Fiziksel Güvenlik ve Erişim Kontrolü

Günlük Güvenlik Davranışları

👤 Güvenlik Uzmanı★ 1/3⏱ 10 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Verizon'un yıllık veri ihlali raporlarına göre ihlallerin büyük bölümünde insan faktörü rol oynar; fiziksel erişimde ise en yaygın açık tek bir kapıdan ardı sıra geçmektir: yetkili kişinin kartını okuttuğu kapıdan, kimse durdurmadığı için, yetkisiz biri arkasından süzülür. Bu davranışın adı tailgating'tir ve hiçbir teknik kontrol onu tek başına engelleyemez.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu derste fiziksel güvenliği ve erişim kontrolünü ele alıyoruz: kartlı geçiş sistemleri, tailgating (ardından geçme), ziyaretçi yönetimi ve temiz masa/temiz ekran ilkesi. Bilgi güvenliği yalnız ağda ve parolada değildir; bir kişinin binaya, sunucu odasına veya masanızdaki belgeye fiziksel olarak ulaşması da en az bir siber saldırı kadar ciddi bir ihlaldir. Soldaki interaktif sahnede (secAccessControl3D) kartlı geçiş turnikesini, ziyaretçi kaydını ve tailgating senaryosunu deneyerek hangi davranışın güvenli hangisinin riskli olduğunu incele.

Anlatım

FİZİKSEL GÜVENLİK NEDİR VE NEDEN ÖNEMLİDİR? Fiziksel güvenlik, bilgi varlıklarına (sunucular, çalışan cihazları, evrak, yedek üniteler) yetkisiz fiziksel erişimi engellemeyi amaçlar. ISO/IEC 27001:2022 standardının Annex A bölümünde fiziksel kontroller "Physical controls" başlığı altında toplanmıştır (ör. A.7.1 Fiziksel güvenlik çevresi, A.7.2 Fiziksel giriş kontrolleri, A.7.4 Fiziksel güvenlik izleme, A.7.7 Temiz masa ve temiz ekran). En güçlü güvenlik duvarı bile, saldırgan binaya girip bir cihaza USB takabiliyorsa anlamını yitirir. Fiziksel ihlal aynı zamanda KVKK kapsamında kişisel veriye yetkisiz erişim demektir ve veri sorumlusunun "uygun teknik ve idari tedbirler" (KVKK md.12) yükümlülüğünü ihlal eder. KARTLI GEÇİŞ (ERİŞİM KONTROL) SİSTEMLERİ Kartlı geçiş, "kim, nereye, ne zaman girebilir?" sorusunu yöneten en yaygın kontroldür. Temel ilke en az ayrıcalık (least privilege): herkesin kartı her kapıyı açmamalı; kişi yalnızca görevi için gereken alanlara erişmeli. • Kartını her zaman yanında taşı ve görünür biçimde tak. • Kartı KİMSEYLE paylaşma, ödünç verme veya başkası adına okutma. • Kart kaybolursa derhal bildir; kayıp kart kötü niyetli ele geçirilirse bina kapısı açık bırakılmış demektir. • Sunucu odası, arşiv gibi kritik alanlar için ek doğrulama (PIN, biyometri) beklenir — bu çok faktörlü fiziksel erişimdir. YAPMA: Bir kapıyı "pratik olsun" diye kama/sandalye ile açık bırakmak; bu tek hamle tüm erişim kontrolünü devre dışı bırakır. TAILGATING (ARDINDAN GEÇME / PIGGYBACKING) Tailgating, yetkili kişinin açtığı kapıdan yetkisiz birinin arkasından girmesidir. "Elim dolu, kapıyı tutar mısın?", kuryeyle, kahve taşıyan biriyle ya da takım elbiseli güven veren bir kişiyle gerçekleşebilir — sosyal mühendisliğin fiziksel hâlidir. Doğru davranış: • Her geçişte tek kişi tek kart kuralı. Arkandakinin de kendi kartını okutmasını sağla. • Tanımadığın kişi arkandan girmeye çalışırsa kibarca "Lütfen siz de kartınızı okutur musunuz?" veya "Size yardımcı olabilir miyim, kimi ziyaret ediyorsunuz?" de. • Rahatsız olursan zorla durdurmaya çalışma; güvenliği/resepsiyonu bilgilendir. YAPMA: Nezaket adına tanımadığın birine kapı tutmak. Nezaket ile güvenlik çatışırsa güvenlik önceliklidir; bu kişisel bir reddetme değil, kurumsal bir kuraldır. ZİYARETÇİ YÖNETİMİ Misafir, tedarikçi, kurye ve aday gibi dışarıdan gelen herkes ziyaretçidir ve kayıt altına alınmalıdır. • Ziyaretçi resepsiyonda kayıt olur (ad, kurum, ziyaret nedeni, ziyaret edilen kişi, giriş-çıkış saati). • Ziyaretçi GÖRÜNÜR ziyaretçi yaka kartı takar; çalışan kartından ayırt edilebilir olmalı. • Ziyaretçiye bir çalışan EŞLİK EDER; ziyaretçi güvenli alanlarda yalnız dolaşamaz. • Çıkışta kart iade edilir ve çıkış kaydı yapılır. YAPMA: Tanımadığın bir ziyaretçiyi "birini arıyor herhâlde" diye serbest bırakmak; kartsız/kimliksiz birini içeri almak. TEMİZ MASA / TEMİZ EKRAN (Clean Desk / Clear Screen) Fiziksel erişim engellense bile masada açık bırakılan belge veya kilitlenmemiş ekran iç tehdit ve ziyaretçi için açık kapıdır (ISO 27001 A.7.7). • Masandan ayrılırken hassas evrakı kilitli çekmeceye/dolaba koy. • Bilgisayarını KİLİTLE (Windows: Win+L). Kısa bir çay molasında bile. • Yazıcıdan çıktıları hemen al; ortak yazıcıda gizli belge bırakma. • Beyaz tahta/yapışkan notlardaki parola veya müşteri bilgisini sil. KVKK BAĞLANTISI Fiziksel güvenlik, kişisel verilerin korunmasının ayrılmaz parçasıdır. KVK Kurumu'nun yayımladığı idari tedbirler arasında "fiziksel güvenliğin sağlanması", "kişisel veri içeren ortamların güvenliği" ve "erişim yetkilerinin kontrolü" doğrudan sayılır. Bir ziyaretçinin masandaki müşteri listesini görmesi de, sunucu odasına izinsiz girilmesi de KVKK kapsamında veri ihlalidir ve gerektiğinde Kurul'a ve ilgili kişiye bildirim yükümlülüğü doğurabilir. ÖZETLE: Fiziksel güvenlik bir teknoloji değil, bir davranış kültürüdür. Kart oku, kapı tutma, ziyaretçiyi kaydet ve eşlik et, masanı ve ekranını temiz tut. Tek bir gevşek davranış, milyonlarca liralık teknik yatırımı boşa çıkarabilir.

