Siber Güvenlik Açısından 2025 Yılı: Gözlemler, Tecrübeler ve Notlar

2025 yılı siber güvenlik açısından da yoğun geçti.

Avrupa Birliği tarafında Şebeke ve Bilgi Güvenliği Direktifi 2 (NIS2), üye devletlerin iç hukuklarına aktarılmaya başlandı. Aralık 2025 itibarıyla Almanya, İtalya, Belçika, Portekiz, Finlandiya, Letonya, Litvanya, Çekya, Slovenya, Slovakya, Macaristan, Hırvatistan, Romanya, Yunanistan ve Kıbrıs iç hukukuna NIS2 gerekliliklerinin tamamını aktarmış durumda. Farklı ülkelerde ise taslaklar son aşamalarına gelmiş durumda. Yakın zamanda AB genelinde bir harmonizasyon sağlanacak. Siber Dayanıklılık Yasası’nın (Cyber Resilience Act – CRA) uygulaması için de geri sayım başlamış durumda.

Avrupa Birliği tarafında bir yandan da siber olay ve veri ihlali bildirimlerinin tek bir aşamada yapılmasını temin edecek yeni bir reform hazırlığı var.

Türkiye için de 2025 hareketli geçti. Türkiye’de en önemli gelişme, 7545 sayılı Siber Güvenlik Kanunu’nun kabul edilmesi ve Siber Güvenlik Başkanlığı ile Siber Güvenlik Kurulu’nun kurulması oldu. Bu, siber güvenlik hukuku alanında yeni bir dönemin başlangıcıdır.

Hukuk bir yandan kurallar koymaya devam ederken, siber olay yerleri kaos, yorgunluk ve birbirini suçlamalarla doluydu.

Fidye virüsleri tıpkı geçen yıllarda olduğu gibi zirvedeydi. Web güvenliği tarafında da yetki kontrollerindeki hatalar zirvedeydi. OWASP da zaten bunu dünya geneli için teyit ediyor.

Şirketlerde fikri hakların barındırıldığı alanlara yönelik saldırılarda ilginç bir artış var. Ticari casusluğun artışına yönelik emareler mevcut. Rekabette avantaj için siber saldırılar araç olarak kullanılmaya başlandı. Bazı siber saldırılar, nokta vuruşu şeklinde bir sektördeki oyuncuyu sarsmaya yönelik gerçekleştiriliyor. Yıllarca Ar-Ge ile uğraşmak yerine hazır Ar-Ge ve know-how verisini çalmak daha cazip gelebiliyor.

Bu yıl gözlemim, en çok finans müdürlerinin siber saldırılarda özel hedef olduğuydu. Zıpkınlama saldırılarında bir artış var.

Bazı hacker grupları neredeyse Türkiye’yi mesken tuttu denilebilir. Eşek arıları gibi ardı ardına bazı sektörleri hedef aldılar. Siber güvenlikle ilgili yatırımları ihmal eden şirketler farklı hacker gruplarının hedefi oldu. Öyle ki, bir hacker grubu başarılı bir eylem gerçekleştikten sonra çok farklı bir hacker grubu o sektördeki Türk şirketlerine musallat oldu. Çok fazla örnek var.

Peki, siber olaylara ilişkin en temel mesele bu yıl neydi? Kendi gözlemlerimden yola çıkarak şu şekilde özetleyebilirim:

(1) Liderlik sorunu: Siber olay yaşayan şirketlerde ilk şok beraberinde bir kaos getiriyor. İlk yardım gibi düşünülebilir. İlk bir saatte atılacak adımlar hayati öneme sahip olabiliyor. Bir olay yerini düşünün; hasta yerde, acil müdahale gerekiyor; bir yandan hukuk çekiştiriyor, bir yandan BT müdahale etmeye çalışıyor, bir yandan yönetim hesap soruyor. İlk müdahaledeki bir hata sonrasında olayı telafi edilemez bir noktaya götürebiliyor. BT, hukuk, yönetim, operasyon derken çok kafadan çok ses çıkması, birimlerin birbirinden habersiz şekilde bazı kararları uygulaması esaslı bir yapısal soruna işaret ediyor. İlk yardım analojisinden devamla; ilk yardım sırasında “birisi ambulansı arasın” denmez, doğrudan “sen ara” denir. “Birisi şunu yapsın” denilmez, doğrudan emir verilir. Siber olaya müdahalede de bir lider ihtiyacı var. Gözlemlerim, şirketlerin bu konuda ciddi liderlik sorunu yaşadığını gösteriyor.

