Eğitim Kurumlarında Siber Güvenlik ve Sızma Testi Rehberi
Okulunuz veya üniversiteniz binlerce öğrencinin kişisel bilgilerini tutuyor. TC kimlik numaraları, adresler, telefon numaraları, sınav notları, araştırma verileri… Hepsi dijital ortamda. Peki bunlar ne kadar güvenli? Bir hacker kampüs ağınıza girip öğrenci bilgilerini çalabilir mi? Ya da sınav notlarını değiştirebilir mi?
Maalesef evet. Eğitim kurumları hackerlar için çok çekici hedefler. Çünkü genellikle güvenlik zayıf, ağ açık ve binlerce kullanıcı var. Üstelik öğrenciler kendi bilgisayarlarını, telefonlarını kampüs ağına bağlıyor. Bu da sistemi daha da savunmasız hale getiriyor. İşte tam bu noktada düzenli güvenlik testleri devreye giriyor. Bu rehberde okulların ve üniversitelerin karşılaştığı tehditleri, KVKK gibi yasal zorunlulukları ve güvenlik testlerinin nasıl yapıldığını gündelik örneklerle anlatacağız.
Eğitim kurumları hackerlar için kolay hedefler çünkü binlerce kullanıcı var ve ağ genellikle açık. KVKK gereği okullar öğrenci verilerini korumak zorunda ve düzenli test yaptırmalı. Kampüs Wi-Fi ağları özellikle riskli – sahte hotspot saldırıları çok yaygın. Öğrenciler sınav notlarını değiştirmek için sisteme saldırabiliyorlar. En büyük risk ise personelin phishing maillerine tıklaması.
1. Eğitim Kurumlarına Yönelik Siber Tehditler Nelerdir
Okullar ve üniversiteler neden bu kadar çok saldırıya uğruyor? Birkaç önemli sebep var. Birincisi, elinizde binlerce öğrencinin TC kimlik numarası, adresi, telefonu var. Bu veriler karaborsa değerli. İkincisi, üniversitelerde yapılan araştırmalar çok kıymetli – patent başvuruları, bilimsel projeler, savunma sanayi ile ilgili çalışmalar. Rakip ülkeler veya şirketler bu verileri çalmak için saldırıyor.
Araştırma Verilerinin Çalınması – Devlet Destekli Casusluk
Üniversitelerde yapılan araştırmaları düşünün. Yeni bir ilaç geliştiriliyor olabilir, yapay zeka algoritması yazılıyor olabilir veya savunma sanayii için kritik bir teknoloji üzerinde çalışılıyor olabilir. Bu veriler çalınırsa ne olur? Başka bir ülke veya şirket bu araştırmayı alır, kendi adına patent başvurusu yapar. Yıllarca süren emek ve milyonlarca liralık yatırım boşa gider.
Bu tür saldırılara “siber casusluk” deniyor ve genellikle profesyonel hackerlar tarafından yapılıyor. Hedef şu – araştırma laboratuvarının bilgisayarlarına sızmak, proje dosyalarını kopyalamak, patent başvurularını okumak. Bazen aylarca sistemde sessizce kalıyorlar, kimse fark etmiyor.
Fidye Yazılımı Saldırıları – Okul Sistemlerinin Kilitlenmesi
Son yıllarda çok yaygınlaşan bir saldırı türü var – ransomware yani fidye yazılımı. Nasıl çalışıyor? Hacker okul ağına sızıyor, tüm dosyaları şifreliyor. Sonra diyor ki “Fidye ödemezsen dosyalarını geri vermem”. Öğrenci kayıtları, sınav notları, idari belgeler – hepsi erişilemez hale geliyor.
Düşünün, sınav dönemi ve tüm sistem kilitlenmiş. Öğrenciler notlarını göremiyorlar, öğretmenler not giremiyorlar, idare mezuniyet belgelerini çıkaramıyor. Okul ya fidye ödeyecek ya da sistemleri sıfırdan kuracak. Her iki durumda da büyük maliyet ve itibar kaybı var.
İçeriden Gelen Tehdit – Öğrenciler de Saldırıyor
Eğitim kurumlarına özgü çok ilginç bir durum var. Bazen saldırganlar dışarıdan gelmiyor, öğrenciler kendi okullarına saldırıyor. Neden? Genellikle üç sebep – sınav notlarını değiştirmek, sınav sorularına önceden ulaşmak veya “ben bunu yapabilirim” diye arkadaşlarına hava atmak için.
