Siber Risk Analizi
Neden Risk Analizi Yapıyoruz?
Dijitalleşen dünyada artık “Siber saldırıya uğrayacak mıyız?” sorusu yerini “Saldırı ne zaman olacak ve ne kadar hazırız?” sorusuna bıraktı. Siber risk analizi, bir kurumun sadece teknik zafiyetlerini değil, aynı zamanda iş süreçlerini, insan faktörünü ve yasal sorumluluklarını koruma altına alan stratejik bir disiplindir.
Bu rehber, teknik jargonun karmaşıklığından arındırılmış ancak akademik ve profesyonel derinliğini koruyan bir bakış açısıyla; bir kurumun dijital varlıklarını nasıl haritalandıracağını, tehditleri nasıl öngöreceğini ve saldırı anında nasıl ayakta kalacağını detaylandırmaktadır.
1. Risk Yönetimi Metodolojileri: Yol Haritasını Çizmek
Doğru bir analiz, doğru bir yöntemle başlar. Dünyada kabul görmüş standartlar, bize tekerleği yeniden icat etmeden güvenli bir yol sunar.
NIST SP 800-30: Dokuz Adımlı Koruma
NIST (Ulusal Standartlar ve Teknoloji Enstitüsü), siber risk analizini sistematik bir sürece bağlar. Bu süreçte en önemli adım “Sistem Karakterizasyonu”dur. Yani, sistemin ne işe yaradığını, hangi verileri işlediğini ve kimlerin erişimi olduğunu anlamaktır. Ardından gelen tehdit tanımlama, zafiyet tespiti ve etki analizi adımları, bir yapbozun parçaları gibi birleşerek bize “Risk Puanı”nı verir.
ISO 27005 ve Sürekli İyileştirme
ISO standartları, güvenliği statik bir durum değil, yaşayan bir süreç olarak görür. “Planla, Uygula, Kontrol Et, Önlem Al” (PUKO) döngüsü, risk analizinin her yıl, hatta her önemli sistem değişikliğinde tekrarlanmasını zorunlu kılar. Bu yaklaşım, kurumun siber dayanıklılığını (resilience) sürekli canlı tutar.
FAIR Modeli: Riski Para ile Ölçmek
Yönetim kurullarına “SQL Injection riski var” demek yerine, “Bu zafiyetin sömürülmesi durumunda kurumumuz ortalama 2 milyon dolar zarar edebilir” demek çok daha etkilidir. FAIR (Risk Faktör Analizi), siber riskleri finansal terimlere dökerek karar vericilerin daha rasyonel bütçe ayırmasını sağlar.
2. Varlık Envanteri: Neyimiz Var?
Bir komutan, elindeki asker sayısını ve mühimmatını bilmeden savaşa giremez. Siber güvenlikte de “bilmediğiniz şeyi koruyamazsınız.”
Varlık Sınıflandırma Stratejileri
Her verinin değeri aynı değildir. Bir personelin yemek menüsü tercihi ile kurumun Ar-Ge projeleri aynı havuzda değerlendirilmemelidir. Varlıklar şu üç kriterle (CIA Triad) puanlanır:
- Gizlilik (Confidentiality): Bu veri başkasının eline geçerse ne olur?
- Bütünlük (Integrity): Bu veri üzerinde izinsiz değişiklik yapılırsa ne kadar zarar görürüz?
- Erişilebilirlik (Availability): Bu sistem 1 saat kapalı kalırsa işler ne kadar aksar?
3. Kritik Altyapılar ve Endüstriyel Sistemler (OT)
Fabrikalar, enerji santralleri ve su dağıtım sistemleri gibi alanlar (Operasyonel Teknoloji – OT), klasik IT sistemlerinden çok daha farklı ve riskli bir yapıya sahiptir.
Modbus ve Eski Protokollerin Zafiyetleri
1970’li yıllarda tasarlanan Modbus gibi protokollerde şifreleme veya kimlik doğrulama yoktur. Bu protokoller “herkes dürüsttür” mantığıyla çalışır. Bir saldırgan ağa sızdığında, PLC (Programlanabilir Mantık Denetleyici) cihazlarına doğrudan “dur” emri gönderebilir veya basınç değerlerini manipüle ederek fiziksel patlamalara neden olabilir.
Purdue Modeli ile İzolasyon
Endüstriyel ağları korumanın en etkili yolu, onları kurumsal ağdan tamamen izole etmektir. Purdue Modeli, sistemleri seviyelere ayırır. Seviye 0’daki bir sensörün, doğrudan internete (Seviye 5) erişimi asla olmamalıdır. Aradaki veri diyotları (Data Diodes) veya sıkı firewall kuralları, bu izolasyonun teknik bel kemiğidir.
4. Tehdit Modelleme: Saldırgan Gibi Düşünmek
Tehdit modelleme, “Ben bir hacker olsaydım, bu şirketi nasıl çökertirdim?” sorusuna verilen dürüst bir cevaptır.
