SHT-Siber Uyumlu Hizmet

Sivil Havacılık İşletmeleri için
Sızma Testleri (Penetrasyon Testi)

SHGM Denetim Odaklı – Denetime Hazır Raporlama

SHT-Siber Yönetim Sistemi Standardı kapsamında, sivil havacılık işletmelerinin BT/OT varlıklarını gerçek saldırı senaryoları ile test ediyor; riskleri teknik olarak doğrulayarak SHGM denetimlerinde kullanılabilir raporlar, DÖF planı ve yeniden test hizmeti sunuyoruz.

SHT-Siber Yönetim Sistemi Nedir?

SHT-Siber (Sivil Havacılık Siber Güvenlik Yönetim Sistemi Standardı), Sivil Havacılık Genel Müdürlüğü (SHGM) tarafından yayımlanan ve sivil havacılık sektöründe faaliyet gösteren işletmelerin siber güvenlik risklerini yönetmesi amacıyla oluşturulmuş bir düzenlemedir. Havalimanları, havayolları, seyrüsefer hizmet sağlayıcıları ve yer hizmetleri gibi kritik altyapıları kapsayan bu standart, işletmelerin BT (Bilgi Teknolojileri) ve OT (Operasyonel Teknoloji) varlıklarını güvence altına almasını zorunlu kılar.

Denetimlerde Temel Beklenti
SHGM denetimlerinde sürekli sorulan soru şudur: "Risk değerlendirmenizi teknik olarak nasıl doğruladınız?" Bu soruya en somut cevap, profesyonel bir sızma testi yaptırarak sistemlerdeki gerçek açıklıkları tespit etmek ve belgeli bir düzeltme süreci yürütmektir.

Bu Hizmet Kimler İçin?

Havayolu İşletmeleri

Rezervasyon, check-in, uçuş planlama sistemleri

Havalimanı İşletmeleri

Terminal yönetim, güvenlik, bagaj takip sistemleri

Seyrüsefer Hizmet Sağlayıcıları

Hava trafik kontrol, radar, iletişim sistemleri

Yer Hizmetleri & Bakım Kuruluşları

Kritik sistemlere sahip operasyon yönetimi

Terminal İşletmeleri

Yolcu işlemleri, kargo yönetimi sistemleri

Tedarikçi/Entegratör Firmalar

Havacılık ekosisteminde kritik yazılım/donanım sağlayıcıları

İşletmeniz 1. Grup, 2. Grup veya 3. Grup kapsamında hangi kategoriye giriyorsa, test kapsamı buna göre belirlenir.

Sızma Testi Kapsamı

SHT-Siber uyumlu sızma testlerimiz, işletmenizin dışa açık saldırı yüzeyinden başlayarak iç ağ güvenliği, kritik uygulamalar ve OT/IoT bileşenlerine kadar tüm teknik varlıklarınızı kapsar.

Test Alanları

Harici Ağ Testleri

İnternete açık sunucular, web uygulamaları, VPN, e-posta sunucuları, DNS servisleri üzerinde saldırı yüzeyi taraması ve zafiyet sömürüsü testleri.

Dahili Ağ Testleri

Active Directory, domain politikaları, iç sunucular, segmentasyon kontrolü, yetki yükseltme ve lateral movement (yatay hareket) senaryoları.

Web Uygulamaları

OWASP Top 10 güvenlik açıklıkları, SQL Injection, XSS, kimlik doğrulama ve yetkilendirme zafiyetleri, iş mantığı testleri, API güvenliği.

Mobil Uygulamalar

iOS/Android uygulamalarında yerel veri depolama, şifreleme, API iletişimi, uygulama izinleri ve kod güvenliği testleri.

Kablosuz Ağlar (WiFi)

WLAN şifreleme güvenliği, misafir ağ izolasyonu, rogue access point tespiti, WPA2/WPA3 konfigürasyonu değerlendirmesi.

Sosyal Mühendislik

Kimlik avı (phishing) e-posta kampanyaları, güvenlik farkındalığı testleri, fiziksel güvenlik değerlendirmesi (talep üzerine).

Veritabanı Güvenliği

Veritabanı yetkilendirme kontrolleri, şifreleme durumu, yedekleme güvenliği, SQL injection korumaları, hassas veri erişimi testleri.

