Sivil Havacılık İşletmeleri için
Sızma Testleri (Penetrasyon Testi)
SHT-Siber Yönetim Sistemi Standardı kapsamında, sivil havacılık işletmelerinin BT/OT varlıklarını gerçek saldırı senaryoları ile test ediyor; riskleri teknik olarak doğrulayarak SHGM denetimlerinde kullanılabilir raporlar, DÖF planı ve yeniden test hizmeti sunuyoruz.
SHT-Siber Yönetim Sistemi Nedir?
SHT-Siber (Sivil Havacılık Siber Güvenlik Yönetim Sistemi Standardı), Sivil Havacılık Genel Müdürlüğü (SHGM) tarafından yayımlanan ve sivil havacılık sektöründe faaliyet gösteren işletmelerin siber güvenlik risklerini yönetmesi amacıyla oluşturulmuş bir düzenlemedir. Havalimanları, havayolları, seyrüsefer hizmet sağlayıcıları ve yer hizmetleri gibi kritik altyapıları kapsayan bu standart, işletmelerin BT (Bilgi Teknolojileri) ve OT (Operasyonel Teknoloji) varlıklarını güvence altına almasını zorunlu kılar.
Bu Hizmet Kimler İçin?
Havayolu İşletmeleri
Rezervasyon, check-in, uçuş planlama sistemleri
Havalimanı İşletmeleri
Terminal yönetim, güvenlik, bagaj takip sistemleri
Seyrüsefer Hizmet Sağlayıcıları
Hava trafik kontrol, radar, iletişim sistemleri
Yer Hizmetleri & Bakım Kuruluşları
Kritik sistemlere sahip operasyon yönetimi
Terminal İşletmeleri
Yolcu işlemleri, kargo yönetimi sistemleri
Tedarikçi/Entegratör Firmalar
Havacılık ekosisteminde kritik yazılım/donanım sağlayıcıları
Sızma Testi Kapsamı
SHT-Siber uyumlu sızma testlerimiz, işletmenizin dışa açık saldırı yüzeyinden başlayarak iç ağ güvenliği, kritik uygulamalar ve OT/IoT bileşenlerine kadar tüm teknik varlıklarınızı kapsar.
Test Alanları
Harici Ağ Testleri
İnternete açık sunucular, web uygulamaları, VPN, e-posta sunucuları, DNS servisleri üzerinde saldırı yüzeyi taraması ve zafiyet sömürüsü testleri.
Dahili Ağ Testleri
Active Directory, domain politikaları, iç sunucular, segmentasyon kontrolü, yetki yükseltme ve lateral movement (yatay hareket) senaryoları.
Web Uygulamaları
OWASP Top 10 güvenlik açıklıkları, SQL Injection, XSS, kimlik doğrulama ve yetkilendirme zafiyetleri, iş mantığı testleri, API güvenliği.
Mobil Uygulamalar
iOS/Android uygulamalarında yerel veri depolama, şifreleme, API iletişimi, uygulama izinleri ve kod güvenliği testleri.
Kablosuz Ağlar (WiFi)
WLAN şifreleme güvenliği, misafir ağ izolasyonu, rogue access point tespiti, WPA2/WPA3 konfigürasyonu değerlendirmesi.
Sosyal Mühendislik
Kimlik avı (phishing) e-posta kampanyaları, güvenlik farkındalığı testleri, fiziksel güvenlik değerlendirmesi (talep üzerine).
Veritabanı Güvenliği
Veritabanı yetkilendirme kontrolleri, şifreleme durumu, yedekleme güvenliği, SQL injection korumaları, hassas veri erişimi testleri.
OT/IoT Sistemleri
Bagaj takip, CCTV, erişim kontrol, SCADA, BMS (Bina Yönetim Sistemi) gibi operasyonel teknoloji bileşenlerinin güvenlik değerlendirmesi.
Bulut Altyapıları
AWS, Azure, Google Cloud yapılandırma incelemeleri, IAM politikaları, depolama güvenliği, container güvenliği testleri (varsa).
Test Süreci & Metodoloji
Sızma testi sürecimiz, planlama aşamasından son re-test raporuna kadar profesyonel ve şeffaf bir yapıda ilerler. Her aşamada işletmenizle koordineli çalışarak operasyonları aksatmayan, ancak gerçek riskleri ortaya çıkaran bir metodoloji uygularız.
Varlık envanteriniz, kritik sistemler, test penceresi ve hedef listesi ile kapsam netleştirilir. Test Talimatı (ToR) hazırlanır.
Hedef sistemlerin pasif/aktif taraması, açık portlar, servisler, teknolojiler ve potansiyel saldırı vektörleri belirlenir.
Tespit edilen zafiyetler manuel olarak doğrulanır; gerçek saldırı senaryoları (exploit) ile sistemlerdeki etkisi ölçülür.
Bulgular risk seviyelerine göre sınıflandırılır; yönetici özeti + teknik detay + iş etkisi + çözüm önerileri hazırlanır.
Kullandığımız Metodolojiler
OWASP Testing Guide
Web uygulamaları ve API güvenliği testlerinde endüstri standardı metodoloji
OSSTMM (Open Source Security Testing)
Kapsamlı güvenlik test metodolojisi; ağ, fiziksel ve insan faktörü
PTES (Penetration Testing Execution Standard)
Sızma testi süreçlerinin standartlaştırılmış yürütümü
Teslimatlar & Çıktılar
Ana Sızma Testi Raporu
Yönetici özeti, bulgular (teknik kanıt + ekran görüntüleri), risk derecelendirmesi, iş etkisi analizi ve düzeltme önerileri
Düzeltici/Önleyici Faaliyet (DÖF) Planı
Her bulgu için sorumlu kişi, termin tarihi, beklenen kanıt ve izleme alanlarını içeren aksiyon planı
Yeniden Test (Re-test) Raporu
Düzeltmelerin teknik doğrulaması; kapanan/kalan bulguların durumu ve nihai risk seviyesi
Ekler & Destekleyici Belgeler
Kapsam listesi, test takvimi, kullanılan araçlar, CVE referansları, metodoloji özeti
Neden Nesil Teknoloji?