Özellikle bilgisayar mühendisliği öğrencileri arasında bu tür girişimler oluyor. Teknik bilgileri var ama etik konusunda henüz farkındalık tam oturmamış. Okul sisteminin zayıf noktalarını buluyorlar ve deniyorlar. Bazen sadece merak, bazen not kaygısı yüzünden.
Sosyal Mühendislik – En Zayıf Halka İnsan
Peki hackerlar sisteme nasıl giriyor? Çoğu zaman teknik bir açıktan değil, insanları kandırarak. Buna “sosyal mühendislik” deniyor. En yaygın yöntem phishing – yani sahte email gönderme.
Şöyle düşünün – öğretmene bir mail geliyor. Gönderen rektörlük, konu “Maaş Bordrosu Güncellemesi”. Mailde “Bordronuzu görmek için tıklayın” diyor. Öğretmen tıklıyor ama aslında sahte bir siteye gidiyor. Orada kullanıcı adı ve şifresini giriyor. İşte o anda hacker bu bilgileri ele geçiriyor. Sonra bu şifre ile gerçek sisteme giriyor.
| Tehdit Türü | Motivasyon | Hedef | Risk Seviyesi |
|---|---|---|---|
| Siber Casusluk | Araştırma verisi çalmak | Laboratuvar bilgisayarları, proje dosyaları | Çok Yüksek |
| Ransomware | Para kazanmak | Tüm okul sistemi, yedekler | Yüksek |
| Not Manipülasyonu | Sınav notunu değiştirmek | Öğrenci bilgi sistemi | Orta-Yüksek |
| Phishing | Şifre çalmak | Personel email hesapları | Yüksek |
2. KVKK ve Yasal Zorunluluklar – Okullar Ne Yapmak Zorunda
KVKK yani Kişisel Verilerin Korunması Kanunu, eğitim kurumlarını doğrudan ilgilendiriyor. Çünkü okullar “veri sorumlusu” konumunda. Yani ellerindeki öğrenci bilgilerinden sorumlu oluyorlar. Bu bilgileri korumak için gerekli her türlü önlemi almak zorundalar. Aksi halde ciddi cezalar var.
KVKK Neyi Zorunlu Kılıyor
KVKK’ya göre okullar şunları yapmak zorunda. Birincisi, öğrenci ve personel bilgilerini güvenli bir şekilde saklamak. İkincisi, bu bilgilere yetkisiz erişimi engellemek. Üçüncüsü, düzenli güvenlik kontrolleri yapmak. Dördüncüsü, bir veri ihlali olursa hemen bildirmek.
Peki bunları nasıl sağlayacaksınız? İşte burada teknik tedbirler devreye giriyor. KVKK’nın “Teknik Tedbirler Rehberi” diye bir dokümanı var. Orada açıkça yazıyor – sızma testleri yapmalısınız, ağınızda anormal hareketleri tespit etmelisiniz, tüm kullanıcı işlemlerini kayıt altına almalısınız.
MEB Yönergesi – İki Yılda Bir Test Zorunluluğu
Milli Eğitim Bakanlığı’nın “Bilgi ve Sistem Güvenliği Yönergesi” var. Bu yönergeye göre tüm okular en az iki yılda bir profesyonel sızma testi yaptırmak zorunda. Kritik sistemleri olan okullar için bu süre bir yıl.
Sızma testi nedir? Basitçe söylemek gerekirse, profesyonel bir siber güvenlik ekibi okulunuzun sistemlerine “etik hacker” olarak saldırıyor. Amaç zayıf noktaları bulmak ve raporlamak. Tıpkı gerçek bir hacker gibi ama zarar vermeden, sadece test ederek.
Test sonunda size detaylı bir rapor veriliyor. Bu raporda şunlar oluyor – hangi açıklar bulundu, bu açıklar ne kadar tehlikeli, nasıl kapatılır. Sonra siz bu açıkları kapatıyorsunuz. Birkaç ay sonra tekrar test yapılıyor, açıkların kapandığını doğruluyorlar.
TSE Yetkilendirmesi – Kime Güveneceksiniz
Peki bu testleri herkes yapabilir mi? Hayır. Türk Standartları Enstitüsü (TSE) bu işi yapacak firmaları yetkilendiriyor. Firmalar ve uzmanlar belirli sertifikalar almak, tecrübe göstermek zorunda. TSE yetkilendirmesi üç seviyede olabiliyor – A, B ve C tipi.
