Veri Sızıntısı ve Yedekleme

Tehditler ve Korunma

👤 Güvenlik Uzmanı★ 2/3⏱ 12 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

IBM'in 2023 "Cost of a Data Breach" raporuna göre bir veri ihlalinin ortalama maliyeti 4,45 milyon dolar ve kuruluşların yaklaşık üçte birinin yedeği saldırı anında devre dışı kalıyor. Verinin kaçtığı an mı, geri getirilemediği an mı daha pahalı? Cevap: ikisi de aynı olaydır.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu derste iki tamamlayıcı savunmayı öğreniyoruz: verinin yetkisiz şekilde dışarı sızmasını engelleyen Veri Sızıntısı Önleme (DLP) ile bir felaket sonrası veriyi geri getiren 3-2-1 yedekleme kuralı. Soldaki interaktif sahnede (secEncryptionFlow3D) verinin şifreli akışını ve katmanlı korumayı incele; bir kopyanın nasıl çevrimdışı/değiştirilemez halde tutulduğunu adım adım dene.

Anlatım

VERİ SIZINTISI (DATA LEAKAGE) NEDİR? Kurumsal verinin (müşteri listesi, kişisel veri, fiyat tablosu, kaynak kod, sözleşme) yetkisiz kişilerin eline geçmesi veya kurum sınırının dışına çıkmasıdır. • Kazara sızıntı: yanlış kişiye e-posta, açık kalan paylaşım bağlantısı, kişisel buluta (Drive/Dropbox) dosya kopyalama, kaybolan USB bellek/laptop. • Kasıtlı sızıntı: hoşnutsuz çalışanın veri çalması, casusluk, satış için müşteri tabanını dışarı taşıma. • Teknik sızıntı: hatalı yapılandırılmış (public) S3/depolama, log'larda açıkta kalan parola/PII, ele geçirilmiş hesap üzerinden dışa aktarım. NEDEN ÖNEMLİ? Sızan veri geri alınamaz — bir kez dışarı çıktıysa kontrol kaybedilmiştir. KVKK (6698 sayılı Kanun) md.12 "veri güvenliğine ilişkin yükümlülükler" gereği kişisel veriyi korumak zorunludur; ihlalde KVKK md.12/5'e göre Kurul'a EN GEÇ 72 SAAT içinde, makul süre içinde de ilgili kişiye bildirim yapılır. İdari para cezaları ve itibar kaybı ağırdır. VERİ SIZINTISI ÖNLEME (DLP) DLP, hassas verinin tanımlanması, sınıflandırılması ve kurum sınırından çıkışının izlenip engellenmesidir. Üç katmanda çalışır: • Endpoint DLP: çalışanın bilgisayarında USB'ye kopyalama, yazdırma, panoya alma denetimi. • Network DLP: e-posta, web yükleme, mesajlaşma trafiğinde hassas içerik taraması. • Storage/Cloud DLP: bulutta ve dosya sunucularında açıkta duran/yanlış paylaşılan hassas veriyi bulma. VERİ SINIFLANDIRMA (DLP'NİN TEMELİ) Koruyamadığın şeyi koruyamazsın — önce etiketle: Genel / Dahili / Gizli / Çok Gizli. ISO/IEC 27001:2022 Annex A 5.12 (Bilginin sınıflandırılması) ve A 5.13 (Bilginin etiketlenmesi) bunu zorunlu kılar; DLP kuralları bu etikete göre uygulanır. İŞ YERİNDE DO / DON'T (DLP) YAPILMASI GEREKEN: • Hassas dosyaları yalnızca kurumsal onaylı sistemlerde sakla ve paylaş. • E-posta göndermeden önce alıcı adresini ve eklerini iki kez kontrol et. • Müşteri/kişisel veriyi paylaşman gerektiğinde 'erişim sadece-görüntüleme' ve süre sınırlı bağlantı kullan; bitince iptal et. • DLP uyarısı geldiğinde durup nedenini oku; emin değilsen BT/güvenlik ekibine sor. YAPILMAMASI GEREKEN: • Kurumsal veriyi kişisel e-posta, WhatsApp veya kişisel buluta KOPYALAMA. • 'Herkese açık / bağlantısı olan herkes' paylaşımı AÇMA. • Hassas veriyi onaysız USB belleğe atma; şifresiz cihazda taşıma. • DLP uyarısını 'yoksay/override' ile geçiştirme. YEDEKLEME VE 3-2-1 KURALI Sızıntı veriyi kaçırır; fidye yazılımı (ransomware), donanım arızası, silme veya doğal afet ise veriyi YOK eder. Tek savunma sağlam yedektir. Altın standart 3-2-1 kuralıdır: • 3 KOPYA: verinin en az üç kopyası (1 asıl + 2 yedek). • 2 FARKLI ORTAM: en az iki farklı ortam/teknoloji (ör. disk + bulut/teyp) — tek nokta arızasını önler. • 1 KOPYA SİTE DIŞINDA (off-site): en az bir kopya fiziksel olarak farklı konumda (yangın/sel/hırsızlık riskine karşı). MODERN EK — 3-2-1-1-0: 1 kopya OFFLINE/IMMUTABLE (air-gap veya değiştirilemez/silinemez) + yedeklerin 0 HATA ile geri yüklenebildiğinin DÜZENLİ TEST EDİLMESİ. Fidye yazılımı çevrimiçi yedekleri de şifreler; bu yüzden çevrimdışı/değiştirilemez kopya kritiktir. NEDEN TEST? Test edilmemiş yedek, yedek değildir. Felaket anında bozuk/eksik çıkarsa kurtarma başarısız olur. RPO (kabul edilebilir veri kaybı süresi) ve RTO (kabul edilebilir kesinti süresi) hedeflerine göre periyodik geri-yükleme tatbikatı yapılır. ISO 27001 / KVKK BAĞLANTISI • ISO/IEC 27001:2022 Annex A 8.13 (Bilgi yedekleme): yedekleme politikası, periyot ve düzenli geri-yükleme testi zorunlu. • Annex A 8.12 (Veri sızıntısının önlenmesi — DLP): hassas veri işleyen sistem/ağ/cihazlara DLP önlemleri uygulanır. • Annex A 5.12 / 5.13: sınıflandırma ve etiketleme. • KVKK md.12: kişisel verinin hukuka aykırı erişim ve kaybına karşı uygun teknik/idari tedbir; yedekleme bu tedbirlerin parçasıdır. NIST CSF fonksiyonlarıyla da hizalıdır (Protect: veri güvenliği; Recover: kurtarma planlaması).

