TSE 13638 Sızma Testi Standardı: Türkiye’nin Dijital Egemenlik Vizyonu ve Güvenlik Yol Haritası
Türkiye’nin dijital dönüşüm süreci, kamu hizmetlerinin e-Devlet kapısı üzerinden yaygınlaşması ve kritik altyapıların dijital ağlara entegre olmasıyla birlikte, siber güvenlik kavramı ulusal güvenliğin en kırılgan ve stratejik unsurlarından biri haline gelmiştir. Bu karmaşık ekosistem içerisinde, sistemlerin dayanıklılığını ölçmek ve olası saldırı vektörlerini önceden tespit etmek amacıyla yürütülen sızma (penetrasyon) testleri, uzun yıllar boyunca belirli bir standarttan yoksun, bireysel yetkinliklere dayalı bir faaliyet olarak yürütülmüştür.
Ancak siber tehditlerin asimetrik doğası ve devlet destekli saldırıların artışı, sızma testi faaliyetlerinin belirli bir disiplin, denetlenebilirlik ve ölçülebilirlik çerçevesine oturtulmasını zorunlu kılmıştır. Bu ihtiyacın bir yansıması olarak Türk Standardları Enstitüsü (TSE) tarafından geliştirilen TS 13638 “Bilgi Teknolojileri Güvenlik Teknikleri Sızma Testi Yapan Personel ve Firmalar İçin Şartlar” standardı, Türkiye’nin siber güvenlik alanındaki “dijital egemenlik” vizyonunun teknik temelini oluşturmaktadır.
Temel Amaç: Sızma testi hizmetini kişisel beceriden çıkarıp kurumsal bir yönetim sistemine dönüştürmek.
Kapsam: Firma akreditasyonu (A, B, C seviyeleri) ve personel sertifikasyonu (Stajyerden Kıdemli’ye).
Zorunluluk: Kamu kurumları ve kritik altyapılar için BİGR ve EPDK uyarınca yasal şart.
Ayırt Edici Özellik: Sadece “nasıl” test yapılacağına değil, testi “kimin” yapacağına ve “güvenilirliğine” odaklanır.
1. Ulusal Standardizasyonun Tarihsel ve Stratejik Arka Planı
Türkiye’de siber güvenlik alanındaki kurumsal adımlar, 2010’lu yılların başından itibaren hız kazanmıştır. Ulusal Siber Olaylara Müdahale Organizasyonu (USOM) ve sektörel SOME yapılarının kurulması, sızma testlerine olan talebi ciddi oranda artırmıştır. Ancak bu dönemde kullanılan NIST, OWASP veya OSSTMM gibi uluslararası metodolojiler, teknik yaklaşımlar sunsa da personelin güvenilirliği ve yerel mevzuatla uyum noktasında bir boşluk bırakmaktaydı.
Pazardaki düşük kaliteli hizmet sağlayıcıların çoğalması, kritik altyapıların güvenliğini tehlikeye atan bir ortam doğurmuştur. İşte TS 13638, tam da bu noktada sadece teknik bir rehber olarak değil, bir akreditasyon ve yetkilendirme şeması olarak kurgulanmıştır. Bu standart, sızma testini bireysel bir “hacker becerisi” olmaktan çıkarıp, izlenebilir ve profesyonel bir kurumsal yönetim sisteminin parçası haline getirmiştir.
Standardın temel vizyonu, Türkiye’nin siber güvenlik verilerini ve sistem haritalarını korurken, bu kritik görevi yerine getiren aktörlerin liyakatini tescillemektir. Bu, “Milli Teknoloji Hamlesi” doğrultusunda siber uzayda bağımsızlığımızı korumanın teknik bir adımıdır.
2. Firma Belgelendirme Şartları: Seviyeler ve Kapasite
TS 13638 standardı, sızma testi hizmeti veren kuruluşları idari kapasitelerine, personel sayılarına ve teknik derinliklerine göre üç ana seviyede sınıflandırmaktadır. Bu derecelendirme, hizmet alan kurumların kendi risk profillerine en uygun firmayı seçmelerine olanak tanır.