A Sınıfı yetki en yüksek seviye. Bu yetkiye sahip firmalar en kritik sistemlere bile test yapabilir. Okullarda ve üniversitelerde öğrenci bilgisi gibi hassas veriler olduğu için TSE A Sınıfı yetkili firmalarla çalışmanız öneriliyor. Nesil Teknoloji bu yetkiye sahip profesyonel bir ekibe sahiptir ve eğitim kurumlarında onlarca test gerçekleştirmiştir.
Veri İhlali Olursa Ne Olur
Diyelim ki sisteminize saldırı oldu ve öğrenci bilgileri çalındı. Ne yapacaksınız? KVKK bunu çok net söylüyor – 72 saat içinde Kişisel Verileri Koruma Kurumu’na bildirmek zorundasınız. Aksi halde idari para cezası alabilirsiniz.
Ceza ne kadar? Duruma göre değişiyor ama ciddi rakamlar. Öğrenci bilgileri sızdıysa ve bunu geç bildirdiyseniz, ceza 2 milyon TL’ye kadar çıkabiliyor. Üstelik ailelerin size dava açma hakkı da var. Yani hem idari ceza hem de tazminat davası riski var.
3. Güvenlik Testi Nasıl Yapılır – Adım Adım Süreç
Sızma testi deyince aklınıza ne geliyor? Genellikle “bir ekip gelir, birkaç gün bilgisayara bakar, rapor verir” şeklinde düşünülür. Ama gerçekte çok daha kapsamlı ve sistematik bir süreç. Şimdi bu süreci adım adım anlatacağım ama teknik jargondan uzak, herkesin anlayacağı şekilde.
Üç Farklı Test Yaklaşımı Var
Güvenlik testi yaparken üç farklı yöntem kullanılabilir. Bunlara “siyah kutu”, “gri kutu” ve “beyaz kutu” deniyor. Ama bu isimleri kafanıza takmayın, basitçe ne anlama geldiklerini anlatayım.
Siyah Kutu Test – Test uzmanı okul hakkında hiçbir bilgiye sahip değil. Tıpkı dışarıdan bir hacker gibi. Sadece okulun web sitesi var bildiği. Buradan başlayarak sisteme girmeye çalışıyor. Bu test gerçek dünya saldırılarını en iyi simüle eder. Çünkü gerçek hackerlar da okulun iç sistemlerini bilmeden saldırıya başlarlar.
Gri Kutu Test – Test uzmanına sınırlı bilgi veriliyor. Örneğin bir öğrenci hesabı veriliyor. “Öğrenci olarak sisteme gir, bakalım yönetici yetkisine çıkabilecek misin” deniliyor. Eğitim kurumlarında en çok tercih edilen yöntem bu. Çünkü en büyük risklerden biri – içeriden birinin yetki yükselterek hassas bilgilere ulaşması.
Beyaz Kutu Test – Test uzmanına her şey anlatılıyor. Ağın haritası, sunucuların yerleri, yazılımların kaynak kodları bile verilebiliyor. Bu en detaylı test türü. Genellikle yeni bir sistem devreye alınmadan önce yapılır. Örneğin yeni öğrenci bilgi sistemi kuruluyorsa, açığa alınmadan önce beyaz kutu test yapılır.
Test Süreci Nasıl İlerliyor
Bir sızma testinin adımları şöyle. Önce planlama yapılıyor – ne test edilecek, hangi sistemler kapsama dahil, hangi sistemlere dokunulmayacak. Bu çok önemli çünkü yanlışlıkla kritik bir sistemi çökertmek istemezsiniz.
Sonra bilgi toplama aşaması geliyor. Test uzmanları okulun internete açık sistemlerini tarıyor. Web sitesi var mı, email sunucusu var mı, uzaktan erişim portalı var mı diye bakıyorlar. Sosyal medya hesaplarına bakıyorlar – bazen orada bile değerli bilgiler bulunabiliyor.
Üçüncü adım zafiyet analizi. Bulunan sistemlerde güvenlik açıkları var mı diye kontrol ediliyor. Mesela web sitesinde SQL Injection açığı var mı, şifreler zayıf mı, sistem güncel değil mi gibi. Bu aşamada otomatik araçlar kullanılıyor ama sonuçlar mutlaka manuel kontrol ediliyor.
