Sivil Havacılık İşletmeleri için Sızma Testleri (Penetrasyon Testi)
SHGM Denetim Odaklı – Denetime Hazır Raporlama
SHT–Siber Yönetim Sistemi Standardı kapsamında, sivil havacılık işletmelerinin BT/OT varlıklarını gerçek saldırı senaryoları ile test ediyor; riskleri teknik olarak doğrulayarak SHGM denetimlerinde kullanılabilir raporlar, DÖF planı ve yeniden test hizmeti sunuyoruz.
SHT–Siber Yönetim Sistemi Nedir?
SHT-Siber (Sivil Havacılık Siber Güvenlik Yönetim Sistemi Standardı), Sivil Havacılık Genel Müdürlüğü (SHGM) tarafından yayımlanan ve sivil havacılık sektöründe faaliyet gösteren işletmelerin siber güvenlik risklerini yönetmesi amacıyla oluşturulmuş bir düzenlemedir. Havalimanları, havayolları, seyrüsefer hizmet sağlayıcıları ve yer hizmetleri gibi kritik altyapıları kapsayan bu standart, işletmelerin BT (Bilgi Teknolojileri) ve OT (Operasyonel Teknoloji) varlıklarını güvence altına almasını zorunlu kılar.
Denetimlerde Temel Beklenti
SHGM denetimlerinde sürekli sorulan soru şudur: "Risk değerlendirmenizi teknik olarak nasıl doğruladınız?" Bu soruya en somut cevap, profesyonel bir sızma testi yaptırarak sistemlerdeki gerçek açıklıkları tespit etmek ve belgeli bir düzeltme süreci yürütmektir.
Bu Hizmet Kimler İçin?
Havayolu İşletmeleri
Rezervasyon, check-in, uçuş planlama sistemleri
Havalimanı İşletmeleri
Terminal yönetim, güvenlik, bagaj takip sistemleri
Seyrüsefer Hizmet Sağlayıcıları
Hava trafik kontrol, radar, iletişim sistemleri
Yer Hizmetleri & Bakım Kuruluşları
Kritik sistemlere sahip operasyon yönetimi
Terminal İşletmeleri
Yolcu işlemleri, kargo yönetimi sistemleri
Tedarikçi/Entegratör Firmalar
Havacılık ekosisteminde kritik yazılım/donanım sağlayıcıları
İşletmeniz 1. Grup, 2. Grup veya 3. Grup kapsamında hangi kategoriye giriyorsa, test kapsamı buna göre belirlenir.
Sızma Testi Kapsamı
SHT-Siber uyumlu sızma testlerimiz, işletmenizin dışa açık saldırı yüzeyinden başlayarak iç ağ güvenliği, kritik uygulamalar ve OT/IoT bileşenlerine kadar tüm teknik varlıklarınızı kapsar.
Test Alanları
Harici Ağ Testleri
İnternete açık sunucular, web uygulamaları, VPN, e-posta sunucuları, DNS servisleri üzerinde saldırı yüzeyi taraması ve zafiyet sömürüsü testleri.
Dahili Ağ Testleri
Active Directory, domain politikaları, iç sunucular, segmentasyon kontrolü, yetki yükseltme ve lateral movement (yatay hareket) senaryoları.
Web Uygulamaları
OWASP Top 10 güvenlik açıklıkları, SQL Injection, XSS, kimlik doğrulama ve yetkilendirme zafiyetleri, iş mantığı testleri, API güvenliği.
Mobil Uygulamalar
iOS/Android uygulamalarında yerel veri depolama, şifreleme, API iletişimi, uygulama izinleri ve kod güvenliği testleri.
Kablosuz Ağlar (WiFi)
WLAN şifreleme güvenliği, misafir ağ izolasyonu, rogue access point tespiti, WPA2/WPA3 konfigürasyonu değerlendirmesi.
Sosyal Mühendislik
Kimlik avı (phishing) e-posta kampanyaları, güvenlik farkındalığı testleri, fiziksel güvenlik değerlendirmesi (talep üzerine).
Veritabanı Güvenliği
Veritabanı yetkilendirme kontrolleri, şifreleme durumu, yedekleme güvenliği, SQL injection korumaları, hassas veri erişimi testleri.
OT/IoT Sistemleri
Bagaj takip, CCTV, erişim kontrol, SCADA, BMS (Bina Yönetim Sistemi) gibi operasyonel teknoloji bileşenlerinin güvenlik değerlendirmesi.
Bulut Altyapıları
AWS, Azure, Google Cloud yapılandırma incelemeleri, IAM politikaları, depolama güvenliği, container güvenliği testleri (varsa).
Teslimatlar & Çıktılar
Ana Sızma Testi Raporu
Yönetici özeti, bulgular (teknik kanıt + ekran görüntüleri), risk derecelendirmesi, iş etkisi analizi ve düzeltme önerileri.
Düzeltici/Önleyici Faaliyet (DÖF) Planı
Her bulgu için sorumlu kişi, termin tarihi, beklenen kanıt ve izleme alanlarını içeren somut aksiyon planı.
Yeniden Test (Re-test) Raporu
Düzeltmelerin teknik doğrulaması; kapanan/kalan bulguların durumu ve nihai risk seviyesinin güncel raporu.
Ekler & Destekleyici Belgeler
Kapsam listesi, test takvimi, kullanılan araçlar, CVE referansları, sertifikalar ve metodoloji özeti.
SHGM Denetiminde Kullanım
Tüm teslimatlar, SHGM denetimlerinde delil olarak sunulabilecek formatta hazırlanır. Raporlarımız, "riskleri teknik olarak nasıl doğruladınız?" sorusuna net cevap verir.
