Kişisel Verileri Koruma Kanunu Blog İçeriği
Elektronik Bankacılık · İleri Seviye Sızma Testi · Dayanıklılık Bankacılıkta İleri Seviye Sızma Testi: Dijital Kaleyi Proaktif Savunma Geleneksel taramaların ötesinde, gerçekçi saldırı simülasyonlarıyla görünmeyen zafiyetleri ortaya çıkarın ve güveni kalıcı kılın. Özet: Giriş · Neden ileri seviye · Kapsam & türler · Ayrıntılı süreç · Düzeltme & yeniden test · Sürekli izleme ve kültür…
Bankacılık · Bağımsız Sızma Testi · Uyum & Güvence Bankacılıkta Bağımsız Sızma Testi: Regülasyon Uyumlu, Risk Odaklı Güvence Gerçek saldırı senaryoları ile savunmanın sınanması · BDDK / KVKK / PCI DSS / ISO 27001 ile tam uyum. Özet: Tehdit ortamı · Stratejik hedefler · Adım adım süreç · Raporlama & retest · Düzenlemeler ve standartlar…
Finans Sektörü · BDDK Uyumlu Sızma Testi Programı BDDK Uyumlu Sızma Testleri: Dijital Finansın Güvenlik Kalkanı Yasal gereklilikten fazlası: müşteri gizliliği, sistem bütünlüğü ve siber direnç için hayati denetim. Özet: Amaç · Tehditler · 5 Aşamalı Uygulama · Stratejik kazanımlar — Ölç · Test Et · Güçlendir Giriş Programın Amacı Kritik Tehditler Uygulama Süreci 4.1…
Vaka Çalışması · Ürgüp Belediyesi Dijital Belediyecilikte Güven: KVKK, ISO 27001 ve Siber Dayanıklılık Ürgüp Belediyesi; KVKK uyumu, ISO 27001 sertifikasyonu ve modern siber güvenlik altyapısı ile kesintisiz, güvenli e-belediye hizmeti sunuyor. Kısa Özet: Veri koruma · Ağ & uygulama güvenliği · ISO 27001 · SIEM & olay müdahale · Somut çıktılar · Gelecek vizyonu…
KVKK Teknik Uyum – Özet Yol Haritası
1. KVKK ve IT’nin Rolü
KVKK md.12 → Teknik + idari tedbir zorunluluğu.
IT = hukukun yazdığını sahada uygulayan ekip.
SAP, HR, CRM, AD, e-posta, yedekleme, DLP, SIEM → KVKK’nın doğrudan temas ettiği sistemler.
2. Erişim Yönetimi
Yetki Matrisi (RBAC/ABAC), SoD analizi.
MFA kritik sistemlerde zorunlu.
IAM/PAM: Admin hesaplar vault + JIT erişim.
Off-boarding otomatik → dormant account = %0 hedef.
3. Loglama ve İzleme
Tüm erişim hareketleri loglanmalı.
Hash + Time-stamp + WORM ile bütünlük korunmalı.
SIEM + SOC 7/24 → anomali tespiti + alarm.
4. Ağ Güvenliği
Segmentasyon: Ofis, SAP, üretim, DMZ ayrı.
NGFW + IDS/IPS: Davranışsal analiz.
VPN + MFA: Split tunneling yasak.
Kablosuz: WPA3, rogue AP tespiti.
5. Uygulama Güvenliği
OWASP Top 10 + API Security Top 10.
SAP Security: SoD, Security Notes, SM20 logları.
Kod Analizi: SAST, DAST, SCA.
Pentest: Yılda 2 defa.
6. Şifreleme ve Anahtar Yönetimi
At-Rest: AES-256 (DB, disk, yedek).
In-Transit: TLS 1.3, zayıf cipher yasak.
KMS/HSM: Anahtar rotasyonu ≤ 12 ay.
Parola Politikası: 12+ karakter, hash = bcrypt/Argon2.
7. Veri Maskeleme & DLP
Maskeleme: TCKN → ********1234.
Test Ortamı: Statik maskeleme.
DLP: USB, e-posta, cloud kontrolü.
Content Fingerprinting: Doküman kopyası engeli.
8. Yedekleme & Felaket Kurtarma
3-2-1 Kuralı + Immutable Backup.
RTO ≤ 4 saat, RPO ≤ 15 dk.
Yılda 2 tatbikat (geri dönüş + tam DR).
9. İmha & Saklama
Süresi dolan veri otomatik silinmeli.
Silme, Yok Etme, Anonimleştirme: NIST 800-88.
SAP ILM: Yaşam döngüsü yönetimi.
İmha tutanakları + loglar saklanmalı.
10. Güvenlik Testleri & Zafiyet Yönetimi
Zafiyet Taraması: Aylık.
