Saatli Bomba: Zafiyet Yönetimi, Ertelenen Yamalar ve “Ağır İhmal”in Hukuki Bedeli
Nisan 8, 2026
KVKK,Siber Güvenlik,Siber Savunma
Yazılım dünyasında kusursuz kod diye bir şey yoktur. Microsoft Windows, Linux, kullandığınız Firewall cihazları veya web sunucuları milyonlarca satır koddan oluşur ve içlerinde her zaman insan hatasından kaynaklanan mantık hataları (zafiyetler) bulunur. Siber güvenlik araştırmacıları veya iyi niyetli hackerlar bu açıkları bulduklarında üretici firmaya bildirirler. Üretici firma (Örn: Microsoft) bu açığı kapatan bir “Yama” (Patch) kodlar ve tüm dünyaya duyurur: “Sistemimde kritik bir açık buldum, lütfen hemen bu yamayı yükleyin.”
İşte siber güvenlikte İstismar Penceresi (Window of Exposure) adı verilen o ölümcül ve nefes kesici kronometre tam o saniye çalışmaya başlar. Çünkü üretici firma yamayı yayınladığı an, dünyadaki tüm siber saldırganlar da o açığın varlığından haberdar olur. Hackerlar, yamayı tersine mühendislikle (reverse engineering) inceleyip, açığı sömürecek silahı (Exploit) günler, bazen saatler içinde yazarlar ve interneti tarayarak “Henüz yama yapmamış” tembel veya yavaş şirketleri avlamaya başlarlar.
Savunmadan Düşen Maske: "Hacklendik" vs "İhmal Ettik"
Eğer bir şirket, dünyada henüz kimsenin bilmediği, üreticisinin bile haberdar olmadığı bir açıkla (Zero-day) hacklenirse, hukuk ve regülatörler (KVKK/GDPR) bu duruma nispeten anlayışla yaklaşır. Şirket “Görünmez bir düşman tarafından vurulduk, alabileceğimiz teknik bir tedbir yoktu” savunmasını yapabilir.
Ancak zafiyet “Bilinen” (N-day) bir zafiyetse ve üretici firma aylar önce “Bunu kapatın” diye yama yayınlamışsa, işin rengi tamamen değişir. Tarihin en büyük veri sızıntılarından biri olan Equifax fiyaskosunu hatırlayın. 147 milyon insanın finansal verisi çalındı. Saldırganlar inanılmaz zeki oldukları için mi? Hayır. Apache Struts adı verilen bir web yazılımında kritik bir açık çıkmıştı. Yama hemen yayınlandı. Ancak Equifax’ın IT ekibi, o yamayı aylar boyunca sistemlerine yüklemeyi unuttu veya erteledi. Saldırganlar sadece açık kapıdan içeri yürüdüler.
KVKK Madde 12 Işığında "Yamalama" Yükümlülüğü
Kişisel Verileri Koruma Kurulu’nun (KVKK) ihlal kararlarını incelediğinizde, en ağır idari para cezalarının şu gerekçeyle kesildiğini görürsünüz: “Saldırıya neden olan zafiyetin bilinen bir zafiyet olduğu, üretici tarafından yamasının aylar öncesinden yayınlanmasına rağmen veri sorumlusu tarafından sistemlerin güncellenmediği, bu durumun Madde 12 kapsamında ‘yeterli teknik tedbirlerin alınmaması’ anlamına geldiği…”
Hukuk sisteminde buna “Ağır İhmal” (Gross Negligence) denir. Eğer kapınızın kilidinin bozuk olduğu tüm mahalle tarafından biliniyorsa ve çilingir size yeni bir kilit göndermiş ama siz onu takmaya üşenip masada bekletmişseniz; evinize giren hırsızdan çok, o kilidi takmayan siz suçlu bulunursunuz. Hukuk, “Sistem bozulur diye güncellemeyi erteledik” mazeretini asla kabul etmez.
Hukuki Kalkanın Mimarisi: Risk Temelli Zafiyet Yönetimi
Elbette gerçek dünyada, devasa bir bankanın veya hastanenin binlerce sunucusunu, yama çıktığı saniye yeniden başlatmak (kesintiye uğratmak) teknik olarak imkansızdır. Sistemlerin test edilmesi gerekir. Peki şirketler hem sistemlerini ayakta tutup hem de hukuki olarak kendilerini nasıl korurlar?
Cevap, resmi ve yazılı bir “Zafiyet Yönetim Politikası” (Vulnerability Management Policy) oluşturmaktır. Bu politika, zafiyetleri dünya standartlarına göre (Örn: CVSS – Common Vulnerability Scoring System) puanlar ve müdahale sürelerini (SLA) yasal bir zemine oturtur:
- Kritik Seviye (CVSS 9.0 – 10.0): Eğer zafiyet uzaktan şifresiz kod çalıştırmaya (RCE) imkan veriyorsa, politika emreder: “Sistem kesintisi göze alınacak, bu yama 48 saat içinde her yere yüklenecek.”
- Yüksek Seviye (CVSS 7.0 – 8.9): “Yamalar test ortamında denenecek ve maksimum 7 gün içinde canlı sistemlere uygulanacak.”
- Düşük Seviye: “Acil bir risk yok, bir sonraki aylık rutin bakım penceresinde (Maintenance Window) yapılacak.”
Yamalanamayan Sistemler: Sanal Yama (Virtual Patching)
Bazen eski bir endüstriyel makinede (SCADA) veya desteği bitmiş bir Windows XP sunucusunda çalışan hayati bir program vardır ve üreticisi artık yama yayınlamıyordur. Bu durumda sistemi yamalayamazsınız ama hukuken korumak zorundasınızdır.
İşte o an WAF (Web Application Firewall) veya IPS (Intrusion Prevention System) gibi cihazlar devreye girer. Güvenlik uzmanları, ağın giriş kapısına zafiyeti sömürmeye çalışan trafik kodlarını tanıyan bir “Sanal Yama” (Virtual Patch) kuralı yazarlar. Sunucunun kendisi hala hastadır (açıktır), ancak ağ kapısındaki güvenlik cihazı o hastalığı tetikleyecek mikrobu (exploit’i) havada yakalayıp yok eder. Kurul denetçisine de “Sistemi güncelleyemedik ama etrafına alternatif ve telafi edici (compensating) bir kontrol ördük” diyerek yasal uyumluluk sağlanmış olur.
Sonuç
Siber güvenlikte “Güncelleme (Update)” kelimesi, bilgisayarınıza yeni ve havalı özellikler ekleyen masum bir işlem değildir. Kurumsal dünyada yamalar, her saniye daralan bir kum saatidir. Zafiyet yönetimi, IT ekiplerinin teknolojik bir donanımı test etmesiyle başlar, ancak avukatların mahkeme salonunda şirketin “makul özeni” (due care) gösterdiğini kanıtlamasıyla sona erer. Bilinen bir açığı yamamamak, siber korsanlara kapıyı açmak değil; o kapıyı bizzat kendi ellerinizle kırıp, faturasını da şirketin hukuk departmanına kesmek demektir.
Tags :
#Ağırİhmal,#CVSS,#KVKK,#PatchManagement,#SiberSavunma,#VirtualPatching,#VulnerabilityManagement,#ZafiyetYönetimi
Share This :