STRIDE Yaklaşımı
Microsoft tarafından geliştirilen STRIDE modeli, tehditleri altı ana başlıkta toplar:
- Spoofing (Kimlik Sahteciliği): Başkasının hesabı üzerinden sisteme girmek.
- Tampering (Veri Kurcalama): Giden paketleri yolda değiştirme.
- Repudiation (İnkar Edilebilirlik): “Bu işlemi ben yapmadım” diyebilmek.
- Information Disclosure (Bilgi İfşası): Verilerin sızması.
- Denial of Service (Hizmet Reddi): Sistemin çökertilmesi.
- Elevation of Privilege (Yetki Yükseltme): Normal kullanıcının admin olması.
5. Teknik Analiz Araçları ve Otomasyon
Risk analizi kağıt üzerinde başlar ama sahada (terminalde) test edilir.
Ağ Keşfi ve Zafiyet Tarama
Nmap: Ağın röntgenini çeker. Hangi cihazlar açık, hangi servisler çalışıyor? Nmap’in NSE (Nmap Scripting Engine) özelliği, bilinen zafiyetleri saniyeler içinde tespit edebilir.
Metasploit Framework: Bulunan bir zafiyetin “gerçekten” tehlikeli olup olmadığını kanıtlar. Teorik bir risk, Metasploit ile “sızılabilir” bir gerçeğe dönüşür.
Yapay Zeka (AI) Destekli Analiz
2026 yılında, artık milyonlarca log kaydını bir insanın incelemesi mümkün değil. Yapay zeka ajanları, “anomali tespiti” yaparak normal dışı hareketleri yakalar. Örneğin, bir muhasebe çalışanının daha önce hiç erişmediği bir veri tabanına VPN üzerinden bağlanmaya çalışması, AI tarafından anında “yüksek risk” olarak işaretlenir.
6. En Zayıf Halka: İnsan Faktörü
Dünyanın en pahalı firewall cihazını da alsanız, bir çalışanın merakla tıkladığı “Bedava Hediye Çeki” linki tüm kaleyi içerden fethedebilir. Sosyal mühendislik, risk analizinin en zor ama en kritik kısmıdır.
Kimlik avı (Phishing) simülasyonları, risk analizinin bir parçası olarak düzenli yapılmalıdır. Eğitim sadece “yapma” demek değil, “neden yapmaman gerektiğini” öğretmektir. Siber farkındalık seviyesi, kurumun genel risk puanını doğrudan etkiler.
7. Yasal Uyum ve Regülasyonlar
Risk analizi artık bir tercih değil, bir yasadır.
| Regülasyon | Kapsam | Analiz Gerekliliği |
|---|---|---|
| KVKK | Kişisel Verilerin Korunması | Yıllık risk analizi ve teknik tedbir raporu zorunludur. |
| GDPR | Avrupa Birliği Vatandaş Verileri | DPIA (Veri Koruma Etki Analizi) yapılması şarttır. |
| BDDK / EPDK | Finans ve Enerji Sektörü | Sızma testleri ve risk analizleri denetime tabidir. |
8. İş Sürekliliği ve Risk Transferi
Riski tamamen sıfırlamak imkansızdır. Bu noktada iki kavram devreye girer: Kalıntı Risk (Residual Risk) ve Risk Transferi.
Eğer bir riskin önlenmesi, o sistemin getirdiği kardan daha pahalıysa, kurum bu riski kabul edebilir veya bir “Siber Sigorta” yaptırarak riski sigorta şirketine transfer edebilir. Ancak sigorta şirketleri, poliçe kesmeden önce kurumdan TSE A Sınıfı sızma testi ve profesyonel risk analizi raporu talep etmektedir.
Felaket Kurtarma (Disaster Recovery)
Saldırı oldu, sistemler çöktü. Şimdi ne olacak? Risk analizi raporu, RTO (Geri Dönüş Süre Hedefi) ve RPO (Veri Kaybı Toleransı) değerlerini belirler. Bu değerler, yedekleme stratejisinin temelini oluşturur.
Siber Güvenlik Bir Yolculuktur
Siber risk analizi, bir kez yapılıp rafa kaldırılan bir dosya değil, kurumun dijital sağlığını koruyan bir yaşam biçimidir. Tehdit aktörleri sürekli gelişirken (yapay zeka kullanan fidye yazılımları, kuantum bilgisayarların şifre çözme potansiyeli vb.), savunmanın da aynı hızda evrilmesi gerekir.
Kurumunuzun siber dayanıklılığını artırmak, sadece sunucuları korumak değil, geleceği güven altına almaktır. Doğru metodoloji, doğru araçlar ve bilinçli bir insan kaynağı ile aşılmayacak engel, savunulmayacak kale yoktur.
