Son yıllarda gelişmekte olan ve hızla gelişmeye devam eden teknolojiyle birlikte siber saldırılardan korunmakta kaçınılmaz hale gelmektedir. Durum bu haldeyken kurumların sistemlerini olabildiğince koruma altında tutmak, herhangi bir veri sızıntısına karşı önem almak gerek sistemlere yerleştirilen teknolojilerle gerekse düzenli yapılan sızma testleriyle olabildiğince güvenliği üst seviyeye çıkarmak amaçlanmaktadır.
Peki bu kadar çok altı çizilen ve Siber Güvenlik alanı ile artık tamamıyla özdeşleşmiş bir alt başlık olan Sızma Testi Nedir?
Sızma testleri bir kuruluşun bilgi sistemleri ve çalışan kaynaklı zafiyetlerini açığa çıkarmak amacıyla yapılan çalışmalardır. Sızma testi ile saldırılar gerçekleşmeden önce zafiyetlerin (açıklıkların) farkında olunması ve bunların kapatılmasıyla sistemlerin daha güvenli bir hale getirilmesi amaçlanır.
İçinde bulunduğumuz çağda teknolojinin güncel durumu dikkate alındığında ve saldırganların teknik bilgisinin üst seviyede olması gerekmediği göz önüne alınırsa her geçen gün bireyler ve kuruluşlar için bilgilerinin güvenliği daha büyük tehlike altındadır.
Düzenli olarak sızma testi yaptırmak, olası açıklıkları saldırganlar fark etmeden önce öğrenmek ve bu zafiyeti kapatarak olası bir siber saldırıyı engellemek için proaktif bir tedbir niteliği taşımaktadır. Zafiyetler için aksiyon alınmasıyla birlikte kuruluşun hassas verilerinin yetkisiz kişilerin eline geçme ihtimali azalmış ve sistemlerindeki açıkların kapatılmasıyla yetkisiz kişilerin istismarı önlenmiş olur.
Sızma testleri kuruluşun isteği ve ihtiyacı doğrultusunda gerçekleştirilebilir. Ancak bazı sektörlerde bilgi güvenliğinin kritik olması sebebi ile düzenleyici kuruluşlar tarafından bu çalışma yükümlülük haline getirilmiştir.
Bu yazının devamında tebliğler ve yönetmeliklerde belirtildiği üzere hangi kuruluşların sızma testi yaptırmaları gerektiği açıklanmıştır.
Sızma Testi kavramı hakkında bir senaryo kafanızda oluştuysa konu başlıklarımıza Sızma Testinin kuruluşlara göre farklılaşabilen, farklı gereksinimlere ve yeteneklere sahip olabilecek maddelerinden bahsedeceğiz.
İlk olarak Bankacılık Düzenleme ve Denetleme Kurumunda bu süreç nasıl işlenmektedir?
Bankacılık Düzenleme ve Denetleme Kurumu
- 14 Eylül 2007 tarihinde yayınlanan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ mevduat bankalarını, katılım bankalarını, kalkınma bankalarını ve yatırım bankalarını kapsamaktadır. Bilgi sistemlerine ilişkin risk yönetimi bölümünde güvenlik kontrol sürecinin tesis edilmesi ve yönetilmesi başlığında bağımsız ekiplere düzenli aralıklarla sızma testi yaptırılması gerektiği belirtilmiştir. Aynı zamanda internet bankacılığı bölümünde güvenlik kontrol sürecinin tesis edilmesi ve yönetilmesi başlığı altında bağımsız ekiplere, en az yılda bir kez olmak üzere, internet bankacılığı faaliyetleri kapsamındaki sistemler için sızma testi yaptırılması gerekliliğine yer verilmiştir. Bu tebliğ 1 Temmuz 2020 tarihinde yürürlükten kalkacaktır.
