Mobil Cihaz ve BYOD Güvenliği

Tehditler ve Korunma

👤 Güvenlik Uzmanı★ 2/3⏱ 12 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Bir akıllı telefon artık cebinizdeki bir ofistir: kurumsal e-posta, müşteri verisi, parolalar ve kimlik bilgileri orada durur. Verizon'un yıllık veri ihlali raporlarına göre kaybolan/çalınan cihazlar ihlallerin kayda değer bir bölümünü oluşturur ve bu cihazların büyük kısmı şifrelenmemiş ya da ekran kilidi yoktur. Tek bir kilitsiz telefonun düşürülmesi, en güçlü ağ güvenliğini bile bir anda anlamsız kılabilir.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu derste mobil cihaz ve BYOD (Bring Your Own Device — Kendi Cihazını Getir) güvenliğini ele alıyoruz: ekran kilidi ve cihaz şifreleme, MDM/MAM (mobil cihaz/uygulama yönetimi), uygulama izinleri, halka açık Wi-Fi riskleri ve kaybolan cihazda ne yapılacağı. Dizüstü, telefon ve tabletler ofis dışına çıktıkça en kolay kaybolan, çalınan ve ele geçirilen varlık hâline gelir; bu yüzden mobil güvenlik artık 'ekstra' değil, temel bir kontroldür. Soldaki interaktif sahnede (secMalwareDefense3D) bir mobil cihaza gelen tehditleri ve ekran kilidi, şifreleme, MDM, uygulama izni gibi katmanlı savunmaların her birinin saldırıyı nasıl durdurduğunu deneyerek incele.

