Sermaye Piyasalarında Sızma Testi: VII-128.10 Tebliği ile Herkesin Bilmesi Gerekenler
Hisse senedi alıp satıyoruz, yatırım fonlarına para yatırıyoruz, kripto para borsalarında işlem yapıyoruz. Tüm bu işlemlerin arkasında dijital sistemler var. Peki bu sistemler yeterince güvenli mi? 13 Mart 2025’te yayımlanan yeni bir düzenlemeyle Sermaye Piyasası Kurulu (SPK), bu sorunun yanıtını aramak için belirli kurumların yılda en az bir kez “sızma testi” yaptırmasını zorunlu hale getirdi.
Sızma testi, güvendiğimiz bir uzmanın kötü niyetli biri gibi davranarak sisteme girmeye çalışmasıdır. Amaç, gerçek bir saldırgan bulmadan önce açıkları keşfetmektir. Bu yazıda, yeni tebliğin kimler için ne anlam ifade ettiğini, testlerin nasıl yapıldığını ve uyum için neler gerektiğini anlaşılır bir dille açıklıyoruz.
Yürürlük Tarihi: 13 Mart 2025 (Resmi Gazete: 32840)
Test Sıklığı: Yılda en az 1 kez zorunlu
Raporlama Süresi: Test bittikten sonra 1 ay içinde veya en geç 31 Ocak’a kadar SPK’ya bildirim
Firma Yetki Belgesi: TSE A veya B seviyesi gerekli
Personel Şartı: OSCP, CISSP, CEH gibi uluslararası sertifikalar zorunlu
Kripto Platformları İçin: 31 Aralık 2025’e kadar uyum süreci
Hangi Kurumlar Kapsama Giriyor?
“Sermaye piyasası kurumu” denince akla genellikle borsa ya da aracı kurumlar gelir. Ama yeni tebliğ çok daha geniş bir alanı kapsıyor. Hisse senedi alıp sattığınız platformdan, yatırım fonu yöneticisine; kripto para borsasından, borsada işlem gören şirketlere kadar pek çok kurum bu düzenlemenin içine giriyor.
Neden bu kadar geniş tutuldu? Çünkü bu kurumların hepsi insanların birikimlerini, yatırımlarını veya kişisel finansal bilgilerini yönetiyor. Bir güvenlik açığı, o açığı bulan kötü niyetli birinin binlerce hatta milyonlarca insanın parasına ya da bilgisine ulaşmasına yol açabilir. Devlet bu riski görmezden gelmiyor.
Hangi Kurumlar Bu Kapsama Giriyor?
| Kurum Türü | Örnekler | Ne Korunuyor? |
|---|---|---|
| Borsa ve Piyasa İşleticileri | Borsa İstanbul | Hisse alım-satım sistemleri, anlık fiyat verileri |
| Takas ve Saklama Kuruluşları | Takasbank, MKK | Yatırımcılara ait hisse ve tahvil kayıtları, ödeme akışları |
| Aracı Kurumlar | Yatırım ve aracılık şirketleri | Müşteri hesapları, emir iletim sistemleri |
| Portföy Yönetim Şirketleri | Yatırım fonu yöneticileri | Varlık yönetim verileri, getiri hesaplama sistemleri |
| Kripto Varlık Platformları | Bitcoin, Ethereum gibi kripto borsaları | Dijital cüzdanlar, kullanıcı hesapları, transfer altyapısı |
| Halka Açık Şirketler | Borsada işlem gören tüm şirketler | Yatırımcıya yönelik kamuoyu açıklama sistemleri |
Bankalar ve sigorta şirketleri kendi düzenleyicileri olan BDDK ve SEDDK’ya zaten tabi. Ancak bu kurumlar aynı zamanda sermaye piyasasında da faaliyet gösteriyorsa, SPK kurallarına da uymaları gerekiyor. Pratikte bu kurumlar kendi sektörlerinin testlerini yaptırdıklarında SPK’nın beklentisini de büyük ölçüde karşılamış sayılıyor.
Kripto Platformları: Ek Süre Tanındı
Kripto para dünyası Türkiye’de yeni yeni yasal zemine oturduğu için, bu platformlara biraz daha fazla zaman verildi. 31 Aralık 2025’e kadar temel bilgi güvenliği gerekliliklerini, 31 Aralık 2026’ya kadar ise değişiklik yönetimi gibi daha kapsamlı süreçleri hayata geçirmeleri bekleniyor. Bu platformlar için sızma testleri özellikle dijital cüzdan güvenliği ve kullanıcı giriş sistemlerine odaklanacak.
