Verizon 2023 Veri İhlali Araştırma Raporu'na göre ihlallerin yaklaşık %74'ünde insan unsuru (hata, çalınan kimlik bilgisi, sosyal mühendislik) rol oynuyor. Peki bir saldırgan tam olarak NEYİ hedef alır: sistemi mi, sistemdeki açığı mı, yoksa o açığın yaratacağı zararı mı? İşte bu sorunun cevabı tehdit, açıklık ve risk üçgeninde gizli.
Giriş
Merhaba, ben Güvenlik Uzmanı. Bu derste bilgi güvenliğinin en temel üç kavramını öğreniyoruz: tehdit (threat), açıklık/zafiyet (vulnerability) ve risk. Bu kavramlar ISO/IEC 27000 sözlüğünün ve tüm risk yönetimi çalışmasının çekirdeğidir; karıştırıldığında yanlış yere yatırım yapılır. Soldaki interaktif sahnede (secMalwareDefense3D) bir kötücül yazılımın bir sistemdeki açıktan nasıl içeri sızdığını ve savunma katmanlarının riski nasıl düşürdüğünü adım adım dene; tehdidin açıklıkla buluşunca nasıl gerçek bir riske dönüştüğünü gözünle gör.
Anlatım
TEMEL TANIMLAR (ISO/IEC 27000 sözlüğü)
Bu üç kavram birbirinden farklıdır ve karıştırılmamalıdır:
1) VARLIK (Asset)
Kurum için değeri olan her şey: veriler (müşteri kayıtları, finansal tablolar), sistemler (sunucular, dizüstüler), insanlar, itibar. Korumaya çalıştığımız şey budur.
2) TEHDİT (Threat)
Bir varlığa zarar verme potansiyeli olan olası bir olay veya etken. Tehdit DIŞARIDAN gelir ve genelde kontrolümüz dışındadır.
• Kasıtlı: bilgisayar korsanı, fidye yazılımı, içeriden kötü niyetli çalışan, sosyal mühendislik.
• Kazara: çalışan hatası, yanlış adrese e-posta.
• Doğal/çevresel: yangın, sel, elektrik kesintisi.
Tehdidi yok edemezsiniz; korsanların var olmasını engelleyemezsiniz.
3) AÇIKLIK / ZAFİYET (Vulnerability)
Bir tehdidin sömürebileceği bir zayıflık veya eksiklik. Açıklık İÇERİDEDİR ve genelde bizim kontrolümüzdedir.
• Teknik: yamanmamış yazılım, zayıf parola, açık port, şifrelenmemiş veri.
• Süreçsel: erişim yetkilerinin gözden geçirilmemesi, yedek alınmaması.
• İnsan kaynaklı: farkındalık eksikliği, oltalama e-postasına tıklama.
Açıklıkları KAPATABİLİRİZ; güvenlik çalışmasının özü budur.
4) RİSK (Risk)
Bir tehdidin bir açıklığı sömürmesi sonucu varlığa zarar gelme OLASILIĞI ve bunun ETKİSİ. Risk bir olasılık-etki birleşimidir; sıfırlanamaz, yönetilir.
5) ETKİ (Impact)
Olay gerçekleşirse kuruma vereceği zarar: para kaybı, itibar kaybı, yasal yaptırım (KVKK idari para cezası), operasyon durması.
İLİŞKİ: RİSK NASIL OLUŞUR?
Tehdit + Açıklık = Risk.
• Açık varsa ama o açığı sömürecek tehdit yoksa risk düşüktür.
• Tehdit varsa ama sömürülecek açık yoksa risk düşüktür.
• İkisi BULUŞTUĞUNDA risk gerçekleşir.
Örnek: Fidye yazılımı (tehdit) + yamanmamış sunucu (açıklık) = veri şifrelenip fidye istenmesi (risk gerçekleşir) → operasyon durur ve KVKK ihlal bildirimi gerekir (etki).
İŞ YERİNDEN SOMUT ÖRNEKLER
• Oltalama e-postası bir TEHDİT; çalışanın farkındalık eksikliği AÇIKLIK; kimlik bilgilerinin çalınması RİSK.
• USB bellekle gelen zararlı yazılım TEHDİT; uç nokta korumasının olmaması AÇIKLIK.
• Eski bir yöneticinin hâlâ aktif olan hesabı AÇIKLIK (kimlik yaşam döngüsü ISO 27001 A.5.18 ile yönetilir).
