"Bize olmaz" — siber saldırıya uğrayan şirketlerin büyük çoğunluğunun olaydan önce kurumsal tutumu bu cümleyle özetlenebilir. Ancak saldırı sonrası incelemeler aynı tabloyu ortaya koyuyor: teknik bilgi eksikliği değil, bilinen risklerin ertelenmiş olması şirketleri çökertiyor.
1. "Fidye Yazılımına Karşı Antivirus Yeterlidir" Yanılgısı
Ne oluyor: Şirket antivirüs lisansı var, firewall var. IT müdürü "korunuyoruz" diyor. Ancak modern fidye yazılımları (Ransomware-as-a-Service modeli) geleneksel antivirüsü kolayca atlatacak şekilde tasarlanıyor — imzasız, polimorfik, fileless teknikler kullanıyor.
Gerçek: 2023-2024 Fortinet Threat Intelligence raporuna göre fidye yazılımı saldırılarının %68'i antivirüs aktif olan sistemlerde gerçekleşti.
Ne yapılmalı:
- EDR (Endpoint Detection & Response) — davranış tabanlı tehdit tespiti
- NDR (Network Detection & Response) — ağ içi anormal hareketi izleme
- Email güvenliği — phishing ve zararlı ek engelleme
- Uygulama beyaz listesi — sadece onaylı yazılımların çalışmasına izin verme
2. IT Personelinin Güvenlik Konusunda Yetkilendirilmemesi
Ne oluyor: IT ekibi güvenlik risklerini biliyor, üst yönetime bildiriyor. "Bütçe yok, şimdi değil, daha acil işler var" yanıtını alıyor. Güvenlik yatırımı bir maliyet kalemi olarak görülüp erteleniyor.
Gerçek maliyet karşılaştırması:
- Kurumsal güvenlik denetimi: 50.000 - 150.000 TL
- Ortalama fidye yazılımı saldırısı maliyeti (IBM Security 2024): 1.35 milyon USD — kesinti, kurtarma, itibar kaybı dahil
Ne yapılmalı: Güvenliği "maliyet" değil "sigorta" olarak konumlandırın. Yönetim kuruluna risk bazlı raporlama yapın: "Bu güvenlik açığı kapatılmazsa beklenen kayıp X TL'dir."
3. Tedarikçi ve Üçüncü Taraf Erişimini Denetlememek
Gerçek senaryo: 2020'deki SolarWinds saldırısı, doğrudan hedefleri değil tedarik zincirini vurdu. Yazılım güncellemesine yerleştirilen zararlı kod, 18.000 kurumun sistemine bulaştı — aralarında ABD hükümeti kurumları da vardı.
Küçük ölçekte benzer senaryo: Teknik servis firmanız uzaktan erişim için TeamViewer veya AnyDesk kullanıyor. O firmanın sistemleri ele geçirilirse sizin ağınıza da giriş sağlanır.
Ne yapılmalı:
- Tedarikçilere sadece ihtiyaç duydukları sistemlere, ihtiyaç duydukları süre kadar erişim verin
- Uzaktan erişimleri loglayin ve kayıt altına alın
- Tedarikçi erişimleri için ayrı, izole ağ segmenti
- Kritik tedarikçilerden yıllık güvenlik sertifikasyonu isteyin
4. Olay Müdahale Planı Hazırlamamak
Ne oluyor: Saldırı gerçekleşiyor. Ağ kapatılsın mı? Sistemi izole mi edelim? Yedekten mi dönsek? Polisi mi arasak? Müşterilere ne söyleyelim? Sigorta şirketini kim arayacak? Hiç düşünülmemiş, hiç pratik yapılmamış.
Panik kararları maliyeti ikiye katlar. Yanlış karar (ağı kapatmadan önce yedeğe bakmamak, fidyeyi ödemeden sistemi silmek) kurtarılabilir durumu kurtarılamaz hale getirebilir.
Ne yapılmalı: Incident Response (IR) Planı hazırlayın:
- Olay tespiti → kim bilgilendirilecek, kim karar verecek?
- İzolasyon prosedürü — hangi sistem nasıl izole edilir?
- İletişim planı — çalışanlara, müşterilere, basına ne söylenecek?
- Yasal yükümlülükler — KVKK bildirimi (72 saat), sigorta bildirimi
- Yılda en az bir kez masa başı tatbikat (tabletop exercise) yapın
5. Güvenliği Proje Olarak Değil Süreç Olarak Yönetmemek
Ne oluyor: Firewall alındı, kuruldu, "güvenlik tamam" dendi. 3 yıl sonra hiç dokunulmadı. Tehdit ortamı değişti, altyapı büyüdü, eski çalışanların hesapları hâlâ aktif, firmware güncellenmedi, politikalar gözden geçirilmedi.
Gerçek: Siber güvenlik bir ürün değil, süregelen bir süreçtir. Bir kez yapılıp biten bir proje değildir.
Ne yapılmalı:
- Aylık: Log gözden geçirme, hesap envanteri, patch durumu kontrolü
- Üç aylık: Politika revizyonu, kullanılmayan hesapları kapatma, firewall kural temizliği
- Yıllık: Sızma testi, güvenlik denetimi, IR planı tatbikatı, yetki matrisi revizyonu
- Sürekli: Tehdit istihbaratı takibi, güvenlik haberleri, vendor advisory'leri
Son Söz
Bu 5 hatanın ortak paydası ertelemedir. "Sonra yaparız" denen her güvenlik önlemi, saldırganlar için açık kapı bırakır. Siber güvenlik yatırımının geri dönüşü, hiçbir saldırı yaşanmadığında "görünmez" kalır — ta ki bir saldırı olana kadar. Lider Network olarak kurumsal güvenlik denetimi, zafiyet tespiti ve proaktif güvenlik danışmanlığı hizmetlerimizle yanınızdayız.