Dijital Acil Servis: SOME Mimarisi ve İhlal Anında “Altın Saatler”

kullanici1

Nisan 6, 2026

Adli Bilişim,KVKK,Siber Güvenlik,Siber Savunma,SiberOlayMüdahale

Bir siber olay yaşandığında yapılan en büyük hata, panikleyip sistemin fişini çekmek veya rastgele dosyaları silmektir. Bu, olay yerindeki parmak izlerini yok eden acemi bir polise benzer. SOME, bu kaosu disipline eden, her adımı kayıt altına alan ve kurumu hem hacker’dan hem de gelecekteki KVKK cezalarından koruyan ekiptir.

1. SOME'nin Anatomisi: Masada Kimler Olmalı?

SOME sadece IT çalışanlarından oluşmaz. Gerçek bir müdahale ekibinde şu rollerin “Sıfırıncı Saniye”den itibaren hazır olması gerekir:

  • Teknik Analistler (Savaşçılar): Ağ trafiğini izleyen, zararlı yazılımı (malware) analiz eden ve sızıntının kaynağını (Entry Point) bulan mühendisler.
  • Adli Bilişim Uzmanı (Dedektif): Kanıtların mahkemede ve KVKK Kurulunda geçerli olması için “Adli Kopya” (Image) alan ve zaman damgalı logları koruyan kişi.
  • Hukuk ve Uyum Sorumlusu (Kalkan): İhlalin KVKK/GDPR kapsamına girip girmediğini belirleyen, 72 saatlik bildirim süresini yöneten kişi.
  • İletişim/PR Sorumlusu (Sözcü): Müşterilere ve basına yapılacak açıklamayı hazırlayan, itibar suikastını önleyen kişi.
  • Olay Yöneticisi (Kaptan): Tüm bu ekipler arasındaki koordinasyonu sağlayan ve üst yönetime rapor veren lider.
q

2. Müdahale Protokolü: Sızma Tespit Edildiği An Ne Yapılır?

Siber Olay Müdahale planı (IR Plan), genellikle 6 ana aşamadan oluşur. Ancak “İlk Müdahale”nin kaderini belirleyen ilk 3 aşamadır:

A. Tespit ve Analiz (Detection & Analysis)

Her alarm bir veri ihlali değildir. Ekip önce “Bu bir tatbikat mı, yanlış alarm (False Positive) mı yoksa gerçek bir saldırı mı?” sorusuna yanıt arar.

  • İlk Adım: SIEM ve EDR kayıtları incelenir. “Hangi sunucular etkilendi? Veri çıkışı (Exfiltration) devam ediyor mu? Saldırgan hala içeride mi?” soruları netleştirilir.

B. Kontrol Altına Alma (Containment) – “Kanamayı Durdurma”

Bu aşama, saldırının yayılmasını engelleme aşamasıdır. Ancak burada kritik bir ayrım vardır:

  • Kısa Vadeli Kontrol: Saldırı altındaki sunucunun ağ kablosu çekilmez (çünkü RAM’deki kanıtlar silinir). Bunun yerine, o sunucunun diğer VLAN’larla ve internetle olan iletişimi Firewall üzerinden “İzole” edilir.
  • Stratejik Karar: Saldırganın içeride olduğunu anladığınızda onu hemen atmalı mısınız? Bazen SOME, saldırganı izole bir alana (Honeypot) hapsedip ne çalmaya çalıştığını izleyerek daha büyük bir sızıntıyı önleyebilir.

C. Kanıt Toplama (Evidence Collection)

Hukuki savunmanın temeli buradadır.

  • Kural: “Önce uçucu veriyi topla.” Bilgisayarın RAM (bellek) içeriği, ağ bağlantı listeleri ve açık olan oturumlar kaydedilmelidir. Sunucu kapatılırsa bu veriler sonsuza dek kaybolur. SOME ekibi, sistemin “Forensic Image”ını almadan asla kalıcı bir değişiklik (yama, silme) yapmaz.