Dördüncü adım en kritik kısım – istismar. Bulunan açıklar gerçekten kullanılabilir mi test ediliyor. Örneğin “SQL Injection açığı var” demekle “bu açık ile veri tabanına girebildim” demek çok farklı. İkincisi gerçek tehlikeyi gösteriyor.
Son adım raporlama. Bulunan tüm açıklar, kanıtları ve çözüm önerileriyle birlikte raporlanıyor. Rapor iki bölüm içeriyor – biri yöneticiler için (teknik detay yok, sadece riskler ve maliyet etkisi), diğeri IT ekibi için (tam teknik detay, nasıl kapatılır adım adım anlatılıyor).
Kampüs Ağında Neleri Test Ediyoruz
Bir üniversite kampüsü düşünün – çok geniş alan, onlarca bina, yüzlerce switch ve access point var. Nereleri test edeceğiz? İşte başlıca alanlar…
Ağ Altyapısı – Switch konfigürasyonları doğru mu? VLAN’lar birbirinden ayrılmış mı? Örneğin öğrenci laboratuvarı ile idari ağ birbirinden izole mi? Güvenlik duvarı kuralları çalışıyor mu? Yönlendirme protokolleri güvenli mi? Bunların hepsi kontrol ediliyor.
Web Uygulamaları – Öğrenci bilgi sistemi, öğrenme yönetim sistemi (Moodle gibi), personel portalı. Bu sistemlerde OWASP Top 10 denen en yaygın 10 güvenlik açığına bakılıyor. SQL Injection var mı, XSS var mı, kimlik doğrulama zayıf mı gibi.
Kablosuz Ağlar – Kampüsteki Wi-Fi ağları çok kritik. Çünkü herkes bağlanabiliyor. Test edilen şeyler – şifreleme standardı güncel mi (WPA3 kullanılıyor mu), sahte hotspot saldırısına açık mı, misafir ağı ile iç ağ birbirinden ayrılmış mı.
Mobil Uygulamalar – Okulun resmi mobil uygulaması varsa o da test ediliyor. Uygulama şifreli bağlantı kullanıyor mu, hassas veriler telefonda saklanıyor mu, güncellemeler güvenli mi gibi.
| Test Aşaması | Ne Yapılıyor | Süre |
|---|---|---|
| Planlama | Kapsam belirleme, izinlerin alınması, sözleşme | 1-2 gün |
| Bilgi Toplama | Pasif ve aktif tarama, hedef sistemlerin listelenmesi | 2-3 gün |
| Zafiyet Analizi | Otomatik ve manuel tarama, açıkların tespiti | 3-5 gün |
| İstismar | Açıkların gerçekten kullanılıp kullanılmadığının test edilmesi | 2-4 gün |
| Raporlama | Bulguların dokümante edilmesi, çözüm önerilerinin yazılması | 2-3 gün |
4. Kampüs Ağ Güvenliği ve Wi-Fi Koruması
Kampüs ağları çok karmaşık. Düşünün – onlarca bina, yüzlerce oda, binlerce bilgisayar ve telefon. Hepsi birbirine bağlı. Bu kadar büyük bir ağı güvenli hale getirmek zor ama imkansız değil. İki temel prensip var – segmentasyon ve kontrol.
Ağ Segmentasyonu – Her Şey Bir Arada Olmasın
Segmentasyon ne demek? Basitçe, ağı parçalara bölmek demek. Neden? Çünkü eğer her şey aynı ağdaysa, bir yerde açık bulunduğunda hacker her yere yayılabilir. Ama ağ parçalara bölünmüşse, bir bölümde sorun olsa diğerlerine sıçramıyor.
Örnek verelim. İdari personelin bilgisayarları bir ağda, öğrenci laboratuvarları başka bir ağda, misafir Wi-Fi başka bir ağda olsun. Bunlar birbirinden tamamen ayrılmış. Bir öğrenci laboratuvar bilgisayarından idari ağa erişemiyor. Eğer laboratuvar bilgisayarı hacklense bile, oradan idari ağa geçemiyor.
Bunu nasıl yapıyoruz? VLAN denen bir teknoloji var. Aynı fiziksel ağda olmalarına rağmen mantıksal olarak ayrı ağlar oluşturuyor. Aralarındaki trafik mutlaka bir güvenlik duvarından geçiyor. Güvenlik duvarı da kuralları kontrol ediyor – “öğrenci ağından idari ağa geçiş yasak” gibi.
