Güvenlik Kültürü ve İnsan Faktörü

Bilgi Güvenliği Temelleri

👤 Güvenlik Uzmanı★ 1/3⏱ 10 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Verizon'un 2023 Veri İhlali Araştırma Raporu'na (DBIR) göre ihlallerin yaklaşık %74'ünde insan unsuru rol oynar — çalınan kimlik bilgisi, hata veya sosyal mühendislik. En pahalı güvenlik duvarı bile bir tıkla devre dışı kalabilir.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu derste bilgi güvenliğinin en kritik halkasını ele alıyoruz: insan. Teknolojiden çok davranış konuşacağız — çünkü saldırganlar sistemi değil, insanı hedef alır. Soldaki interaktif sahnede (secSocialEngineering3D) bir oltalama (phishing) saldırısının adımlarını ve hangi davranışın saldırıyı durdurduğunu canlı olarak deneyimle: tuzak e-postayı incele, ipuçlarını yakala ve doğru tepkiyi seç.

Anlatım

İNSAN: EN ZAYIF HALKA MI, EN GÜÇLÜ SAVUNMA MI? Bilgi güvenliği üç sacayağı üzerinde durur: insan, süreç ve teknoloji. Teknoloji (güvenlik duvarı, antivirüs, şifreleme) ne kadar güçlü olursa olsun, son kararı çoğu zaman bir çalışan verir: bağlantıya tıklamak, eki açmak, şifresini paylaşmak. Bu yüzden saldırganlar en zayıf ve en ucuz hedefe yönelir — insana. İyi haber şu: farkındalığı yüksek bir çalışan, en pahalı sistemden daha etkili bir savunma katmanıdır. Hedefimiz "zayıf halkayı" bilinçli bir "insan güvenlik duvarına" çevirmektir. SOSYAL MÜHENDİSLİK NEDİR? Sosyal mühendislik, teknik açık yerine insan psikolojisini sömürerek bilgi ya da erişim elde etme sanatıdır. Saldırgan; otorite (yönetici/IT taklidi), aciliyet ("hesabınız 1 saat içinde kapanacak"), korku, merak veya yardımseverlik gibi duyguları tetikler. Başlıca türler: • Phishing (oltalama): Toplu sahte e-posta ile kimlik bilgisi/ödeme avlama. • Spear phishing: Belirli bir kişiye özel hazırlanmış, kişiselleştirilmiş oltalama. • Whaling / CEO dolandırıcılığı (BEC): Üst yöneticiyi taklit ederek acil para transferi/fatura ödemesi isteme. • Vishing (telefon) ve Smishing (SMS): Ses veya kısa mesajla aynı oyun. • Pretexting: Uydurma senaryoyla güven kazanma ("IT'denim, parolanı doğrulayalım"). • Baiting: Merak tuzağı — sahibi belirsiz bir USB bellek, "maaş listesi" dosyası. • Tailgating / piggybacking: Yetkili birinin arkasından kapıdan sızma. NEDEN İŞE YARAR — VE NEDEN ÖNEMLİ? İnsan beyni hızlı karar vermeye programlıdır; baskı altında doğrulamayı atlar. Tek bir başarılı oltalama; fidye yazılımı bulaşması, kişisel verilerin sızması, marka itibarının zarar görmesi ve KVKK/regülasyon cezaları demektir. Bu yüzden farkındalık teknik bir konu değil, kurumsal bir kültür meselesidir. İŞ YERİNDE TİPİK SENARYOLAR • "Muhasebe" imzalı, acil ödeme isteyen e-posta — gönderen adresi şirket alan adına çok benzer ama bir harf farklı (ornek vs ornekk). • "IT Destek" telefonla arayıp "bakım için" parolanızı/OTP kodunuzu istiyor. • Otoparkta bulunan "Maaş_Zammı_2026.xlsx" etiketli USB. • Kapıda elleri dolu, kart okutamayan "yeni stajyer" sizden kapıyı tutmanızı istiyor. YAPILMASI GEREKENLER (DO) • Dur–Düşün–Doğrula: Beklenmeyen/acil her talebi ikinci bir kanaldan teyit et (telefonla ara, yüz yüze sor). • Gönderen adresini ve bağlantıyı tıklamadan, üzerine gelerek (hover) gerçek URL'yi kontrol et. • Şüpheli e-postayı sil değil, IT/SOC'a bildir (kurum içi "Phishing Bildir" butonu/adresi). • Ekran kilidi alışkanlığı (Windows+L) ve temiz masa politikası uygula. • Ziyaretçi/yabancıyı nazikçe karşıla ve refakat et; kapıdan birini geçirme. • Şüpheliysen sorgula — "saçma görünürüm" diye düşünme; yanlış alarm, gerçek ihlalden çok daha ucuzdur. YAPILMAMASI GEREKENLER (DON'T) • Parola, OTP/2FA kodu, kart bilgisi hiç kimseyle (IT dahil) paylaşma — meşru hiçbir destek bunları istemez. • Tanımadığın USB'yi bilgisayara takma. • Acil/duygusal baskıya kapılıp linke tıklama, makro etkinleştirme. • Şüpheli e-postayı meslektaşlarına iletme (yayma). • Hata yaptıysan (tıkladım/şifre girdim) saklama — hız her şeydir, derhal bildir. KURUMSAL ÇERÇEVE — ISO 27001 & KVKK • ISO/IEC 27001:2022, insan kaynaklı riski açıkça ele alır. Annex A'da "People controls" başlığı altında A.6 maddeleri yer alır: A.6.3 bilgi güvenliği farkındalığı, eğitimi ve öğretimi; A.6.4 disiplin süreci; A.6.6 gizlilik/ifşa etmeme sözleşmeleri. Olay raporlama için A.5.24–A.5.28 (olay yönetimi) devrededir. • KVKK (6698 sayılı Kanun) açısından: Madde 12, veri sorumlusuna "gerekli her türlü teknik ve idari tedbiri" alma yükümlülüğü getirir. Çalışan farkındalık eğitimi, en temel idari tedbirlerden biridir; KVKK Kurumu'nun "Kişisel Veri Güvenliği Rehberi" de düzenli eğitimi ve erişim/yetki disiplinini önerir. Bir ihlal (veri sızıntısı) durumunda Madde 12 uyarınca ilgili kişi ve Kurul'a bildirim yükümlülüğü doğabilir — bu yüzden olayı hızla bildirmek yasal bir gerekliliktir. ÖZETLE: Güvenlik herkesin işidir. Sen bir uç nokta değil, bilinçli bir savunma katmanısın.

