22 Apr, 2025

Regülasyonlar Açısından Sızma Testi

BTK, ISO 27001, PCI DSS, BDDK ve Yeni Siber Güvenlik Yaklaşımıyla Kurumların Artan Sorumluluğu

Dijital dönüşüm, iş yapış şekillerini kolaylaştırırken, beraberinde siber güvenlik risklerini de kaçınılmaz olarak getirdi.
Bugün neredeyse her kurum; ister kamu, ister özel sektör olsun, siber saldırıların hedefi olabilir. Üstelik sadece büyük şirketler değil, KOBİ’lerden belediyelere, enerji dağıtım firmalarından hastanelere kadar tüm dijitalleşmiş yapılar tehdit altında.

Bu durum, siber güvenliği “IT’nin meselesi” olmaktan çıkarıp tüm organizasyonun ortak sorumluluğu haline getirirken, artık yalnızca teknik bir ihtiyaç değil, yasal bir zorunluluk haline de getiriyor.

Ve bu yasal zorunluluğun merkezinde sızma testleri (penetration testing) yer alıyor.

What is Penetration Testing?

Sızma testleri, bir kurumun bilgi sistemlerine saldırgan gözüyle bakarak gerçekleştirilen, kontrollü ve etik siber saldırı senaryolarıdır.
Amacı, sistemlerin ne kadar güvenli olduğunu ölçmek, varsa açıklıkları tespit etmek ve bu zayıf noktalar istismar edilmeden önce kapatılmasını sağlamaktır.

Sızma testleri şunları kapsayabilir:

  • Ağ güvenliği testleri: İç ve dış ağ altyapılarının taranması
  • Web uygulama testleri: Web tabanlı sistemlerin SQL injection, XSS gibi açıklıklara karşı denetlenmesi
  • Kablosuz ağ testleri: Wi-Fi şifreleme, sinyal zafiyetleri gibi açıkların taranması
  • Sosyal mühendislik senaryoları: Personelin güvenlik farkındalığı ölçülür
  • Fiziksel erişim testleri: Sunucu odalarına yetkisiz erişim denemeleri

İyi kurgulanmış bir sızma testi, kurumun sadece teknolojik sistemlerini değil, insan faktörünü ve süreçlerini de test eder.

 

BTK ve Elektronik Haberleşme Kanunu Kapsamı

Türkiye’de telekomünikasyon, internet, mobil şebeke, sabit telefon gibi alanlarda faaliyet gösteren şirketler 5809 Sayılı Elektronik Haberleşme Kanunu çerçevesinde BTK (Bilgi Teknolojileri ve İletişim Kurumu) tarafından düzenlenir.

Bu kanun doğrultusunda:

  • ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi kurmak,
  • Belgelendirme sürecini tamamlamak,
  • Ve sistemin sürdürülebilirliğini sağlamak

BTK tarafından zorunlu tutulmuştur.

Bu noktada ISO 27001’in EK-A kontrol setindeki A.12.6.1 Teknik Açıklıkların Yönetimi maddesi devreye girer. Bu maddeye göre:

“Teknik açıklıklar düzenli olarak test edilmeli, zayıflıklar belgelenmeli ve düzeltici aksiyonlar alınmalıdır.”

Sözün özü: BTK’ya tabi şirketler için sızma testi yapmak teknik değil, yasal bir sorumluluktur.

ISO 27001’le Uyumluluk ve Denetim Gerçekliği

ISO/IEC 27001 yalnızca bir sertifika değil, bir yönetim sistemidir.
Yani belgelendirme ile başlayan değil, sürekli gelişim ve denetimle sürdürülen bir süreçtir.

Bu süreç içinde:

  • Zafiyet taramaları (vulnerability scanning),
  • Sızma testleri,
  • Risk değerlendirme çalışmaları

mutlaka yer almalıdır.

BTK, ISO 27001 belgesine sahip işletmecileri yılda en az bir kez denetler. Bu denetimlerde sızma testi yapılmadığı tespit edilirse, bu durum doğrudan uygunsuzluk olarak kayda geçer ve sertifika riske girer.