Aynı zamanda, bu tebliğe istinaden hazırlanan Bilgi Sistemlerine İlişkin Sızma Testleri Hakkında Genelge 24 Temmuz 2012 tarihinde yayınlanmıştır. Bu genelgede yapılacak olan sızma testlerinin asgari olarak kapsamı aşağıda verilmiştir.
o İletişim Altyapısı ve Aktif Cihazlar
o DNS Servisleri
o Etki Alanı ve Kullanıcı Bilgisayarları
o E-posta Servisleri
o Veri Tabanı Sistemleri
o Web Uygulamaları
o Mobil Uygulamalar
o Kablosuz Ağ Sistemleri
o ATM Sistemleri
o Dağıtık Servis Dışı Bırakma Testleri
o Sosyal Mühendislik Testleri
- Kurum, Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği 15 Mart 2020 tarihinde yayınlamıştır. Bu tebliğ 1 Temmuz 2020 tarihinde yürürlüğe girecektir ve mevduat bankalarını, katılım bankalarını, kalkınma bankalarını ve yatırım bankalarını kapsamaktadır. Kapsamdaki bankaların bilgi sistemleri aracılığıyla sunduğu hizmetlerin tasarımı, geliştirilmesi, uygulanması veya yürütülmesinde görevi bulunmayan bağımsız ekiplere yılda en az bir defa sızma testi yaptırmaları gerekmektedir.
- Bilgi Alışverişi, Takas ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ 4 Aralık 2013’te yayınlanmıştır. Bu tebliğ; Banka Kartları ve Kredi Kartları Kanununun 4 üncü maddesi çerçevesinde faaliyet izni alarak bilgi alışverişi faaliyetinde bulunan kuruluşları, Banka Kartları ve Kredi Kartları Kanununun 4 üncü maddesi çerçevesinde faaliyet izni alarak takas ve mahsuplaşma faaliyetinde bulunan kuruluşları ve Risk Merkezini kapsar. Kapsamdaki kuruluşların yılda en az bir defa sızma testi yaptırma gereklilikleri bulunmaktadır.
- Finansal Kiralama, Faktoring ve Finansman Şirketlerinin Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ 6 Nisan 2019’da yayınlanmıştır ve finansal kiralama, faktoring ve finansman şirketlerini kapsamaktadır. Bu tebliğde bilgi güvenliği yönetimi başlığı altında kapsamdaki şirketlerin 2 yılda bir sızma testi yaptırmaları gerektiği belirtilmiştir.
- Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ 27 Haziran 2014 tarihinde yayınlanmış ve ödeme hizmeti sağlamak ve gerçekleştirmek için Kanun kapsamında yetkilendirilmiş tüzel kişileri ve kanun kapsamında elektronik para ihraç etme yetkisi verilen tüzel kişileri kapsamaktadır. Kapsamdaki kuruluşlar, bilgi sistemleri aracılığıyla sunduğu hizmetlerin tasarımı, geliştirilmesi, uygulanması veya yürütülmesinde görevi bulunmayan bağımsız ekiplere yılda en az bir defa sızma testi yaptırmakla yükümlü tutulmuşlardır.
Bu metin, “Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ” adlı düzenlemenin bir bölümünü içermektedir. Bu düzenleme, bankaların kullandıkları bilgi sistemlerinin yönetiminde dikkate alınması gereken asgari usul ve esasları belirlemektedir. Tebliğ, banka bilgi sistemlerinin maruz kalabileceği risklerin ve güvenlik açıklarının yönetimini de kapsar.
Tebliğin “Bilgi Sistemlerine İlişkin Risk Yönetimi” başlıklı bölümünde, güvenlik kontrol sürecinin tesis edilmesi ve yönetilmesi ile ilgili hükümler yer almaktadır. Bu hükümler çerçevesinde, bankaların bilgi sistemlerinin güvenilirliği ve tutarlılığının düzenli olarak incelenmesini sağlamak amacıyla düzenli aralıklarla sızma testleri yaptırılması zorunluluğu getirilmiştir.
Sızma testleri, bilgi sistemlerine yönelik olarak elektronik ortamda gerçekleştirilebilecek saldırı türlerinin tespit edilmesi ve güvenlik açıklarının belirlenmesi amacıyla yapılan testlerdir. Bu testler, bilgi sistemlerinde yetkisiz erişimin veya hassas bilgilere ulaşmanın mümkün olabileceği güvenlik açıklarını tespit etmek ve düzeltmek için yapılır.