OT/IoT Sistemleri

Bagaj takip, CCTV, erişim kontrol, SCADA, BMS (Bina Yönetim Sistemi) gibi operasyonel teknoloji bileşenlerinin güvenlik değerlendirmesi.

Bulut Altyapıları

AWS, Azure, Google Cloud yapılandırma incelemeleri, IAM politikaları, depolama güvenliği, container güvenliği testleri (varsa).

Test Süreci & Metodoloji

Sızma testi sürecimiz, planlama aşamasından son re-test raporuna kadar profesyonel ve şeffaf bir yapıda ilerler. Her aşamada işletmenizle koordineli çalışarak operasyonları aksatmayan, ancak gerçek riskleri ortaya çıkaran bir metodoloji uygularız.

1
Ön Görüşme & Kapsam Belirleme

Varlık envanteriniz, kritik sistemler, test penceresi ve hedef listesi ile kapsam netleştirilir. Test Talimatı (ToR) hazırlanır.

2
Keşif & Bilgi Toplama

Hedef sistemlerin pasif/aktif taraması, açık portlar, servisler, teknolojiler ve potansiyel saldırı vektörleri belirlenir.

3
Zafiyet Analizi & Sömürü

Tespit edilen zafiyetler manuel olarak doğrulanır; gerçek saldırı senaryoları (exploit) ile sistemlerdeki etkisi ölçülür.

4
Raporlama & Sunum

Bulgular risk seviyelerine göre sınıflandırılır; yönetici özeti + teknik detay + iş etkisi + çözüm önerileri hazırlanır.

Kullandığımız Metodolojiler

OWASP Testing Guide

Web uygulamaları ve API güvenliği testlerinde endüstri standardı metodoloji

OSSTMM (Open Source Security Testing)

Kapsamlı güvenlik test metodolojisi; ağ, fiziksel ve insan faktörü

PTES (Penetration Testing Execution Standard)

Sızma testi süreçlerinin standartlaştırılmış yürütümü

Teslimatlar & Çıktılar

Ana Sızma Testi Raporu

Yönetici özeti, bulgular (teknik kanıt + ekran görüntüleri), risk derecelendirmesi, iş etkisi analizi ve düzeltme önerileri

Düzeltici/Önleyici Faaliyet (DÖF) Planı

Her bulgu için sorumlu kişi, termin tarihi, beklenen kanıt ve izleme alanlarını içeren aksiyon planı

Yeniden Test (Re-test) Raporu

Düzeltmelerin teknik doğrulaması; kapanan/kalan bulguların durumu ve nihai risk seviyesi

Ekler & Destekleyici Belgeler

Kapsam listesi, test takvimi, kullanılan araçlar, CVE referansları, metodoloji özeti

SHGM Denetiminde Kullanım
Tüm teslimatlar, SHGM denetimlerinde delil olarak sunulabilecek formatta hazırlanır. Raporlarımız, "riskleri teknik olarak nasıl doğruladınız?" sorusuna net cevap verir.

Neden Nesil Teknoloji?

10+ Yıllık Siber Güvenlik Deneyimi
50+ Tamamlanan Sızma Testi Projesi
100% Denetim Uyumlu Raporlama

SHT-Siber Denetim Deneyimi

Havacılık sektöründe SHGM denetim beklentilerini bilen, pratik çözüm odaklı yaklaşım

Sertifikalı Uzman Kadro

OSCP, CEH, GPEN, CISSP sertifikalı siber güvenlik uzmanları

Operasyonel Hassasiyet

7/24 operasyonları aksatmayan, bakım penceresi koordineli test planlaması

Gizlilik & Güvenlik

Tüm test verileri şifreli ortamda saklanır, proje sonunda güvenli şekilde imha edilir

Takip & Destek

Re-test sonrası 3 ay boyunca soru-cevap desteği; denetim öncesi ek danışmanlık

Şeffaf Fiyatlandırma

Kapsama göre net bütçe; gizli maliyet yok, esnek ödeme planları

Sıkça Sorulan Sorular

SHT-Siber kapsamında sızma testi zorunlu mudur?