Sızma Testi Nasıl Yapılır?
Sızma testi, yüzeysel bir “sistem taraması” değildir. Uzman ekip, gerçek bir siber saldırganın kullanacağı yöntemleri taklit ederek kurumun savunma duvarlarını test eder. Amaç, sistemin nereye kadar dayanabileceğini öğrenmektir. SPK’nın tebliğ ekinde yer alan detaylı rehber, bu testlerin hem iç hem dış perspektiften yapılmasını zorunlu kılıyor.
İki Farklı Gözle Test
Her sızma testi iki temel bakış açısından yürütülür. Birincisi dış bakış açısıdır: Uzmanlar, kurumu hiç tanımayan biri gibi internetin dışından sisteme girmeye çalışır. Web siteleri, mobil uygulamalar ve dış dünyaya açık tüm dijital kapılar bu şekilde test edilir. İkincisi ise iç bakış açısıdır: Bu kez uzmanlar, kurumun içindeki bir çalışan gibi davranır. Yetki sınırlarını aşmaya, başkasının sistemine erişmeye veya kritik verilere ulaşmaya çalışırlar. Gerçek dünyada tehlikenin hem dışarıdan hem içeriden gelebileceğini düşündüğümüzde, bu iki perspektifin neden önemli olduğu anlaşılır.
Nerelere Bakılır?
Tebliğin rehberi, testlerde incelenmesi zorunlu olan alanları şöyle sıralıyor:
- Ağ cihazları: Kurumun internet bağlantısını sağlayan cihazlarda (modem, yönlendirici, güvenlik duvarı) yanlış ayar var mı? Fabrika ayarlarındaki şifreler hâlâ kullanılıyor mu?
- Alan adı sistemi (DNS): Kurumun internet adresleri kötüye kullanılabilir mi? Yanlış konfigürasyon tüm sunucu listesini dışarıya sızdırır mı?
- Kullanıcı yetkileri: Çalışanlar yalnızca kendi işlerini yapabilecekleri alanlara mı erişiyor? Sıradan bir kullanıcı yönetici yetkisi kazanabilir mi?
- E-posta güvenliği: Sahte e-postalar sisteme girebilir mi? Personeli kandırmaya yönelik mesajlar filtreleniyor mu?
- Veritabanları: Müşteri bilgilerinin tutulduğu veritabanlarına yetkisiz erişim mümkün mü? Veriler şifreli mi saklanıyor?
- Web ve mobil uygulamalar: İnternet üzerinden sunulan hizmetlerde bilinen güvenlik açıkları var mı? Uluslararası “OWASP Top 10” standartlarıyla karşılaştırma yapılıyor.
Bulunan açıklar tek tek değil, bir arada değerlendirilir. Küçük görünen iki açık birleşince bazen çok büyük bir risk yaratabilir. Nitekim iyi bir sızma testi raporu, bu tür zincirleme senaryoları da ortaya koyar.
Üç Farklı Test Yöntemi: Kör, Açık ve Yarı Açık
Sızma testleri, uzman ekibe ne kadar bilgi verildiğine göre üç farklı şekilde yapılabilir. Kör test (Black Box), en gerçekçi saldırı simülasyonudur. Uzman ekip, kurumla ilgili hiçbir önceki bilgiye sahip olmadan işe başlar. Tıpkı kurumu hiç tanımayan bir bilgisayar korsanı gibi. Açık test (White Box) ise tam tersidir. Ekip sistem mimarisini, kodları ve ağ haritasını önceden alır. Bu yöntem daha derin ve hızlı bir analiz sunar. Yarı açık test (Gray Box) ortada bir yerdir. Bir çalışan hesabının bilgileri verilir ve test buradan başlatılır. İçeriden yapılabilecek saldırıları simüle eder. SPK belirli bir yöntemi zorunlu kılmıyor. Ancak pratikte yarı açık test, hem dış hem iç tehditleri simüle edebildiği için en çok tercih edilen yöntem haline gelmiştir.
Doğru Firmayı Nasıl Seçersiniz?
Sızma testinin değeri, büyük ölçüde testi yapan firmanın yetkinliğine bağlıdır. Yanlış bir firma seçimi, gerçek açıkların gözden kaçmasına, yasal uyumsuzluğa ve kurumun boşuna para harcamasına neden olabilir. Bu yüzden SPK, hangi firmaların bu hizmeti verebileceğini çok net kurallara bağlamıştır.
