Belediye ve Kamu Kurumlarında Sızma Testi Zorunluluğu
Belediyelerde ve kamu kurumlarında çalışan IT yöneticileri için 2025 yılı çok büyük değişiklikler getirdi. Artık siber güvenlik test yaptırmak “olsa iyi olur” kategorisinden çıktı, “yapmazsanız ağır ceza alırsınız” kategorisine girdi. Yeni yasalaşan 7545 sayılı Siber Güvenlik Kanunu ile birlikte, belediyelerin ve tüm kamu kurumlarının düzenli olarak sızma testi yaptırması zorunlu hale geldi.
Peki bu ne anlama geliyor? Basitçe söylemek gerekirse, profesyonel bir siber güvenlik ekibi gelip kurumunuzun sistemlerine “etik hacker” gibi saldıracak. Amaç zayıf noktaları bulmak ve gerçek hackerlardan önce kapatmak. Yapmazsanız ne olur? 10 milyon TL’ye kadar idari para cezası var. Daha kötüsü, bir veri ihlali yaşanırsa ve test yaptırmadığınız ortaya çıkarsa, kurumun yöneticileri için 15 yıla varan hapis cezası riski var. Bu rehberde tüm detayları gündelik dille anlatacağız.
2025’te yasalaşan 7545 sayılı Kanun ile sızma testi artık zorunlu. Yapmazsanız 1-10 milyon TL idari ceza, veri ihlalinde 15 yıla kadar hapis riski var. KVKK gereği de test zorunlu, yapmayan kurumlara 13.5 milyon TL’ye kadar ceza kesilebiliyor. Test yapacak firmanın mutlaka TSE 13638 belgesi olmalı. İçişleri Bakanlığı belediyeler için yılda en az bir test şartı koymuş. Test sadece dışarıdan değil, iç ağdan ve şubelerden de yapılmalı.
1. 7545 Sayılı Yeni Siber Güvenlik Kanunu – Oyunun Kuralları Değişti
12 Mart 2025 tarihinde Meclis’ten geçen 7545 sayılı Siber Güvenlik Kanunu, Türkiye’de siber güvenlik alanında devrim yaptı. Eskiden siber güvenlik konusunda çeşitli kanunlar, yönetmelikler vardı ama dağınıktı. Yeni kanun hepsini tek çatı altında topladı ve çok daha sert yaptırımlar getirdi.
Siber Güvenlik Başkanlığı Kuruldu – Tek Yetkili Otorite
Kanunla birlikte yepyeni bir kurum kuruldu – Siber Güvenlik Başkanlığı. Bu kurumun çok geniş yetkileri var. Eskiden siber güvenlik işlerini Ulaştırma Bakanlığı, BTK ve başka kurumlar paylaşıyordu. Şimdi hepsi Başkanlığa devredildi. Tek merkezden yönetim başladı.
Başkanlık ne yapabilir? Birincisi, kamu kurumlarına “şu sisteminizi test edin” diye emir verebilir. İkincisi, dilediği zaman gelip kurumların sistemlerini denetleyebilir. Üçüncüsü, bulunan açıklar kapatılmadıysa ağır cezalar kesebilir. Dördüncüsü, kamu kurumlarında kullanılacak siber güvenlik ürünlerinin yerli olmasını zorunlu kılabilir.
Artık “Kritik Kamu Hizmeti” Var
Yeni kanun “Kritik Kamu Hizmeti” diye bir konsept getirdi. Ne demek bu? Şöyle düşünün – belediyeniz su dağıtımı yapıyor. Bu hizmet siber saldırı yüzünden durursa, bu sadece teknik bir arıza sayılmıyor artık. “Ulusal güvenliğe tehdit” sayılıyor ve kamu hizmetinin sürekliliği ilkesinin ihlali oluyor.
Yani belediyenizin su dağıtım sistemi hacklenirse ve su kesintisi yaşanırsa, bu çok ciddi bir olay olarak değerlendiriliyor. Bu yüzden su, elektrik, ulaşım gibi kritik hizmetleri yöneten belediye sistemlerinin siber güvenliğini sağlamak artık “esas görev” kategorisinde.
