SHT-SİBER Nedir? Havacılık İşletmeleri İçin Siber Güvenlik Uyum Rehberi
Sivil havacılık, Türkiye’nin en hızlı dijitalleşen kritik altyapı sektörlerinden biri. Check-in sistemlerinden uçak bakım kayıtlarına, yer hizmeti yazılımlarından yolcu veri platformlarına kadar onlarca bağlı sistem, havayolu işletmesinin operasyonel güvenliğini doğrudan etkiliyor. Bu nedenle Sivil Havacılık Genel Müdürlüğü (SHGM), Sivil Havacılık İşletmelerine Yönelik Siber Güvenlik Talimatı’nı (SHT-SİBER) yayımladı ve 1 Nisan 2023 itibarıyla yürürlüğe aldı. Bu yazıda, 6 bölüm ve 93 maddeden oluşan talimatın kapsamını, Kurumsal SOME yapılanmasını, tedarikçi yönetimi yükümlülüklerini ve havayolu şirketleri için pratik uyum yol haritasını adım adım paylaşıyoruz.
İçindekiler
- SHT-SİBER Nedir? Yasal Dayanak ve Kapsam
- Hangi Havacılık İşletmelerini Kapsıyor?
- 13 Ana Görev Alanı ve Uyum Mimarisi
- Kurumsal SOME: Havacılık İşletmesinin Siber Kalbi
- Tedarikçi Yönetimi (Madde 41–45): En Kritik Bölüm
- Varlık Envanteri ve Risk Yönetimi
- 12 Aylık SHT-SİBER Uyum Yol Haritası
- SHGM Denetim Tuzaklarından Kaçınma Rehberi
- Sık Sorulan Sorular
SHT-SİBER Nedir? Yasal Dayanak ve Kapsam
SHT-SİBER, tam adıyla Sivil Havacılık İşletmelerine Yönelik Siber Güvenlik Talimatı, SHGM tarafından Nisan 2023’te yürürlüğe alınan bir regülasyondur. Talimat; 2920 sayılı Türk Sivil Havacılık Kanunu, 11/11/2013 tarihli Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğ, Güvenlik Stratejisi ve Eylem Planı ile Milli Sivil Havacılık Güvenlik Programı Ek-19 (Siber Tehditlere Karşı Yapılacak İşlemler Talimatı) dayanaklarını baz alır.
Talimat toplam 6 bölüm ve 93 maddeden oluşur. Temel amacı; sivil havacılık işletmelerinin siber tehditlere karşı alması gereken önlemleri, Kurumsal Siber Olaylara Müdahale Ekibi’nin (SOME) işletme organizasyonu içerisindeki yerini, personelin niteliklerini ve işletmenin siber olay öncesi, esnası ve sonrasındaki sorumluluklarını tanımlamaktır. SHT-SİBER’e uyum zorunludur; SHGM periyodik denetimlerle uygunluğu takip eder ve uyumsuzluk ruhsat/faaliyet izni süreçlerine yansır.
Dünya genelinde havacılık sektörüne yönelik siber saldırılar son beş yılda dramatik biçimde arttı. Rezervasyon sistemleri, yolcu veri platformları, ATC bağlantılı yazılımlar ve uçak bakım kayıtları artık siber saldırganların öncelikli hedefleri arasında. SHT-SİBER; ICAO Ek-17 ve ECAC Doc 30 Bölüm II uyumunu sağlamak, kritik altyapı olarak havacılık sektörünü korumak ve uluslararası denetim kriterlerine paralel bir ulusal çerçeve oluşturmak amacıyla hazırlandı.
Hangi Havacılık İşletmelerini Kapsıyor?
