Güvenlik Olayı Bildirimi ve Müdahale

Uyum ve Olay Yönetimi

👤 Güvenlik Uzmanı★ 2/3⏱ 12 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

IBM'in 2023 Veri İhlali Maliyeti raporuna göre bir ihlalin tespit ve kontrol altına alınması ortalama 277 gün sürüyor; oysa ihlali hızlı bildiren kurumlar maliyeti milyonlarca lira düşürebiliyor. Bir olayı fark ettiğinizde geçen her dakika kuruma para ve itibar kaybettirir.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu derste bir güvenlik olayını nasıl tanıyacağımızı, kime/nasıl bildireceğimizi ve müdahale akışının adımlarını öğreniyoruz. Soldaki interaktif sahnede (secEncryptionFlow3D) bir olayın tespit anından kapanışa kadar izlediği bildirim ve müdahale akışını adım adım takip et; her aşamada kimin devreye girdiğini incele.

Anlatım

GÜVENLİK OLAYI NEDİR? Bir "güvenlik olayı" (security incident), bilginin gizlilik, bütünlük veya erişilebilirliğini tehdit eden ya da kuruluşun güvenlik politikalarını ihlal eden her türlü istenmeyen durumdur. • Olay (event): Gözlemlenen herhangi bir durum (ör. başarısız oturum açma denemesi). • Olay/ihlal (incident): Gerçekten zarar veren veya verme ihtimali yüksek olan durum (ör. fidye yazılımı, yetkisiz erişim, kişisel veri sızıntısı). ISO/IEC 27001:2022 Annex A bu alanı "A.5.24–A.5.28 Bilgi güvenliği olay yönetimi" kontrolleriyle düzenler: planlama, raporlama, değerlendirme, müdahale ve kanıt toplama. NEDEN ÖNEMLİ? • Erken bildirim, yayılmayı (lateral movement) durdurur ve hasarı küçültür. • KVKK kapsamında kişisel veri ihlallerinde yasal bildirim yükümlülüğü vardır — gecikme idari para cezası riski doğurur. • Bir kişinin sustuğu küçük bir şüphe, kurum genelinde büyük bir ihlale dönüşebilir. Güvenlik herkesin işidir. OLAY TÜRLERİNE ÖRNEKLER (İŞ YERİ) • Oltalama (phishing) e-postasına tıklamak veya kimlik bilgilerini girmek. • Cihazın (laptop/telefon) kaybolması veya çalınması. • Fidye yazılımı: dosyaların şifrelenip erişilemez hâle gelmesi. • Yetkisiz erişim: başkasının hesabıyla giriş, yetki dışı dosyalara ulaşma. • Yanlış alıcıya kişisel veri içeren e-posta/dosya gönderme (veri sızıntısı). • USB bellek veya bilinmeyen ekin açılması. MÜDAHALE YAŞAM DÖNGÜSÜ (NIST SP 800-61) 1) HAZIRLIK (Preparation): Politikalar, iletişim listeleri, yedekler, eğitim. 2) TESPİT VE ANALİZ (Detection & Analysis): Olayı fark etme, doğrulama, önceliklendirme (kritiklik/etki). 3) KONTROL ALTINA ALMA, KÖKÜ KAZIMA, KURTARMA (Containment, Eradication & Recovery): İzole et, zararlı unsuru temizle, sistemleri güvenle geri al. 4) OLAY SONRASI ÖĞRENME (Post-Incident Activity): Kök neden analizi, ders çıkarma, iyileştirme. ÇALIŞAN OLARAK BİLDİRİM AKIŞI • Şüpheyi fark et → Hemen Bilgi Güvenliği / BT / SOC ekibine bildir (telefon, özel olay hattı veya bilet sistemi). • "Belki önemsizdir" diye SUSMA; teyit etmek uzmanın işidir. • Olayın saatini, ne gördüğünü ve hangi sistemi etkilediğini not et. YAPILMASI GEREKENLER (DO) • Şüpheli durumu DERHAL ve doğru kanaldan bildir. • Kanıtı koru: ekran görüntüsü al, oltalama e-postasını SİLME, ekte talimat verilirse uy. • Etkilenen cihazı ağdan ayır (kabloyu çek / Wi-Fi kapat) — ekip aksini söylemediyse. • Parola çalındıysa derhal değiştir ve çok faktörlü doğrulamayı (MFA) kontrol et. YAPILMAMASI GEREKENLER (DON'T) • Olayı gizleme, üstüne gitme veya kendi başına "düzeltmeye" çalışma. • Şüpheli e-postayı silme, dosyaları formatlama, log'ları temizleme (kanıt yok olur). • İhlali sosyal medyada/dışarıda konuşma; iletişim yalnız yetkili ekipten yapılır. • Fidye yazılımında fidyeyi ödeme kararını kendi başına verme. KVKK BAĞLANTISI Kişisel verilerin hukuka aykırı olarak ele geçirilmesi bir "kişisel veri ihlali"dir. KVKK 6698 kapsamında veri sorumlusu, ihlali öğrendiği andan itibaren en kısa sürede ve Kurul'un belirlediği usulde Kişisel Verileri Koruma Kurumu'na bildirmekle yükümlüdür (Kurul kararıyla 72 saat referans alınır); yüksek riskli durumlarda ilgili kişiler de bilgilendirilir. Bu yüzden bir çalışanın gecikmeden iç bildirim yapması, kurumun yasal süreye yetişmesini sağlar.

