KVKK için Ağ Güvenliği Nasıl Kurulur? Güvenlik Duvarı ve Saldırı Tespit Sistemleri
Kişisel veri işleyen her kurumun KVKK kapsamında sadece politika belgesi hazırlaması yetmiyor. Kanun, bu verilerin teknik olarak da korunmasını zorunlu kılıyor. Ağ güvenliği bu korumanın temel taşlarından biri.
Bu yazıda güvenlik duvarının ne işe yaradığını, saldırı tespit sistemlerinin neden gerekli olduğunu, fabrikalardaki özel riskleri ve kayıt tutma zorunluluğunu sade bir dille anlatıyoruz. Nesil Teknoloji, TSE A Sınıfı Sızma Testi yetkisiyle kurumların bu altyapıyı gerçekten çalışır hale getirmesine destek olmaktadır.
KVKK uyumu için ağın farklı bölgelere ayrılması ve her bölge arasındaki trafiğin denetlenmesi gerekiyor. Saldırı tespit sistemleri bilinen tehditleri engellerken anormal davranışları da fark ediyor. Kayıt tutma hem yasal zorunluluk hem de saldırı analizinin temelidir.
1. KVKK Hangi Ağ Güvenliği Önlemlerini Zorunlu Kılıyor?
KVKK’nın 12. maddesi veri işleyen kurumlara açık bir yükümlülük getiriyor: Kişisel verilere yetkisiz kişilerin erişememesi, verilerin değiştirilememesi ve kaybolmaması için gerekli teknik önlemlerin alınması. Bu yalnızca bir politika belgesi imzalamak değil, altyapının gerçekten tahkim edilmesi demek.
Teknik tedbirler kâğıt üzerinde kalmamalı
Denetimlerimizde sık karşılaştığımız bir tablo var: Gizlilik sözleşmeleri imzalanmış, politika belgeleri hazırlanmış — ama ağa sızan biri hiçbir engelle karşılaşmadan veritabanına ulaşabiliyor. KVKK, idari düzenlemelerin yanında teknik önlemlerin de fiilen uygulanmasını istiyor. İkisi birbirinin yerini tutmuyor.
Hangi teknik önlemler gerekiyor?
KVKK rehberinde ağ güvenliğiyle ilgili öne çıkan gereksinimler şunlar: ağın güvenli bölgelere ayrılması, saldırı tespit ve önleme sistemlerinin kurulması, verilerin iletilirken şifrelenmesi, erişim kayıtlarının tutulması ve düzenli sızma testi yaptırılması.
Özel nitelikli veriler için daha sıkı kurallar
Sağlık verisi, biyometrik veri gibi KVKK’nın “özel nitelikli” saydığı veriler çok daha yüksek koruma gerektiriyor. Bu verilerin bulunduğu sistemler ağın geri kalanından tamamen ayrılmalı ve yalnızca yetkili kişilerin, yalnızca gerekli bağlantı noktaları üzerinden erişimine açık olmalı.
GAP analizi neden yapılmalı?
Kurumun şu anki güvenlik durumu ile KVKK’nın beklediği durum arasındaki farkı ortaya koymaya “GAP analizi” deniyor. Bu analiz, hangi boşlukların önce kapatılması gerektiğini belirlemenin en sağlıklı yolu. Tüm riskleri aynı anda gidermeye çalışmak yerine önceliklendirme yaparak başlamak daha sürdürülebilir bir yol.
| KVKK’nın Beklediği Tedbir | Ne Anlama Geliyor? | Teknik Karşılığı | Nesil Teknoloji Yaklaşımı |
|---|---|---|---|
| Yetkisiz erişimi engellemek | Sadece yetkili kişiler ilgili verilere erişebilmeli | Kimlik yönetimi ve güvenlik duvarı | Role dayalı erişim kontrolü |
| Saldırıları tespit etmek | Anormal durumlar anında fark edilmeli | IDS/IPS ve merkezi kayıt sistemi | 7/24 izleme hizmeti |
| Veriyi iletirken korumak | Aktarım sırasında veri okunamaz olmalı | TLS 1.3 ve VPN şifreleme | Uçtan uca şifreleme |
| Açıkları kapatmak | Sistemlerdeki zayıflıklar bulunup giderilmeli | Sızma testi ve yazılım güncellemeleri | TSE A Sınıfı sızma testi denetimi |
2. Güvenlik Duvarı Nasıl Doğru Kurulur?
Güvenlik duvarı, kurumun iç ağı ile dış dünya arasındaki kapıyı temsil eder. Ama bu kapının doğru ayarlanmış olması gerekiyor. Kapının tamamen açık bırakılması — yani her trafiğe izin verilmesi — saldırganlara içeri girdikten sonra serbestçe dolaşabilecekleri bir ortam yaratır.