2.1. Firma Seviyeleri ve Personel Gereksinimleri
| Firma Seviyesi | Asgari Personel Gereksinimi | Teknik Yönetim |
|---|---|---|
| A Seviyesi (En Üst) | En az 1 Kıdemli, 1 Sertifikalı, 1 Kayıtlı ve 2 Stajyer Uzman. | Süreçler Kıdemli Uzman gözetiminde yürütülmelidir. |
| B Seviyesi | En az 1 Sertifikalı, 1 Kayıtlı ve 1 Stajyer Uzman. | Sertifikalı uzman liderliğinde operasyon yürütülebilir. |
| C Seviyesi | En az 1 Kayıtlı ve 1 Stajyer Uzman. | Düşük riskli veya sınırlı kapsamlı sistemler için uygundur. |
2.2. Kalite ve Yönetim Zorunlulukları
Standart sadece “kaç kişi çalışıyor?” sorusuna yanıt aramaz; aynı zamanda firmanın kurumsal olgunluğunu da ölçer. A ve B seviye firmaların TS EN ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) belgesine sahip olması zorunludur. Bu zorunluluk, sızma testi sırasında elde edilen hassas müşteri verilerinin firmanın kendi bünyesinde nasıl korunduğunu garanti altına alır.
C seviye firmalar için tam sertifikasyon şartı aranmasa da, ISO 27001’in ilgili maddelerine uyum sağladıklarını kanıtlamaları beklenmektedir. Bu yapı, hizmet veren firmanın operasyonel güvenliğini ve gizlilik anlaşmalarının (NDA) yönetimini dökümante eder.
3. Personel Belgelendirme Ekosistemi: Liyakat ve Uzmanlık
TS 13638’in en özgün yanı, Türkiye siber güvenlik iş gücü piyasasına yön veren personel belgelendirme süreçleridir. Uzmanlar, sadece teknik yeteneklerine göre değil; eğitim, tecrübe, sınav performansı ve etik duruşlarına göre dört seviyede belgelendirilir.
Stajyer Sızma Testi Uzmanı
Sektöre giriş aşamasıdır. Son bir yılda eğitim almış olma ve 6 ay tecrübe veya teorik sınav başarısı şarttır. Raporlama yetkileri yoktur.
Kayıtlı Sızma Testi Uzmanı
Operasyonel testleri yürütebilirler. En az lise mezuniyeti ve 1 yıl tecrübe aranır. Sınav ortalaması en az 50 olmalıdır.
Sertifikalı Sızma Testi Uzmanı
Bağımsız test yapabilen derin teknik bilgi sahibi uzmanlardır. Ön lisans mezuniyeti, 2 yıl tecrübe ve 70 puan şartı vardır.
Kıdemli Sızma Testi Uzmanı
En yüksek riskli sistemleri analiz ederler. Lisans mezuniyeti, 4 yıl tecrübe ve 85 puanlık zorlu bir çıta belirlenmiştir.
Uluslararası Sertifika Eşdeğerlikleri
TSE, küresel ekosistemle uyumu korumak adına belirli sertifikaları sınav muafiyeti veya yetkinlik kanıtı olarak kabul eder. Bunlar arasında OSCP, GXPN, GPEN ve LPT gibi prestijli sertifikalar yer almaktadır.
4. Teknik Metodoloji: Sızma Testinin Yaşam Döngüsü
TS 13638 kapsamında gerçekleştirilen testler tesadüfi değil, belirli bir yaşam döngüsü içinde yürütülür: Planlama, Uygulama ve Raporlama.
4.1. Planlama ve Kapsam Belirleme
Hizmet alan kurum ile firma arasında teknik kapsam dokümanı ve gizlilik sözleşmesi (NDA) imzalanır. Bu aşamada test edilecek sistemlerin listesi (IP/URL), zaman dilimi ve olası kesintiler için “Acil Durum Kotarma” planı netleştirilir. Kamu kurumları için kapsam belirlenirken BİGR’deki varlık gruplandırmaları esas alınır.
4.2. Uygulama ve Teknik Derinlik
- Ağ Altyapısı Testleri: Yerel ağ, VPN ve kablosuz ağ güvenliği.
- Web ve Mobil Uygulama: OWASP Top 10, API ve oturum yönetimi analizi.
- SCADA/Endüstriyel Sistemler: Kritik enerji ve üretim tesislerindeki PLC/RTU cihazlarının testi.
- Sosyal Mühendislik: Çalışanların oltalama (phishing) saldırılarına karşı farkındalık ölçümü.
Testler bilgi düzeyine göre Siyah Kutu (hiç bilgi verilmeden), Beyaz Kutu (tam bilgiyle) veya Gri Kutu (kısıtlı yetkiyle) olarak gerçekleştirilebilir.