Cezalar Çok Ağır
Peki Başkanlığın talimatlarına uymazsanız ne olur? Mesela size “sızma testi yaptırın” dediler, yapmadınız. Ya da test yaptırdınız ama bulunan açıkları kapatmadınız. Cezalar şöyle…
İdari Para Cezaları – Alt sınır 1 milyon TL, üst sınır 10 milyon TL. Evet, yanlış okumadınız. Milyonlar. Eğer daha önce de uyarı almışsanız ve yine uymadıysanız, ceza daha da artırılabiliyor. Bu cezalar kurumun bütçesinden ödeniyor ama sonra yöneticilere rücu edilebiliyor. Yani yöneticilerin kendi ceplerinden ödemeleri istenebiliyor.
Hapis Cezaları – Daha kötüsü var. Eğer siber güvenlik ihmali yüzünden ciddi bir veri sızıntısı olursa, yöneticiler hapis yatabiliyor. Tabloya bakın…
| Ne Oldu | Ceza |
|---|---|
| Kritik altyapıya siber saldırı gerçekleşti | 8 – 12 yıl hapis |
| Saldırı sonucu elde edilen veriler satıldı veya yayıldı | 10 – 15 yıl hapis |
| Kritik kamu verileri sızdırıldı | 3 – 5 yıl hapis |
| Denetimi engelleme, log ve belgeleri vermeme | 1 – 3 yıl hapis + idari para cezası |
| TSE belgesi olmadan sızma testi yapma | 2 – 4 yıl hapis + idari para cezası |
2. KVKK Zorunlulukları – Kişisel Verileri Korumak Şart
7545 sayılı Kanun’dan önce bile KVKK (Kişisel Verilerin Korunması Kanunu) sızma testi yaptırmayı zorunlu kılıyordu. Ama çoğu kurum ciddiye almıyordu. Artık durum çok farklı çünkü hem KVKK hem yeni kanun var, ikisi birden uygulanıyor.
Belediyeler Neden KVKK Kapsamında
Belediyeler düşündüğünüzden çok daha fazla kişisel veri tutuyor. Neleri var? Emlak vergisi ödeyen vatandaşların TC kimlik numaraları, adresleri, telefon numaraları. Sosyal yardım alanların gelir bilgileri. Nikah yapanların bilgileri. Ulaşım kartı kullananların hareket verileri. Su faturası bilgileri. Liste uzayıp gidiyor.
KVKK’ya göre bu verileri tutan kurumlar “veri sorumlusu” oluyor. Yani bu verilerden sorumlusunuz. Korumanız lazım. Nasıl koruyacaksınız? İşte KVKK’nın “Teknik Tedbirler Rehberi” var. Orada açıkça yazıyor – sızma testi yaptıracaksınız.
Sadece VERBİS Kaydı Yetmiyor
Çoğu kurum diyor ki “biz VERBİS’e kayıt yaptık, KVKK uyumluyuz”. Hayır, yetmiyor. VERBİS kaydı sadece başlangıç. Asıl önemli olan teknik tedbirleri almak. Yani sisteminizi gerçekten güvenli hale getirmek. Bunu nasıl kanıtlarsınız? Sızma testi yaptırarak.
Düşünün ki bir veri sızıntısı oldu. KVKK Kurulu soruşturma açıyor. Soruyor – “sızma testi yaptırdınız mı?” Siz “hayır” diyorsunuz. Kurul ne diyor biliyor musunuz? “Demek ki gerekli tedbirleri almadınız. Bu ihlal öngörülebilirdi ve önlenebilirdi. Ama siz test yaptırmadığınız için sistemdeki açıkları göremedini z.” Ve sonra ceza kesiyor.
KVKK Cezaları Ne Kadar
KVKK’nın kendi ceza sistemi var. Güncel rakamlara göre, veri güvenliği tedbirlerini almayan kurumlara 13.5 milyon TL’ye kadar idari para cezası kesilebiliyor. Ama bu sadece başlangıç. Bir de Türk Ceza Kanunu var.
TCK’nın 136. ve 137. maddeleri çok önemli. Kişisel verileri hukuka aykırı olarak ifşa eden, yayan veya ele geçiren kişiler hapis yatıyor. Eğer bu suçu bir kamu görevlisi işlerse, ceza yarı oranında artırılıyor. Yani belediye çalışanı bir veri sızıntısına sebep olursa, hem o kişi hem de yöneticiler sorumlu tutuluyor.