Talimat, işletmelerin ölçeğine ve operasyonel kritikliğine göre üç grupta kapsam belirler. Her grubun yükümlülükleri farklı seviyededir, ancak hiçbir grup kapsam dışı bırakılmaz.
| Grup | Kapsam | Yükümlülük Seviyesi |
|---|---|---|
| 1. Grup | Büyük havayolu taşıyıcıları, DHMİ, ana havalimanı işletmecileri, A grubu yer hizmeti kuruluşları, ATM hizmet sağlayıcıları | Tam kapsam — 7×24 SOME, tam denetim, ileri düzey kontroller |
| 2. Grup | Orta ölçekli havayolları, bölgesel havalimanları, üs bakım kuruluşları, 50+ kişi çalıştıran bakım merkezleri | Orta kapsam — SOME, periyodik denetim, orta düzey kontroller |
| 3. Grup | 1. ve 2. Grup dışında kalan tüm havacılık işletmeleri (kargo acenteleri, küçük bakım kuruluşları, ikram, eğitim organizasyonları vb.) | Temel kapsam — Temel politikalar, risk değerlendirme, farkındalık |
Özellikle vurgulanması gereken bir nokta: havacılık işletmesinin tedarikçileri de dolaylı olarak bu kapsama dahildir. Madde 41–45, işletmelerin BT ve OT varlıklarına erişen tüm dış hizmet sağlayıcılarını zorunlu kılınan siber güvenlik seviyesine tabi tutar. Dolayısıyla bir yer hizmeti yazılım firması, uçak bakım parça tedarikçisi veya yolcu veri işleyen bir bulut sağlayıcısı; doğrudan SHGM denetimine tabi olmasa bile, hizmet verdiği havayolu üzerinden aynı standartlara uymak zorundadır.
13 Ana Görev Alanı ve Uyum Mimarisi
SHT-SİBER talimatı; havacılık işletmesinin Kurumsal SOME’si aracılığıyla yerine getirmesi gereken 13 ana görev alanını tanımlar. Bu 13 görev, bir BGYS (Bilgi Güvenliği Yönetim Sistemi) mimarisine benzer şekilde birbirini tamamlar ve uyum projelerinin iskeletini oluşturur.
🛡️ SHT-SİBER 13 Ana Görev Alanı Mimarisi
YÖNETİŞİM & POLİTİKA
1. Siber güvenlik politika ve prosedürleri oluşturma ve güncel tutma • 2. Siber güvenlik risk analizi ve yönetimi
FİZİKSEL VE TEKNİK GÜVENLİK
3. BT kritik alanların fiziksel güvenliğinin sağlanması • 4. Erişim yönetimi • 5. İşletim güvenliği
DIŞ İLİŞKİ YÖNETİMİ
6. Siber güvenlik tedarikçi yönetimi • 7. İç ve dış kaynaklı sistem temin, geliştirme
SÜREKLİLİK VE TEHDİT TESPİTİ
8. BT süreçlerinde iş sürekliliğinin sağlanması • 9. Siber güvenlik tehdit istihbaratı toplama ve değerlendirme • 10. Siber olay izleme ve tespit etme
MÜDAHALE, DENETİM, İLETİŞİM
11. Siber olay müdahale ve yönetimi • 12. Siber güvenlik test ve denetleme • 13. İç ve dış paydaşlarla iletişim
Bu 13 görev alanı, ISO 27001:2022 Ek A kontrolleri ile büyük ölçüde örtüşür. Eğer işletmeniz zaten ISO 27001 belgeli ise, SHT-SİBER uyumuna giden yolun yaklaşık %60–70’ini önceden tamamlamış durumdasınız. Eksik olan kısım; havacılık sektörüne özgü Kurumsal SOME yapılanması, SHGM raporlama akışları ve USOM (Ulusal Siber Olaylara Müdahale Merkezi) entegrasyonudur.
Kurumsal SOME: Havacılık İşletmesinin Siber Kalbi
SHT-SİBER’in merkezinde Kurumsal Siber Olaylara Müdahale Ekibi (Kurumsal SOME) yer alır. Bu ekip, havacılık işletmesi bünyesinde kurulur ve SHGM ile USOM karşısında işletmenin siber güvenlik muhatabıdır. Talimatın neredeyse her maddesi, doğrudan ya da dolaylı olarak Kurumsal SOME’nin yetki ve sorumluluklarını belirler.