SHT-Siber Denetim Deneyimi
Havacılık sektöründe SHGM denetim beklentilerini bilen, pratik çözüm odaklı yaklaşım
Sertifikalı Uzman Kadro
OSCP, CEH, GPEN, CISSP sertifikalı siber güvenlik uzmanları
Operasyonel Hassasiyet
7/24 operasyonları aksatmayan, bakım penceresi koordineli test planlaması
Gizlilik & Güvenlik
Tüm test verileri şifreli ortamda saklanır, proje sonunda güvenli şekilde imha edilir
Takip & Destek
Re-test sonrası 3 ay boyunca soru-cevap desteği; denetim öncesi ek danışmanlık
Şeffaf Fiyatlandırma
Kapsama göre net bütçe; gizli maliyet yok, esnek ödeme planları
Sıkça Sorulan Sorular
SHT-Siber kapsamında sızma testi zorunlu mudur?
SHT-Siber standardında "yılda X kez pentest yapın" gibi doğrudan bir hüküm yer almasa da, denetim pratiğinde risklerin teknik doğrulaması mutlaka istenir. SHGM denetçileri, "Bu riskleri nasıl doğruladınız?" sorusuna somut cevap bekler. Bu soruya en güçlü ve kabul gören yanıt, profesyonel bir sızma testi raporu sunmaktır. Bu nedenle özellikle kritik sistemlere sahip 1. ve 2. grup işletmeler için sızma testi fiilen zorunlu hale gelir.
Test sırasında üretim ortamında kesinti riski var mı?
Testlerimiz "operasyonu etkilememe" prensibiyle planlanır. Kritik sistemlerde mutlaka bakım penceresi kullanılır; DoS (hizmet dışı bırakma) ve yük testleri asla yazılı onay olmadan uygulanmaz. 7/24 çalışan havacılık operasyonlarında deneyimimiz sayesinde, risksiz bir test süreci yürütürüz. Tüm testler öncesinde bir rollback planı hazırlanır.
Rapor SHGM denetiminde doğrudan kullanılabilir mi?
Evet. Raporlarımız, SHGM denetçilerine sunulabilecek formatta hazırlanır. İçeriğinde: yönetici özeti (üst yönetim için), teknik bulgular (ekran görüntüleri ve adım adım kanıtlar), risk derecelendirmesi (kritik/yüksek/orta/düşük), iş etkisi analizi ve düzeltme adımları yer alır. Re-test raporu ile birlikte "bulgular kapandı" kanıtı da sunulur.
OT sistemleri (SCADA, BMS, CCTV) test ediliyor mu?
Varlık envanterinizde OT/IoT bileşenleri yer alıyorsa ve kapsam onayı verildiyse, evet, test edilir. Ancak operasyonel risk yüksek olan sistemlerde (örneğin bagaj takip, hava trafik kontrol) güvenli doğrulama yöntemleri tercih edilir. Gerekirse yalnızca yapılandırma incelemeleri veya kısıtlı testler yapılır; kesinlikle operasyonu durduracak müdahalelerden kaçınılır.
Test süresi ne kadar sürer?
Süre, kapsama göre değişir. Tipik bir küçük-orta ölçekli işletme için 2-3 hafta; büyük ölçekli havalimanı veya havayolu için 4-6 hafta olabilir. Süreç: Keşif (2-5 gün) → Aktif test (5-15 gün) → Raporlama (3-5 gün) → Re-test (2-3 gün) şeklinde planlanır. İlk görüşmede size özel bir test takvimi sunulur.
Hangi sertifikalara sahipsiniz?
Ekibimiz OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker), GPEN (GIAC Penetration Tester), CISSP ve CISA gibi uluslararası sertifikalara sahiptir. Ayrıca TSE Onaylı Sızma Testi Firması (TSE-STF-065) belgesi ile Türkiye'de akredite edilmiş bir firmayız.
Test sonrası düzeltme desteği veriyor musunuz?
Evet. Re-test sonrası 3 ay boyunca soru-cevap desteği veriyoruz. Bulgularla ilgili teknik sorularınızı cevaplayıyor, düzeltme adımlarınızı doğruluyoruz. Ayrıca SHGM denetimi öncesinde ek danışmanlık taleplerinizi de değerlendiriyoruz. İsteğe bağlı olarak düzeltmeleri sizin adınıza yapma hizmeti de sunuyoruz.
Maliyet nasıl belirlenir?
Maliyet, test kapsamına (harici ağ, dahili ağ, web/mobil uygulama sayısı, OT sistemleri), işletme büyüklüğüne ve test süresine göre belirlenir. İlk görüşmeden sonra size kapsam belgesi (ToR) ve net teklif sunuyoruz. Gizli maliyet yoktur; esnek ödeme planları mevcuttur.
SHGM Denetimi Öncesi Hazırlığınızı Şimdi Başlatın
Test kapsamını (ToR), test penceresini ve teslimatları birlikte belirleyelim. Denetimde sorulacak "riskleri teknik olarak nasıl doğruladınız?" sorusuna net cevap veren bir çıktı paketi hazırlayalım.