Kampüs Wi-Fi Güvenliği – En Zayıf Nokta
Kampüste en büyük güvenlik riski Wi-Fi ağlarında. Neden? Çünkü herkes bağlanabiliyor, kablolu değil havadan yayılıyor ve kontrol etmek çok zor. İki büyük tehdit var – sahte hotspot saldırıları ve Wi-Fi şifre kırma.
Sahte Hotspot Saldırısı (Evil Twin) – Hacker kampüse geliyor, kendi Wi-Fi cihazını açıyor. Ağın adını okulun resmi ağı gibi yapıyor. Mesela okulun ağı “OkulWiFi” ise, hacker “OkulWiFi” diye bir ağ açıyor. Öğrenciler fark etmeden buna bağlanıyor. Sonra hacker tüm trafiği görebiliyor – girilen şifreleri, ziyaret edilen siteleri, her şeyi.
Bunu nasıl engelleriz? İki yöntem var. Birincisi, Wi-Fi ağına bağlanırken sertifika kontrolü yapmak. Okul ağının gerçek bir dijital sertifikası olur, sahte ağda olmaz. Telefon veya bilgisayar bunu kontrol ederse sahte ağa bağlanmaz. İkincisi, WIPS (Wireless Intrusion Prevention System) denen bir sistem kurmak. Bu sistem kampüsteki tüm Wi-Fi sinyallerini izliyor, resmi ağ dışında “OkulWiFi” adında sinyal görürse alarm veriyor.
WPA3 Şifreleme Standardı – Wi-Fi şifrelemesinde eski standart WPA2 idi. Ama artık bu da kırılabiliyor. Yeni standart WPA3. Çok daha güvenli. Eğer kampüs ağınız hala WPA2 kullanıyorsa, WPA3’e geçin. Eski cihazlar desteklemiyorsa, en azından kritik ağlarda (personel ağı gibi) WPA3 kullanın.
802.1X Kimlik Doğrulama – Herkes Kendi Hesabıyla Bağlansın
Kampüs Wi-Fi’sinde genellikle tek bir şifre var, herkes onu biliyor. Bu güvenli değil. Çünkü şifre sızdığında kim sızdırdı bilemiyorsunuz. Çözüm ne? 802.1X denen bir sistem.
802.1X nasıl çalışıyor? Her kullanıcı Wi-Fi’a bağlanırken kendi kullanıcı adı ve şifresini giriyor. Tıpkı bilgisayara giriş yapar gibi. Sistem her kullanıcıyı ayrı ayrı doğruluyor. Böylece kimin ne zaman bağlandığı kayıt altında oluyor. Sorun çıkarsa “bu kullanıcı bu saatte bağlanmış” diyebiliyorsunuz.
Öğrenciler için bu biraz zahmetli olabilir. Ama en azından personel ağında ve idari Wi-Fi’da mutlaka kullanılmalı. Misafir ağında geleneksel şifre yöntemi kullanılabilir ama o ağ diğer ağlardan tamamen izole olmalı.
Fiziksel Güvenlik – Sunucu Odasını Unutmayın
Siber güvenlikten bahsederken fiziksel güvenliği unutmayalım. Sunucu odaları çok önemli. MEB yönergesi bunu açıkça söylüyor – sunucu odalarının güvenliği şart.
Nelere dikkat edilmeli? Birincisi, sunucu odasına herkes giremesin. Kart okuyucu olsun, kim girdi çıktı kayıt altına alınsın. İkincisi, yangın ve su baskını sensörleri olsun. Üçüncüsü, sunucu odasının üstünde veya yanında ıslak alan olmasın (tuvalet, mutfak gibi). Dördüncüsü, kliması olsun çünkü sunucular ısınıyor.
Bir de “temiz masa, temiz ekran” politikası uygulayın. Personel işten ayrılırken masasında hassas doküman bırakmasın, bilgisayar ekranını kilitleyerek ayrılsın. Basit ama etkili.
5. Sosyal Mühendislik ve Phishing Testleri – İnsan En Zayıf Halka
Teknoloji ne kadar güvenli olursa olsun, insanlar hata yapabiliyor. Hackerlar bunu çok iyi biliyorlar. Bu yüzden teknik açık aramak yerine insanları kandırmayı tercih ediyorlar. Buna “sosyal mühendislik” deniyor. En yaygın yöntem phishing – yani oltalama.