3. Sızma Testi ile Zafiyet Taraması Arasındaki Fark
Çoğu kurum bu ikisini karıştırıyor. “Biz zafiyet taraması yaptırıyoruz, yeterli değil mi?” diye soruyor. Hayır, yeterli değil. İkisi çok farklı şeyler. Bunu anlamak çok önemli çünkü mevzuat “sızma testi” istiyor, sadece “zafiyet taraması” değil.
Zafiyet Taraması Nedir
Zafiyet taraması otomatik bir süreç. Bir yazılım alıyorsunuz (örneğin Nessus, OpenVAS gibi), sisteminizi tarıyor. “Şu sunucuda Windows güncel değil, şu yazılımda bilinen bir açık var” gibi bir liste veriyor. Hızlı ve ucuz ama yüzeysel.
Sorun şu – bu taramalar çok fazla yanlış alarm üretiyor. Mesela “kritik açık bulundu” diyor ama aslında o açık sizin sisteminizde kullanılabilir değil. Ya da gerçekten kritik bir açık var ama tarama görmüyor. Kısacası, tarama size “bu açıklar olabilir” diyor ama “gerçekten sömürülebilir mi” sorusuna cevap vermiyor.
Sızma Testi Nedir
Sızma testi çok daha derin. Profesyonel bir ekip geliyor, tıpkı gerçek bir hacker gibi sisteminize saldırmaya çalışıyor. Önce otomatik taramalar yapıyorlar, sonra bu sonuçları elle kontrol ediyorlar. Sonra deniyorlar – “bu açık gerçekten çalışıyor mu?”
Mesela bir web sayfasında SQL Injection açığı buldular. Sadece bunu rapor etmiyorlar. Deniyorlar – bu açığı kullanarak veri tabanına girebiliyorlar mı? Girerlerse ne yapabiliyorlar? Yetki yükseltebiliyorlar mı? Oradan başka sistemlere atlayabiliyorlar mı? İşte asıl değerli olan bu zincir analizi.
Üç Farklı Test Yöntemi Var
Sızma testi yaparken üç farklı yaklaşım kullanılıyor. Belediyelerde genellikle her üçü de yapılıyor.
Kara Kutu (Black Box) – Test uzmanına hiçbir bilgi verilmiyor. Sadece belediyenin web sitesi adresi veriliyor. “Git, dışarıdan bir hacker gibi ne yapabiliyorsan yap” deniliyor. Bu test tam gerçek dünya senaryosu.
Beyaz Kutu (White Box) – Test uzmanına her şey anlatılıyor. Ağ haritası, sunucu şifreleri, yazılım kaynak kodları – her şey. Bu en detaylı test. Sistemin en ücra köşesindeki açıklar bile bulunuyor.
Gri Kutu (Grey Box) – Test uzmanına sınırlı bilgi veriliyor. Mesela normal bir belediye çalışanının kullanıcı adı ve şifresi veriliyor. “Bu yetkiyle ne kadar zarar verebilirsin?” diye test ediliyor. İçeriden gelen tehditleri simüle ediyor.
4. İçişleri Bakanlığı’nın Belediyeler İçin Özel Kuralları
İçişleri Bakanlığı’nın altında bir Sektörel SOME (Siber Olaylara Müdahale Ekibi) var. Bu ekip belediyeler için özel kurallar koymuş. Genel mevzuatın üstüne ek kurallar bunlar. Belediyelerde çalışıyorsanız bunları da bilmeniz şart.
Yılda En Az Bir Kez Test Zorunlu
İçişleri Bakanlığı net söylüyor – belediyeler yılda en az bir kez sızma testi yaptıracak. “Bütçemiz yok”, “vakit bulamadık” gibi mazeretler geçerli değil. Zorunlu.
Ama bir de ek kural var. Eğer sisteminizde büyük bir değişiklik yaptıysanız, yıl dolmasını beklemeden tekrar test yaptırmalısınız. Mesela yeni bir e-belediye sistemi kurdunuz, yeni sunucular aldınız, ağ mimarisini değiştirdiniz. Bunlardan sonra test şart.