Yeni nesil güvenlik duvarı (NGFW) klasikten neden farklı?
Eski güvenlik duvarları trafiği yalnızca IP adresi ve bağlantı noktasına göre değerlendirirdi. Yeni nesil güvenlik duvarları (NGFW) ise trafiğin içeriğini de anlayabiliyor. “Bu bağlantı hangi uygulamadan geliyor, kim kullanıyor, ne tür veri taşıyor?” sorularını yanıtlayabiliyor. KVKK uyumu için bu düzey bir denetim gereklidir.
“Her şeyi engelle” prensibi neden önemli?
Pek çok kurumda iş süreçlerini bozmamak adına güvenlik duvarı “şüpheli görünene izin verme, gerisine izin ver” mantığıyla kurulur. Bu büyük bir hatadır. Doğru yaklaşım tam tersidir: Açıkça gerekçelendirilmemiş her trafik varsayılan olarak engellenmeli, yalnızca onaylanan bağlantılara izin verilmelidir. Bu prensibin adı “varsayılan engelleme” (default deny).
Ağı bölümlere ayırmak neden şart?
Bir kurumun tüm sistemlerinin aynı ağda bulunması, bir bölümde çıkan yangının tüm binayı sarması gibi bir risk taşır. Ağ bölümleme (segmentasyon), farklı sistemleri birbirinden ayırır. Örneğin müşteri verilerinin bulunduğu sunucular, çalışan bilgisayarları, misafir Wi-Fi’ı ve fabrika cihazları ayrı ağ bölgelerinde tutulmalıdır. Bir bölüm ele geçirilse bile diğerine geçiş engellenir.
Gölge kurallar neden tehlikelidir?
Güvenlik duvarı kuralları yıllarca birikince beklenmedik sorunlar oluşabilir. “Gölge kural” denen durumda daha yukarıda tanımlanmış geniş bir kural, alttaki özel güvenlik kuralını etkisiz hale getirir. O güvenlik kuralı varlığını sürdürüyor görünür ama hiçbir zaman devreye girmez. Bu tür kör noktaları bulmak düzenli kural denetimi olmadan mümkün değildir.
3. Saldırı Tespit Sistemleri (IDS/IPS) Ne İşe Yarar?
Güvenlik duvarı ne kadar iyi kurulmuş olursa olsun bazı saldırıları tek başına durduramaz. Çünkü birçok saldırı tamamen meşru görünen bağlantı noktaları ve protokoller üzerinden gelir. Bu noktada devreye saldırı tespit ve önleme sistemleri giriyor.
IDS ve IPS arasındaki fark nedir?
IDS (Saldırı Tespit Sistemi), ağ trafiğini izler ve şüpheli bir durum gördüğünde alarm üretir. Ama müdahale etmez, sadece bildirir. IPS (Saldırı Önleme Sistemi) ise bir adım daha ileri gider ve şüpheli trafiği anında durdurur. KVKK açısından değerlendirildiğinde IPS, veri sızıntısını anlık önleme kapasitesi sağladığı için daha güçlü bir seçenektir.
Bu sistemler tehditleri nasıl tanıyor?
İki farklı yöntem var. Birincisi bilinen saldırıların “parmak izini” tanımak: Antivirüslerin çalışmasına benzer şekilde gelen trafiğin bilinen saldırı kalıplarıyla karşılaştırılması. Bu yöntem güçlüdür ama listede olmayan yeni saldırılar karşısında yetersiz kalır.
İkinci yöntem ise davranış analizi. Sistem önce kurumun “normal” trafik profilini öğrenir. Sonra bu normalden sapan durumları tespit eder. Örneğin muhasebe bilgisayarının gece yarısı veritabanına gigabaytlarca veri indirme talebi göndermesi normalden sapmadır ve anında işaretlenir.