📌 Senaryolar

📌 Senaryo 1 (Tailgating — kapı tutma): Elinde iki bardak kahve olan, kimliğini görmediğin biri turnikede arkana geçip "Kart cebimde, elim dolu, tutsana kapıyı" diyor.
  Doğru davranış: Kapıyı tutma. Kibarca "Tabii, ben yardımcı olayım — siz kartınızı okutun, ben bardakları tutarım" de ya da kişiyi resepsiyona yönlendir. Tanımadığın kişi kendi kartını okutmadan geçmesin.
  Sonuç/Neden: Tailgating en yaygın fiziksel ihlaldir ve sosyal mühendisliğin (nezaket istismarı) fiziksel hâlidir. Tek kişi tek kart kuralı, erişim kayıtlarının da doğru kalmasını sağlar; aksi hâlde içeride 'kayıt dışı' bir kişi olur.

📌 Senaryo 2 (Ziyaretçi yönetimi): Toplantı için gelen bir tedarikçi, sen telefonla meşgulken "Ben içeri geçip beklerim" diyerek ofis alanına yönelir.
  Doğru davranış: Durdur ve resepsiyona/ziyaretçi kaydına yönlendir; ziyaretçi yaka kartı verilmesini ve bir çalışanın eşlik etmesini sağla. Telefonu kapatamıyorsan bir iş arkadaşından eşlik etmesini iste.
  Sonuç/Neden: Ziyaretçiler kayıt altına alınmalı, görünür kart takmalı ve eşlik edilmelidir (ISO 27001 A.7.2). Eşliksiz ziyaretçi açık masaları, ekranları ve evrakları görebilir — bu KVKK kapsamında veri ihlali riskidir.

📌 Senaryo 3 (Kart paylaşımı): Bir iş arkadaşın "Kartımı evde unuttum, seninkini bir dakikalığına versen de sunucu odasına girsem" diyor.
  Doğru davranış: Kartını verme. "Veremem, bu kurala aykırı — gel birlikte güvenliğe/yöneticiye geçici kart için başvuralım" de.
  Sonuç/Neden: Kart kişiye özeldir ve erişim kayıtları kimliğe bağlıdır. Kartını verirsen sistemde sen girmiş görünürsün; bir olay olursa sorumluluk sana yazılır. En az ayrıcalık ve kişisel hesap-verebilirlik ilkesi bozulur.