5. Risk Derecelendirme ve Raporlama
Sızma testi raporu, sadece bir zafiyet listesi değil, kurumun güvenlik duruşuna dair stratejik bir yol haritasıdır. Tespit edilen her zafiyet, müdahale önceliğinin belirlenmesi için 1 ile 5 arasında puanlanır.
| Risk Seviyesi | Puan | Örnek Zafiyetler |
|---|---|---|
| ACİL | 5 | SQL Injection, Uzaktan Kod Çalıştırma (RCE). |
| KRİTİK | 4 | Kritik mantıksal hatalar, DOM tabanlı XSS. |
| YÜKSEK | 3 | Kısıtlı yetki yükseltme veya DoS riskleri. |
| ORTA | 2 | Yerel ağ erişimi gerektiren sınırlı etkili açıklar. |
| DÜŞÜK | 1 | Bilgi ifşası veya en iyi uygulama sapmaları. |
Rapor tesliminden sonra kurumun zafiyetleri gidermesi beklenir ve ardından açıklıkların gerçekten kapatılıp kapatılmadığını teyit etmek için “Doğrulama Testi” (re-test) yapılır.
6. Mevzuat Uyumu ve Kritik Altyapılar İçin Zorunluluklar
TS 13638, Türkiye’deki birçok yasal düzenlemenin merkezinde yer alan bir uyum aracıdır. Kamu ve kritik sektörler için bu standarda uygun hizmet almak artık bir tercih değil, yasal bir yükümlülüktür.
Cumhurbaşkanlığı BİGR
Kamu kurumları ve kritik altyapı işleten kuruluşlar, sızma testlerini “TSE onaylı bir firmaya” yaptırmak zorundadır. Bu, devlet sistemlerinin sadece tescilli ekiplerce denetlenmesini sağlar.
EPDK ve Finans (BDDK/SPK)
Enerji sektöründe analiz yapacak firmaların TS 13638 belgesi olması şarttır. Finans sektöründe ise bu standart artık testlerin “ortak dili” haline gelmiştir.
KVKK Kapsamında Sızma Testi
6698 sayılı KVKK uyarınca veri sorumlularının alması gereken “teknik tedbirlerin” başında sızma testleri gelir. Standartlara uygun (TS 13638 uyumlu) bir test, veri sorumlusunun hukuki “özen yükümlülüğünü” yerine getirdiğinin en güçlü kanıtıdır.
7. Uluslararası Standartlarla Karşılaştırma ve Farklılıklar
TS 13638, Türkiye’nin idari yapısına özgü gereksinimleri barındırmasıyla uluslararası muadillerinden ayrışır. OWASP veya PTES “nasıl” sorusuna odaklanırken, TS 13638 “kim” ve “yerel mevzuat uyumu” sorularına odaklanır.
| Özellik | TS 13638 | Uluslararası (NIST, OWASP vb.) |
|---|---|---|
| Belgelendirme | Devlet onaylı sertifikasyon. | Genellikle resmi firma onayı içermez. |
| Personel Güvenliği | Vatandaşlık ve adli sicil şartı. | Sadece teknik yetkinliğe odaklanır. |
| Süreç Takibi | TSE tarafından periyodik denetim. | Öz-beyan veya müşteri memnuniyeti. |
8. Sık Sorulan Sorular
Sızma testi yaptırmak için hangi firma seviyesini seçmeliyim?
Eğer kritik bir altyapı veya yüksek riskli veri setlerine sahipseniz (Kamu, Enerji, Finans), A veya B seviyesi firmalarla çalışmanız tavsiye edilir. C seviyesi daha sınırlı kapsamlı sistemler için uygundur.
TS 13638 belgesi olmayan bir firma kamu testi yapabilir mi?
Hayır. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi rehberi uyarınca kamu kurumları sadece TSE onaylı firmalardan hizmet almak zorundadır.
Sızma testleri ne sıklıkla yapılmalıdır?
Siber tehditler karşısında proaktif kalmak adına bu testlerin yılda en az bir kez ve her büyük sistem değişikliğinden sonra yapılması ulusal siber dayanıklılığın temelidir.
Siber Güvenlikte Milli Standart, Global Güvence
TS 13638 standardı, Türkiye’deki sızma testi pazarını “kişiye özel” olmaktan çıkarıp “kurumsal ve ölçülebilir” bir düzeye taşımıştır. Yetkin olmayan firmaların kritik sistemlere erişimini engelleyerek kalite standardını yükseltmiştir. Gelecekte bu standardın bulut servisleri, yapay zeka ve IoT cihazlarını kapsayacak yeni teknik modüllerle genişlemesi beklenmektedir.
Kurumunuzun dijital varlıklarını güvence altına almak ve yasal mevzuatlara tam uyum sağlamak için TS 13638 çerçevesinde hareket etmek, sadece bir tercih değil, dijital dünyadaki bağımsızlığınızın garantisidir.