Test Süreci & Metodoloji
Sızma testi sürecimiz, planlama aşamasından son re-test raporuna kadar profesyonel ve şeffaf bir yapıda ilerler. İşletmenizin operasyonlarını aksatmadan gerçek riskleri ortaya çıkarıyoruz.
1
Ön Görüşme & Kapsam Belirleme
Varlık envanteriniz, kritik sistemler, test penceresi ve hedef listesi ile kapsam netleştirilir. Resmi Test Talimatı (ToR) ve gizlilik sözleşmeleri (NDA) hazırlanır.
2
Keşif & Bilgi Toplama
Hedef sistemlerin pasif ve aktif taraması gerçekleştirilir. Açık portlar, servisler, kullanılan teknolojiler ve potansiyel saldırı vektörlerinin haritası çıkarılır.
3
Zafiyet Analizi & Sömürü
Tespit edilen zafiyetler otomatize araçlara güvenilmeden manuel olarak doğrulanır. Gerçek saldırı senaryoları (exploit) ile açıklıkların sistemlerdeki yıkıcı etkisi ölçülür.
4
Raporlama & Çözüm Sunumu
Bulgular uluslararası risk seviyelerine göre sınıflandırılır. Yönetici özeti, teknik detaylar, iş etkisi ve adım adım çözüm önerilerini içeren SHGM uyumlu rapor teslim edilir.
Referans Metodolojiler
OWASP Testing Guide
Web ve API Güvenliği Standardı
OSSTMM
Kapsamlı Güvenlik Testi El Kitabı
PTES Standardı
Sızma Testi Yürütme Standardı
NIST SP 800-115
Teknik Güvenlik Değerlendirme Rehberi
Neden SiberTim?
10+
Yıllık Siber Güvenlik Deneyimi
50+
Tamamlanan Sızma Testi Projesi
100%
Denetim Uyumlu Raporlama
SHT-Siber Denetim Deneyimi
Havacılık sektöründe SHGM denetim beklentilerini bilen, pratik ve çözüm odaklı yaklaşım.
Sertifikalı Uzman Kadro
OSCP, CEH, GPEN, CISSP gibi uluslararası geçerliliğe sahip sertifikalı siber güvenlik uzmanları.
Operasyonel Hassasiyet
7/24 operasyonları aksatmayan, kurumunuzun bakım pencerelerine koordineli test planlaması.
Gizlilik & Güvenlik
Tüm test verileri şifreli ortamlarda saklanır, proje teslimi sonrasında güvenli şekilde imha edilir.
Takip & Destek
Re-test sonrası 3 ay boyunca soru-cevap desteği ve SHGM denetimi öncesi ek teknik danışmanlık.
Şeffaf Fiyatlandırma
Kapsama göre net belirlenen bütçe garantisi; gizli maliyet olmadan esnek ödeme planları.
Sıkça Sorulan Sorular
SHT-Siber kapsamında sızma testi zorunlu mudur?
Evet. SHT-Siber regülasyonlarına tabi olan sivil havacılık işletmeleri için, siber güvenlik risklerinin teorikte kalmaması ve teknik olarak doğrulanması amacıyla sızma testleri (pentest) yapılması zorunludur. Denetimlerde bu raporlar birincil kanıt niteliği taşır.
Test sırasında üretim ortamında kesinti riski var mı?
Testlerimiz "operasyonu etkilememe" prensibiyle planlanır. Kritik sistemlerde mutlaka bakım penceresi kullanılır; DoS (hizmet dışı bırakma) ve yük testleri asla yazılı onay olmadan uygulanmaz. 7/24 çalışan havacılık operasyonlarında deneyimimiz sayesinde, risksiz bir test süreci yürütürüz. Tüm testler öncesinde bir rollback planı hazırlanır.
Rapor SHGM denetiminde doğrudan kullanılabilir mi?
Kesinlikle. Raporlarımız sadece teknik açıklıkları değil; SHGM denetmenlerinin görmek istediği risk matrisini, operasyonel etki analizini ve adım adım DÖF (Düzeltici Önleyici Faaliyet) planlarını içerir. Doğrudan denetim dosyasına konulabilecek formattadır.
OT sistemleri (SCADA, BMS, CCTV) test ediliyor mu?
Evet. Havalimanı ve havayolu altyapılarında standart BT sistemlerinin (sunucu, web) yanı sıra; bagaj otomasyonu, X-Ray cihaz ağları, bina yönetim sistemleri (BMS) gibi kritik Operasyonel Teknoloji (OT) ve IoT ağları da uzman ekiplerimizce güvenli şekilde test edilmektedir.
Test süresi ne kadar sürer?
Test süresi işletmenizin SHGM sınıflandırmasına (1., 2. veya 3. Grup), IP bloğu büyüklüğüne ve uygulama sayısına göre değişir. Genellikle kapsam belirleme toplantısı sonrasında net efor belirlenir; ortalama bir test süreci 1 ile 3 hafta arasında tamamlanmaktadır.
Hangi sertifikalara sahipsiniz?
Operasyonlarımızda görev alan siber güvenlik uzmanlarımız; OSCP, CEH, GPEN, CISSP ve CISA gibi uluslararası geçerliliği olan saygın ofansif güvenlik ve denetim sertifikalarına sahiptir.
SHGM Denetimi Öncesi Hazırlığınızı Şimdi Başlatın
Test kapsamını (ToR), test penceresini ve teslimatları birlikte belirleyelim. Denetimde sorulacak "riskleri teknik olarak nasıl doğruladınız?" sorusuna net cevap veren kusursuz bir çıktı paketi hazırlayalım.