Tebliğde belirtilen asgari usul ve esaslara göre, sızma testleri aşağıdaki başlıkları kapsayacak şekilde gerçekleştirilir:
– İletişim Altyapısı ve Aktif Cihazlar
– DNS Servisleri
– Etki Alanı ve Kullanıcı Bilgisayarları
– E-posta Servisleri
– Verit Tabanı Sistemleri
– Web Uygulamaları
– Mobil Uygulamalar
– Kablosuz Ağ Sistemleri
– ATM Sistemleri
– Dağıtık Servis Dışı Bırakma Testleri
– Sosyal Mühendislik Testleri
Sızma testlerinin gerçekleştirilmesi için belirlenen erişim noktaları, internet, banka iç ağı ve şube ağı olarak belirlenmiştir. Testler, bu erişim noktalarından başlayarak ilerler ve belirli kullanıcı profilleriyle gerçekleştirilir. Kullanıcı profilleri arasında anonim kullanıcı, banka müşterisi, banka misafiri ve banka çalışanı gibi farklı profiller bulunur.
Diğer Önemli kuruluşlarımıza bu süreci nasıl işleteceği hakkında maddeleyecek olursak;
Enerji Piyasası Düzenleme Kurumu
- 13 Temmuz 2017 tarihinde yayınlanan Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliğinde geçtiği üzere EKS (Endüstriyel Kontrol Sistemleri) Güvenlik Kontrolleri isimli bir rehber yayınlanmıştır. Bu rehberde geçtiği üzere organizasyonların belirli sıklıkta ve özel olarak belirlenen bir kapsamda sızma testi gerçekleştirmeleri, raporlamaları ve sonuçları analiz etmeleri gerektiği belirtilmiştir. Bu rehberin kapsamındaki organizasyonlar EKS’nin sahibi olan organizasyonlardır.
Enerji piyasası tarafında kritik alt yapılara hitaben diğer kurumlara göre bilgilendirme ve farkındalık biraz daha az olduğu gözlenmektedir. Konu Kritik Altyapılar olunca (Doğalgaz, Elektrik sistemleri vb) Ülkeye vereceği zarar çok daha fazla kalıcı olabilir, nitekim bu saldırıların örneklerini geçtiğimiz senelerde görmüş bulunmaktayız. Farkındalığı artırmak ve daha fazla bilgi edinmek için bu konuyu daha detaylı olarak ele alalım.
Bunun için yararlanabileceğimiz en iyi kaynak 3 Mayıs 2019 Tarihli ve 30763 Sayılı Resmi Gazetede yayımlanan Enerji Piyasası Düzenleme Kurumundan gelen Kurur Kararı;
Kaynakta Amaç, Kapsam, Hukuki Dayanak, Tanımlar detaylı olarak aktarılmıştır, içeriği hakkında ise yazımızda özetleyecek olursak;
Birinci bölümde, usul ve esaslar, enerji sektöründe kullanılan endüstriyel kontrol sistemlerinin (EKS) güvenliğini sağlamak amacıyla geliştirilmiştir. Temel amaç, yetkisiz erişim ve hassas bilgilere ulaşma gibi güvenlik açıklıklarının tespit edilmesi ve giderilmesi için önlemler almak ve sistem sürekliliğini sağlamaktır. Bu usul ve esaslar kapsamında aşağıdaki faaliyetler yer almaktadır:
- EKS ağının ve mimari yapının incelenmesi analizi: EKS ağı ve yapılarının güvenlik açısından analiz edilmesi ve değerlendirilmesi.
- EKS yapılarında görevli personele yönelik sosyal mühendislik testleri: EKS sistemlerinde görevli personelin sosyal mühendislik teknikleriyle test edilmesi.
- EKS ağında zafiyet tarama analizi: EKS ağındaki güvenlik açıklarının tarama araçlarıyla taranarak analiz edilmesi.
- EKS ağında zararlı yazılım analizi: EKS ağındaki zararlı yazılımların tespit edilmesi ve analiz edilmesi.
- EKS kablosuz ağ ve bileşenleri testleri: EKS kablosuz ağının ve bileşenlerinin güvenlik testlerinin yapılması.
- EKS ağında sömürü testleri: EKS ağındaki güvenlik açıklıklarının sömürülerek test edilmesi.