📌 Senaryolar

📌 Senaryo 1 (Phishing — sahte gönderen): Banka logolu, "Hesabınız askıya alındı, hemen doğrulayın" diyen acil bir e-posta aldınız. Gönderen '[email protected]'.
  Doğru davranış: Bağlantıya tıklamadan dur. Gönderen alan adının gerçek banka alan adı OLMADIĞINI (sahte/benzer) fark et. Linke gelip (hover) URL'yi gör. Bankaya kendi resmi uygulaması/numarasından ulaş; e-postayı 'Phishing Bildir' ile IT'ye ilet.
  Sonuç/Neden: Aciliyet + sahte alan adı klasik oltalama desenidir. İkinci kanaldan doğrulama, kimlik bilgisi hırsızlığını tek hamlede engeller.

📌 Senaryo 2 (CEO dolandırıcılığı / BEC): Muhasebedesiniz; "Genel Müdür" imzalı e-posta toplantıda olduğunu, gizli bir satın alma için 85.000 TL'yi hemen yeni bir IBAN'a göndermenizi, kimseye sormamanızı istiyor.
  Doğru davranış: Talebi işleme almadan dur. Gizlilik + aciliyet + olağandışı ödeme = kırmızı bayrak. Yöneticiyi telefonla/yüz yüze, bilinen numarasından TEYİT et (e-postaya 'Yanıtla' deme). IBAN değişikliklerini çift onay sürecine bağla.
  Sonuç/Neden: BEC saldırıları otorite ve aciliyeti sömürür. Bant dışı (out-of-band) doğrulama, en yaygın kurumsal mali kaybı durdurur.

📌 Senaryo 3 (Vishing — telefonla parola isteme): "IT Destek" diye arayan biri sistemde bakım yaptıklarını, doğrulama için parolanızı ve telefonunuza gelen 6 haneli kodu söylemenizi istiyor.
  Doğru davranış: Parolayı ve OTP kodunu ASLA verme. "Hiçbir IT personeli parola/2FA kodu istemez" kuralını hatırla. Görüşmeyi bitir, IT'yi bilinen resmi numarasından kendin ara ve durumu bildir.
  Sonuç/Neden: OTP kodunu paylaşmak, 2FA korumasını saldırgana açar. Meşru destek hiçbir zaman parola/OTP talep etmez.