📌 Senaryo 4 (Temiz masa / temiz ekran): Öğle yemeğine çıkacaksın; masanda açık bir müşteri sözleşmesi ve oturum açık bir bilgisayar var.
  Doğru davranış: Bilgisayarı kilitle (Win+L), hassas evrakı kilitli çekmeceye kaldır, yazıcıdan çıktıları al.
  Sonuç/Neden: Temiz masa/temiz ekran ilkesi (ISO 27001 A.7.7) yokken ofiste dolaşan herkes — ziyaretçi, temizlik, iç tehdit — verilere bakabilir. Kilitli olmayan ekran, en hızlı veri sızıntısı yoludur; bir dakikalık molada bile kilitle.

📌 Senaryo 5 (Açık tutulan kapı / kama): Sıcak bir günde havalandırma için yangın çıkışı kapısı bir sandalye ile açık bırakılmış ve kimse fark etmiyor.
  Doğru davranış: Kapıyı kapat ve durumu tesis/güvenlik ekibine bildir. Kapı bir nedenle açık kalmalıysa, yetkili onayı ve gözetim olmadan açık bırakma.
  Sonuç/Neden: Açık bırakılan tek bir denetimsiz kapı, tüm kartlı geçiş ve çevre güvenliğini (ISO 27001 A.7.1 fiziksel güvenlik çevresi) anlamsız kılar; binaya kayıt dışı, izlenmeyen erişim sağlar. Konfor asla güvenlik çevresini delmenin gerekçesi olamaz.

Özet

• Fiziksel güvenlik bir teknoloji değil davranış kültürüdür; tek gevşek hareket tüm kontrolleri boşa çıkarır (ISO 27001 Annex A.7). • Kartlı geçişte en az ayrıcalık geçerlidir: kartını paylaşma, kaybını derhal bildir, kapıyı kama ile açık bırakma. • Tailgating'i durdur: tek kişi tek kart; tanımadığın kişiye nezaket için kapı tutma, kibarca kart okutmasını iste. • Ziyaretçiyi kaydet, görünür yaka kartı ver ve mutlaka eşlik et; güvenli alanlarda yalnız bırakma. • Temiz masa/temiz ekran: ayrılırken ekranı kilitle (Win+L), hassas evrakı kilitle, çıktıları yazıcıda bırakma. • Fiziksel ihlal aynı zamanda bir KVKK veri ihlalidir (md.12 teknik/idari tedbirler); şüpheli durumu güvenliğe bildir.

✅ Mini-Test (5)

1.Yetkili bir kişinin açtığı kapıdan yetkisiz birinin arkasından süzülerek girmesine ne ad verilir?

2.İş arkadaşın kartını evde unuttuysa, kendi geçiş kartını ona ödünç vermen uygundur.

3.Bir ziyaretçi yönetimi sürecinde aşağıdakilerden hangisi DOĞRU uygulamadır?

4.Masandan kısa süreliğine ayrılırken aşağıdakilerden hangisi 'temiz masa / temiz ekran' ilkesinin gereğidir?

5.Fiziksel bir güvenlik ihlali (ör. ziyaretçinin müşteri listesini görmesi) aynı zamanda bir KVKK veri ihlali olabilir.

🧩 Uygulama Soruları (5)

1.Turnikede arkandaki kişi, elinde kutular taşıdığını söyleyip 'kapıyı tutar mısın' diyor ve onu tanımıyorsun. En doğru davranış hangisidir?

2.Ofis alanında, çalışan olmadığını fark ettiğin, yaka kartı takmayan bir kişiyle karşılaştın. Ne yaparsın?

3.Geçiş kartını kafede unuttuğunu fark ettin ve kart bulunamıyor. İlk yapman gereken nedir?

4.Yangın çıkışı kapısının havalandırma için bir sandalye ile sürekli açık tutulduğunu gördün. Doğru yaklaşım hangisidir?

5.Toplantı odasında, eşlik ettiğin ziyaretçi 'birkaç dakika tek başıma çıktı alacağım, siz devam edin' diyerek yalnız kalmak istiyor. Ne yaparsın?

← Güvenli İnternet ve Web Kullan Zararlı Yazılım ve Fidye Yazıl →

← Tüm modüllere dön · Güvenlik Sözlüğü