TSE Sınıflandırması: A, B ve C
Türk Standartları Enstitüsü (TSE), sızma testi hizmeti veren firmaları TS 13638 standardı çerçevesinde üç seviyede değerlendirir. Sermaye piyasası kurumlarına hizmet verebilmek için firmanın en az Seviye A veya Seviye B belgesine sahip olması zorunludur. Seviye C belgesiyle bu alanda hizmet verilemiyor.
| Seviye | Ne Anlama Gelir? | Hangi Kurumlar İçin Uygun? |
|---|---|---|
| Seviye A | En yüksek yetki. Kıdemli uzman kadrosu, ISO 27001 belgesi ve karmaşık proje deneyimi zorunlu. | Borsa İstanbul, Takasbank gibi kritik ve büyük altyapılar |
| Seviye B | Sertifikalı personel ve belirli proje geçmişi gerekiyor. ISO 27001 belgesi zorunlu. | Aracı kurumlar, portföy yönetim şirketleri, halka açık şirketler |
| Seviye C | Temel gereklilikler. Regülasyona tabi sektörlere hizmet veremez. | Özel sektörde zorunlu olmayan testler |
Firmada Çalışan Uzmanların Sertifikaları Önemli
Sadece firmanın belgesi değil, o firmada çalışan uzmanların bireysel sertifikaları da dikkate alınır. Bu sertifikalar, uzmanın hem teknik bilgisini hem de mesleki etik anlayışını belgeler. En çok kabul gören sertifikalar şunlardır:
- OSCP: Sızma testi dünyasının altın standardı. 24 saatlik zorlu bir uygulamalı sınav içerir. “Bu kişi gerçekten yapabilir” demenin en güvenilir yolu.
- CISSP: Geniş kapsamlı bilgi güvenliği bilgisini belgeler. Hem teknik hem yönetimsel konularda uzmanlık gerektirir.
- CEH: Etik hackleme alanında temel yetkinliği kanıtlar. Hangi araçların nasıl kullanıldığını gösterir.
- CISA: Bilgi sistemleri denetimi konusunda uluslararası geçerliliği olan bir sertifikadır.
TSE, uzmanları deneyimlerine göre üç gruba ayırır: Stajyer, Kayıtlı ve Kıdemli. Kritik sistemlerin testlerinde mutlaka bir Kıdemli Uzman gözetiminde çalışılmalıdır. Bu, deneyimsiz birinin hassas sistemlerde yalnız başına test yapmasının önüne geçer.
Test Sonrası Ne Yapılmalı? Raporlama ve Takip
Sızma testi, rapor teslim edildiğinde biten bir iş değildir. Asıl süreç sonrasında başlar. Bulunan açıklar ne kadar ciddiye alındı? Kapatıldı mı? SPK’ya zamanında bildirim yapıldı mı? Bunların hepsi eşit derecede önemlidir.
Ne Sıklıkta Test Yapılmalı?
Her kurum yılda en az bir kez kapsamlı sızma testinden geçmek zorundadır. Ama bazı durumlar beklemeyi kaldırır. Büyük bir sistem güncellemesi yapıldıysa, yeni bir dijital hizmet devreye alındıysa, ciddi bir güvenlik olayı yaşandıysa veya SPK özel olarak istedi ise — ek test zorunlu hale gelir. Tıpkı büyük bir tadilat sonrası binanın yangın denetiminden geçirilmesi gibi.
Raporlar Ne Zaman SPK’ya Gönderilmeli?
Test tamamlandıktan sonra iki farklı süre geçerlidir. Test bittikten itibaren bir ay içinde rapor SPK’ya gönderilebilir. Ya da en geç takip eden yılın 31 Ocak tarihine kadar gönderilmiş olmalıdır. Örneğin 2025 yılı içinde yapılan bir testin raporu en geç 31 Ocak 2026’da SPK’ya ulaşmış olmalıdır. Pratikte çoğu kurum testlerini yılın sonuna yakın tamamlar ve raporları Ocak ayı içinde iletir.
İyi Bir Rapor Ne İçermeli?
Sızma testi raporu sadece “şu açıklar bulundu” listesi değildir. İyi bir rapor şunları kapsar:
- Yöneticiler için kısa özet: Teknik detaylara girmeden genel tablo ve en önemli bulgular. Yönetim kurulunun okuyacağı kısım bu bölümdür.
- Nasıl test edildi: Hangi yöntemler kullanıldı, hangi sistemler test kapsamına alındı.