3. Vaka Çalışması: "Gece Yarısı Fidye" Senaryosu

Saat Cumartesi 02:00. Şirketin EDR (Uç Nokta Koruma) sistemi, Finans sunucusunda binlerce dosyanın isminin aynı anda değiştiğine (şifrelendiğine) dair bir alarm üretir.

  • 02:05 – Alarm: SOME Kaptanı uyandırılır. Teknik ekip VPN üzerinden bağlanır.
  • 02:15 – İzolasyon: Finans VLAN’ının dış dünya ve iç ağ ile bağlantısı kesilir. Virüsün İK sunucularına sıçraması (Lateral Movement) engellenir.
  • 02:30 – Teşhis: Saldırganın bir “RDP Brute Force” saldırısıyla sisteme girdiği ve “LockBit” fidye yazılımını çalıştırdığı tespit edilir.
  • 03:00 – Hukuki Start: Hukuk müşaviri bilgilendirilir. KVKK 72 saatlik geri sayım sayacı (Chronometer) başlatılır.
  • 05:00 – Kanıt ve Kurtarma: Sistemlerin adli kopyası alınır. Daha önce konuştuğumuz “Offline Yedekler”den geri dönme süreci başlatılır.

4. KVKK ve 72 Saat Kuralı: Zamanla Yarış

SOME’nin en büyük düşmanı hacker değil, zamandır. KVKK, veri sorumlusunun ihlali öğrendiği andan itibaren en geç 72 saat içinde Kurul’a bildirim yapmasını şart koşar.

Eğer SOME ekibiniz “İlk Müdahale”de şu soruların cevabını veremiyorsa bildirim eksik kalır:

  1. İhlalden kaç kişi etkilendi?
  2. Hangi veri kategorileri (Örn: Kimlik, Finans, Sağlık) sızdı?
  3. İhlalin olası sonuçları nelerdir?
  4. Şirket bu zararı azaltmak için hangi teknik tedbirleri aldı?

 

 SOME ekibi, ilk 24 saat içinde bu teknik raporu hazırlayıp Hukuk departmanına teslim etmelidir ki, 72. saatte “Biz hala ne olduğunu anlamaya çalışıyoruz” denilerek rekor cezalarla karşılaşılmasın.

5. Ders Çıkarma (Lessons Learned): En Kritik Ama Unutulan Adım

Olay bitti, sistemler ayağa kalktı, bildirim yapıldı. Çoğu şirket burada konuyu kapatır. Oysa gerçek SOME, olaydan 1 hafta sonra “Post-Mortem” (Otopsi) toplantısı yapar.

  • “Neden bu saldırıyı kapıda durduramadık?”
  • “Hangi Firewall kuralı eksikti?”
  • “Müdahale sırasında nerede yavaş kaldık?” Bu aşamada hazırlanan “Olay Müdahale Raporu”, şirketin bir sonraki saldırıya karşı bağışıklık kazanmasını sağlar.

Sonuç

Siber Olay Müdahale Ekibi (SOME), bir şirketin sadece teknik kapasitesini değil, kurumsal olgunluğunu da temsil eder. Bir ihlal anında “Kimin ne yapacağını” o an kararlaştırmaya çalışmak, batan bir gemide can yeleği dikmeye benzer. İlk müdahale; soğukkanlı bir teknik analiz, adli bilişim titizliği ve keskin bir hukuki zaman yönetimiyle yapılmalıdır. Unutmayın; siber dünyada hiç hacklenmemek bir lütuf değil, sadece bir zaman meselesidir. Asıl başarı, hacklendiğiniz o ilk dakikada verdiğiniz profesyonel yanıtta ve koruduğunuz her bir bit kanıtta saklıdır.

Tags :
#72SaatKuralı,#AdliBilişim,#CyberSecurity,#IncidentResponse,#KVKK,#SiberOlayMüdahale,#SiberSavunma,#SOME
Share This :

Diğer Yazılar

Bize Soru Sorun

Soru ve görüşleriniz için bizimle iletişime geçebilirsiniz.

Instagram Youtube

Telif Hakkı © 2021 SiberTim Tüm Hakları Saklıdır.