📌 Senaryolar

📌 Senaryo 1 (Oltalama e-postası): Banka adına gelen bir e-posta "hesabınız kilitlendi, hemen giriş yapın" diyerek bir bağlantı sunuyor.
  Doğru davranış: Bağlantıya tıklama; gönderen adresini ve URL'yi kontrol et; e-postayı silmeden BT/Güvenlik ekibine 'şüpheli e-posta' olarak ilet veya bildir butonunu kullan.
  Sonuç/Neden: Tıklamadan bildirmek kimlik bilgisi hırsızlığını ve kurum geneli kampanyayı engeller; e-postanın saklanması ekibin diğer hedefleri uyarmasını sağlar.

📌 Senaryo 2 (Yanlış alıcıya veri): Müşteri T.C. kimlik numaralarını içeren bir Excel'i yanlışlıkla dış bir adrese gönderdin.
  Doğru davranış: Paniğe kapılma; durumu DERHAL amirine ve Bilgi Güvenliği ekibine bildir; gönderim saatini, alıcıyı ve dosya içeriğini not et. Geri-çağırma mümkünse dene ama bildirimi geciktirme.
  Sonuç/Neden: Bu bir kişisel veri ihlalidir; erken iç bildirim, veri sorumlusunun KVKK kapsamındaki Kurul'a bildirim süresine (72 saat referansı) yetişmesini sağlar.

📌 Senaryo 3 (Kayıp cihaz): İş laptopını metroda unuttun/çaldırdın.
  Doğru davranış: Vakit kaybetmeden BT'ye haber ver; uzaktan kilitleme/silme (remote wipe) talep et; cihaza bağlı hesapların parolalarını değiştir.
  Sonuç/Neden: Disk şifreliyse veri korunur, ancak hesap oturumları açık kalmış olabilir; hızlı bildirim yetkisiz erişimi ve veri sızıntısını önler.

📌 Senaryo 4 (Fidye yazılımı): Bilgisayarındaki dosyalar açılmıyor ve ekranda fidye isteyen bir mesaj çıkıyor.
  Doğru davranış: Cihazı hemen ağdan ayır (kablo/Wi-Fi kapat), kapatma; başka cihazdan Güvenlik ekibine bildir; fidyeyi ödeme veya dosyaları silme.
  Sonuç/Neden: Ağdan izolasyon zararlının diğer makinelere yayılmasını (containment) durdurur; cihaz açık tutulduğunda ekip bellekten kanıt toplayabilir; ödeme kararı kurumun ve uzmanların işidir.

📌 Senaryo 5 (Şüpheli oturum etkinliği): Hesabına bilmediğin bir şehirden giriş yapıldığına dair bir uyarı aldın.
  Doğru davranış: Parolanı hemen değiştir, açık oturumları kapat, MFA'yı etkinleştir/kontrol et ve durumu Güvenlik ekibine bildir.
  Sonuç/Neden: Hızlı parola değişimi ve oturum sonlandırma yetkisiz erişimi keser; bildirim, ekibin diğer hesaplarda benzer saldırı olup olmadığını araştırmasını sağlar.

Özet

• Güvenlik olayı = gizlilik/bütünlük/erişilebilirliği tehdit eden her durum; küçük şüphe bile bildirilir. • Müdahale döngüsü (NIST SP 800-61): Hazırlık → Tespit/Analiz → Kontrol-altına-alma/Kök-kazıma/Kurtarma → Olay sonrası öğrenme. • DO: derhal doğru kanaldan bildir, kanıtı koru, etkilenen cihazı izole et, parola/MFA önlemi al. • DON'T: gizleme, kendi başına düzeltme, e-postayı/log'ları silme, fidye ödeme kararını tek başına verme. • ISO 27001:2022 Annex A.5.24–A.5.28 olay yönetimini düzenler; kişisel veri ihlalinde KVKK bildirimi (72 saat referansı) için hızlı iç bildirim şarttır. • Susmak değil, bildirmek doğru davranıştır — güvenlik herkesin sorumluluğudur.

✅ Mini-Test (5)

1.NIST SP 800-61 olay müdahale yaşam döngüsünün doğru sıralaması hangisidir?

2.Oltalama (phishing) olduğundan şüphelendiğin bir e-postayı fark ettin. İlk yapman gereken nedir?

3.Küçük bir güvenlik şüphesi 'muhtemelen önemsizdir' diye düşünüp bildirim yapmamak doğru bir yaklaşımdır.

4.ISO/IEC 27001:2022 Annex A'da bilgi güvenliği olay yönetimi hangi kontrol grubunda düzenlenir?

5.Cihazında fidye yazılımı belirtileri gördün. Aşağıdakilerden hangisi doğru ilk adımdır?

🧩 Uygulama Soruları (5)

1.Müşteri T.C. kimlik numaralarını içeren bir dosyayı yanlışlıkla şirket dışı bir e-posta adresine gönderdin. KVKK açısından ne yapmalısın?

2.İş laptopını dışarıda kaybettin. Doğru ilk hareket hangisidir?

3.Bir olayın araştırılması için şüpheli e-postayı, log kayıtlarını veya dosyaları silmemek (kanıtı korumak) önemlidir.

4.Hesabına tanımadığın bir konumdan giriş yapıldığına dair uyarı aldın. En uygun davranış hangisidir?

5.Bir iş arkadaşın 'küçük bir şey, kimseye söyleme' diyerek bir güvenlik olayını gizlemeni istiyor. Ne yapmalısın?

← KVKK ve Kişisel Verilerin Koru İş Sürekliliği ve Felaket Kurt →

← Tüm modüllere dön · Güvenlik Sözlüğü