5 Yaygın Bilgi Güvenliği İhlal Olayı

📌 Bilgi Güvenliği & ISO 27001

5 Yaygın Bilgi Güvenliği İhlali:
Neden Olur, Ne Yapar?

2024 verilerine göre Türkiye’de 281 resmi KVKK bildirimi yapıldı. En kritik 5 güvenlik ihlalini, gerçek örnekleri, önleme yöntemleri ve ISO 27001 uyumlu çözümleriyle inceleyin.

Yayın: Mart 2025 Okuma Süresi: ~12 dk Yazar: SecureFors Ekibi ISO 27001 KVKK BGYS

4.88M$

Ortalama veri ihlali maliyeti (IBM 2024)

194

Gün — ihlal tespit ortalama süresi

281

2024 KVKK’ya yapılan ihlal bildirimi

%93

İhlallerde insan faktörü etkisi (Verizon DBIR)

// İçindekiler

Phishing (Oltalama) Saldırıları
Fidye Yazılımı (Ransomware) Saldırıları
İçeriden Gelen Tehditler (Insider Threat)
Zayıf Parola ve Kimlik Yönetimi
Sosyal Mühendislik Saldırıları
Sık Sorulan Sorular (SSS)

Bilgi güvenliği ihlalleri artık yalnızca büyük şirketlerin değil, her ölçekteki kuruluşun gündelik gerçekliğine girmiş durumda. 2024 yılında yalnızca Ocak ayında dünya genelinde 974.000’i aşkın veri ihlali tespit edildi. Türkiye ise kişisel veri sızıntısı bakımından küresel sıralamada 19. sırada yer alıyor.

Bu yazıda, en sık karşılaşılan 5 bilgi güvenliği ihlalini teknik ve insani boyutlarıyla ele alıyoruz. Her ihlal türü için nasıl gerçekleştiğini, gerçek dünya örneklerini, risk seviyesini ve ISO 27001 uyumlu önleme adımlarını bulacaksınız.

İhlal #1 — En Yaygın

Phishing (Oltalama) Saldırıları

Phishing, saldırganların meşru bir kurum veya kişiyi taklit ederek kullanıcıları kötü amaçlı bağlantılara tıklamaya, kimlik bilgilerini paylaşmaya veya zararlı dosyaları indirmeye ikna ettiği sosyal mühendislik tabanlı bir saldırı türüdür. E-posta, SMS (smishing) ve sesli arama (vishing) yoluyla gerçekleşebilir.

Tipik Bir Phishing Saldırısının Akışı

Sahte E-posta

→

Bağlantıya Tıklama

→

Kimlik Bilgisi Girişi

→

Sistem Ele Geçirme

→

Veri Sızıntısı

Phishing’in Hedeflediği Sektörler (2024)

Finans

%82

E-Ticaret

%68

Sağlık

%61

Teknoloji

%55

Kamu

%48

📌 Gerçek Örnek

Microsoft taklit eden phishing kampanyası (2024): Sahte phishing saldırılarının %30’undan fazlası Microsoft markasını taklit etti. Çalışanlar “hesabınız askıya alındı” içerikli e-postalarla sahte giriş sayfalarına yönlendirilerek kurumsal kimlik bilgilerini teslim etti.

🔴 Risk: KRİTİK Etki: Yüksek ISO 27001 A.8.23 A.6.3 Farkındalık

✓ Önleme Adımları

Çok Faktörlü Kimlik Doğrulama (MFA) — Kimlik bilgisi çalınsa bile erişimi engeller
E-posta güvenlik filtreleri — SPF, DKIM, DMARC protokollerini aktif edin
Düzenli phishing simülasyonları — Çalışan farkındalık seviyesini ölçün
Kullanıcı eğitim programları — ISO 27001 A.6.3 kapsamında yıllık minimum 1 eğitim
URL analiz araçları — Şüpheli linkleri otomatik tarayın

İhlal #2 — En Yıkıcı

Fidye Yazılımı (Ransomware) Saldırıları

Fidye yazılımları, sistemlerdeki verileri şifreleyerek erişimi engelleyen ve şifre çözme anahtarı karşılığında ödeme talep eden kötü amaçlı yazılımlardır. Son 5 yılda dünya genelinde %13 artış gösteren fidye saldırıları, medyan fidye tutarını yaklaşık 10.700 dolara taşıdı.