Anlatım

MOBİL CİHAZ GÜVENLİĞİ NEDİR VE NEDEN ÖNEMLİDİR? Mobil cihaz güvenliği; akıllı telefon, tablet ve dizüstü bilgisayar gibi taşınabilir cihazlardaki kurumsal ve kişisel verilerin yetkisiz erişime, kayba ve kötü amaçlı yazılıma karşı korunmasıdır. Bu cihazlar sürekli ofis dışına çıktığı için en yüksek kayıp/çalınma riskini taşır; üstelik halka açık Wi-Fi, sahte uygulama ve aşırı izin gibi mobil-özgü tehditlere maruz kalır. ISO/IEC 27001:2022 Annex A bunu doğrudan ele alır: A.8.1 'Uç nokta cihazları' (kullanıcı cihazlarının korunması) ve A.6.7 'Uzaktan çalışma' kontrolleri mobil cihazları ve evden/dışarıdan çalışmayı kapsar. KVKK açısından da bir telefonda kişisel veri taşınıyorsa, o cihaz veri sorumlusunun 'uygun teknik ve idari tedbir' (KVKK md.12) yükümlülüğünün parçasıdır. BYOD NEDİR? (KENDİ CİHAZINI GETİR) BYOD, çalışanın kendi kişisel cihazını (telefon/dizüstü) iş için kullanmasıdır. Pratiktir ama bir ikilem yaratır: cihaz çalışana ait, ama içindeki kurumsal veri kuruma aittir. Bu yüzden iyi bir BYOD politikası iş verisini kişisel veriden AYIRIR (kapsayıcı/iş profili — container), kuruma yalnız iş alanı üzerinde yetki tanır ve mahremiyet sınırını belirler. • YAP: Kurumun BYOD politikasını oku ve kayıt (enrollment) sürecini tamamla. • YAP: İş e-postası/uygulamalarını yalnız onaylı kurumsal uygulama veya iş profili içinden kullan. • YAPMA: Kurumsal veriyi kişisel WhatsApp, kişisel bulut (Drive/iCloud) veya galeriye kopyalamak. • YAPMA: 'Jailbreak/root' yapılmış cihazda iş verisi tutmak — bu cihazlarda işletim sistemi güvenliği kırılmıştır. EKRAN KİLİDİ VE CİHAZ ŞİFRELEME (İLK SAVUNMA HATTI) Cihaz kaybolduğunda tek koruyucunuz ekran kilidi ve disk şifrelemesidir. • Güçlü ekran kilidi kullan: 6+ haneli PIN veya alfasayısal parola; basit kalıplar (1234, 0000, doğum tarihi, 'L' deseni) KULLANMA. • Biyometri (parmak izi/yüz) hız için iyidir ama yedeği güçlü bir PIN/parola olmalı. • Otomatik kilit süresini kısa tut (ör. 30–60 sn) ve cihazını başıboş bırakma. • Cihaz şifrelemesini (Android: varsayılan; iPhone: parola ile etkin; dizüstü: BitLocker/FileVault) AÇIK tut — şifresiz cihaz, kilidi kırılınca tüm veriyi açık eder. YAPMA: Otomatik kilidi kapatmak veya 'rahat olsun' diye kilidi tamamen kaldırmak. MDM / MAM (MOBİL CİHAZ VE UYGULAMA YÖNETİMİ) MDM (Mobile Device Management) ve MAM (Mobile Application Management), kurumun cihazları/uygulamaları merkezî olarak yönetmesini sağlar (ör. Microsoft Intune, Jamf). • Politika zorlama: zorunlu ekran kilidi, minimum işletim sistemi sürümü, şifreleme şartı. • Uzaktan kilitleme ve uzaktan silme (remote wipe): cihaz kaybolursa veriyi uzaktan temizleme. • Seçici silme (selective wipe): BYOD'da yalnız İŞ verisini siler, kişisel fotoğraflarına dokunmaz — mahremiyet korunur. • Uyum kontrolü: jailbreak/root tespitinde cihazı kurumsal kaynaklardan keser. Çalışan olarak görevin: MDM kaydını tamamlamak, güncellemeleri ertelemeyip yüklemek ve cihaz kaybını derhal bildirmek. MDM kurumun cihazındaki kişisel içeriğini casusça izlemek için değildir; amaç kurumsal veriyi korumaktır. UYGULAMA İZİNLERİ (EN AZ AYRICALIK) Her uygulama gerçekten ihtiyaç duyduğu izni almalı; fazlası gizlilik ve güvenlik riskidir. • Sadece resmî mağazadan (Google Play / App Store) ve güvenilir geliştiriciden uygulama yükle. 'Bilinmeyen kaynaklar'/yandan yükleme (sideloading) kapalı kalsın. • Kurulumda ve sonrasında izinleri sorgula: Bir fener uygulaması neden rehbere, mikrofona, konuma erişsin? Gereksizse REDDET/iptal et. • Konum, mikrofon, kamera ve rehber gibi hassas izinleri 'yalnız kullanırken' ver; arka plan erişimini kıs. • Kullanmadığın uygulamaları kaldır; her uygulama bir saldırı yüzeyidir. YAPMA: Ücretsiz 'oyun/araç' için sorgusuz tüm izinleri vermek; sahte/taklit uygulamaları (popüler bir markanın kopyası) kurmak. HALKA AÇIK Wi-Fi VE AĞ GÜVENLİĞİ Kafede, otelde, havaalanında halka açık Wi-Fi araya girme (man-in-the-middle) ve sahte erişim noktası (evil twin) riski taşır. • Hassas işleri (kurumsal giriş, bankacılık) güvensiz Wi-Fi'de yapma; mümkünse kurumsal VPN kullan veya telefonun mobil verisini (hotspot) tercih et. • 'Otomatik bağlan'ı kapat; tanımadığın açık ağlara kendiliğinden bağlanmasın. • Tarayıcıda HTTPS (kilit simgesi) olduğundan emin ol; sertifika uyarısını görmezden gelme. YAPMA: Şifresiz açık ağda iş hesabına girmek; halka açık USB şarj noktasına (juice jacking riski) doğrudan veri kablosuyla bağlanmak — yalnız-şarj adaptörü/kendi power bank'ini kullan. KAYIP/ÇALINTI CİHAZ VE OLAY BİLDİRİMİ Cihaz kaybolur/çalınırsa hız hayatidir. • DERHAL BİLDİR: BT/güvenlik ekibine ve yöneticine haber ver (dakikalar önemli). • Uzaktan kilitle ve gerekiyorsa uzaktan sil (MDM veya 'Cihazımı Bul' ile). • İş hesaplarının oturumlarını kapat ve ilgili parolaları değiştir. • İçinde kişisel veri varsa bu bir KVKK veri ihlali olabilir — KVKK md.12 uyarınca veri sorumlusu, ihlali öğrendiğinde gecikmeksizin (Kurul kararına göre en kısa sürede) Kurul'a ve etkilenen kişilere bildirim yapmak zorunda kalabilir. Bu yüzden gizlemek değil, anında raporlamak doğrudur. YAPMA: 'Belki bulurum' diye bildirimi geciktirmek; durumu utanıp saklamak. KVKK VE ISO 27001 BAĞLANTISI (ÖZETLE) Mobil güvenlik bir teknoloji yığını değil, bir alışkanlıklar bütünüdür. ISO/IEC 27001:2022 A.8.1 (uç nokta cihazları), A.6.7 (uzaktan çalışma) ve A.8.7 (kötü amaçlı yazılıma karşı koruma) bu konuyu çerçeveler; KVKK md.12 ise cihazdaki kişisel veriyi korumayı doğrudan yükümlülük hâline getirir. Ekranını kilitle, cihazını şifrele, MDM'e kaydol, izinleri kıs, güvensiz ağdan kaçın ve kaybı anında bildir.