- Detaylı bulgular: Her açık için ne olduğu, ne kadar tehlikeli olduğu, kanıtı (ekran görüntüsü vb.) ve nasıl kapatılacağı.
- İş etkisi analizi: Bu açık kötüye kullanılsaydı kuruma ve müşterilere ne olurdu?
- Kapatma planı: Hangi açık önce kapatılmalı? Hangi adımlar atılmalı?
Bulgular Nasıl Önceliklendirilir?
Açıklar beş kategoride değerlendirilir: Acil, Kritik, Yüksek, Orta ve Düşük. Acil ve kritik olanlar hemen ele alınmalıdır. Diğerleri için makul bir zaman planı yapılır. Tüm bu plan yönetim kurulunun onayından geçer. Bu, siber güvenliğin sadece BT departmanının meselesi olmadığını, kurumun en üst yönetiminin konuya sahip çıkması gerektiğini gösterir.
“Gerçekten Kapandı mı?” Sorusunu Sormayı Unutmayın
Açıkların düzeltildiğini söylemek yetmez; kanıtlamak gerekir. Bu yüzden iyileştirme çalışmaları bittikten sonra bağımsız ekip tekrar gelir ve takip testi (re-test) yapar. Açığın gerçekten kapatıldığı doğrulandığında süreç tamamlanmış sayılır. Bu doğrulama kayıtları saklanmalı ve denetimlerde sunulabilir olmalıdır.
2025’te Gelen Yeni Kurallar: Neler Değişti?
VII-128.10 Tebliği yalnızca eski kuralların güncellenmesi değil. Dijital dünyanın hızla değişen tehdit ortamına yanıt vermek için tamamen yeni güvenlik alanları da kapsama girdi. Bunların bir kısmı bugün çoğumuzun günlük hayatında kullandığı teknolojilerle doğrudan ilgili.
Uygulama Arayüzleri (API) Artık Test Kapsamında
Mobil bankacılık uygulamanız, telefona kurduğunuz yatırım platformu ya da birden fazla fintech hizmetiyle bağlantılı hesabınız — bunların hepsi “API” adı verilen dijital köprüler üzerinden çalışıyor. Bu köprülerde bir açık varsa, kötü niyetli biri verilerinize ya da hesabınıza ulaşabilir. Yeni tebliğ, bu API bağlantılarının da sızma testlerine dahil edilmesini zorunlu kılıyor. Test edilenler arasında şunlar var: Kimse izni olmadan başkasının verisine ulaşabilir mi? Sisteme çok fazla istek gönderilerek kilitlenebilir mi? Kötü amaçlı komutlar API üzerinden sisteme enjekte edilebilir mi?
Mobil Uygulamalara Sıkılaştırılmış Kurallar
Artık pek çok finansal işlemi telefondan yapıyoruz. Bu da mobil uygulamaları saldırganların en çok hedef aldığı noktalar haline getiriyor. Yeni tebliğle birlikte şu kurallar getirildi:
- Sadece SMS ile gelen tek kullanımlık şifre artık tek başına yeterli değil. Ek bir güvenlik katmanı zorunlu hale getirildi.
- SIM kart değişikliği veya operatör geçişi durumlarında sistemin bunu fark etmesi ve ek doğrulama istemesi gerekiyor. (Aksi takdirde başkası sizin adınıza SIM alarak hesabınıza girebilir.)
- Parmak izi ya da yüz tanıma gibi biyometrik doğrulama yöntemleri teşvik ediliyor.
- Kurumsal çalışanların telefonları için MDM (Mobil Cihaz Yönetimi) sistemi kullanılması bekleniyor. Bu sistem, cihaz kaybolsa bile uzaktan silinebilmesini sağlıyor.
Yazılım Güvenliği: Kod Yazarken de Güvenlik Düşünülmeli
Bir uygulamanın güvenliği, o uygulama yazılırken ne kadar dikkat gösterildiğiyle doğrudan ilgilidir. Yeni tebliğ, kurumların kendi geliştirdikleri ya da dışarıdan satın aldıkları yazılımlar için güvenlik taraması yaptırmasını şart koşuyor. Bu taramalar iki şekilde yapılıyor: Birincisi, yazılımın kodları satır satır incelenerek zayıflıklar aranıyor (statik analiz). İkincisi, yazılım çalışırken sisteme saldırı simülasyonları yapılıyor (dinamik analiz). Her iki yöntemde de amaç aynı: Yazılım piyasaya çıkmadan önce açıkları bulmak.