Phishing Nedir ve Nasıl Çalışır
Phishing çok basit bir mantıkla çalışıyor. Hacker size sahte bir email gönderiyor. Email’in göndericisi güvenilir görünüyor – rektörlük, dekanlık, bilgi işlem gibi. Konusu da önemli görünüyor – “Acil Şifre Güncellemesi” veya “Maaş Bordrosu” gibi.
Email’de bir link var. Tıkladığınızda sahte bir web sitesine gidiyorsunuz. Site okulun resmi sitesi gibi görünüyor ama değil. Siz kullanıcı adı ve şifrenizi giriyorsunuz. İşte o anda hacker bu bilgileri ele geçiriyor. Sonra gerçek sisteme sizin adınıza giriyor.
Daha gelişmiş saldırılarda zararlı dosya eki olabiliyor. “Toplantı Tutanağı.pdf” gibi bir isim. Açtığınızda bilgisayarınıza virüs bulaşıyor. Virüs arka planda sessizce çalışıyor, tuş vuruşlarınızı kaydediyor veya ekran görüntüsü alıyor.
Phishing Simülasyon Testi Nasıl Yapılır
Eğitim kurumlarında phishing testleri çok yaygın. Nasıl yapılıyor? Okul, profesyonel bir güvenlik firmasıyla anlaşıyor (bizim gibi). Firma, personele sahte phishing mailleri gönderiyor. Ama zararlı değil, sadece test amaçlı.
Örnek bir senaryo – “Sınav sonuçları açıklandı, görmek için tıklayın” diye bir mail gönderiyoruz öğretmenlere. Mail sahte ama zararsız. Öğretmen tıklarsa, karşısına “Bu bir test maili idi. Gerçek olsaydı bilgisayarınız tehlikeye girerdi. Lütfen şüpheli maillere tıklamayın” mesajı çıkıyor.
Test sonunda rapor hazırlanıyor. Örneğin “100 kişiye mail gönderildi, 35 kişi tıkladı, 12 kişi şifre girdi” gibi. Bu veriler eğitim programı hazırlamak için kullanılıyor. Tıklayan kişilere özel eğitim veriliyor.
Sosyal Mühendislik Teknikleri
Phishing dışında başka sosyal mühendislik yöntemleri de var. İşte en yaygın olanları…
Pretexting (Senaryo Oluşturma) – Hacker sizi arayıp “Ben bilgi işlemden arıyorum, sisteminizde sorun var, şifrenizi söyler misiniz düzeltelim” diyor. Gerçekten bilgi işlemden aradığına inanırsanız söylüyorsunuz. Oysa karşınızdaki hacker. Bunu engellemek için kural koyun – hiç kimse telefonda şifre sormaz. Eğer biri sorarsa, telefonu kapatıp bilgi işlemi asıl numarasından arayıp doğrulayın.
Baiting (Yemleme) – Hacker kampüse geliyor, virüslü USB bellekleri bırakıyor. Üzerinde “2024 Maaş Artışı” veya “Sınav Soruları” yazıyor. Meraklı biri buluyor, bilgisayarına takıyor. O anda virüs bulaşıyor. Çözüm basit – bulduğunuz USB’leri takma. Eğer takacaksanız, önce antivirüs ile taratın.
Tailgating (Peşinden Girme) – Hacker güvenlikli bir kapıdan içeri girmek istiyor ama kartı yok. Siz kartınızla kapıyı açıyorsunuz, o da “teşekkür ederim” diyerek arkınızdan giriyor. İçeride özgürce dolaşıp sunucu odasına gidebiliyor. Önlem – arkadan gelen kişinin de kart kullanmasını bekleyin. Kaba görünebilir ama güvenlik için şart.
Personel Eğitimi ve Farkındalık Kültürü
Teknik önlemler önemli ama yeterli değil. Personeli eğitmek şart. MEB yönergesi diyor ki – yılda en az bir kez tüm personele siber güvenlik eğitimi verilmeli. Bu eğitimde neler anlatılmalı?