YAPILMASI GEREKENLER (Do)
• Yazılım ve işletim sistemlerini güncel/yamalı tutun (açıklık kapatma).
• Güçlü, benzersiz parolalar ve çok faktörlü kimlik doğrulama (MFA) kullanın.
• Şüpheli e-postaları tıklamadan BT/güvenlik ekibine bildirin.
• Erişim yetkilerini "en az ayrıcalık" (least privilege) ilkesiyle verin.
• Kritik verinin yedeğini alın ve geri yükleme tatbikatı yapın.
YAPILMAMASI GEREKENLER (Don't)
• Parolayı kâğıda yazıp ekrana yapıştırmayın, parola paylaşmayın.
• Güncelleme uyarılarını sürekli erteleme yapmayın.
• Bilinmeyen USB/cihazı kurum bilgisayarına takmayın.
• Tehdidi "bize bir şey olmaz" diye küçümsemeyin; risk = olasılık × etki, ikisi de sıfır değildir.
ISO 27001:2022 VE KVKK BAĞLANTISI
• ISO/IEC 27001:2022 Madde 6.1.2, kurumun bir bilgi güvenliği RİSK DEĞERLENDİRME süreci tanımlamasını ister: riskleri belirle, analiz et (olasılık ve etki), değerlendir ve önceliklendir.
• Madde 6.1.3 ve Annex A, riskleri AZALTMAK için kontrolleri (organizasyonel, kişisel, fiziksel, teknolojik) seçtirir; örn. A.8.8 teknik açıklıkların yönetimi, A.8.7 zararlı yazılıma karşı koruma.
• KVKK md. 12, veri sorumlusunun kişisel veriyi korumak için uygun TEKNİK ve İDARİ tedbirleri almasını zorunlu kılar (bu, açıklıkları kapatmaktır). İhlal gerçekleşirse Kurul ve ilgili kişiye bildirim yükümlülüğü (KVKK Kurulu kararı: en kısa sürede, 72 saat içinde Kurul'a) doğar.
📌 Senaryolar
📌 Senaryo 1 (Oltalama e-postası): Gelen kutunuza "Hesabınız askıya alındı, hemen doğrulayın" diyen, banka logolu ama gönderen adresi tuhaf bir e-posta düştü ve bir bağlantıya tıklamanızı istiyor.
Doğru davranış: Bağlantıya TIKLAMAYIN, eki açmayın. Gönderen adresini ve aciliyet baskısını şüpheyle karşılayın; e-postayı BT/güvenlik ekibine bildirin veya kurumdaki "oltalama bildir" düğmesini kullanın.
Sonuç/Neden: Oltalama bir TEHDİT, sizin tıklama eğiliminiz AÇIKLIK'tır. Tıklamayarak açıklığı kapattınız; tehdit ve açıklık buluşmadığı için kimlik bilgisi hırsızlığı RİSK'i gerçekleşmedi.
📌 Senaryo 2 (Yazılım güncellemesi): Bilgisayarınız haftalardır "kritik güvenlik güncellemesi mevcut" diyor ama işiniz aksamasın diye ertelemeye devam ediyorsunuz.
Doğru davranış: Güncellemeyi ilk uygun molada (veya BT'nin belirlediği bakım penceresinde) kurun; sürekli ertelemeyin. Mümkünse otomatik güncellemeyi açık tutun.
Sonuç/Neden: Yamanmamış yazılım bilinen bir AÇIKLIK'tır ve saldırganların en sevdiği giriş kapısıdır. Yama, ISO 27001 A.8.8 (teknik açıklıkların yönetimi) gereğidir; güncelleyerek açıklığı kapatır, riski düşürürsünüz.
📌 Senaryo 3 (Yetkisiz USB bellek): Kapıda bulduğunuz veya bir ziyaretçinin verdiği bir USB belleği "içinde ne var" diye merak edip kurum bilgisayarına takmayı düşünüyorsunuz.
Doğru davranış: Bilinmeyen hiçbir USB/harici cihazı kurum bilgisayarına TAKMAYIN. Bulduğunuz cihazı güvenlik ekibine teslim edin.
Sonuç/Neden: "Bırakılmış USB" klasik bir sosyal mühendislik TEHDİT'idir; merak ve uç nokta korumasının atlanması AÇIKLIK'tır. Takmayarak zararlı yazılımın çalışma RİSK'ini engellersiniz (ISO 27001 A.8.7 zararlı yazılıma karşı koruma).