📌 Senaryolar

📌 Senaryo 1 (Kayıp cihaz — kilit ve şifreleme): Akşam metroda iş e-postan ve müşteri verilerinin bulunduğu telefonunu düşürdün ve telefon yok.
  Doğru davranış: Hemen BT/güvenlik ekibine bildir; MDM veya 'Cihazımı Bul' ile cihazı uzaktan kilitle ve gerekiyorsa uzaktan sil. İş hesaplarının parolalarını değiştir ve oturumları kapat.
  Sonuç/Neden: Telefon güçlü ekran kilidi + cihaz şifrelemesi ile korunuyorsa bulan kişi veriye ulaşamaz; kilitsiz/şifresiz cihaz ise düşer düşmez açık bir veri deposudur. Hızlı bildirim, KVKK md.12 kapsamındaki olası veri ihlali sürecini de zamanında başlatır.

📌 Senaryo 2 (BYOD veri ayrımı): Kendi telefonunla (BYOD) çalışıyorsun ve bir müşteri sözleşmesini kişisel WhatsApp'tan bir arkadaşına 'sadece bakıver' diye göndermek istiyorsun.
  Doğru davranış: Gönderme. Kurumsal veriyi yalnız onaylı iş uygulaması/iş profili içinden, yetkili kişilerle paylaş; gerekiyorsa kurumun resmî kanalını kullan.
  Sonuç/Neden: BYOD'da iş verisi kişisel uygulamaya/buluta sızdırılmaz; bu hem kurumsal politika hem KVKK ihlalidir ve MDM'in seçici silme korumasının dışına veri çıkarır. İş ve kişisel alanın ayrı kalması, mahremiyetini de korur.

📌 Senaryo 3 (Uygulama izinleri): Bir 'ücretsiz fener' uygulaması kuruluyor ve rehberine, konumuna ve mikrofonuna erişmek istiyor.
  Doğru davranış: Bu izinleri REDDET; bir fener için bunlar gereksizdir. Uygulamayı yalnız resmî mağazadan, güvenilir geliştiriciden kur ve gereksiz izin isteyen uygulamayı kaldır.
  Sonuç/Neden: En az ayrıcalık ilkesi: uygulama yalnız işlevi için zorunlu izni almalı. Aşırı izin, casus yazılım/veri toplama riskidir; her gereksiz izin saldırı yüzeyini ve gizlilik riskini büyütür.

📌 Senaryo 4 (Halka açık Wi-Fi): Havaalanında, şifresiz açık bir 'Free_Airport_WiFi' ağı üzerinden kurumsal portala girip acil bir onay vermek istiyorsun.
  Doğru davranış: Güvensiz açık ağda kurumsal girişi yapma. Telefonun mobil verisini (hotspot) ya da kurumsal VPN'i kullan; tarayıcıda HTTPS kilidini ve sertifika uyarısını kontrol et.
  Sonuç/Neden: Halka açık Wi-Fi araya girme (man-in-the-middle) ve sahte erişim noktası (evil twin) riski taşır; kimlik bilgilerin çalınabilir. VPN/mobil veri trafiği şifreler ve bu riski ortadan kaldırır.

