5 Yaygın Bilgi Güvenliği İhlal Olayı

📌 Bilgi Güvenliği & ISO 27001

5 Yaygın Bilgi Güvenliği İhlali:
Neden Olur, Ne Yapar?

2024 verilerine gre Türkiye’de 281 resmi KVKK bildirimi yapıldı. En kritik 5 security ihlalini, gerçek rnekleri, nleme yntemleri ve ISO 27001 uyumlu çzümleriyle inceleyin.

Yayın: Mart 2025 Okuma Süresi: ~12 dk Yazar: SecureFors Ekibi ISO 27001 KVKK BGYS

4.88M$

Ortalama veri ihlali maliyeti (IBM 2024)

194

Gün — ihlal tespit ortalama süresi

281

2024 KVKK’ya yapılan ihlal bildirimi

%93

İhlallerde insan faktrü etkisi (Verizon DBIR)

// İçindekiler

Phishing (Oltalama) Saldırıları
Fidye Yazılımı (Ransomware) Saldırıları
İçeriden Gelen Tehditler (Insider Threat)
Zayıf Parola ve Kimlik Ynetimi
Sosyal Mühendislik Saldırıları
Sık Sorulan Sorular (SSS)

Bilgi güvenliği ihlalleri artık yalnızca büyük şirketlerin değil, her lçekteki kuruluşun gündelik gerçekliğine girmiş durumda. 2024 yılında yalnızca Ocak ayında dünya genelinde 974.000’i aşkın veri ihlali tespit edildi. Türkiye ise kişisel veri sızıntısı bakımından küresel sıralamada 19. sırada yer alıyor.

Bu yazıda, en sık karşılaşılan 5 bilgi güvenliği ihlalini teknik ve insani boyutlarıyla ele alıyoruz. Her ihlal türü için nasıl gerçekleştiğini, gerçek dünya rneklerini, risk seviyesini ve ISO 27001 uyumlu nleme adımlarını bulacaksınız.

İhlal #1 — En Yaygın

Phishing (Oltalama) Saldırıları

Phishing, saldırganların meşru bir kurum veya kişiyi taklit ederek kullanıcıları ktü amaçlı bağlantılara tıklamaya, kimlik bilgilerini paylaşmaya veya zararlı dosyaları indirmeye ikna ettiği sosyal mühendislik tabanlı bir saldırı türüdür. E-posta, SMS (smishing) ve sesli arama (vishing) yoluyla gerçekleşebilir.

Tipik Bir Phishing Saldırısının Akışı

Sahte E-posta

→

Bağlantıya Tıklama

→

Kimlik Bilgisi Girişi

→

Sistem Ele Geçirme

→

Veri Sızıntısı

Phishing’in Hedeflediği Sektrler (2024)

Finans

%82

E-Ticaret

%68

Sağlık

%61

Teknoloji

%55

Kamu

%48

📌 Gerçek Örnek

Microsoft taklit eden phishing kampanyası (2024): Sahte phishing saldırılarının %30’undan fazlası Microsoft markasını taklit etti. Çalışanlar “hesabınız askıya alındı” içerikli e-postalarla sahte giriş sayfalarına ynlendirilerek kurumsal kimlik bilgilerini teslim etti.

🔴 Risk: KRİTİK Etki: Yüksek ISO 27001 A.8.23 A.6.3 Farkındalık

✓ Önleme Adımları

Çok Faktrlü Kimlik Doğrulama (MFA) — Kimlik bilgisi çalınsa bile erişimi engeller
E-posta security filtreleri — SPF, DKIM, DMARC protokollerini aktif edin
Düzenli phishing simülasyonları — Çalışan farkındalık seviyesini lçün
Kullanıcı eğitim programları — ISO 27001 A.6.3 kapsamında yıllık minimum 1 eğitim
URL analiz araçları — Şüpheli linkleri otomatik tarayın

İhlal #2 — En Yıkıcı

Fidye Yazılımı (Ransomware) Saldırıları

Fidye yazılımları, sistemlerdeki verileri şifreleyerek erişimi engelleyen ve şifre çzme anahtarı karşılığında deme talep eden ktü amaçlı yazılımlardır. Son 5 yılda dünya genelinde %13 artış gsteren fidye saldırıları, medyan fidye tutarını yaklaşık 10.700 dolara taşıdı.