Kurumsal SOME’nin Zorunlu Yapısı
| Unsur | Zorunluluk |
|---|---|
| Organizasyonel konum | Doğrudan Genel Müdür veya Bilgi Güvenliği Sorumlusu’na bağlı, BT operasyon ekibinden bağımsız |
| Personel sayısı | Grup 1: minimum 5 kişilik çekirdek ekip + 7×24 vardiya. Grup 2: minimum 3 kişi. Grup 3: minimum 1 tam zamanlı sorumlu |
| Personel nitelikleri | En az 4 yıllık lisans mezunu, siber güvenlik alanında sertifikalı (ISO 27001 LA, CEH, CISA, CISSP tercih edilir), SHGM onaylı eğitimler |
| Fiziksel altyapı | Ayrı, erişim kontrollü oda; SIEM, log yönetimi, olay yönetim yazılımları; balküpü sistemleri (Grup 1) |
| İletişim platformu | USOM Siber Olay İletişim Platformu (www.sip.gov.tr) üyeliği zorunlu |
| Bildirim süresi | Kritik siber olayların USOM’a en geç 24 saat içinde bildirilmesi |
Kurumsal SOME sadece bir teknik ekip değildir; talimat onu politika hazırlamaktan tedarikçi denetimine, risk yönetiminden farkındalık eğitimi organizasyonuna kadar çok fonksiyonlu bir yönetim birimi olarak tanımlar. Bu yüzden pek çok havayolu şirketi, SOME kurulumunu dış danışmanlık desteğiyle yürütür. Secure Fors olarak, havayolu işletmelerine Kurumsal SOME kurulum ve işletim desteği, personel eğitimi ve SHGM denetimlerine hazırlık hizmetleri veriyoruz.
Tedarikçi Yönetimi (Madde 41–45): En Kritik Bölüm
SHT-SİBER’in en kritik ve denetimlerde en çok uygunsuzluk alınan bölümü tedarikçi yönetimidir. Madde 41’den 45’e kadar olan beş madde, havacılık işletmesinin dış hizmet aldığı veya sistem temin ettiği tüm üçüncü tarafları kapsayan bir çerçeve çizer. Bu çerçeve, klasik bir tedarikçi sözleşme yönetiminden çok daha derindir ve doğrudan bir Üçüncü Taraf Risk Yönetimi (TPRM) programı kurmayı gerektirir.
Madde 41–45 Özet ve Pratik Karşılığı
| Madde | Yükümlülük | Pratik Uygulama |
|---|---|---|
| Madde 41 | Siber güvenlik gereksinimlerinin belirlenmesi | Veri işleyen, depolayan, aktaran veya BT altyapısı sağlayan tüm tedarikçiler için asgari güvenlik gereksinimleri tanımlanır. Bu gereksinimler, işletmenin kendi uyum yükümlülüğünden daha düşük olamaz. |
| Madde 42 | Tedarikçilerin yıllık denetlenmesi | Kritik tedarikçiler senede en az bir kez denetlenir. Denetim işletme tarafından yapılır, dış denetçiye yaptırılır veya tedarikçinin bağımsız denetim raporu (ISO 27001, SOC 2) değerlendirilir. |
| Madde 43 | Tedarikçi iş sürekliliği | İşletmenin kendi iş sürekliliği ve risk analizi çalışmalarına tedarikçi bağımlılıkları dahil edilir. Tek kaynaklı kritik hizmetler için yedekli tedarikçi stratejisi şarttır. |
| Madde 44 | Tedarikçi çıkış stratejisi | Her kritik tedarikçi için dokümante edilmiş çıkış stratejisi bulunur. Tedarikçinin hizmet veremez hale gelmesi veya ilişki sonlandırma kararı durumunda atılacak adımlar periyodik gözden geçirilir. |
| Madde 45 | Sözleşmelerde siber güvenlik maddeleri | Tedarikçi sözleşmelerinde; veri sahipliği, olay bildirim süreleri, denetim hakkı, alt yüklenici onayı, KVKK uyumu, hizmet sonu veri iadesi/imhası gibi siber güvenlik maddeleri yer alır. |
Havacılık İşletmesinin Kritik Tedarikçi Haritası
Bir havayolu şirketinin SHT-SİBER kapsamında denetlemesi gereken tedarikçi kategorilerini aşağıdaki tabloda özetledik. Bu kategorilerin her biri, risk değerlendirmesinde “yüksek” ya da “kritik” sınıfına girer.