📌 Senaryo 4 (Baiting — bulunan USB): Otoparkta üzerinde "Maaş_Zamları_2026" yazan bir USB bellek buldunuz; merak ettiniz.
  Doğru davranış: USB'yi hiçbir bilgisayara TAKMA. Olduğu gibi IT/güvenlik birimine teslim et. Bilinmeyen ortam = potansiyel kötü amaçlı yazılım taşıyıcısı.
  Sonuç/Neden: USB takmak, fidye yazılımı/keylogger'ın ağa girmesine kapı açar. Merak, saldırganın en kullandığı tuzaktır.

📌 Senaryo 5 (Tailgating + olay bildirimi): Güvenli kata kart okutarak girdiniz; arkanızdan elleri dolu, yaka kartı görünmeyen biri "Kartım çantamda kaldı, tutar mısın?" diyor. Ayrıca dün şüpheli bir linke yanlışlıkla tıkladığınızı fark ettiniz.
  Doğru davranış: Kapıyı tutma; kişiyi nazikçe resepsiyona/refakate yönlendir (her giriş kendi kartıyla). Tıkladığın link için durumu SAKLAMA — derhal IT/SOC'a bildir, parolanı değiştir.
  Sonuç/Neden: Tailgating fiziksel erişim kontrolünü bypass eder. Olayı hızlı bildirmek (ISO 27001 A.5.24 ve KVKK m.12 bildirim yükümlülüğü) zararı sınırlar; gecikme ihlali büyütür.

Özet

• İhlallerin büyük çoğunluğunda insan unsuru rol oynar — en zayıf halka da, en güçlü savunma da insandır. • Sosyal mühendislik teknik açığı değil psikolojiyi (otorite, aciliyet, korku, merak) sömürür: phishing, BEC, vishing, baiting, tailgating. • Altın kural: Dur–Düşün–Doğrula. Beklenmeyen/acil her talebi ikinci bir kanaldan teyit et. • Parola, OTP/2FA kodu ve kart bilgisi hiç kimseyle (IT dahil) paylaşılmaz; bilinmeyen USB takılmaz. • Hata yapınca sakla değil, derhal IT/SOC'a bildir — hız zararı küçültür. • Farkındalık kurumsal bir yükümlülüktür: ISO 27001 A.6.3 eğitim/farkındalık ve KVKK m.12 idari tedbir gereği.

✅ Mini-Test (5)

1.Bir e-posta "Hesabınız 30 dakika içinde kapatılacak, hemen şu bağlantıdan doğrulayın" diyor. Bu hangi sosyal mühendislik tekniğinin tipik işaretidir?

2.Kurumun IT destek ekibi, sorununuzu çözmek için telefonda parolanızı veya 2FA/OTP kodunuzu isteyebilir.

3.Üst yöneticiyi taklit ederek muhasebeden acil ve gizli para transferi isteyen saldırı türü hangisidir?

4.Otoparkta üzerinde "Maaş Listesi" yazan bir USB bellek buldunuz. Doğru davranış nedir?

5.ISO/IEC 27001:2022 Annex A'da çalışan bilgi güvenliği farkındalığı, eğitimi ve öğretimini ele alan kontrol hangi başlık altındadır?

🧩 Uygulama Soruları (5)

1.Tanımadığınız bir gönderenden gelen, beklemediğiniz bir fatura eki (.zip) içeren e-posta aldınız. İlk doğru adım hangisidir?

2.Bir tedarikçiden gelen e-posta, ödemelerin bundan sonra "yeni IBAN'a" yapılmasını istiyor. Bilgi güvenliği açısından en doğru davranış nedir?

3.Şüpheli bir bağlantıya yanlışlıkla tıkladığınızı ve kimlik bilgilerinizi girdiğinizi fark ettiniz. Başınız belaya girmesin diye olayı bildirmemek en güvenli seçenektir.

4.Güvenli bir kapıdan kartınızla girerken, arkanızdan yaka kartı görünmeyen biri "Ellerim dolu, kapıyı tutar mısın?" diyor. Doğru davranış nedir?

5.Kendinizi 'IT yöneticisi' olarak tanıtan biri telefonla arayıp, 'sistem güncellemesi' için kullanıcı adı ve parolanızı doğrulamanızı istiyor (pretexting). En doğru tepki nedir?

← Bilgi Varlıkları ve Veri Sınıf ISO 27001 Nedir, Neden Önemli? →

← Tüm modüllere dön · Güvenlik Sözlüğü