Ransomware Bulaşma Vektrleri

Phishing E-posta

%79

Güvenlik Açığı

%42

RDP Saldırısı

%35

Üçüncü Taraf

%21

📌 Gerçek Örnek

Yüksekğretim sektrü (2024): Kurumların %70’i son 12 ayda fidye yazılımı saldırısına maruz kaldığını bildirdi. Kurtarma süresi ortalama 3 günden 3 haftaya kadar uzadı. Kurtarma maliyeti (fidye hariç) ortalama 2.73 milyon dolara ulaştı.

🔴 Risk: KRİTİK İş Sürekliliği: Kritik ISO 27001 A.8.13 A.5.30 BCP

✓ Önleme Adımları

3-2-1 Yedekleme Stratejisi — 3 kopya, 2 farklı ortam, 1 tane offline yedek
Patch management (yama ynetimi) — Kritik açıkları 72 saat içinde kapatın
Ağ segmentasyonu — Yanal hareketin nüne geçin
EDR/XDR çzümleri — Şüpheli davranışları gerçek zamanlı tespit edin
İş sürekliliği planı (BCP) — ISO 27001 A.5.30 kapsamında tatbikat yapın

İhlal #3 — En Gzden Kaçan

İçeriden Gelen Tehditler (Insider Threat)

İçeriden tehditler; mevcut veya eski employeelar, yükleniciler ya da iş ortaklarından kaynaklanan security ihlalleridir. Ktü niyetli olabileceği gibi kasıtsız insan hatası da çok büyük bir pay oluşturur. Araştırmalara gre tüm ihlallerin yaklaşık %93’ünde insan faktrü belirleyici rol oynuyor.

İçeriden Tehdit Türleri

😤

Ktü Niyetli

Kasıtlı veri çalma, sabotaj, rakibe bilgi sızıntısı

🤦

Dikkatsizlik

Yanlış e-posta, kişisel cihaz, izinsiz veri transferi

🪤

Manipüle Edilmiş

Saldırganlar tarafından kandırılan içeriden aktr

📌 Gerçek Örnek

Offboarding eksikliği vakası: Türkiye’de bir yazılım firmasında, işten ayrılan bir employeeın kurumsal bulut erişimi kapatılmadığı için kritik müşteri verileri aylarca kopyalanmaya devam etti. Root cause: Offboarding prosedürü eksikliği.

🟡 Risk: YÜKSEK Tespit: Zor ISO 27001 A.6.5 A.8.2 Ayrıcalıklı Erişim

✓ Önleme Adımları

En az ayrıcalık ilkesi (PoLP) — Kullanıcılar yalnızca işleri için gerekli erişime sahip olmalı
Offboarding prosedürü — Ayrılan personelin tüm erişimleri aynı gün kaldırılmalı
UEBA / DLP araçları — Anormal davranış rüntülerini izleyin
Düzenli erişim gzden geçirmeleri — Yılda en az 2 kez tüm yetkiler denetlenmeli
Raporlama kültürü — “İhlali gr, bildir” kanallarını açık tutun

İhlal #4 — En Önlenebilir

Zayıf Parola ve Kimlik Ynetimi

Zayıf, tekrarlanan veya hiç değiştirilmemiş parolalar, saldırganların en basit yoldan sisteme girişini sağlar. Credential stuffing, brute force ve parola spraying saldırıları bu zafiyeti doğrudan istismar ediyor.

Parola Kırma Süreleri (Brute Force)

Anında

6 karakter alfanümerik

22 dk

8 karakter alfanümerik

3 yıl

12 karakter karma

Trilyon yıl

16+ karakter passphrase

🟡 Risk: YÜKSEK Önleme: Kolay ISO 27001 A.8.5 A.5.17 Kimlik Doğrulama

✓ Önleme Adımları

MFA zorunluluğu — Tüm kritik sistemlerde, istisnasız
Company parola yneticisi — Benzersiz, güçlü parola üretimi için
Privileged Access Management (PAM) — Ayrıcalıklı hesaplar için zel ynetim katmanı
Sızdırılmış kimlik bilgisi izleme — Dark web izleme veya HaveIBeenPwned entegrasyonu
Parola politikası — ISO 27001 A.5.17 kapsamında minimum 12 karakter zorunluluğu

İhlal #5 — En Sofistike

Sosyal Mühendislik Saldırıları

Sosyal mühendislik; teknik açıkları değil, insan psikolojisini hedef alan manipülasyon sanatıdır. Aciliyet, otorite, korku veya merak gibi duygusal tetikleyicilerle mağdur belirli eylemlere ynlendirilir. AI destekli deepfake teknolojisi bu saldırıları giderek daha inandırıcı kılıyor.