 

BDDK Düzenlemeleri: Finans Sektöründe Güvenlik Standardı

Finans sektörü; yüksek işlem hacmi, müşteri verisi barındırması ve dolandırıcılık riskleri nedeniyle regülasyonların en sıkı uygulandığı sektörlerden biridir.

Bankacılık Düzenleme ve Denetleme Kurumu (BDDK), yayınladığı rehber ve düzenlemelerle, bankaların ve diğer finansal kurumların:

  • Yılda en az bir kez kapsamlı sızma testi yaptırmasını,
  • Bu testlerin iç ağ, dış ağ, uygulama, sosyal mühendislik gibi katmanları içermesini,
  • Raporların bağımsız birimlere sunulmasını

zorunlu kılar.

Özetle: Finansal kuruluşlar için sızma testi “güzel olur” değil, olmazsa olmazdır.

PCI DSS: Kredi Kartı Verisi İşleyen Kurumlar İçin Küresel Standart

PCI DSS (Payment Card Industry Data Security Standard), dünyada kart verisi güvenliği konusunda en çok kabul gören standarttır.
Visa, Mastercard, American Express gibi şirketlerin desteğiyle oluşturulmuştur ve:

  • E-ticaret şirketleri,
  • Ödeme sistemleri sağlayıcıları,
  • POS sistem geliştiricileri,
  • Sanal POS hizmeti veren bankalar

için bağlayıcıdır.

Versiyon 4.0’a göre:

  • Madde 11.3: Sızma testleri yılda en az bir kez yapılmalı
  • Madde 11.2: Zafiyet taramaları üç ayda bir tekrarlanmalı

Bu standartlara uymamak, sadece güvenlik riski değil, ağır para cezaları, iş ortaklığı iptalleri ve itibar kaybı anlamına gelir.

EPDK ve Enerji Sektöründe Siber Güvenlik Yükümlülükleri

Enerji sektörü; elektrik, doğalgaz ve petrol gibi temel altyapı hizmetlerinin sürekliliği açısından hayati öneme sahiptir. Bu nedenle enerji firmalarının sadece ticari değil, stratejik ve ulusal güvenlik sorumlulukları da vardır. Türkiye’de enerji piyasasının düzenleyici kurumu olan EMRA (Enerji Piyasası Düzenleme Kurumu), bu sorumluluk kapsamında şirketlerin bilgi güvenliği süreçlerini belli standartlara bağlamaktadır.

EPDK’nın siber güvenlik yükümlülükleri arasında yer alan temel başlıklar şunlardır:

– ISO/IEC 27001 Sertifikasyonu Zorunluluğu: EPDK, lisanslı enerji dağıtım firmalarının bilgi güvenliği yönetim sistemlerini ISO 27001 standardına göre kurmalarını ve belgelendirmelerini zorunlu kılmaktadır.
– Sızma Testi ve Zafiyet Analizi: Şirketlerin bilgi sistemleri üzerinde yılda en az bir kez kapsamlı sızma testi gerçekleştirmesi, bu testlerin bağımsız ve yetkin firmalar tarafından yapılması ve elde edilen bulguların raporlanarak risklerin giderilmesi beklenmektedir.
– Süreklilik ve Felaket Kurtarma Planları: Kritik sistemlerin yedeklenmesi, felaket durumunda hizmetin devamlılığını sağlayacak senaryoların test edilmesi yasal bir gerekliliktir.
– BTK ve Siber Güvenlik Başkanlığı Koordinasyonu: Enerji sektöründe faaliyet gösteren firmalar sadece EPDK değil, aynı zamanda BTK ve Siber Güvenlik Başkanlığı ile de koordineli çalışmakla yükümlüdür. Bu kurumlar arasında veri paylaşımı, olay bildirimi ve denetim süreçleri entegre şekilde yürütülmektedir.