📌 Senaryolar

📌 Senaryo 1 (Yanlış alıcıya gönderim): Pazarlama uzmanı, 5.000 müşterinin ad-soyad ve telefonunu içeren Excel'i e-postayla göndereceği sırada otomatik tamamlama yanlış 'Ali' kişisini seçti ve dış bir adrese gitmek üzere.
  Doğru davranış: Göndermeden önce 'Kime' alanını ve ekleri dur-oku-doğrula; alıcının kurum içi/yetkili olduğunu teyit et; gerekiyorsa eki şifreli/parolalı veya süre sınırlı erişim bağlantısı olarak paylaş; DLP uyarısı çıkarsa iptal et.
  Sonuç/Neden: Kişisel veri (PII) dışarı çıkarsa KVKK md.12 ihlali oluşur; gönderim geri alınamaz. Tek bir 'dur ve doğrula' refleksi 5.000 kişinin verisini korur.

📌 Senaryo 2 (Kişisel buluta kopyalama): Bir geliştirici, evden çalışırken işini hızlandırmak için müşteri veritabanı yedeğini kendi kişisel Google Drive'ına yükledi.
  Doğru davranış: Kurumsal veriyi yalnızca onaylı kurumsal sistemlerde tut; kişisel bulut/e-posta KULLANMA; uzaktan çalışmada kurumun sağladığı VPN ve onaylı depolamayı kullan; yanlışlıkla yüklediysen hemen sil ve güvenlik ekibine bildir.
  Sonuç/Neden: Kişisel bulut kurum DLP/erişim denetiminin dışındadır — paylaşım ayarı, hesap ele geçirme ve KVKK aktarım kuralları kontrol edilemez. Endpoint/Cloud DLP bu kopyalamayı engellemek/raporlamak için vardır.

📌 Senaryo 3 (Açık paylaşım bağlantısı): Çalışan, ortak bir dosyayı hızlı paylaşmak için 'Bağlantısı olan herkes düzenleyebilir' seçeneğini açtı; bağlantı bir sohbet grubuna düştü.
  Doğru davranış: 'Herkese açık' yerine yalnız belirli kişilere, sadece-görüntüleme ve süre sınırlı erişim ver; iş bitince bağlantıyı iptal et; periyodik olarak 'kiminle paylaşıldı' denetimi yap.
  Sonuç/Neden: Açık bağlantılar arama motorlarına ve yetkisiz kişilere açılan en sık sızıntı yoludur. En az ayrıcalık (least privilege) ilkesi maruziyeti küçük tutar.