Bu usul ve esaslar, Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliği’nin 8. maddesine dayanılarak hazırlanmıştır. Testler üç yılda bir tekrarlanırken, yeni tesislere ilişkin testler ise işletmenin aktif duruma gelmesinden itibaren on sekiz ay içerisinde yapılır. Testlere tabi olan kuruluşlar, test esnasında en az bir uzman personel ve bir refakat personeli bulundururlar. Bu usul ve esaslar, enerji sektöründe kullanılan endüstriyel kontrol sistemlerinin güvenliğini sağlamak amacıyla standartlar ve yönergeler belirlemekte ve uygulanmasını sağlamaktadır.
İkinci bölümde,
EKS’nin bulunduğu mevcut ağ yapısı incelenir ve güvenlik pratikleri açısından değerlendirilir. Analizin kapsamı şu başlıkları içermektedir:
- Topoloji analizi: EKS ağındaki sunucular, ağ bileşenleri ve saha ekipmanlarının IP adresleri belirlenir ve yapılandırmaları incelenir. Bu analizde, ağdaki bileşenlerin konumu ve mevcut topoloji çizimi değerlendirilir.
- Konfigürasyon analizi: Omurga anahtarı, güvenlik duvarı, IDS/IPS gibi ağ ve güvenlik cihazlarının yapılandırmaları değerlendirilir. Yedeklilik yapılandırmaları, güvenlik duvarının SSL denetimi ve segmentasyon gibi konular incelenir.
- EKS sınır güvenliği analizi: EKS’yi tehdit eden unsurların engellenebilmesi için alınan önlemler değerlendirilir. Güvensiz servislerin güvenli alternatiflerle değiştirilmesi, internete hizmet veren sistemlerin bulundurulmaması, IDS/IPS sistemlerinin mevcudiyeti ve bağlantı kontrolü gibi konular denetlenir.
- Erişim analizi: KBS ve EKS ağları arasındaki erişimler incelenir. Zorunlu bağlantıların doğru yapılandırıldığı, kullanıcıların gereksiz erişimlerinin engellendiği ve mevcut erişim izinlerinin uygunluğu değerlendirilir.
- Diğer analizler: Yetkili hesap yönetimi, altyapıdaki varlıkların konumlandırılması, internete erişebilen ve internetten erişilebilen varlıkların incelenmesi, SSL kullanımı ve iş sürekliliği analizi gibi konular üzerinde analiz yapılır.
Bu analiz çalışması, kuruluş personeliyle yapılan soru-cevap şeklindeki görüşmeler, ağ ve güvenlik cihazlarının yapılandırmalarının incelenmesi ve otomatik analiz araçlarının kullanılmasıyla gerçekleştirilir. Sosyal mühendislik testleri ise EKS yapılarında görevli personele yönelik olarak gerçekleştirilir. Bu testlerde, personelin güvenlik davranışları ve farkındalık seviyeleri analiz edilir. Testler siyah kutu veya beyaz kutu olarak uygulanabilir. Siyah kutu testi için, testi gerçekleştirecek ekip personel hakkında bilgi toplar ve test kapsamını belirler. Beyaz kutu testi ise kuruluş tarafından belirlenen kapsam üzerinde gerçekleştirilir.
Kişisel Verileri Koruma Kurumu
- Ocak 2018’de yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler), kişisel veri güvenliğinin takibi maddesi altında bu hususa yer vermiştir.
Bu maddede bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirme yapılması gerektiği belirtilmiştir. Ayrıca rehberde bulunan veri sorumluları tarafından alınabilecek teknik tedbirlerin gösterildiği tabloda sızma testine yer verilmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanununa uymakla yükümlü olan kişisel verileri işleyen gerçek ve tüzel kişilerin bu rehberdeki tedbirleri göz önünde bulundurmaları gerekmektedir.