- Güçlü şifre nasıl oluşturulur – en az 12 karakter, büyük küçük harf, rakam ve sembol karışık
- Phishing mailleri nasıl anlaşılır – yazım hataları, garip gönderici adresleri, aciliyet yaratmaya çalışan ifadeler
- Şüpheli link geldiğinde ne yapmalı – tıklama, göndereni ara ve doğrula
- USB güvenliği – bulduğun USB’yi takma, kendi USB’ni başka yerde kullanma
- Sosyal medya güvenliği – iş ile ilgili bilgileri paylaşma, tatil fotoğrafını hemen atma (evde olmadığını anlarlar)
| Sosyal Mühendislik Tekniği | Nasıl Yapılır | Nasıl Korunursunuz |
|---|---|---|
| Phishing (Email) | Sahte mail gönderme, link tıklatma | Şüpheli linklere tıklama, göndereni doğrula |
| Pretexting (Telefon) | Sahte kimlik ile arayıp bilgi isteme | Telefonda hassas bilgi verme, geri ara |
| Baiting (USB) | Virüslü USB bırakma | Bulduğun USB’yi takma |
| Tailgating (Fiziksel) | Güvenlikli kapıdan peşinden girme | Arkadan gelen kişinin de kart kullanmasını bekle |
Sık Sorulan Sorular
Sızma testi yaparken sistemler durur mu, eğitim akslar mı?
Hayır. Profesyonel bir sızma testi sistemleri durdurmaz. Testler çalışma saatleri dışında yapılabilir veya canlı sistemde ama çok dikkatli yapılır. Amaç zarar vermeden açıkları bulmak. Eğer bir testte sistem durma riski varsa, o test yapılmaz veya önce test ortamında denenir. Bizim deneyimimizde hiçbir eğitim kurumunda test yüzünden sistem durmadı.
KVKK uyumu için sadece sızma testi yeterli mi?
Hayır, sadece test yeterli değil. KVKK birçok şey istiyor – veri envanteri tutmak, veri sahibinden izin almak, veri güvenlik politikaları oluşturmak, personeli eğitmek, log tutmak, veri ihlali planı hazırlamak ve tabii ki teknik önlemler almak. Sızma testi bu teknik önlemlerden sadece biri. Ama çok önemli bir parça çünkü sistemlerinizin gerçekten güvenli olup olmadığını gösteriyor.
Test sonrası bulunan açıkları kim kapatacak?
Açıkları kapatmak okulun IT ekibinin sorumluluğunda. Test firması sadece açıkları bulur ve nasıl kapatılacağını anlatır. Ama kapatma işini okul yapar. Tabii bazı okulların IT ekibi küçük olabilir, o zaman test firmasından danışmanlık hizmeti alınabilir. Biz Nesil Teknoloji olarak sadece test değil, sonrasında açıkların kapatılması için de destek veriyoruz.
Öğrenci Wi-Fi’si ile idari Wi-Fi’yi ayırmalı mıyız?
Kesinlikle evet. Bunlar tamamen ayrı ağlar olmalı. Öğrenci ağından idari ağa erişim olmamalı. Çünkü öğrenci ağı çok daha riskli – binlerce kullanıcı var, kendi cihazlarını getiriyorlar, virüslü dosya indiriyorlar. Eğer bu ağ idari ağ ile aynı olursa, öğrenci bilgisayarındaki virüs idari sunuculara sıçrayabilir. O yüzden mutlaka ayırın. Misafir Wi-Fi’si için de aynı şey geçerli.
Personele eğitim veriyoruz ama yine de phishing maillerine tıklıyorlar. Ne yapabiliriz?
Bu çok yaygın bir sorun. Eğitim tek seferlik olmamalı. Düzenli olarak, yılda en az 2-3 kez phishing simülasyonu yapın. Her simülasyon sonrası tıklayan kişilere özel uyarı gönderin ve mikro eğitim verin. Ayrıca email sistemine gelişmiş spam filtresi kurun. Outlook veya Gmail gibi sistemlerin kendi filtreleri var ama yeterli olmayabiliyor. Ek olarak özel bir email güvenlik sistemi (email gateway) kullanabilirsiniz. Bu sistem şüpheli mailleri karantinaya alır.
Sızma testi raporu ne kadar sürede hazırlanır?
Test bitiş tarihinden sonra genellikle 5-10 iş günü içinde rapor hazırlanır. Rapor çok detaylıdır – bulunan her açık için ekran görüntüleri, teknik açıklama, risk seviyesi ve çözüm önerileri olur. Ayrıca yöneticiler için özet bölüm olur. Rapor hazır olunca sunumla birlikte teslim edilir. Sunumda bulguları anlatırız, sorularınızı cevaplarız ve öncelik sırası konusunda yardımcı oluruz.