Ransomware Bulaşma Vektörleri

Phishing E-posta

%79

Güvenlik Açığı

%42

RDP Saldırısı

%35

Üçüncü Taraf

%21

📌 Gerçek Örnek

Yükseköğretim sektörü (2024): Kurumların %70’i son 12 ayda fidye yazılımı saldırısına maruz kaldığını bildirdi. Kurtarma süresi ortalama 3 günden 3 haftaya kadar uzadı. Kurtarma maliyeti (fidye hariç) ortalama 2.73 milyon dolara ulaştı.

🔴 Risk: KRİTİK İş Sürekliliği: Kritik ISO 27001 A.8.13 A.5.30 BCP

✓ Önleme Adımları

3-2-1 Yedekleme Stratejisi — 3 kopya, 2 farklı ortam, 1 tane offline yedek
Patch management (yama yönetimi) — Kritik açıkları 72 saat içinde kapatın
Ağ segmentasyonu — Yanal hareketin önüne geçin
EDR/XDR çözümleri — Şüpheli davranışları gerçek zamanlı tespit edin
İş sürekliliği planı (BCP) — ISO 27001 A.5.30 kapsamında tatbikat yapın

İhlal #3 — En Gözden Kaçan

İçeriden Gelen Tehditler (Insider Threat)

İçeriden tehditler; mevcut veya eski çalışanlar, yükleniciler ya da iş ortaklarından kaynaklanan güvenlik ihlalleridir. Kötü niyetli olabileceği gibi kasıtsız insan hatası da çok büyük bir pay oluşturur. Araştırmalara göre tüm ihlallerin yaklaşık %93’ünde insan faktörü belirleyici rol oynuyor.

İçeriden Tehdit Türleri

😤

Kötü Niyetli

Kasıtlı veri çalma, sabotaj, rakibe bilgi sızıntısı

🤦

Dikkatsizlik

Yanlış e-posta, kişisel cihaz, izinsiz veri transferi

🪤

Manipüle Edilmiş

Saldırganlar tarafından kandırılan içeriden aktör

📌 Gerçek Örnek

Offboarding eksikliği vakası: Türkiye’de bir yazılım firmasında, işten ayrılan bir çalışanın kurumsal bulut erişimi kapatılmadığı için kritik müşteri verileri aylarca kopyalanmaya devam etti. Root cause: Offboarding prosedürü eksikliği.

🟡 Risk: YÜKSEK Tespit: Zor ISO 27001 A.6.5 A.8.2 Ayrıcalıklı Erişim

✓ Önleme Adımları

En az ayrıcalık ilkesi (PoLP) — Kullanıcılar yalnızca işleri için gerekli erişime sahip olmalı
Offboarding prosedürü — Ayrılan personelin tüm erişimleri aynı gün kaldırılmalı
UEBA / DLP araçları — Anormal davranış örüntülerini izleyin
Düzenli erişim gözden geçirmeleri — Yılda en az 2 kez tüm yetkiler denetlenmeli
Raporlama kültürü — “İhlali gör, bildir” kanallarını açık tutun

İhlal #4 — En Önlenebilir

Zayıf Parola ve Kimlik Yönetimi

Zayıf, tekrarlanan veya hiç değiştirilmemiş parolalar, saldırganların en basit yoldan sisteme girişini sağlar. Credential stuffing, brute force ve parola spraying saldırıları bu zafiyeti doğrudan istismar ediyor.

Parola Kırma Süreleri (Brute Force)

Anında

6 karakter alfanümerik

22 dk

8 karakter alfanümerik

3 yıl

12 karakter karma

Trilyon yıl

16+ karakter passphrase

🟡 Risk: YÜKSEK Önleme: Kolay ISO 27001 A.8.5 A.5.17 Kimlik Doğrulama

✓ Önleme Adımları

MFA zorunluluğu — Tüm kritik sistemlerde, istisnasız
Kurumsal parola yöneticisi — Benzersiz, güçlü parola üretimi için
Privileged Access Management (PAM) — Ayrıcalıklı hesaplar için özel yönetim katmanı
Sızdırılmış kimlik bilgisi izleme — Dark web izleme veya HaveIBeenPwned entegrasyonu
Parola politikası — ISO 27001 A.5.17 kapsamında minimum 12 karakter zorunluluğu

İhlal #5 — En Sofistike

Sosyal Mühendislik Saldırıları

Sosyal mühendislik; teknik açıkları değil, insan psikolojisini hedef alan manipülasyon sanatıdır. Aciliyet, otorite, korku veya merak gibi duygusal tetikleyicilerle mağdur belirli eylemlere yönlendirilir. AI destekli deepfake teknolojisi bu saldırıları giderek daha inandırıcı kılıyor.

