Bir güvenlik açığı sömürüldüğünde kurumların içgüdüsel ilk tepkisi genellikle olayı gizli tutmaya çalışmaktır. Ancak siber dünyada şeffaflık, sadece bir etik tercih değil, yasal bir zorunluluktur. Kişisel Verileri Koruma Kurulu (KVKK), 12. Madde ile siber güvenlik literatürüne altın harflerle kazınan o meşhur kuralı koymuştur: Veri sorumlusu, bir ihlali öğrendiği andan itibaren en geç 72 saat içinde durumu Kurul’a bildirmek zorundadır.

Bu 72 saatlik geri sayım, saldırının gerçekleştiği an değil; Güvenlik Operasyon Merkezi (SOC) veya bilgi işlem ekibinin “Veri sızmış veya sızma ihtimali çok yüksek” teşhisini koyduğu (öğrendiği) an başlar. Ancak bu bildirim, basit bir özür mesajı değil; olayın kök nedenlerini, etkilerini ve alınan önlemleri içeren son derece teknik bir rapordur.

Teknik Detaylar Neden Hayatidir?

Kurul’a yapılan bildirimdeki teknik derinlik, kurumun “Ağır İhmal”den mi yoksa “Öngörülemez Bir Siber Saldırı”dan mı mağdur olduğunu belirleyen temel terazidir. Rapor, zafiyetin kök nedenini (root cause) arayan bir dijital dedektiflik ürünüdür.

• Zayıf Bildirim: “Sunucularımıza girilmiş” gibi yüzeysel ifadeler, Kurul’a kurumun içeride ne olup bittiğinden habersiz olduğu, loglama mekanizmalarının çalışmadığı mesajını verir. Bu durum, idari para cezalarını astronomik seviyelere çıkarır.

• Yetkin Bildirim: “Saldırganlar, X uygulamasındaki yayınlanmamış bir sıfırıncı gün (Zero-day) zafiyetini kullanarak WAF kurallarını atlatmış ve yetki yükseltme (Privilege Escalation) ile veritabanına erişmiştir” şeklindeki bir ifade, kurumun sistemini izlediğini ve teknik yetkinliğe sahip olduğunu ispatlar.

Bildirimde Olması Gereken Teknik Kriterler

Kusursuz bir ihlal bildirimi, teknik terminolojiyi doğru bir çerçevede kullanmayı gerektirir. Raporun omurgasını şu kriterler oluşturur:

1. Sızma Vektörü (Attack Vector): Saldırgan içeri nasıl girdi? Oltalama (phishing) e-postası mı, API noktasındaki bir BOLA zafiyeti mi, yoksa RDP portuna yapılan kaba kuvvet (Brute-force) saldırısı mı?

2. Veri Kategorileri ve Maskeleme: Sızan verinin kriptografik durumu sunulmalıdır. “Veritabanı sızdırılmıştır ancak parolalar SHA-256 ile hashlenmiş ve tuzlanmıştır (salted)” detayı, ihlalin risk boyutunu ciddi ölçüde hafifletir.

3. Sınırlandırma (Containment): Kanama nasıl durduruldu? “Sunucu VLAN’dan izole edilmiş, Active Directory şifreleri sıfırlanmış ve şüpheli IP adresleri güvenlik duvarından bloklanmıştır” gibi adımlar, kriz yönetiminin teknik ispatıdır.

4. İhlalin Boyutu (Log Analizi): Kaç kişinin verisi sızdı? Doğru yapılandırılmış log sistemleri sayesinde sızıntının hangi tablolarla sınırlı kaldığının belirtilmesi, krizi sınırlar içine alır.

Kısmi Bildirim (Phased Notification): Parçaları Birleştirmek

Karmaşık bir siber saldırının tüm teknik detaylarını ve adli bilişim (Forensics) sonuçlarını 72 saatte eksiksiz ortaya çıkarmak neredeyse imkansızdır. Bir saldırganın ağ içindeki yanal hareketini (Lateral Movement) haritalandırmak günler sürebilir.

KVKK, bu teknik imkansızlığın farkındadır. Bu nedenle, ilk 72 saat içinde “Kısmi Bildirim” yapılabilir. Kurul’a ihlalin tespit edildiği, izolasyonun sağlandığı ve incelemenin devam ettiği bildirilir. Bu yaklaşım hem kanuna uyumu sağlar hem de teknik ekiplere (SOC/Pentest/Forensics) olayı derinlemesine analiz edip doğru bir Kök Neden Analizi (RCA) yazmaları için gereken süreyi kazandırır.