Siber güvenlik artık yalnızca IT departmanının konusu değil; şirketin finansal sürdürülebilirliğini ve itibarını doğrudan etkileyen bir yönetim alanı. Özellikle son yıllarda saldırıların daha hedefli hale gelmesi, yapay zekâ ile oltalama (phishing) içeriklerinin “gerçek gibi” yazılması, fidye yazılımlarının (ransomware) kurumsal ağlara çok daha hızlı sızabilmesi ve bulut kullanımının artmasıyla saldırı yüzeyinin genişlemesi, şirketleri yeni risklerle karşı karşıya bıraktı.
Birçok işletme “biz küçük şirketiz, hedef olmaz” düşüncesiyle önlem almakta gecikebiliyor. Oysa saldırganlar için en kolay hedefler çoğu zaman KOBİ’ler ve orta ölçekli firmalar oluyor: çünkü güvenlik yatırımı daha sınırlı, süreçler daha dağınık, kullanıcı farkındalığı daha düşük olabiliyor. Üstelik tek bir e-posta, tek bir zayıf parola veya güncellenmeyen bir sunucu; finans, satış, operasyon ve müşteri verilerini aynı anda riske atabiliyor.
Bu yazıda siber güvenlikte öne çıkan yeni tehditleri ve şirketlerin hızlıca uygulayabileceği somut önlemleri, pratik bir kontrol listesi mantığında ele alacağız.
Siber Güvenlikte “Yeni Tehditler” Ne Demek?
Yeni tehditler, yalnızca yeni bir zararlı yazılım türü demek değil. Saldırıların:
daha hedefli (sektöre/kişiye özel),
daha otomatik (botlar ve AI ile),
daha çok kanallı (e-posta, SMS, sosyal medya, sahte site, telefon),
daha yıkıcı (şifreleme + veri sızdırma + itibar şantajı)
hale gelmesi demek. Eskiden “virüs bulaştı” ile sınırlı kalan olaylar, bugün iş sürekliliğini durduran ve veri ihlaliyle sonuçlanan vakalara dönüşebiliyor.
Şirketleri Hedef Alan Güncel Siber Tehditler
1) Yapay Zekâ Destekli Kimlik Avı (Phishing) ve BEC Dolandırıcılığı
Kimlik avı e-postaları artık bariz yazım hatalarıyla gelmiyor. Yapay zekâ ile daha düzgün dil, daha ikna edici senaryolar ve hatta şirket içi yazışma tonunu taklit eden metinler üretilebiliyor. Bunun bir üst seviyesi BEC (Business Email Compromise): saldırganın yönetici veya tedarikçi gibi davranıp ödeme talimatı göndermesi.
Risk: Sahte IBAN’a ödeme, hesap ele geçirme, veri sızdırma.
Sinyal: Acil ödeme baskısı, olağan dışı hesap değişikliği, farklı alan adları.
2) Fidye Yazılımı (Ransomware) + Çifte Şantaj
Ransomware artık sadece sistemleri şifrelemiyor. Saldırganlar veriyi dışarı sızdırıp “ödemesen yayınlarım” diyerek ikinci bir şantaj katmanı ekliyor. Özellikle yedekleri de hedef alan saldırılar, işi daha da zorlaştırıyor.
Risk: Operasyonun durması, veri sızıntısı, itibar kaybı.
Sinyal: Şüpheli dosya çalıştırma, yetkisiz RDP/VPN girişleri, anormal ağ trafiği.
3) Tedarik Zinciri ve Üçüncü Parti Riskleri
Şirketiniz çok güçlü olsa bile kullandığınız bir yazılım sağlayıcısı, ajans, entegratör veya e-posta servisi zayıfsa risk oluşur. Saldırganlar bazen hedefe direkt gitmek yerine, hedefin ekosistemindeki daha zayıf halkayı vurur.
Risk: Güncelleme üzerinden bulaşma, yetki zinciriyle sızma.
Sinyal: Beklenmedik yazılım güncellemeleri, erişim anahtarlarının sızması.
4) Bulut Hesaplarının Ele Geçirilmesi ve Yanlış Yapılandırma
Bulut sistemleri güvenli olabilir; ama yanlış yapılandırma (public storage, zayıf erişim politikası) veya MFA’sız hesaplar büyük risk yaratır. Bulut kullanımının artması, saldırganlar için “kimlik” saldırılarını daha değerli hale getirdi.
Risk: Verinin sızması, kaynakların kötüye kullanımı, servis kesintisi.
Sinyal: Olağan dışı oturumlar, yeni API anahtarları, beklenmedik izin değişiklikleri.
5) Zero-Day ve Güncellenmeyen Sistem Açıkları
Birçok saldırı “çok gelişmiş” olmak zorunda değil. Güncellenmeyen CMS, eklenti, firewall arayüzü, VPN cihazı veya Windows sunucu; saldırgan için açık kapı olabilir.
Risk: Uzaktan kod çalıştırma, yetki yükseltme, kalıcı arka kapı.
Sinyal: Eski sürümler, yamalanmamış kritik zafiyetler.
6) İçeriden Tehdit ve Yetki Suistimali
Her tehdit dışarıdan gelmez. Dikkatsiz kullanıcı, yanlış paylaşım, eski çalışan hesabının kapanmaması veya bilinçli suistimal; veri kaybına yol açabilir.