| ✈️ Rezervasyon / PSS | Amadeus, Sabre, Navitaire gibi sistem sağlayıcıları |
| 🛩️ Uçuş operasyon | Crew management, flight planning, EFB yazılımları |
| 🔧 MRO / Bakım | Bakım yönetim sistemleri, parça tedarikçileri, teknik dokümantasyon sağlayıcıları |
| 🧳 Yer hizmeti | Bagaj takip, check-in kiosk, DCS (Departure Control System) sağlayıcıları |
| ☁️ Bulut ve altyapı | AWS, Azure, Google Cloud, veri merkezi barındırma firmaları |
| 🛡️ Siber güvenlik | SIEM, MDR, SOC-as-a-service, antivirüs sağlayıcıları |
| 💳 Ödeme | Ödeme altyapısı, PCI-DSS ve fraud yönetimi sağlayıcıları |
| 📨 Yolcu iletişimi | CRM, SMS gateway, e-posta pazarlama platformları |
Varlık Envanteri ve Risk Yönetimi
SHT-SİBER Madde 22–24, işletmenin BT ve OT varlıklarının tam bir envanterini çıkarmasını ve bu envanter üzerinden risk analizi yapmasını zorunlu kılar. Havacılık işletmelerinde varlık envanteri, tipik bir ofis ortamından çok daha karmaşıktır; çünkü işletmenin BT (ofis, yazılımlar) ve OT (uçak sistemleri, havalimanı operasyonel teknolojileri) ortamları birbirine bağlıdır.
Havacılık İşletmeleri İçin 5×5 Risk Matrisi Örneği
| Olasılık ↓ / Etki → | 1 Önemsiz | 2 Düşük | 3 Orta | 4 Yüksek | 5 Kritik |
|---|---|---|---|---|---|
| 5 – Kesin | 5 | 10 | 15 | 20 | 25 |
| 4 – Muhtemel | 4 | 8 | 12 | 16 | 20 |
| 3 – Olası | 3 | 6 | 9 | 12 | 15 |
| 2 – Düşük | 2 | 4 | 6 | 8 | 10 |
| 1 – Nadir | 1 | 2 | 3 | 4 | 5 |
Düşük (1–3) Kabul Orta (4–9) İzle Yüksek (10–14) Azalt Kritik (15–25) Acil
Havacılık İşletmelerinde En Sık Görülen 10 Kritik Siber Risk
| ID | Risk | Ol. | Et. | Skor | İlgili SHT-SİBER Maddesi |
|---|---|---|---|---|---|
| AV-01 | Rezervasyon sistemine yönelik fidye yazılımı saldırısı | 3 | 5 | 15 | Madde 54–58 (Olay müdahale) |
| AV-02 | Yolcu kişisel verilerine yönelik veri ihlali (KVKK + SHT-SİBER) | 4 | 4 | 16 | Madde 30–32 (Erişim), KVKK m.12 |
| AV-03 | Kritik tedarikçide (DCS/PSS) güvenlik ihlali — tedarik zinciri saldırısı | 3 | 5 | 15 | Madde 41–45 (Tedarikçi) |
| AV-04 | EFB (Electronic Flight Bag) cihazlarının ele geçirilmesi | 2 | 5 | 10 | Madde 33–36 (İşletim) |
| AV-05 | Crew/pilot hesaplarına yönelik oltalama saldırısı | 4 | 4 | 16 | Madde 20–21 (Farkındalık) |
| AV-06 | Havalimanı OT ağ segmentasyon eksikliği (BT-OT ayrımı) | 3 | 5 | 15 | Madde 37–40 (Ağ güvenliği) |
| AV-07 | Ayrıcalıklı hesapların (admin) MFA’sız kullanımı | 4 | 5 | 20 | Madde 30–32 (Erişim) |
| AV-08 | Log yönetimi ve SIEM eksikliği — olay geç tespit | 4 | 3 | 12 | Madde 49–53 (İzleme) |
| AV-09 | Uçak bakım kayıtlarının bütünlük ihlali (veri bozulması) | 2 | 5 | 10 | Madde 26 (Varlık envanteri) |
| AV-10 | USOM’a siber olay bildirim süresinin kaçırılması | 3 | 4 | 12 | Madde 60–63 (İletişim) |
SHT-SİBER Uyumunuz Denetime Hazır mı?