Test Üç Farklı Noktadan Yapılmalı
Bakanlık diyor ki test sadece dışarıdan yapılmayacak. Üç farklı yerden yapılacak. Neden? Çünkü gerçek hayatta saldırganlar sadece internetten gelmiyor. Bazen içeriden, bazen şubelerden saldırılar oluyor.
İnternetten Test (Dış Ağ) – Dışarıdan herhangi birinin erişebileceği sistemler test ediliyor. Web siteniz, e-belediye portalı, email sunucusu gibi. Bir hacker evinden bilgisayarıyla ne yapabilir diye bakılıyor.
İç Ağdan Test – Test uzmanı belediye binasına geliyor, misafir ağına bağlanıyor veya bir şekilde iç ağa sızmış gibi davranıyor. Oradan ne yapabilir diye test ediliyor. İçerdeki sunucular, personel bilgisayarları, yazıcılar – hepsi test ediliyor.
Şube Ağından Test – Belediyenin ana binası dışında şubeleri var değil mi? Tahsilat vezn eleri, kültür merkezleri, uzak hizmet binaları. Oralardan test yapılıyor. Çünkü genellikle şubeler daha az korumalı oluyor ve saldırganlar oradan merkeze geçmeye çalışıyor.
Kombine Risk Analizi Şart
Bakanlığın çok önemli bir kuralı daha var. Bulunan açıklar ayrı ayrı değerlendirilmeyecek. “Birlikte değerlendirme” yapılacak. Bu ne demek?
Şöyle düşünün – web sitenizde küçük bir XSS açığı var. Tek başına çok tehlikeli değil. Bir de personel bilgisayarlarında eski bir Windows açığı var. O da tek başına orta seviye tehlikeli. Ama bu ikisi bir araya gelirse ne olur?
Saldırgan önce XSS açığını kullanıyor, personelden birinin çerezini çalıyor. Sonra o çerez ile personel olarak sisteme giriyor. Sonra Windows açığını kullanarak yetkisini yükseltiyor. Ve sonunda tüm sistemi ele geçiriyor. İşte bu “zincirleme saldırı” analizi yapılması gerekiyor. Bakanlık bunu şart koşuyor.
Neleri Test Etmeliyiz
Bakanlık test kapsamını da belirlemiş. Şunlar mutlaka test edilmeli:
- Ağ Altyapısı – Switchler, routerlar, güvenlik duvarları, DNS sunucuları
- Sunucular ve Bilgisayarlar – Active Directory, personel bilgisayarları, email sunucusu
- Web Uygulamaları – E-belediye, veri tabanları, API’ler, mobil uygulamalar
- Kablosuz Ağlar – Personel Wi-Fi, misafir Wi-Fi, güvenlik kameraları ağı
- İnsan Faktörü – Personele phishing testi, sosyal mühendislik
- Kritik Sistemler – Su dağıtım sistemleri (SCADA), trafik yönetim sistemleri
5. TSE 13638 Belgesi Zorunluluğu – Herkese Test Yaptıramazsınız
Sızma testi çok hassas bir iş. Test yapan kişiler belediyenizin en gizli verilerine erişecek. Yönetici şifrelerini görecek. Vatandaş bilgilerine ulaşabilecek. Bu yüzden test yapacak firmanın ve uzmanların çok güvenilir olması gerekiyor. İşte bunun için TSE 13638 standardı var.
TSE 13638 Nedir
TSE (Türk Standardları Enstitüsü) sızma testi yapacak firmaları ve uzmanları belgelendiriyor. “Sende şu şartlar varsa, sen bu işi yapabilirsin” diyor. Bu şartlar çok ağır. Rastgele bir firma bu belgeyi alamıyor.
Firmalar üç seviyede belgel endiriliyor – A, B ve C Sınıfı. A Sınıfı en yüksek seviye. Belediyeler genellikle A veya B Sınıfı firma istiyor. Nesil Teknoloji TSE A Sınıfı belgeli bir firmadır.
A Sınıfı Belge Almak Çok Zor
A Sınıfı belge alabilmek için firmanın şartları var. Birincisi, ISO 27001 Bilgi Güvenliği Yönetim Sistemi belgeniz olmalı. Bu da başlı başına zor bir belge. İkincisi, kadronuzda belirli sayıda sertifikalı uzman olmalı.