Risk: Müşteri/veri sızıntısı, finansal zarar.
Sinyal: Geniş yetkiler, izlenmeyen erişimler, hesap yönetim eksikleri.
Şirketler İçin Alınması Gereken Önlemler
Aşağıdaki önlemler “yüksek etki – uygulanabilirlik” açısından en kritik olanlardır.
1) MFA Zorunlu Hale Getirin
E-posta, bulut panelleri, VPN, muhasebe/ERP, CRM gibi kritik sistemlerde çok faktörlü doğrulama (MFA) şart. Parola sızsa bile hesabın ele geçirilmesini ciddi ölçüde zorlaştırır.
Hızlı aksiyon: Yönetici hesaplarında ve finans ekiplerinde önce başlayın.
2) Güçlü Parola Politikası + Parola Yöneticisi
Parola tekrar kullanımı saldırıların %’sini artırır. Parola yöneticisi kullanmak, hem güçlü parolayı kolaylaştırır hem de kullanıcı alışkanlıklarını iyileştirir.
Hızlı aksiyon: Aynı parolayı kullanan hesapları tespit edin, resetleyin.
3) E-posta Güvenliği: DMARC/SPF/DKIM + Eğitim
Kimlik avının ana kanalı hâlâ e-posta. Teknik koruma (SPF/DKIM/DMARC) ve kullanıcı farkındalığı birlikte çalışmalı.
Hızlı aksiyon: Finans ve yönetici asistanları için ayrı eğitim planı yapın.
4) Yama Yönetimi ve Varlık Envanteri
“Ne var bilmiyorsan koruyamazsın.” Önce sistem envanteri çıkarın: sunucular, VPN cihazları, firewall, CMS, eklentiler. Sonra düzenli yama takvimi oluşturun.
Hızlı aksiyon: İnternete açık servisleri önceliklendirin.
5) Yedekleme Stratejisi: 3-2-1 Kuralı
Ransomware senaryosunda en kritik savunma yedektir. 3-2-1 yaklaşımı: 3 kopya, 2 farklı ortam, 1 offline/immutable.
Hızlı aksiyon: Yedekten geri dönme testini (restore) mutlaka yapın.
6) Yetki Yönetimi: En Az Ayrıcalık (Least Privilege)
Herkese “admin” vermek hız kazandırmaz; risk kazandırır. Rol bazlı erişim tanımlayın. Eski çalışan hesaplarını kapatın. Paylaşımlı hesapları azaltın.
Hızlı aksiyon: Finans, ERP ve bulut yönetim hesaplarını gözden geçirin.
7) Loglama ve İzleme: “Olay Olmadan” Görün
Saldırıların önemli kısmı uzun süre fark edilmez. Temel loglar ve uyarılar bile büyük fark yaratır:
başarısız giriş denemeleri
coğrafi olarak olağan dışı oturumlar
yetki değişiklikleri
yüksek hacimli veri indirme
Hızlı aksiyon: Kritik sistemlerde temel alarm seti kurun.
8) Tedarikçi ve Üçüncü Parti Güvenliği
Ajanslar, entegratörler, yazılım sağlayıcıları… Hepsi risk zincirine dahil. Erişimlerini sınırlandırın ve sözleşmeye güvenlik maddeleri ekleyin.
Hızlı aksiyon: Paylaşılan API anahtarları ve erişimleri denetleyin.
Türkiye İçin Uyum ve Operasyonel Notlar
Türkiye’de birçok şirket için KVKK yükümlülükleri, e-fatura/e-arşiv süreçleri ve finans verilerinin hassasiyeti kritik. Bu yüzden:
kişisel veriye erişimi rol bazlı sınırlamak,
log kayıtlarını tutmak,
veri saklama ve imha süreçlerini yazılı hale getirmek,
bulut servislerinde veri lokasyonu ve erişim politikalarını netleştirmek
özellikle önem kazanır. (Yasal detaylar için kurum içi hukuk/uyum danışmanlığıyla ilerlemek doğru olur.)
Hızlı Kontrol Listesi: Bugün Ne Yapılabilir?
MFA aktif mi? (e-posta, bulut, VPN)
Yedekler offline/immutable mı? Restore testi yapıldı mı?
İnternete açık sistemler güncel mi?
Finans süreçlerinde BEC senaryosu için doğrulama adımı var mı?
Yönetici hesaplarının yetkileri sınırlandı mı?
Loglar ve uyarılar çalışıyor mu?
Bu 6 madde, çoğu şirkette riski ciddi ölçüde düşürür.
Sonuç
Siber güvenlikte yeni tehditler; daha akıllı kimlik avı saldırıları, fidye yazılımları, tedarik zinciri riskleri ve bulut hesap ele geçirme gibi başlıklarla şirketleri hedefliyor. İyi haber şu: En etkili önlemlerin önemli bir kısmı “disiplinli temel güvenlik” adımlarıdır. MFA, yama yönetimi, doğru yedekleme, e-posta güvenliği, yetki kontrolü ve izleme; hem KOBİ’ler hem de büyüyen şirketler için güçlü bir savunma hattı oluşturur.
