KVKK · GDPR · Siber Güvenlik · Strateji
Dijital Dönüşümde Güvenliğin Yeni Oyunu: Tehdit İstihbaratı, Hukuki Uyum ve Operasyon
Teknik savunmayı hukukla birleştiren, proaktif ve sürdürülebilir bir güvenlik mimarisi için uçtan uca rehber.
Yönetici Özeti
- AI destekli saldırılar, tedarik zinciri ihlalleri ve ransomware 2.0 kurumların risk profilini yeniden tanımladı.
- KVKK & GDPR; tasarımdan itibaren gizlilik, veri minimizasyonu ve 72 saat ihlal bildirimi gibi zorunlu hatlar getiriyor.
- SOC, tehdit avcılığı ve sızma testleri; “gerekli teknik tedbirlerin” somut kanıtıdır.
- Veri envanteri → risk skoru → uyum açığı matrisi ile yatırım önceliği belirlenmeli.
72s kuralı · İhlal bildirimi
RBAC/PAM · En az ayrıcalık
SIEM/UEBA/DLP · Sürekli izleme
Yıllık pentest + değişiklik sonrası test
1) Yeni Nesil Siber Tehditler: Gelişen Risk Profili
AI destekli saldırılar & deepfake
- Hedefli oltalama (spear phishing) ve stil klonlama
- Polimorfik/metamorfik zararlı yazılımlar
- Ses/yüz deepfake ile acil transfer dolandırıcılığı
Tedarik zinciri & Ransomware 2.0
- Yazılım güncelleme kanallarına sızma, MSP ihlalleri
- Çifte şantaj: Şifreleme + veri sızdırma tehdidi
IoT/OT zafiyetleri
Varsayılan parolalar, yamalanmayan cihazlar ve zayıf şifreleme; ağ içi yanal hareket için sıçrama tahtası.
Paradigma: “Koru & bekle” değil; tahmin et · önle · tespit et · yanıt ver.
2) KVKK & GDPR’da Stratejik Yaklaşım
Temel ilkeler (DNA)
- Hukuka uygunluk, doğruluk, amaçla sınırlılık
- Veri minimizasyonu, sınırlı süreli saklama
- Bütünlük ve gizlilik (teknik/idari tedbir)
Privacy by Design/Default
Gizlilik ve güvenlik tasarımdan itibaren; varsayılan ayarlar en yüksek gizlilikte.
DPIAVarsayılan GizlilikGüvenli MimariRoller & sözleşmeler
- Veri sorumlusu ↔ veri işleyen ayrımı
- 3. taraf sözleşmelerinde güvenlik/denetim/ihlal bildirimi maddeleri
Yol Haritası: Farkındalık → Veri envanteri/haritalama → Boşluk analizi → Politika/prosedür → Teknik tedbirler → Sürekli izleme/denetim.
3) İhlal Bildirimleri & Cezai Sorumluluklar
72 Saat Kuralı
- KVKK/GDPR: ihlali öğrenmeden itibaren 72s içinde otoriteye bildirim
- Yüksek riskte ilgili kişilere makul sürede bilgilendirme
- Bildirim içeriği: kapsam, DPO iletişimi, etki, alınan tedbirler
İdari cezalar (özet)
- KVKK: aydınlatma, güvenlik, VERBİS, kurul kararlarına uyum kalemlerinde yüksek yaptırımlar
- GDPR: 10–20M€ veya cironun %2–4’üne kadar
Hazırlık seti: İhlal müdahale planı · Tatbikatlar · Hukuk danışmanlığı · Siber sigorta
4) Uyumlu Güvenlik Mimarisi
Teknik omurga
- RBAC/IAM/PAM · En az ayrıcalık
- Ağ segmentasyonu & mikro-segmentasyon
- Şifreleme (at-rest/in-transit)
- Sızma testi & zafiyet yönetimi
- SIEM · Log saklama & bütünlük
İdari omurga
- Bilgi güvenliği & saklama/imhâ politikaları
- Farkındalık eğitimleri & SİBER kültür
- Üçüncü taraf risk yönetimi & sözleşmeler
5) SOC & Tehdit Operasyonları
Algılama → Analiz → Müdahale
SIEM ile anomali tespiti, analist doğrulaması ve planlı containment/eradication/recovery akışı.
Threat Hunting & Forensics
Alarmsız APT izi arama; adli kanıt bütünlüğü (chain of custody) ve 72s bildirime veri sağlama.
Uyum katkısı: 7/24 izleme “gerekli teknik tedbir”in kanıtıdır.
6) Sızma Testleri (Pentest) & Yasal Belgeleme
Tarama ≠ Pentest
Zafiyet taraması “liste” çıkarır; pentest istismar edilebilirliği ve iş etkisini kanıtlar.
Türler
- Black-box · White-box · Grey-box
Scope · Zaman · NDA · Sorumluluk sınırları
Uyum kesişimi
- “Yeterli tedbir” kanıtı
- Risk analizini doğrular
- Remediation & doğrulama döngüsü
7) Veri Envanteri: Risk ve Hukuki Önceliklendirme
Zorunluluk
- KVKK: VERBİS beyanı için şart
- GDPR m.30: İşleme kayıtları
Nasıl?
- Departman görüşmeleri + Data discovery araçları
- Her faaliyet için: amaç, hukuki sebep, kategori, kişi grubu, ortam, alıcı, süre, tedbir
Sınıflandırma → Risk skoru → Öncelik: Özel nitelikli veriler en üst katmanda.
8) İç Tehditler: İK · BT · Hukuk Dengesi
Tipler
- Kötü niyetli
- İhmalkâr/dikkatsiz
- Ele geçirilmiş hesap
Sorumluluk matrisi
- İK: background check, onboarding/offboarding
- BT: RBAC, UEBA, DLP, hızlı erişim iptali
- Hukuk: politikalar, soruşturma, bildirim
Kültür
Şeffaf izleme, net politikalar, sürekli eğitim; “güven + kontrol” dengesi.
9) İhlal Krizi: İlk 72 Saat
- Tespit & Teyit: Alarm/ihbar → doğrulama → CIRT aktivasyonu
- Sınırlama & Analiz: İzolasyon · kök neden · eradikasyon · etkilerin hukukla değerlendirilmesi
- Bildirim & İletişim: Kurul’a 72s · etkilenen kişilere duyuru · kamuoyu planı
- Kurtarma & Dersler: Güvenli geri dönüş · post-mortem · plan revizyonu
Hazır şablonlar: Bildirim formu, basın SSS, müşteri maili, ihlal kayıt defteri.
10) Güvenlik Yatırımlarında Regülasyon Odaklı Önceliklendirme
Risk & Uyum Matrisi
- Yüksek Risk + Yüksek Uyum Açığı → Acil yatırım
- Düşük Risk + Yüksek Uyum Açığı → Planlı yatırım
- Yüksek Risk + Düşük Uyum Açığı → Risk odaklı yatırım
- Düşük Risk + Düşük Uyum Açığı → İzle/ertele
ROI’yi hukukla hesapla
“Kaçınılan ceza + kriz maliyeti” = yatırımın geri dönüşünün görünür kılınması.
Son söz: Modern güvenlik lideri; tehdit istihbaratı kadar KVKK/GDPR maddelerini de bilir. En iyi yatırım, teknoloji ile hukukun kesişiminde yapılır.