Kaç tane uzman? A Sınıfı için en az şunlar olmalı – 1 Kıdemli uzman, 1 Sertifikalı uzman, 1 Kayıtlı uzman ve 2 Stajyer uzman. Toplamda en az 5 kişi. Ve bunlar sıradan çalışan değil, TSE’nin kendi sınavından geçmiş uzmanlar.
TSE Uzman Sınavı Ne Kadar Zor
TSE’nin uzman sınavları yılda birkaç kez oluyor. Ankara’da yapılıyor. Başvuru ücreti yaklaşık 4.200 TL. Sınav ücreti 22.000 TL. Toplam 26.000 TL civarı bir maliyet var. Üstelik sınav çok zor.
Sınav iki kısım – teorik ve uygulamalı. Teorik kısımda çoktan seçmeli sorular var, 3 saat sürüyor. Uygulamalı kısımda size kapalı bir ağ senaryosu veriliyor, “şu sistemlere sız, rapor yaz” diyorlar. O da 3 saat. Çoğu kişi ilk seferde geçemiyor.
Peki neden bu kadar zor? Çünkü bu insanlar devletin en kritik sistemlerine girecek. Vatandaş bilgilerine erişecek. Eğer yetersiz bir kişi bu işi yaparsa, ya açıkları göremez (boşuna para ödenmiş olur) ya da yanlışlıkla sistemi çökertir. Bu yüzden kalite çok önemli.
İhale Şartnamelerinde Ek Güvenlik Şartları
Belediyeler ihale açarken TSE belgesinin yanında ek şartlar da koyuyor. Bunlar da çok önemli…
Yüzde 100 Yerli Sermaye – Test yapacak firmanın tamamen Türk sermayeli olması şart. Yabancı ortaklı firma olamaz. Neden? Çünkü test sırasında belediyenin tüm ağ haritası, zayıf noktaları ortaya çıkıyor. Bu bilgiler stratejik değerde. Yabancı istihbaratların eline geçmemeli.
TC Vatandaşı Uzmanlar – Test yapacak ekibin tamamı TC vatandaşı olmalı. Yabancı uzman çalıştıran firmalar belediye işi alamıyor. Yine aynı sebepten – güvenlik.
Uluslararası Sertifikalar – TSE belgesine ek olarak, uzmanların CEH (Certified Ethical Hacker), OSCP (Offensive Security Certified Professional) gibi uluslararası sertifikaları olması tercih ediliyor. Bu sertifikalar dünyanın en zor siber güvenlik sınavları.
Veri Gizliliği Taahhütü – Test sırasında uzmanlar veri tabanına girebiliyorlar. Ama hiçbir veriyi kopyalayamıyorlar, okuyamıyorlar. Sadece “buraya girebildim” diye kanıt gösteriyorlar. Eğer veri çaldıkları anlaşılırsa, sözleşme feshediliyor ve yasal işlem başlatılıyor.
Test Sonrası Ne Oluyor
Test bitince detaylı bir rapor hazırlanıyor. Bu rapor iki bölüm içeriyor. Birinci bölüm yöneticiler için – “şu kadar açık bulduk, şu kadarı kritik, toplam risk seviyeniz bu” gibi özet bilgiler. İkinci bölüm IT ekibi için – her açığın tam teknik detayı, nasıl kapatılacağı adım adım.
Sonra ne yapacaksınız? Açıkları kapatacaksınız. Ve en önemlisi – belirli bir süre sonra “doğrulama testi” yaptıracaksınız. Bu test açıkların gerçekten kapandığını kontrol ediyor. Eğer hala açıksa, “biz önlem aldık” diyemezsiniz.
| TSE Firma Sınıfı | Gerekli Belgeler | Minimum Uzman Sayısı |
|---|---|---|
| A Sınıfı | ISO 27001 (TÜRKAK akrediteli) | 1 Kıdemli + 1 Sertifikalı + 1 Kayıtlı + 2 Stajyer |
| B Sınıfı | ISO 27001 (TÜRKAK akrediteli) | 1 Sertifikalı + 1 Kayıtlı + 1 Stajyer |
| C Sınıfı | ISO 27001 ilgili maddeler | 1 Kayıtlı |
Sık Sorulan Sorular
Küçük bir belediyeyiz, bize de sızma testi şart mı?