SHT-Siber standardında "yılda X kez pentest yapın" gibi doğrudan bir hüküm yer almasa da, denetim pratiğinde risklerin teknik doğrulaması mutlaka istenir. SHGM denetçileri, "Bu riskleri nasıl doğruladınız?" sorusuna somut cevap bekler. Bu soruya en güçlü ve kabul gören yanıt, profesyonel bir sızma testi raporu sunmaktır. Bu nedenle özellikle kritik sistemlere sahip 1. ve 2. grup işletmeler için sızma testi fiilen zorunlu hale gelir.

Test sırasında üretim ortamında kesinti riski var mı?

Testlerimiz "operasyonu etkilememe" prensibiyle planlanır. Kritik sistemlerde mutlaka bakım penceresi kullanılır; DoS (hizmet dışı bırakma) ve yük testleri asla yazılı onay olmadan uygulanmaz. 7/24 çalışan havacılık operasyonlarında deneyimimiz sayesinde, risksiz bir test süreci yürütürüz. Tüm testler öncesinde bir rollback planı hazırlanır.

Rapor SHGM denetiminde doğrudan kullanılabilir mi?

Evet. Raporlarımız, SHGM denetçilerine sunulabilecek formatta hazırlanır. İçeriğinde: yönetici özeti (üst yönetim için), teknik bulgular (ekran görüntüleri ve adım adım kanıtlar), risk derecelendirmesi (kritik/yüksek/orta/düşük), iş etkisi analizi ve düzeltme adımları yer alır. Re-test raporu ile birlikte "bulgular kapandı" kanıtı da sunulur.

OT sistemleri (SCADA, BMS, CCTV) test ediliyor mu?

Varlık envanterinizde OT/IoT bileşenleri yer alıyorsa ve kapsam onayı verildiyse, evet, test edilir. Ancak operasyonel risk yüksek olan sistemlerde (örneğin bagaj takip, hava trafik kontrol) güvenli doğrulama yöntemleri tercih edilir. Gerekirse yalnızca yapılandırma incelemeleri veya kısıtlı testler yapılır; kesinlikle operasyonu durduracak müdahalelerden kaçınılır.

Test süresi ne kadar sürer?

Süre, kapsama göre değişir. Tipik bir küçük-orta ölçekli işletme için 2-3 hafta; büyük ölçekli havalimanı veya havayolu için 4-6 hafta olabilir. Süreç: Keşif (2-5 gün) → Aktif test (5-15 gün) → Raporlama (3-5 gün) → Re-test (2-3 gün) şeklinde planlanır. İlk görüşmede size özel bir test takvimi sunulur.

Hangi sertifikalara sahipsiniz?

Ekibimiz OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker), GPEN (GIAC Penetration Tester), CISSP ve CISA gibi uluslararası sertifikalara sahiptir. Ayrıca TSE Onaylı Sızma Testi Firması (TSE-STF-065) belgesi ile Türkiye'de akredite edilmiş bir firmayız.

Test sonrası düzeltme desteği veriyor musunuz?

Evet. Re-test sonrası 3 ay boyunca soru-cevap desteği veriyoruz. Bulgularla ilgili teknik sorularınızı cevaplayıyor, düzeltme adımlarınızı doğruluyoruz. Ayrıca SHGM denetimi öncesinde ek danışmanlık taleplerinizi de değerlendiriyoruz. İsteğe bağlı olarak düzeltmeleri sizin adınıza yapma hizmeti de sunuyoruz.

Maliyet nasıl belirlenir?

Maliyet, test kapsamına (harici ağ, dahili ağ, web/mobil uygulama sayısı, OT sistemleri), işletme büyüklüğüne ve test süresine göre belirlenir. İlk görüşmeden sonra size kapsam belgesi (ToR) ve net teklif sunuyoruz. Gizli maliyet yoktur; esnek ödeme planları mevcuttur.

SHGM Denetimi Öncesi Hazırlığınızı Şimdi Başlatın

Test kapsamını (ToR), test penceresini ve teslimatları birlikte belirleyelim. Denetimde sorulacak "riskleri teknik olarak nasıl doğruladınız?" sorusuna net cevap veren bir çıktı paketi hazırlayalım.