Sosyal Mühendislik Türleri ve Etki Oranları

BEC Saldırısı

%91

Vishing

%64

Pretexting

%58

Deepfake

↑%38

📌 Gerçek Örnek

Deepfake CEO vishing vakası (2024): Bir finans çalışanı, CFO’sunun sesini taklit eden yapay zeka tabanlı sesli çağrı aracılığıyla 25 milyon dolar transfer yapmaya ikna edildi. Teknoloji değil, insan tek güvenlik katmanıydı — ve başarısız oldu.

🔴 Risk: KRİTİK Tespit: Çok Zor ISO 27001 A.6.3 A.5.19 Tedarik Zinciri

✓ Önleme Adımları

Çift onay prosedürleri — Para transferleri ve kritik kararlar için 2. kanal doğrulaması
Sosyal mühendislik simülasyonları — Düzenli tatbikatlar gerçekçi senaryolarla
Tabletop exercises — SecureFors uzmanlarıyla senaryo bazlı egzersizler
Out-of-band doğrulama — Kritik talepleri farklı bir kanal üzerinden teyit edin
Deepfake farkındalığı — Yöneticilere ve finans ekiplerine özel eğitim programları

// Sık Sorulan Sorular

Merak Ettikleriniz

Bilgi güvenliği ihlali ile siber saldırı arasındaki fark nedir?+

Her siber saldırı bir ihlale yol açmayabilir; ancak her bilgi güvenliği ihlali bir saldırıdan kaynaklanmak zorunda değildir. Bilgi güvenliği ihlali; gizlilik, bütünlük veya erişilebilirlik ilkelerinden birinin kasıtlı ya da kasıtsız olarak bozulmasıdır. Örneğin bir çalışanın yanlış kişiye dosya göndermesi de bir ihlaldir — herhangi bir saldırgan olmadan.

Küçük ölçekli şirketler de hedef alınır mı?+

Kesinlikle evet — KOBİ’ler aslında daha sık hedef alınıyor. Büyük kurumlar gibi savunma katmanlarına sahip olmadıklarından saldırganlar için daha kolay hedef oluşturuyorlar. Türkiye’deki küçük işletmeler için siber suçların medyan maliyeti yaklaşık 49.600 dolar; pek çok KOBİ için bu rakam kapanmaya yol açabilecek düzeyde.

ISO 27001 sertifikası bilgi güvenliği ihlallerini tamamen önler mi?+

ISO 27001, ihlalleri sıfıra indirmeyi değil, riskleri sistematik biçimde yönetmeyi hedefler. ISO 27001’e sahip kuruluşlar, olmayanlara kıyasla ihlal başına ortalama 2.2 milyon dolar daha az maliyet yaşıyor (IBM 2024).

Bir ihlal yaşandığında KVKK’ya bildirim zorunlu mu?+

Evet. Kişisel verileri etkileyen güvenlik ihlalleri öğrenildiği tarihten itibaren 72 saat içinde KVKK’ya bildirilmek zorundadır. Bildirim yapılmaması 204.285 TL ile 13.620.402 TL arasında idari para cezasına yol açabilir.

Penetrasyon testi yaptırmak bu ihlalleri önlemeye yardımcı olur mu?+

Sızma testleri, saldırganlardan önce kendi açıklarınızı keşfetmenizi sağlar. SecureFors olarak sunduğumuz kapsamlı pentest hizmetleri, PTES ve OWASP metodolojileriyle iç ve dış saldırı yüzeyinizi gerçekçi senaryolarla test eder.

Fidye yazılımı saldırısında fidyeyi ödemeli miyim?+

Uzmanlar genellikle fidye ödenmemesini tavsiye eder. Ödeme saldırganları daha fazla saldırıya teşvik eder; ödeme yapan kuruluşların yalnızca %65’i verilerini kısmen kurtarabildi. En etkili savunma, ihlal gerçekleşmeden güçlü yedekleme ve kurtarma altyapısı kurmaktır.

Çalışan eğitimi gerçekten işe yarıyor mu?+

Evet — ama yalnızca sürekli ve senaryoya dayalı eğitimler etkili oluyor. Düzenli phishing simülasyonları ve farkındalık kampanyaları, insan kaynaklı ihlal riskini %70’e kadar azaltabildiğini gösteren araştırmalar mevcut. ISO 27001 standardı da farkındalık eğitimini zorunlu bir kontrol (A.6.3) olarak tanımlıyor.

// SecureFors | Siber Güvenlik Çözümleri