Bu yükümlülükler ışığında, enerji sektöründe faaliyet gösteren tüm dağıtım ve üretim şirketlerinin bilgi sistemlerine yönelik sızma testlerini düzenli olarak gerçekleştirmesi hem yasal bir zorunluluk, hem de kurumsal risk yönetiminin ayrılmaz bir parçasıdır.

Unutulmamalıdır ki enerji altyapılarına yönelik bir siber saldırı yalnızca şirketleri değil, tüm toplumu ve ülke güvenliğini etkileyebilir. Bu sebeple test yapılmaması yalnızca teknik bir eksiklik değil, potansiyel bir ulusal kriz riski taşır.

Enerji, Sağlık, Kamu: Kritik Altyapılar Göz Hedefi

Kritik altyapıların güvenliği artık sadece kurumsal bir konu değil, ulusal güvenlik meselesi haline gelmiştir.
Bu alanlarda yapılacak bir saldırı; ülke çapında elektrik kesintilerine, ulaşım sistemlerinin çökmesine, hastanelerde hizmet kesintisine neden olabilir.

Bu nedenle bu sektörlerde:

  • BTK, EPDK, Sağlık Bakanlığı gibi kurumlar tarafından
  • Rehberler, genelgeler ve yönetmeliklerle

sızma testlerinin kapsamı, sıklığı ve yöntemi belirlenmiştir.

Yani kritik altyapı sektörlerinde test yapılmaması, yasal yaptırımlara ve kamuoyuna açık krizlere zemin hazırlar.

 

TBMM Gündemindeki Siber Güvenlik Kanunu: Yeni Bir Dönem Başlıyor

TBMM’de yer alan Siber Güvenlik Kanunu Taslağı, kurumların siber dayanıklılığını güçlendirmeyi hedefliyor.
Tasarının 5. maddesine göre:

“Kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığının artırılması amacıyla zafiyet analizleri, sızma testleri ve risk değerlendirmeleri yapılmalıdır.”

Bu yasa, yalnızca özel sektör için değil, kamu kurumları ve KİT’ler için de doğrudan bağlayıcı hükümler içeriyor.
Siber Güvenlik Başkanlığı, bu testlerin takibini yapan düzenleyici kurum olarak görevlendiriliyor.

 

Sızma Testi Yaptırmak Neden Gerçek Bir Yatırımdır?

Sızma testi sadece bir “yasal görev” değildir.
Doğru yapıldığında, kurumlara şu katkıları sağlar:

  • Kurumsal sistemlerin dayanıklılığı ölçülür
  • Denetim süreçlerinde “uygunluk” puanı artar
  • Veri ihlalleri daha gerçekleşmeden önlenir
  • Güvenlik yatırımlarının işe yarayıp yaramadığı görülür
  • Yönetimin risk farkındalığı artar
  • İtibar krizi riski en aza iner

Kısacası: Sızma testi, risk yönetiminin kalbi ve kurumsal sürdürülebilirliğin sigortasıdır.

 

Sızma Testi Yaptırmak Artık Opsiyon Değil

Artık hiçbir kurum “biz hedef olmayız” diyemez. Siber tehditler sektörel ayrım yapmaz, hazırlıksız olanı bulur. Bugün KVKK’dan sektörel regülasyonlara kadar birçok düzenleme, kurumların güvenlik açıklarını düzenli olarak test etmesini şart koşuyor. Bu da sızma testlerini bir opsiyon olmaktan çıkarıyor, bir zorunluluk haline getiriyor.

Sızma testleri, yalnızca açık bulmak için değil, aynı zamanda kurumların kendi güvenlik olgunluklarını objektif biçimde değerlendirmeleri için yapılır. Gerçekten güvende olup olmadığınızı anlamanın başka bir yolu yok. Varsaymak yerine test etmek, beklemek yerine önlem almak artık kurumların sorumluluğudur.

Unutmayın:

Test edilmeyen güvenlik, sadece bir tahmindir. Tahminlerle güvenlik sağlanmaz.

About Content:
Share on Social Media:
Facebook
Twitter
LinkedIn
Telegram

Related Articles