Bulut Sistemleri ve Dışarıdan Alınan Hizmetler
Günümüzde pek çok kurum sunucu kiralamak yerine, AWS, Microsoft Azure veya Google Cloud gibi büyük bulut sağlayıcılarından hizmet alıyor. Bu hizmetlerin yanlış yapılandırılması büyük bir güvenlik riski oluşturuyor. Örneğin yanlış ayarlanmış bir depolama alanı, müşteri verilerini herkese açık hale getirebilir. Yeni tebliğ, bulut ortamlarının da sızma testi kapsamına alınmasını ve dışarıdan hizmet alınan firmaların güvenlik durumunun da düzenli olarak kontrol edilmesini zorunlu kılıyor. Başka bir deyişle, güvenliği sadece kendi sistemlerinizde değil, bağlantılı olduğunuz tüm sistemlerde sorgulamak gerekiyor.
Sık Sorulan Sorular
Sızma testini ne sıklıkta yaptırmak gerekiyor?
Yılda en az bir kez zorunludur. Ancak büyük sistem değişiklikleri, yeni bir dijital hizmetin devreye alınması veya ciddi bir güvenlik olayı yaşanması durumunda ek testler de yapılması beklenir. SPK’nın özel talebi de ek test gerektiren durumlar arasında sayılır.
Hangi TSE belge seviyesi gerekli?
Sermaye piyasası kurumlarına sızma testi hizmeti verebilmek için firmanın en az TSE Seviye B, büyük ve kritik kurumlar için ise Seviye A belgesine sahip olması gerekir. Seviye C belgesi bu alanda kullanılamaz. Hizmet alırken firmanın belgesini mutlaka doğrulayın.
Test raporu ne zaman SPK’ya gönderilmeli?
Test tamamlandıktan sonra en geç bir ay içinde ya da ilgili yılı takip eden yılın 31 Ocak tarihine kadar SPK’ya ulaşmış olmalıdır. 2025 yılında yapılan test için son gün 31 Ocak 2026’dır. Geç kalmak yasal yaptırım riskini beraberinde getirir.
Testte kritik açık çıkarsa ne yapılır?
Kritik ve acil açıklar için hemen harekete geçilmelidir. Bilgi Güvenliği Sorumlusu ve teknik ekip her bulgu için bir düzeltme planı hazırlar, bu plan yönetim kurulunun onayından geçer. Düzeltmeler tamamlandıktan sonra bağımsız ekip tekrar gelerek açıkların gerçekten kapatıldığını doğrular (takip testi). Bu doğrulama kayıtları saklanmak zorundadır.
Kripto para borsaları için farklı kurallar var mı?
Evet. Kripto varlık hizmet sağlayıcıları (KVHS) için kademeli bir geçiş süreci tanındı. Bu platformlar 31 Aralık 2025’e kadar temel bilgi güvenliği gerekliliklerini, 31 Aralık 2026’ya kadar ise değişiklik yönetimi gibi daha kapsamlı süreçlere uyum sağlamalıdır.
Sızma testi yaptırmazsak ne olur?
Tebliğ gerekliliklerine uymamak ciddi sonuçlar doğurabilir. Geçmiş denetim kararlarına göre yetkisiz firma kullanan veya raporlamayı zamanında yapmayan kurumlara 155.000 TL’den 466.000 TL’ye kadar idari para cezası uygulandı. SPK’nın ayrıca lisans iptali veya faaliyeti durdurma gibi daha ağır yaptırımlar uygulama yetkisi de bulunuyor.
Test sırasında sistemler zarar görür mü?
İyi planlanmış bir sızma testi, üretim sistemlerini olumsuz etkilemeden yapılır. Test öncesinde kapsam, zaman dilimi ve hassas sistemlere yaklaşım biçimi kurumla birlikte belirlenir. Kritik sistemler için testler, iş saatleri dışında veya yedekli ortamlarda gerçekleştirilir. Profesyonel bir firmadan hizmet almanın en büyük avantajlarından biri de bu kontroldür.
Sızma Testi ve Bilgi Güvenliği Konusunda Destek mi Arıyorsunuz?
Nesil Teknoloji olarak, sermaye piyasası kurumlarının VII-128.10 Tebliği’ne uyum süreçlerinde profesyonel danışmanlık hizmeti sunuyoruz. TSE Seviye B yetkilendirmemiz ve sertifikalı uzman kadromuzla, kapsamlı sızma testleri, zafiyet yönetimi ve uyum çalışmalarınızda yanınızdayız.