Evet, şart. Kanun büyük-küçük ayrımı yapmıyor. İster büyükşehir belediyesi olun, ister küçük bir ilçe belediyesi. Eğer vatandaş verisi tutuyorsanız ve dijital sistemleriniz varsa, test yaptırmak zorundasınız. “Bizde önemli bir şey yok” mazereti geçmiyor çünkü her belediye TC kimlik numarası, adres bilgisi gibi hassas verileri tutuyor.
Sızma testi ne kadar sürer ve ne kadar maliyeti var?
Belediyenin büyüklüğüne göre değişiyor. Küçük bir belediye için 7-10 gün sürebilir. Büyük bir belediye için 3-4 hafta sürebilir. Maliyet de buna göre değişiyor ama genellikle 50.000 TL ile 300.000 TL arasında. “Çok pahalı” diye düşünebilirsiniz ama veri ihlali yaşarsanız alacağınız ceza 10 milyon TL’ye kadar çıkabiliyor. O yüzden test aslında bir sigorta.
Test sırasında sistemlerimiz durur mu, hizmet akslar mı?
Hayır, profesyonel bir test sistemleri durdurmaz. Test ekibi belediyenizin BT personeliyle koordineli çalışır. Riskli testler (mesela DDoS simülasyonu) en az yoğun saatlerde yapılır. Hatta gerekirse gece yapılır. Amacımız açıkları bulmak, sistemi çökertmek değil. Bizim deneyimimizde hiçbir belediyede test yüzünden hizmet aksamadı.
Test yaptırdık, açıklar bulundu. Kapatmak için bütçemiz yok. Ne olur?
Bu çok riskli bir durum. “Test yaptırdık ama açıkları kapatmadık” demek, aslında “sorunun farkındayız ama bir şey yapmıyoruz” demek. Eğer veri ihlali olursa ve denetim gelirse, “biz test yaptırdık” demeniz sizi kurtarmaz. Çünkü bulguları uygulamamışsınız. Hatta daha kötü – “biliyordunuz ama yapmadınız” denilerek kasıtlı ihmal sayılabilir. O yüzden mutlaka bütçe ayırmalı ve açıkları kapatmalısınız. Hepsini birden kapatamıyorsanız, en kritik olanlardan başlayın.
Daha önce sistem kurulumu yapan firmaya test yaptırabilir miyiz?
Hayır, kesinlikle hayır. Bu “çıkar çatışması” sayılıyor. Kendi kurduğu sistemi test eden firma objektif olamaz. Açıkları gizleyebilir. Bu yüzden mevzuat bunu yasaklıyor. Test yapacak firmanın size sistem kurmamış, bakım yapmamış, tamamen bağımsız bir firma olması gerekiyor. Ayrıca iki yıl üst üste aynı firmaya da test yaptıramazsınız. Her yıl değiştirmeniz öneriliyor.
TSE belgesi olmayan ama ucuz teklif veren bir firma var. Onunla çalışabilir miyiz?
Hayır, çalışamazsınız. TSE belgesi zorunlu. Eğer TSE belgesiz firma ile çalışırsanız, yasal yükümlülüğü yerine getirmemiş sayılırsınız. Üstelik o firma hata yaparsa veya veri çalarsa, sorumlusu sizsiniz. TSE belgesi olmayan birine bu kadar hassas bir iş yaptırmak çok büyük risk. Tasarruf etmeye çalışırken çok daha büyük zararlara yol açabilirsiniz. Ucuz olan pahalıya mal olur bu durumda.
E-belediye sistemimiz bulut üzerinde, hosting firmasının sorumluluğunda. Yine de test yaptırmalı mıyız?
Evet, yaptırmalısınız. Hosting firması alt yapıdan sorumlu olabilir ama uygulamanın güvenliğinden siz sorumlusunuz. Üstelik KVKK’ya göre “veri sorumlusu” sizsiniz, hosting firması değil. Veri ihlali olursa cezayı siz alırsınız. O yüzden e-belediye sisteminin de mutlaka teste dahil edilmesi gerekiyor. Hosting firması ile koordine edin, onların da onayı ile test yapın ama mutlaka yaptırın.