📌 Senaryo 5 (Güncelleme ve MDM uyumu): Telefonun günlerdir 'işletim sistemi güncellemesi mevcut' diyor ama 'sonra' deyip erteliyorsun; MDM cihazını uyumsuz olarak işaretledi ve iş e-postan kesildi.
  Doğru davranış: Güncellemeyi en kısa sürede yükle; MDM kaydını ve uyum şartlarını koru. Ertelemen gerekiyorsa BT ile planla, ama güvenlik yamasını biriktirme.
  Sonuç/Neden: İşletim sistemi güncellemeleri çoğunlukla kritik güvenlik yamalarıdır (ISO 27001 A.8.8 zafiyet yönetimi). MDM'in uyum kontrolü, güncel olmayan/savunmasız cihazı kurumsal veriden kasıtlı keser; güncel cihaz hem korunur hem erişimini geri kazanır.

Özet

• Mobil cihaz ve BYOD güvenliği temel bir kontroldür; cihazlar ofis dışına çıktıkça en kolay kaybolan/çalınan varlıktır (ISO 27001 A.8.1, A.6.7; KVKK md.12). • İlk savunma hattı güçlü ekran kilidi (6+ hane/biyometri) + cihaz şifrelemesi + kısa otomatik kilittir; basit PIN ve kilitsiz cihaz yasaktır. • BYOD'da iş verisi kişisel uygulama/buluta sızdırılmaz; iş ve kişisel alan iş profili ile ayrılır, MDM yalnız iş verisini seçici siler. • Uygulamaları yalnız resmî mağazadan kur, en az ayrıcalıkla izin ver; gereksiz izinleri ve kullanılmayan uygulamaları kaldır. • Halka açık/şifresiz Wi-Fi'de hassas iş yapma; VPN veya mobil veri kullan, HTTPS ve sertifika uyarılarına dikkat et, halka açık USB şarjından kaçın. • Kayıp/çalıntı cihazı DERHAL bildir; uzaktan kilitle/sil, parolaları değiştir — gizleme, çünkü bu bir KVKK veri ihlali olabilir.

✅ Mini-Test (5)

1.Bir mobil cihaz kaybolduğunda veya çalındığında, içindeki verinin yetkisiz kişilerce okunmasını engelleyen EN TEMEL iki kontrol hangisidir?

2.BYOD (kendi cihazını getir) kapsamında, bir müşteri belgesini kurumsal uygulama yerine kişisel WhatsApp veya kişisel bulutuna kopyalamak uygundur.

3.Kurumun mobil cihazları merkezî yönetmesini, politika zorlamayı ve cihaz kaybolduğunda uzaktan kilitleme/silme yapabilmeyi sağlayan sistem hangisidir?

4.Bir 'ücretsiz fener' uygulaması kurulumda rehber, konum ve mikrofon izni istiyor. En doğru davranış hangisidir?

5.Üzerinde kişisel veri bulunan kurumsal bir telefonun kaybolması, KVKK kapsamında bir veri ihlali olarak değerlendirilebilir ve bildirim yükümlülüğü doğurabilir.

🧩 Uygulama Soruları (5)

1.İş e-postan ve müşteri verilerinin olduğu telefonunu bir taksiye unuttuğunu fark ettin. İlk yapman gereken nedir?

2.Kafede acil bir kurumsal onay vermen gerekiyor ama yalnız şifresiz açık bir halka açık Wi-Fi var. En güvenli yaklaşım hangisidir?

3.BYOD telefonunda MDM kaydını yapman istendi ve şirketin cihazını uzaktan silebileceğini öğrendin. En doğru tutum hangisidir?

4.Telefonun günlerdir bekleyen bir işletim sistemi güvenlik güncellemesi var. Ne yaparsın?

5.Havaalanında telefonun bitmek üzere ve duvarda halka açık bir USB şarj soketi var. Verilerin için en güvenli seçenek hangisidir?

← Şifreleme Temelleri KVKK ve Kişisel Verilerin Koru →

← Tüm modüllere dön · Güvenlik Sözlüğü