Secure Fors, havayolu şirketleri ve havacılık işletmelerine SHT-SİBER gap analizi, Kurumsal SOME kurulum danışmanlığı, tedarikçi denetimleri, risk yönetimi ve SHGM denetimine hazırlık hizmetleri sunar. THY tedarikçi ekosistemi ve havacılık sektörü referanslarımızla, uyum sürecinizi butik ve sektöre özel bir yaklaşımla yönetiyoruz.
SHT-SİBER Ön Değerlendirme Alın →12 Aylık SHT-SİBER Uyum Yol Haritası
Sıfırdan başlayan bir havacılık işletmesi için gerçekçi bir SHT-SİBER uyum projesi; ortalama 9 ile 14 ay arasında sürer. Aşağıda, deneyimli danışmanlık projelerinden derlediğimiz realist bir 12 aylık yol haritası bulabilirsiniz. Projeyi paralel değil, bağımlılık sırasıyla ilerletmek uyum kalitesini artırır.
SHT-SİBER 93 maddesi bazında mevcut durumun haritalanması. ISO 27001 belgesi varsa uyum yüzdesinin çıkarılması. Gap raporunun üst yönetime sunumu, bütçe ve kaynak planının onaylanması.
Siber Güvenlik Politikası, Kabul Edilebilir Kullanım Politikası, Erişim Politikası, Tedarikçi Politikası, Olay Müdahale Politikası gibi temel dokümanların oluşturulması. Yönetim Kurulu onayı.
Organizasyon şemasında SOME’nin konumlandırılması. Personel belirleme, iş tanımları, eğitim planı. USOM platformuna kayıt. Fiziksel SOME ofisi ve teknik altyapı tedariki.
BT ve OT varlıklarının tam envanteri. Varlık sınıflandırma kılavuzu. 5×5 risk matrisi ile risk analizi. Risk kaydı (risk register) oluşturma, risk işleme planı.
Tedarikçi envanteri, kritiklik sınıflandırması, sözleşme gözden geçirme ve siber güvenlik maddelerinin eklenmesi. İlk tur tedarikçi denetimlerinin planlanması ve yürütülmesi. Çıkış stratejilerinin dokümantasyonu.
Erişim yönetimi (IAM, PAM, MFA), ağ segmentasyonu (BT-OT ayrımı), SIEM ve log yönetimi, EDR, DLP gibi teknik kontrollerin devreye alınması veya optimizasyonu.
Tüm personel için yıllık siber güvenlik farkındalık eğitimi. Pilot ve kabin ekibine özel modüller. Phishing simülasyonu. SOME personeli için ileri düzey teknik eğitimler.
Sızma testi (pentest), zafiyet tarama, masabaşı tatbikatı (tabletop exercise), siber kriz simülasyonu. Tespit edilen bulguların giderilmesi, lessons learned raporu.
93 madde bazında iç denetim. Uygunsuzlukların kapatılması. Yönetim gözden geçirme toplantısı. SHGM denetimine resmi hazırlık, dokümantasyon paketi.
SHGM Denetim Tuzaklarından Kaçınma Rehberi
SHGM denetimlerinde havacılık işletmelerinin aldığı uygunsuzlukların büyük kısmı, birkaç tekrarlayan tuzağa dayanır. Bu hataların farkında olmak ve önceden önlem almak; hem denetim süresini kısaltır hem de major uygunsuzluk riskini neredeyse sıfıra indirir.
SOME, BT operasyon ekibinden bağımsız olmalı. Doğrudan üst yönetime veya Bilgi Güvenliği Sorumlusu’na bağlı değilse, denetçi için kırmızı bayrak.
Madde 41–45’in temeli, tam bir tedarikçi envanteridir. PSS, DCS, MRO yazılımları, bulut sağlayıcılar, ödeme altyapısı — hiçbiri atlanmamalı.
Madde 42 açık: kritik tedarikçiler senede en az bir kez denetlenir. Denetim kaydı yoksa, major uygunsuzluk alma ihtimali çok yüksek.
