmak yeterli mi?
Yasal olarak “asgari yeterli” sayılıyor, ancak pratikte yetmeyebilir. Ağınızda veya sistemlerinizde önemli bir değişiklik yaptıysanız — yeni bir hizmet devreye aldıysanız, büyük bir yazılım güncellemesi uyguladıysanız — yıllık dönemi beklememek gerekir. Ayrıca bir güvenlik olayı yaşandıktan sonra da ek test zorunlu hale gelir.
KVKK ile sızma testi ilişkisi nedir?
KVKK, kişisel verileri koruyan şirketlere “teknik güvenlik önlemleri alın” zorunluluğu getiriyor. TSE onaylı bir sızma testi raporu, denetimlerde bu önlemleri aldığınızı kanıtlamanın en güçlü yoludur. Bir veri ihlali yaşandığında, geçerli sızma testi raporuna sahip şirketler hukuki sorumluluklarını önemli ölçüde hafifletebilir.
C seviyesi firma ile anlaşmak sorun olur mu?
Telekomünikasyon gibi kritik altyapı sektörlerinde A ya da B seviyesi tercih etmek düzenleyici beklentisidir. C seviyesi firmalar yasal olarak faaliyet gösterebilir, ama bir denetimde bu tercihin neden yapıldığını açıklamak zorunda kalabilirsiniz. En kötü durumda, C seviyesi bir firmayla yapılan test geçersiz sayılabilir.
Raporlar ne kadar süre saklanmalı?
Kanun bu konuda özel bir süre belirtmemiş olsa da hem olası denetimler hem de tazminat davalarına hazırlıklı olmak için en az beş yıl saklama tavsiye ediliyor. Doğrulama testlerinin raporları da bu süre boyunca ana raporla birlikte muhafaza edilmelidir.
BTK kuralları hâlâ geçerli mi, yoksa artık sadece SGB mi yetkili?
18 Eylül 2025 itibarıyla siber güvenlik alanındaki denetim SGB’ye geçti. Ancak 19 Mart 2026’ya kadar yeni ikincil düzenlemeler (yönetmelikler, tebliğler) yayımlanmaya devam ediyor. Bu geçiş döneminde hem BTK’nın eski mevzuatına hem de SGB’nin gelişen standartlarına aynı anda uyum sağlamak gerekiyor. Tablo 19 Mart 2026’da netleşecek.
Test sırasında abonelerin hizmetleri kesintiye uğrar mı?
Hayır, profesyonelce yapılan bir sızma testinde abonelerin hizmeti etkilenmez. Potansiyel kesintiye yol açabilecek testler (yoğun trafik simülasyonu gibi) önceden planlanır, mesai saatleri dışında yapılır ve tüm süreç şirketin teknik ekibiyle koordineli yürütülür. Üretim sistemini riske atmamak için testlerin bir kısmı birebir aynı “test ortamında” yapılabilir.