📌 Senaryo 4 (Zayıf ve tekrar kullanılan parola): Birçok sistemde kolaylık olsun diye aynı basit parolayı (örneğin şirket adı + 123) kullanıyorsunuz ve MFA'yı "zaman alıyor" diye kapatmışsınız.
Doğru davranış: Her sistem için uzun ve benzersiz parolalar kullanın (parola yöneticisi ile), çok faktörlü kimlik doğrulamayı (MFA) açın; parolayı kimseyle paylaşmayın.
Sonuç/Neden: Zayıf/tekrar kullanılan parola ciddi bir AÇIKLIK'tır; bir sızıntıda bu parola tüm hesaplarınızı açar (kimlik bilgisi doldurma saldırısı TEHDİT'i). MFA, parola çalınsa bile RİSK'i büyük ölçüde düşürür.
📌 Senaryo 5 (Yanlış alıcıya hassas veri): Müşteri listesi içeren bir Excel dosyasını e-postayla göndereceksiniz; otomatik tamamlama benzer bir isme ait yanlış adresi seçti.
Doğru davranış: Göndermeden önce alıcı adresini ve ekleri MUTLAKA kontrol edin; hassas veriyi şifreli/parola korumalı gönderin veya kurumun onaylı paylaşım kanalını kullanın. Yanlış gönderdiyseniz derhal güvenlik/uyum ekibine haber verin.
Sonuç/Neden: Otomatik tamamlama hatası kazara bir TEHDİT, dikkatsiz gönderim AÇIKLIK'tır; kişisel verinin yanlış kişiye ulaşması KVKK kapsamında bir veri ihlali RİSK'idir ve Kurul'a bildirim gerektirebilir. Erken haber vermek etkiyi azaltır.
Özet
• Tehdit = zarar verme potansiyeli olan dış etken (korsan, fidye yazılımı, hata); genelde kontrolümüz dışında.
• Açıklık = tehdidin sömürebileceği iç zayıflık (yamasız yazılım, zayıf parola, farkındalık eksikliği); kapatabiliriz.
• Risk = tehdit + açıklık buluşunca zarar gelme olasılığı ve etkisi; Risk ≈ Olasılık × Etki.
• Bir tehdit ancak bir açıklık olduğunda gerçek riske dönüşür; en hızlı kazanç açıklıkları kapatmaktır (yama, MFA, farkındalık).
• ISO 27001:2022 Md.6.1 risk değerlendirmeyi, Annex A kontrolleri zorunlu kılar; KVKK md.12 uygun teknik ve idari tedbirleri ve ihlal bildirimini gerektirir.
• Her çalışan bir savunma katmanıdır: şüpheli e-postayı bildir, güncelle, bilinmeyen cihaz takma.
✅ Mini-Test (5)
1.Yamanmamış (güncellenmemiş) bir sunucu yazılımı bilgi güvenliğinde hangi kavrama örnektir?
2."Tehdit + Açıklık" birleşince hangi sonuç ortaya çıkar?
3.Tehditleri genellikle tamamen ortadan kaldıramayız, ancak açıklıkları kapatarak riski azaltabiliriz.
4.Bir oltalama (phishing) e-postası bilgi güvenliği bağlamında neyi temsil eder?
5.NIST/ISO yaklaşımında riski değerlendirirken esas olarak hangi iki bileşen birlikte ele alınır?
🧩 Uygulama Soruları (5)
1.Masanızın yanında, gönderen belli olmayan bir USB bellek buldunuz. Bilgi güvenliği açısından doğru davranış nedir?
2.Banka logolu, "hesabınız bloke edildi, 1 saat içinde şu linkten doğrulayın" diyen ve gönderen adresi tuhaf bir e-posta aldınız. Ne yaparsınız?
3.İşlerinizi aksatmamak için kritik güvenlik güncellemelerini sürekli ertelemek kabul edilebilir bir uygulamadır.
4.Müşterilerin kişisel verilerini içeren bir dosyayı yanlışlıkla kurum dışından bir alıcıya e-postayla gönderdiğinizi fark ettiniz. İlk yapmanız gereken nedir?
5.Yöneticiniz acele bir iş için sizden kurum sistemine girişte kullandığınız parolanızı WhatsApp'tan göndermenizi istedi. Doğru davranış hangisidir?