Tüm Kurumsal SOME’lerin USOM Siber Olay İletişim Platformu’na (sip.gov.tr) kaydı zorunludur. Kaydı olmayan bir SOME, organizasyonel olarak eksik sayılır.
Havacılık işletmesinde BT (ofis, yazılım) ve OT (uçak sistemleri, havalimanı operasyonel teknolojisi) ortamları ayrı risk profillerine sahiptir. Envanterde ayrıştırılmadıklarında risk analizi gerçeği yansıtmaz.
Madde 20–21, eğitimin yıllık, izlenebilir ve etkin olmasını ister. Tek bir e-öğrenme videosu izlettirip sertifika dağıtmak yetersizdir; phishing simülasyonu, sınıf içi oturumlar ve ölçüm metrikleri gereklidir.
Pentest kapsamı; yeni eklenen sistemler, bulut göçleri ve tedarikçi entegrasyonları dikkate alınarak her yıl güncellenmeli. Sabit bir kapsam, dinamik olmayan bir güvenlik programının göstergesidir.
Siber olay müdahale prosedürünüz kağıt üstünde kalırsa denetimde itibar kaybeder. Yıllık tabletop egzersizi, hem müdahale yetkinliğini doğrular hem de iletişim aksaklıklarını ortaya çıkarır.
Sık Sorulan Sorular (SSS)
SHT-SİBER uyumu zorunlu mudur, yoksa tavsiye niteliğinde midir?
SHT-SİBER, SHGM tarafından yayımlanan bir talimattır ve tüm sivil havacılık işletmeleri için uyumu zorunludur. SHGM, belirli aralıklarla denetimler gerçekleştirerek işletmelerin talimatla uyumunu takip eder. Uygunsuzluk tespit edilmesi durumunda işletme ruhsatı ve faaliyet izni süreçlerinde olumsuz etkiler doğabilir.
ISO 27001 belgemiz var, SHT-SİBER için ne kadar ek çalışma gerekecek?
Eğer kurumunuz ISO 27001:2022 belgeliyse, SHT-SİBER uyumuna giden yolun yaklaşık %60-70’ini tamamlamış sayılırsınız. 93 maddenin büyük kısmı ISO 27001 Ek A kontrolleri ile örtüşür. Ek olarak tamamlanması gereken temel başlıklar: Kurumsal SOME yapılanması (havacılık sektörüne özgü), USOM entegrasyonu, havacılık özelinde tedarikçi denetim programı (PSS, DCS, MRO sağlayıcılar) ve SHGM raporlama akışları.
Kurumsal SOME’yi dışarıdan hizmet olarak alabilir miyiz?
Kurumsal SOME’nin tamamen dışarıdan alınması uygun değildir; talimat işletme bünyesinde en az bir tam zamanlı SOME sorumlusunun bulunmasını şart koşar. Ancak 7×24 izleme, SIEM yönetimi, olay müdahale ve tehdit istihbaratı gibi teknik fonksiyonlar hibrit modelle dış kaynaklı (MDR, SOC-as-a-Service) sağlanabilir. Bu modelde iç SOME sorumlusu; dış sağlayıcının koordinasyonu, SHGM ve USOM ile iletişim, politika yönetimi gibi kritik işlevleri yürütür.
Yurt dışı merkezli tedarikçilerimizi (Amadeus, Sabre, AWS vb.) nasıl denetleyeceğiz?
Uluslararası tedarikçiler için üç yaklaşım kabul edilir: (1) Tedarikçinin güncel bağımsız denetim raporlarının (ISO 27001, SOC 2 Type II, PCI-DSS AOC) değerlendirilmesi, (2) Tedarikçinin anket/soru formuna (security questionnaire) verdiği yanıtların incelenmesi, (3) Sözleşmesel denetim hakkının olması durumunda yerinde veya uzaktan denetim. Madde 42, “denetlettirme” seçeneğini de kabul eder; bu doğrultuda tedarikçinin sunduğu bağımsız denetim raporları büyük ölçüde kabul görür. Önemli olan, bu değerlendirmenin yıllık olarak dokümante edilmesidir.
Siber olay yaşarsak USOM’a ne kadar sürede bildirim yapmalıyız?