Yanlış alarm sorunu
IPS’nin en büyük zorluğu meşru bir işlemi saldırı olarak algılamasıdır. Örneğin normal bir veritabanı sorgusunu tehdit sanarak bağlantıyı kesmesi iş süreçlerini aksatır. Bu nedenle sistemin kurumun trafik yapısına göre ince ayar yapılması gerekir. Doğru yapılandırılmış bir IPS, güvenliği iş sürekliliğini bozmadan sağlar.
| Özellik | IDS (Tespit Sistemi) | IPS (Önleme Sistemi) | KVKK Açısından Değeri |
|---|---|---|---|
| Müdahale biçimi | Yalnızca alarm üretir | Şüpheli trafiği durdurur | IPS veri sızıntısını anlık önler |
| Ağ üzerindeki konumu | Trafiği kopyalayarak izler | Trafiğin tam ortasında durur | IPS tam kontrol sağlar |
| Gecikme etkisi | Yok denecek kadar az | Milisaniye düzeyinde gecikme | İş sürekliliği ve güvenlik dengesi |
| Alarm yorgunluğu riski | Yüksek (her şeyi bildirir) | Daha az (sadece kritikler) | Doğru yapılandırma ile yönetilebilir |
4. Fabrikalar ve Üretim Sistemleri İçin Ağ Güvenliği
Üretim tesislerinde ağ güvenliği yalnızca ofis bilgisayarlarını korumaktan ibaret değildir. Fabrika makinelerini yöneten sistemler — PLC’ler, sensörler, kontrol panelleri — de dijital ağa bağlı hale geldi. Bu dönüşüm yeni ve ciddi riskler doğuruyor.
Fabrika ağı neden farklı bir risk taşıyor?
Ofis ağında internet kesilse çalışanlar birkaç dakika bekler. Ama fabrikada üretim hattını kontrol eden sistem kesilirse ya da saldırıya uğrarsa sonuçlar çok daha ağır olabilir: üretim durabilir, ürünler zarar görebilir, hatta fiziksel güvenlik riskleri ortaya çıkabilir. Bunun yanında üretim parametreleri, çalışan performans verileri ve özel reçeteler KVKK kapsamında kişisel veri sayılabiliyor.
Modbus ve DNP3 neden savunmasız?
Fabrikalarda yaygın kullanılan Modbus ve DNP3 gibi iletişim protokolleri onlarca yıl önce tasarlandı. O dönemde güvenlik kaygısı yoktu, sistemler dış dünyaya kapalıydı. Bugün bu protokollerin şifreleme ya da kimlik doğrulama gibi güvenlik özellikleri yok. Ağa sızan biri bu protokoller üzerinden cihazlara komut gönderebilir ya da üretim verilerini okuyabilir.
Fabrikalar için doğru güvenlik yaklaşımı ne?
Fabrika ağı ile ofis ağı birbirinden kesin olarak ayrılmalıdır. İki ağ arasındaki geçiş mümkünse tamamen kapatılmalı, zorunluysa yalnızca belirli ve denetlenen bağlantılara izin verilmelidir. Modbus ve DNP3 gibi endüstriyel protokolleri anlayabilen özel güvenlik duvarları kullanılmalıdır. Bu cihazlar yalnızca “bu bağlantı güvenli mi?” değil “bu komut bu cihaza verilmeli mi?” sorusunu da sormalıdır.
Tarama yaparken dikkat edilmesi gereken nokta
Ofis ağlarında kullanılan otomatik tarama araçları fabrika ortamlarında tehlikeli olabilir. Yoğun tarama trafiği hassas PLC cihazlarının kilitlenmesine neden olabilir. Bu nedenle üretim sistemleri için pasif izleme yöntemi tercih edilir: Sistemlere dokunmadan, trafik dinlenerek mevcut güvenlik durumu analiz edilir.
| Araç Türü | Örnekler | Ne İçin Kullanılır? | Uygun Ortam |
|---|---|---|---|
| Ağ tarayıcı | Nmap, Nessus | Açık portları ve bilinen açıkları bulur | Ofis ve sunucu ağları |
| Zafiyet analizi | Metasploit, Burp Suite | Bulunan açıkların gerçekten kullanılabilir olup olmadığını test eder | Web uygulamaları ve sunucular |
| Endüstriyel ağ izleme | Nozomi, Claroty | Fabrika protokollerini anlayarak anomali tespit eder | Üretim bandı ve SCADA sistemleri |
| Kapsamlı denetim | Nesil Teknoloji raporları | TSE A Sınıfı yetkiyle tüm altyapıyı değerlendirir | Her türlü kurumsal altyapı |
5. Şifreli Trafik Denetimi ve Kayıt Tutma Zorunluluğu
Kurumsal ağdaki trafiğin büyük bölümü şifreli. Bu hem güvenlik hem de gizlilik açısından iyi bir şey. Ama saldırganlar da bu şifreli kanalları kullanıyor. Güvenlik duvarı ve IPS sistemleri şifreyi göremezse tehdidin içeriğini de göremez.