Sermaye Piyasası Kurulu
- Kurul tarafından 5 Ocak 2018 tarihinde Bilgi Sistemleri Yönetim Tebliği yayınlanmıştır. Bilgi sistemleri risk yönetimi başlığı altında, sızma testi konusunda ulusal veya uluslararası belgeye sahip gerçek veya tüzel kişiler tarafından en az yılda bir kez sızma testine tabi tutuldukları belirtilmiştir, sızma testleri kapsamında gerçekleştirilecek asgari testler aşağıda verilmiştir.
o İletişim Altyapısı ve Aktif Cihazlar
o DNS Servisleri
o Etki Alanı ve Kullanıcı Bilgisayarları
o E-posta Servisleri
o Veri Tabanı Sistemleri
o Web Uygulamaları
o Mobil Uygulamalar
o Kablosuz Ağ Sistemleri
o Dağıtık Servis Dışı Bırakma Testleri
o Sosyal Mühendislik Testleri
Gelir İdaresi Başkanlığı
- 19 Kasım 2019’da yayınlanan e-Belge Özel Entegratörleri Bilgi Sistemleri Denetim Kılavuzu, GİB’den izin alan / alacak olan Özel Entegratör kuruluşlarını kapsamaktadır. Kılavuzda tanımlanan varlıkları ve bilgi sistemlerinin genelini kapsayacak şekilde yılda en az bir kez olmak üzere sızma testi yaptırılması gerektiği belirtilmiştir. Kılavuzda yer alan sızma testi kapsamı aşağıda verilmiştir.
o Ağ ve İletişim Altyapısı Testleri
o İşletim Sistemi ve Platform Testleri
o Uygulama Testleri
o Veri Tabanı Testleri
o Web Uygulamaları Testleri
o Mobil Uygulama Testleri
Ulaştırma ve Altyapı Bakanlığı
- Bakanlık tarafından 21 Haziran 2017 tarihinde KamuNet Ağına Bağlanma ve KamuNet Ağının Denetimine İlişkin Usul ve Esaslar Hakkında Tebliğ yayınlanmıştır. Bu tebliğde yer aldığı üzere KamuNet’e dâhil edilecek ve dâhil olan kamu kurumlarının, KamuNet’in bağlı olduğu sistemler üzerinde sızma/penetrasyon testleri gerçekleştirerek tespit edilen açıklıkların giderilmesi için çalışmalar yapması gerekmektedir.
Yukarıda bahsedilen düzenlemelere ek olarak ISO/IEC 27001 sertifikasına sahip olma zorunluluğu bulunan kuruluşların standardın EK-A güvenlik kontrolleri bölümünde A.12.6.1 Teknik Açıklıkların Yönetimi kapsamında düzenli olarak sızma testi yaptırmaları veya bu kontrol gereğince kendi kaynakları ile düzenli olarak teknik açıklıkları tespit etmesi gereklidir. Aşağıda ISO/IEC 27001 belgesine sahip olma yükümlülükleri verilmiştir.
- Bilgi Teknolojileri ve İletişim Kurumunun yayınladığı Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ kapsamında bulunan elektronik sertifika hizmet sağlayıcıları,
- Bilgi Teknolojileri ve İletişim Kurumunun yayınladığı Kayıtlı Elektronik Posta Sistemi ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ kapsamındaki kayıtlı elektronik posta hizmet sağlayıcıları,
- Bilgi Teknolojileri ve İletişim Kurumunun yayınladığı Elektronik Haberleşme Güvenliği Kapsamında TS ISO/IEC 27001 Standardı Uygulamasına İlişkin Tebliğ kapsamındaki elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketleri. Uygunluk belgesi aranan işletmeciler aşağıdadır,
o Görev Sözleşmesi İmzalayan İşletmeciler
o İmtiyaz Sözleşmesi İmzalayan İşletmeciler
o Uydu Haberleşme Hizmeti Veren İşletmeciler
o Altyapı İşletmeciliği Hizmeti Veren İşletmeciler
o Sabit Telefon Hizmeti İşletmecileri
o GMPCS Mobil Telefon Hizmeti Veren İşletmeciler
o Sanal Mobil Şebeke Hizmeti İşletmecileri
o İnternet Servis Sağlayıcıları
o Hava Taşıtlarında GSM 1800 Mobil Telefon Hizmeti Veren İşletmeciler
- Enerji Piyasası Düzenleme Kurumunun (EPDK) yayınladığı Doğal Gaz Piyasası Lisans Yönetmeliği kapsamında bulunan iletim faaliyetini gerçekleştiren lisans sahibi tüzel kişilerin ve sevkiyat kontrol merkezi kurmakla yükümlü dağıtım lisans sahiplerinin çalıştırdığı kurumsal bilişim sistemi ile endüstriyel kontrol sistemleri,
- EPDK’nın yayınladığı Elektrik Piyasası Lisans Yönetmeliği kapsamındaki OSB üretim lisansı sahipleri hariç olmak üzere, kurulu gücü 100MW ve üzerinde olan ve geçici kabulü yapılmış bütün üretim tesisleri için, kurumsal bilişim sistemi ile endüstriyel kontrol sistemleri,
- EPDK’nın yayınladığı Petrol Piyasası Lisans Yönetmeliği kapsamındaki rafinerici lisans sahiplerinin kurumsal bilişim sistemi ile endüstriyel kontrol sistemleri,
- Gümrük ve Ticaret Bakanlığının yayınladığı Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği kapsamında bulunan yetkilendirilmiş yükümlü sertifikasına (YYS) sahip olmak isteyen tüzel kişiler.
Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği Rehberi.
Bilgi sistemlerinde karşılaşılan güvenlik risklerinin doğrultusunda azaltılması, olası bir veri kaybının ya da milli güvenliği tehdit edebilecek kritik türdeki verilerin korunması kapsamında Kamu kurumları ile kritik türdeki veri tarafında hizmet veren işletmelerce uyulması gereken güvenlik adımlarını belirlemek için Bilgi ve İletişim Güvenliği Tedbirlerini içeren Cumhurbaşkanlığı Genelgesi yayımlanmıştır. Bilgi ve İletişim Güvenliği tedbirlerini içeren 06.07.2019 tarih ve 2019/12 sayılı Cumhurbaşkanlığı Genelgesi doğrultusunda Türkiye Cumhuriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisi (DDO) tarafından Bilgi ve İletişim Güvenliği Rehberi hazırlama çalışmaları tamamlanmış ve 24.07.2020 tarihinde onaylanmıştır.
Bahse konu rehberde varlık gruplarına yönelik kontrollerden özellikle Ağ ve Sistem Güvenliği kapsamında sızma testlerinin yapılması/yaptırılması gereklilik olarak ortaya konulmakla birlikte (Md. 3.1.11. Sızma Testleri ve Güvenlik Denetimleri) toplamda 117 madde sızma testlerinin gerçekleştirilmesi ile ilişkilidir.
Md. 3.1.11. Kurum sistemlerinin güvenlik açıklarını ve saldırı yüzeyini belirlemek için düzenli aralıklarla harici ve dâhili sızma testleri ve güvenlik denetimleri gerçekleştirilmelidir
Özetleyecek olursak, sızma testlerinin düzenli olarak yaptırılması kuruluşlar için hassas bilgilerinin korunması açısından oldukça önemlidir. Düzenlemelerde görüldüğü üzere özellikle enerji ve finans sektöründeki kuruluşlar için bu konuda daha tedbirli olunması gerektiği göze çarpmaktadır. Yasal açıdan bir zorunluluğu olmasa bile kuruluşların sızma testi yaptırmaları, zafiyetlerinin farkında olup uygun adımlar atarak sistemlerini daha güvenli hale getirmeleri için büyük bir fırsattır.
Sızma testi kurumlar için önemli bir güvenlik önlemi olup, potansiyel saldırılara karşı korunma sağlamada kritik bir rol oynamaktadır. Yapılan sızma testi, kurumunuzun bilgi güvenliği konusundaki eksiklikleri ve zayıflıkları ortaya çıkarmıştır. Bu testin sonuçları, kurumunuzun savunma mekanizmalarını güçlendirmek, güvenlik açıklıklarını kapatmak ve potansiyel saldırıları önlemek için alınması gereken önlemleri belirlemenize yardımcı olacaktır.
Kaynakça:
Pentest Gereklilik Mevzuat
ENERJİ SEKTÖRÜNDE KULLANILAN ENDÜSTRİYEL KONTROL SİSTEMLERİ İÇİN GÜVENLİK ANALİZ VE TEST USUL VE ESASLARI
BDDK’ ya Bağlı Kuruluşların Sızma Testi Zorunlulukları ve Kapsam