(2) Gerçekçi olmayan veya şirkete uyarlanmamış belgeler: Şirketlerin siber olay müdahale politikaları ve prosedürleri olsa da çoğu zaman gerçek hayata uyarlanmamış bu belgeler, kaosta ışık tutmaya yeterli olmayabiliyor. Bilhassa çok kapsamlı hazırlanan ancak şirketin gerçekliklerine uyarlanmayan prosedürler kaosu daha da artırabiliyor. Matbu metinler bir yerde faydadan çok zarar getirebiliyor.

(3) Kriz anında doğru iletişimin kurulmaması: Kriz anlarında çalışanlar arasında daha yüksek bir uyum ve iş birliği şarttır. Doğru iletişim kurulmadığı takdirde konu şahsileşebilmekte ve hatta sürtüşmelere varabilmektedir. Liderliğin önemi bu aşamada da devreye girmektedir.

(4) Herkesten aynı seviyede fedakârlık beklenmesi: Sabahlara kadar süren ve günler alan adli bilişim süreçlerinde herkesin stresi ve kaygısı artmaktadır. Şirketi ilgilendiren bir konuda herkesin aynı şekilde fedakârlık ve aynı seviyede fiziksel ve psikolojik dayanıklılık göstermesini beklemek makul değildir. Liderliğin önemi bu aşamada da devreye girmektedir. Çalışanların yıpratılması, küstürülmesi, kuruma olan inançlarının sarsılması uzun vadede şirket için daha büyük bir zarardır.

(5) Geri döndürme planlarının etkin olmaması: Olayın teknik kısmına dönersek, en temel sorun yedekleme politikalarının riskleri dikkate alarak planlanmamış olmasıdır. Yedekleme ve felaket senaryolarının rasyonel planlanmaması hizmet sürekliliğini en çok etkileyen ve siber olayın şiddetini en üst seviyeye taşıyan bir faktör olarak karşımıza çıkmaktadır. Güncel siber tehditler dikkate alındığında bir şirketin siber olay yaşamaması olası değildir. Siber tehditlerin tespitinden daha öne çıkan faktör, olay öncesine dönmedeki çevikliktir. Diğer bir deyişle, yumruk yemek sorun değildir; ayağa hızlıca kalkmamak temel sorundur.

(6) Güven sorunu: Hacker ile müzakere yapılmalı mı? Hackera nasıl güveneceğiz? Ya sistemi açmazlarsa? gibi sorular olay yerlerinde yankılandı. Bazı olaylarda hackerlara çalışanlarından daha çok güvenilmesi de ayrı bir ironiydi. Olayın çalışanlara güveni temelden sarması bir siber olayın en yıkıcı etkisi fikrimce. Herkes hata yapabilir. Önemli olan bu hatalardan ders çıkarmak.

Peki, karşılaştığımız olaylarda en temel çıkmaz neydi? Şirketlerin en büyük ikilemi şu oldu: siber hijyeni sağlamayı beklemek mi, derhal hizmet sunmak mı? Sadece şirketler açısından değil, kamu kurumları açısından da kamu hizmetinin sürekliliği ilkesinin farklı vesilelerle test edildiği bir yıl oldu.

Bir siber olay yaşadınız ve operasyonlarınız etkilendi. Bir yandan delillendirme yaparak geri kurtarma faaliyetine başlamanız gerekiyor ancak siber hijyeni tam sağlamadan bu konuda ilerlememeniz gerekiyor. Burada da bir kaos başlayabiliyor. Sahadaki operasyon ekipleri bir yandan sistemlerin çalışması ve üretimin/hizmetin başlaması için baskı yaparken BT ekibi kök nedeni tespit ederek zararlıdan tamamen kurtulmaya, siber hijyeni uçtan uca sağlamaya çalışıyor. Bu kaos içinde hizmetlerin en azından kısmen sunulması için bir uzlaşıya varılmaya çalışılıyor.

Yazımı bazı sorularla tamamlayayım:

• Bir şirket, siber hijyeni sağlamadan, sistemleri virüslüyken hizmet sunmaya başlayabilir mi?
• Hizmet sürekliliği, siber güvenliğin temin edilmesinden üstün görülebilir mi?
• Hukuki sorumluluk için paradigmanın değişmesinin zamanı gelmedi mi?
• Tazminat davalarının etkin olmaması şirketlerin kullanıcılarına ve müşterilerine karşı hesap verebilirliklerini etkilemekte. Klasik kusur sorumluluğu yerine (özel regüle sektörler istisna tabii ki) siber güvenlik ihlallerinden objektif sorumluluk esasının genele yayılması etkili olur mu?

Şimdiden herkese iyi yıllar dilerim!