Şifreli trafik nasıl denetlenir?
Şifreli trafiği incelemek için güvenlik cihazı araya girer, şifrelemeyi geçici olarak çözer, içeriği inceler ve yeniden şifreleyerek iletir. Bu yöntemin adı SSL denetimi. Teknik olarak güvenlik cihazı “aradaki adam” konumuna geçiyor; ama bu sefer amaç koruma.
Çalışan mahremiyeti meselesi
Burada KVKK açısından dikkat edilmesi gereken önemli bir nokta var. Bir çalışan iş yerinde e-nabız hesabına ya da internet bankacılığına girdiğinde, bu trafiğin şifresinin çözülmesi hassas kişisel verilerin işveren tarafından görülmesi anlamına gelir. Bu sorunun çözümü şu: Sağlık, finans ve kamu siteleri denetim kapsamının dışında bırakılır. Bilinmeyen ve kategori dışı siteler ise denetlenir.
5651 Sayılı Kanun ve KVKK birlikte ne istiyor?
5651 sayılı İnternet Kanunu, kurumların iç ağ trafiğini zaman damgasıyla kayıt altına almasını ve bu kayıtları en az 2 yıl saklamasını zorunlu kılıyor. KVKK ise bu kayıtların içindeki kişisel verilerin (IP adresleri, ziyaret edilen adresler gibi) saklama amacı ortadan kalktığında silinmesini ya da anonim hale getirilmesini istiyor. Bu iki zorunluluk aynı anda yönetilmek zorunda.
Kayıtların değiştirilemez olması neden önemli?
Bir siber saldırı yaşandığında ya da KVKK denetiminde “bu saldırı nasıl gerçekleşti?” sorusu sorulduğunda tek yanıt kaynağı kayıtlardır. Bu kayıtların sonradan değiştirilmediğini kanıtlamak için elektronik zaman damgası kullanılır. Ayrıca bu kayıtlara yalnızca yetkili güvenlik analistlerinin, yalnızca gerektiğinde erişimi olmalıdır.
Sık Sorulan Sorular
KVKK teknik tedbirleri kapsamında hangi güvenlik duvarı seçilmelidir?
Klasik güvenlik duvarları yalnızca IP adresi ve bağlantı noktasına bakarak karar verir. KVKK uyumu için uygulama katmanında içerik denetimi yapabilen yeni nesil güvenlik duvarları (NGFW) tercih edilmelidir. Bu cihazların IDS/IPS ve şifreli trafik denetimi özelliklerine de sahip olması gerekiyor.
Ağ kayıtlarını 2 yıldan fazla saklamak KVKK ihlali midir?
KVKK, verilerin işleme amacı ortadan kalktıktan sonra saklanmamasını zorunlu kılıyor. 5651 sayılı kanun asgari süreyi 2 yıl olarak belirlemiş; bu sürenin ötesinde saklama için hukuki gerekçe bulunması gerekiyor. Gerekçe yoksa ihlal sayılabilir.
Endüstriyel tesislerde ağ güvenliği nasıl sağlanır?
Üretim tesislerinde fabrika ağı ile ofis ağının fiziksel ya da mantıksal olarak ayrılması şarttır. Modbus ve DNP3 gibi endüstriyel protokolleri anlayan özel güvenlik duvarları kullanılmalı ve üretim hattındaki iletişim paket bazlı denetlenmelidir. Otomatik tarama araçları üretim sistemlerinde dikkatli kullanılmalı, pasif izleme tercih edilmelidir.
TSE A Sınıfı sızma testi belgesi neden önemlidir?
Bu belge, sızma testi yapan firmanın teknik yeterliliğinin ve yöntemlerinin devlet tarafından denetlenip onaylandığını gösteriyor. Kamu ihaleleri ve kritik altyapı denetimleri için çoğu durumda ön koşul niteliğinde. Kurumlar açısından ise aldıkları hizmetin kalite güvencesini ifade ediyor.