Sosyal Mühendislik Türleri ve Etki Oranları

BEC Saldırısı

%91

Vishing

%64

Pretexting

%58

Deepfake

↑%38

📌 Gerçek Örnek

Deepfake CEO vishing vakası (2024): Bir finans employeeı, CFO’sunun sesini taklit eden yapay zeka tabanlı sesli çağrı aracılığıyla 25 milyon dolar transfer yapmaya ikna edildi. Teknoloji değil, insan tek security katmanıydı — ve başarısız oldu.

🔴 Risk: KRİTİK Tespit: Çok Zor ISO 27001 A.6.3 A.5.19 Tedarik Zinciri

✓ Önleme Adımları

Çift onay prosedürleri — Para transferleri ve kritik kararlar için 2. kanal doğrulaması
Sosyal mühendislik simülasyonları — Düzenli tatbikatlar gerçekçi senaryolarla
Tabletop exercises — SecureFors uzmanlarıyla senaryo bazlı egzersizler
Out-of-band doğrulama — Kritik talepleri farklı bir kanal üzerinden teyit edin
Deepfake farkındalığı — Yneticilere ve finans ekiplerine zel eğitim programları

// Sık Sorulan Sorular

Merak Ettikleriniz

Bilgi güvenliği ihlali ile siber saldırı arasındaki fark nedir?+

Her siber saldırı bir ihlale yol açmayabilir; ancak her bilgi güvenliği ihlali bir saldırıdan kaynaklanmak zorunda değildir. Bilgi güvenliği ihlali; gizlilik, bütünlük veya erişilebilirlik ilkelerinden birinin kasıtlı ya da kasıtsız olarak bozulmasıdır. Örneğin bir employeeın yanlış kişiye dosya gndermesi de bir ihlaldir — herhangi bir saldırgan olmadan.

Küçük lçekli şirketler de hedef alınır mı?+

Kesinlikle evet — KOBİ’ler aslında daha sık hedef alınıyor. Büyük kurumlar gibi savunma katmanlarına sahip olmadıklarından saldırganlar için daha kolay hedef oluşturuyorlar. Türkiye’deki küçük işletmeler için siber suçların medyan maliyeti yaklaşık 49.600 dolar; pek çok KOBİ için bu rakam kapanmaya yol açabilecek düzeyde.

ISO 27001 sertifikası bilgi güvenliği ihlallerini tamamen nler mi?+

ISO 27001, ihlalleri sıfıra indirmeyi değil, riskleri sistematik biçimde ynetmeyi hedefler. ISO 27001’e sahip kuruluşlar, olmayanlara kıyasla ihlal başına ortalama 2.2 milyon dolar daha az maliyet yaşıyor (IBM 2024).

Bir ihlal yaşandığında KVKK’ya bildirim zorunlu mu?+

Evet. Kişisel verileri etkileyen security ihlalleri ğrenildiği tarihten itibaren 72 saat içinde KVKK’ya bildirilmek zorundadır. Bildirim yapılmaması 204.285 TL ile 13.620.402 TL arasında idari para cezasına yol açabilir.

Penetrasyon testi yaptırmak bu ihlalleri nlemeye yardımcı olur mu?+

Sızma testleri, saldırganlardan nce kendi açıklarınızı keşfetmenizi sağlar. SecureFors olarak sunduğumuz kapsamlı pentest hizmetleri, PTES ve OWASP metodolojileriyle iç ve dış saldırı yüzeyinizi gerçekçi senaryolarla test eder.

Fidye yazılımı saldırısında fidyeyi demeli miyim?+

Uzmanlar genellikle fidye denmemesini tavsiye eder. Ödeme saldırganları daha fazla saldırıya teşvik eder; deme yapan kuruluşların yalnızca %65’i verilerini kısmen kurtarabildi. En etkili savunma, ihlal gerçekleşmeden güçlü yedekleme ve kurtarma altyapısı kurmaktır.

Çalışan eğitimi gerçekten işe yarıyor mu?+

Evet — ama yalnızca sürekli ve senaryoya dayalı eğitimler etkili oluyor. Düzenli phishing simülasyonları ve farkındalık kampanyaları, insan kaynaklı ihlal riskini %70’e kadar azaltabildiğini gsteren araştırmalar mevcut. ISO 27001 standardı da farkındalık eğitimini zorunlu bir kontrol (A.6.3) olarak tanımlıyor.

// SecureFors | Siber Güvenlik Çzümleri