Kritik siber olayların USOM’a en geç 24 saat içinde bildirilmesi esastır. Eğer olay aynı zamanda bir KVKK ihlali niteliği taşıyorsa, KVKK 72 saat süresi de ayrıca uygulanır. Havayolu işletmelerinde olay bildirim prosedürü; USOM, SHGM, KVKK Kurumu ve durumun niteliğine göre diğer paydaşları (sigorta, hukuk, müşteriler) kapsayan çok kanallı bir iletişim akışı olarak tasarlanmalıdır.
Küçük bir havacılık işletmesiyiz (3. Grup), aynı düzeyde yükümlülüğümüz var mı?
Hayır. 3. Grup işletmelerin yükümlülükleri 1. Grup’a göre çok daha sınırlıdır. 3. Grup için asıl beklenti; temel siber güvenlik politikalarının olması, risk değerlendirmesi yapılması, farkındalık eğitimi verilmesi ve siber olaylarda USOM’a bildirim yapabilecek bir yapının kurulmuş olmasıdır. 7×24 SOME, balküpü sistemleri veya ileri düzey SIEM çözümleri 3. Grup için zorunlu değildir. Ancak temel kontrollerin eksikliği denetimde yine de bulgu olur.
SHT-SİBER uyumu için dış danışmanlık şart mı?
Zorunlu değil, ancak pratik olarak çoğu havayolu şirketi gap analizi ve proje yönetimi aşamasında dış danışmanlık alır. Nedeni: SHT-SİBER 93 maddelik çok katmanlı bir çerçeve sunar ve havacılık sektörüne özgü yorumlar gerektirir. Deneyimli bir danışmanlık, projeyi 9-14 aya sıkıştırır, denetimde major uygunsuzluk riskini düşürür ve iç ekibin öğrenme eğrisini kısaltır. Secure Fors olarak, THY tedarikçi ekosistemindeki deneyimimiz ve aviation-odaklı pratik yaklaşımımızla havayolu şirketlerine uçtan uca uyum desteği veriyoruz.
Sonuç
SHT-SİBER, Türkiye’nin sivil havacılık sektörü için siber güvenlik alanındaki en kapsamlı ve bağlayıcı düzenlemedir. 93 maddelik yapısı ilk bakışta korkutucu görünse de, talimat aslında bir BGYS’nin havacılık sektörüne özel uyarlanmış halidir. ISO 27001:2022 belgesine sahip işletmeler için uyum yolu çok daha kısadır; sıfırdan başlayanlar için ise 12 aylık doğru planlanmış bir proje yeterlidir.
Uyumun ötesinde, SHT-SİBER aslında bir fırsattır: İşletmenin siber dayanıklılığını artırır, tedarikçi zincirini disipline eder, olay yaşandığında kurumsal tepki süresini kısaltır ve en önemlisi — yolcu, personel ve paydaşların güvenini pekiştirir. Havacılık sektöründe itibar, tek bir siber olayla yıllarca zedelenebilir; SHT-SİBER bu riski yönetilebilir hale getirir.
Secure Fors olarak, havayolu şirketleri, havalimanı işletmecileri, yer hizmeti kuruluşları ve havacılık tedarikçilerine SHT-SİBER gap analizi, Kurumsal SOME kurulum danışmanlığı, tedarikçi denetim programları, risk yönetimi, sızma testi ve SHGM denetim hazırlığı hizmetleri sunuyoruz. THY tedarikçi ekosistemi ve havacılık sektörü referanslarımızla, uyum projenizin her aşamasında yanınızdayız.
Havayolu Şirketiniz İçin SHT-SİBER Uyum Yolculuğuna Başlayın
Ücretsiz 60 dakikalık ön değerlendirme görüşmesinde; mevcut uyum seviyenizi, kritik boşlukları ve realist bir yol haritası özetini paylaşıyoruz.
Ücretsiz Ön Değerlendirme → 📞 0850 840 71 95
Yayın: Secure Fors | Kategori: Regülasyon Uyumu / Havacılık Siber Güvenliği | Okuma Süresi: 14 dk
Etiketler: #SHTSİBER #Havacılık #SiberGüvenlik #KurumsalSOME #SHGM #TedarikçiDenetimi #BGYS #ISO27001 #USOM #TPRM