📌 Senaryo 4 (Fidye yazılımı + yedek): Pazartesi sabahı bir kullanıcının makinesi fidye yazılımına yakalandı; ağ paylaşımındaki dosyalar da şifrelendi. BT, dün gecenin yedeğine dönmek istiyor ancak yedek aynı ağ diskindeydi ve o da şifrelendi.
  Doğru davranış: 3-2-1-1-0 uygula — yedeklerden EN AZ BİRİ offline/air-gap veya değiştirilemez (immutable) olsun; düzenli geri-yükleme testiyle yedeğin sağlam açıldığını önceden doğrula; site dışı kopyadan RTO içinde kurtar.
  Sonuç/Neden: Çevrimiçi/aynı ağdaki yedekler fidye yazılımıyla birlikte şifrelenir. Çevrimdışı veya değiştirilemez kopya, fidye ödemeden kurtarmanın TEK garantili yoludur (ISO 27001 A.8.13).

📌 Senaryo 5 (Kaybolan dizüstü/USB): Saha çalışanının içinde proje dosyaları ve müşteri kayıtları olan dizüstü bilgisayarı trende çalındı; cihaz şifresizdi.
  Doğru davranış: Tüm taşınabilir cihazlarda tam disk şifreleme (ör. BitLocker/FileVault) zorunlu olsun; hassas veriyi yalnız onaylı/şifreli ortamda taşı; kayıp anında derhal güvenlik ekibine bildir ki uzaktan kilitleme/silme ve hesap iptali yapılsın; olası kişisel veri ihlali için KVKK bildirim sürecini başlat.
  Sonuç/Neden: Şifreli diskte veri okunamaz, kayıp 'ihlal' olmaktan çıkar. Şifresizse PII açığa çıkar ve KVKK md.12/5 kapsamında 72 saat içinde Kurul'a bildirim gerekebilir.

Özet

• Veri sızıntısı = kurumsal/kişisel verinin yetkisiz şekilde dışarı çıkması; bir kez sızdıysa geri alınamaz. • DLP veriyi sınıflandırır ve endpoint/ağ/bulut katmanlarında çıkışını izleyip engeller (ISO 27001 A.8.12; A.5.12-5.13 sınıflandırma). • İş yeri refleksleri: alıcıyı/eki doğrula, kişisel buluta kopyalama, 'herkese açık' paylaşma, onaysız USB kullanma. • 3-2-1: 3 kopya, 2 farklı ortam, 1 site dışı; modern 3-2-1-1-0: +1 offline/immutable, +0 hatayla test edilmiş geri-yükleme (ISO 27001 A.8.13). • Test edilmemiş yedek yedek değildir; fidye yazılımına karşı çevrimdışı/değiştirilemez kopya şarttır. • KVKK md.12 kişisel veriyi korumayı zorunlu kılar; ihlalde Kurul'a 72 saat içinde bildirim yapılır.

✅ Mini-Test (5)

1.DLP (Veri Sızıntısı Önleme) öncelikle hangi amaca hizmet eder?

2.3-2-1 yedekleme kuralı neyi ifade eder?

3.Kurumsal müşteri verisini, işi hızlandırmak amacıyla kişisel bir bulut hesabına (örneğin kişisel Google Drive) kopyalamak güvenli ve kabul edilebilir bir uygulamadır.

4.Yedekleme stratejisinin geçerli olabilmesi için yedeklerin düzenli olarak geri-yükleme (restore) testinden geçirilmesi gerekir.

5.Fidye yazılımının (ransomware) çevrimiçi/ağdaki yedekleri de şifrelemesine karşı en etkili koruma hangisidir?

🧩 Uygulama Soruları (5)

1.İçinde 2.000 müşterinin kişisel verisi bulunan bir Excel'i dış bir adrese e-postayla göndermek üzeresiniz. En doğru davranış hangisidir?

2.Bir ortak dosyayı ekibe açmanız gerekiyor. Hangi paylaşım ayarı en az risklidir?

3.İçinde müşteri kayıtları olan şirket dizüstü bilgisayarınız çalındı. İlk ve en doğru adım hangisidir?

4.Tüm yedeklerin tek bir kuruma ait aynı ağ diskinde tutulması, 3-2-1 kuralını karşılar.

5.Ekranınızda 'Bu e-posta hassas veri içeriyor olabilir' uyarısı (DLP) çıktı. Doğru davranış nedir?

← Zararlı Yazılım ve Fidye Yazıl Uzaktan Çalışma ve VPN Güvenli →

← Tüm modüllere dön · Güvenlik Sözlüğü