Patch Management: Critical ≤ 7 gün.
Red Teaming: Gerçek saldırı simülasyonu.
Pentest: SAP + web + mobil + OT/SCADA.
11. İdari Tedbirlerle Entegrasyon
Envanter & Politikalar: IT’den veri → hukukla uyumlu kayıt.
Sözleşmeler & SLA: Tedarikçi erişimleri loglu.
Denetim: IT logları = hukukun kanıtı.
12. Eğitim & Kriz Yönetimi
Eğitim: Çalışan → KVKK farkındalık, IT → ileri teknik eğitim.
Phishing Simülasyonu: Düzenli.
İhlal Bildirimi: 72 saat içinde Kurul’a raporlama.
Kriz Planı: IT + Hukuk + İK koordinasyonu.
HTTP/3 ve QUIC, internetin hız ve güvenlik açısından yeni dönemi olarak öne çıkıyor. TCP’nin yıllardır bilinen sorunlarını geride bırakan bu yapı, UDP üzerine inşa edilmesi, varsayılan şifreleme kullanması ve bağlantı kimlikleriyle esnek oturum yönetimi sağlamasıyla dikkat çekiyor.
Protokolün sağladığı avantajlar arasında, daha güçlü şifreleme algoritmaları, baş hattı tıkanıklığının ortadan kalkması ve kullanıcı gizliliğini artıran özellikler yer alıyor. Ancak bu yenilikler, sızma testleri açısından yeni bir meydan okuma da getiriyor. Örneğin 0-RTT bağlantılarındaki replay riski, connection ID’nin kötüye kullanılma ihtimali veya uygulama katmanındaki klasik zafiyetlerin QUIC ortamında nasıl farklı sonuçlar doğurabileceği test edilmek zorunda.
Bu yeni dünyayı incelemek için güvenlik uzmanlarının Burp Suite, Wireshark ya da özel geliştirilmiş QUIC araçlarından yararlanması gerekiyor. Sonuçta HTTP/3 ve QUIC, geleceğin web trafiğini şekillendirirken, güvenlik tarafında da hem fırsatlar hem de yeni riskler ortaya çıkarıyor. Bu nedenle kurumların doğru yapılandırma, güncel güvenlik duvarı kuralları ve sürekli izleme gibi tedbirlerle kendilerini hazırlamaları kritik önem taşıyor.
Vaka Özeti · Güvenli Dijital Belediyecilik Erzincan Belediyesi · KVKK Uyum, Pentest ve Eğitim Programı Hız, erişilebilirlik ve güven: KVKK, siber güvenlik testleri ve sürdürülebilir eğitimle güvenli dijital belediyecilik modeli. Vizyon: Kişisel verilerin korunması ve siber dayanıklılıkta Türkiye’de öncü yerel yönetim olmak. 1. Giriş 2. KVKK Uyum 3. Siber Güvenlik Testleri 4. Eğitim & Farkındalık…
Teknik Rehber · Kubernetes & WebAssembly Kubernetes WASM Runtime’larında Sızma Testi: Güvenlik Duvarlarını Yıkmak Kubernetes üzerinde WASM (WebAssembly) iş yüklerinin güvenliğini değerlendirmek için keşif, analiz, istismar ve sertleştirme odaklı kapsamlı pentest taslağı. Özet: WASM izolasyonu güçlüdür; ancak yanlış yapılandırılmış runtime, aşırı yetkili WASI kabiliyetleri ve K8s entegrasyon hataları bu gücü zayıflatabilir. Giriş WASM & Güvenlik…
Gündem · E-İmza Güvenliği · BTK İddiası “BTK’da E-İmza Şifre Havuzu Patlatıldı” İddiası: Ne Oldu, Ne Değil? Gündemi sarsan iddialar, resmî açıklamalar ve vatandaşlar için pratik güvenlik önerileri. Özet: İddiaların kaynağı · BTK açıklaması · Uzman görüşleri · Medya/bilgi kirliliği · E-imza güvenliği önerileri · Sonuç Giriş İddiaların Kaynağı BTK’nın Resmî Açıklaması Siber Güvenlik Uzmanları…
Gündem · Yapay Zekâ · Yorum Bu Türk OpenAI’ya CEO Olabilir! Yaratıcı bir başvuru, yapay zekâ dünyasında liderliğin yalnızca teknik yetkinlikle değil vizyon ve mizahla da şekillendiğini hatırlattı. Kısa özet: Alışılmışın dışındaki önerilerle dikkat çeken bir Türk adayın OpenAI CEO’luk başvurusu; cesaret, mizah ve yaratıcılığın teknoloji yönetiminde nasıl fark yaratabildiğini gösteriyor. Giriş Cesur Bir Başvuru…