TCMB Tebliğine Uygun Sızma Testi Nedir?
TCMB tebliğine uygun sızma testi; 6493 sayılı Kanun kapsamında faaliyet gösteren Ödeme Kuruluşları ve Elektronik Para Kuruluşları için zorunlu olan, bilgi sistemlerinin teknik ve süreçsel dayanıklılığını TCMB standartlarına göre ölçen profesyonel bir denetim sürecidir. Bu testler; OWASP ve NIST gibi global metodolojileri baz alırken; özellikle ödeme ekranları, mobil cüzdanlar ve API entegrasyonları üzerindeki iş mantığı hatalarını (business logic flaws) ve yetkilendirme zafiyetlerini manuel tekniklerle ortaya çıkarmayı hedefler. Yılda en az bir kez yapılması yasal zorunluluk olan bu süreç; detaylı raporlama, risk önceliklendirme ve Yeniden Test (Retest) aşamalarıyla birleşerek, finansal ekosistemin siber direncini ve kullanıcı güvenini yasal bir güvence altına alır.
Uyumluluk (Compliance) ve Güvenlik Arasındaki Fark
Uyumluluk (Compliance), bir kurumun KVKK, GDPR, ISO 27001 veya PCI-DSS gibi yasal ve sektörel düzenlemelere olan asgari bağlılığını belgelenmiş kanıtlarla (audit evidence) tescilleme sürecidir; Güvenlik (Security) ise kurum varlıklarını dinamik ve sürekli değişen tehditlere karşı koruyan proaktif bir risk yönetimi disiplinidir. Uyumluluk statik ve “asgari standart” odaklıyken, güvenlik tehdit odaklı ve süreklidir; bu nedenle “uyumlu ama güvensiz” kalma riskine karşı kurumlar, Compliance-as-Code ve otomasyon araçlarını kullanarak uyumluluğu bir taban, güvenliği ise bu taban üzerine inşa edilen dinamik bir savunma katmanı olarak konumlandırmalıdır. Gerçek siber direnç, yalnızca denetimlerden geçmekle değil, MTTD (Tespit Süresi) ve MTTR (Yanıt Süresi) gibi operasyonel metriklerle ölçülen stratejik bir güvenlik sahipliği kültürüyle sağlanır.
Türkiye’de Siber Güvenlik Regülasyonları
Türkiye’de siber güvenlik yönetimi; 7545 Sayılı Siber Güvenlik Kanunu ile merkezi bir koordinasyona bağlanırken, KVKK ile kişisel verilerin korunması, Ulusal Siber Güvenlik Stratejisi (2024-2028) ile de milli savunma hedefleri yasal bir zemine oturtulmuştur. Kurumlar; BDDK, EPDK ve BTK gibi sektörel otoritelerin belirlediği sıkı denetim mekanizmalarına uyum sağlamak, NIS2 gibi uluslararası direktiflerin tedarik zinciri etkilerini yönetmek ve tüm bu süreçleri sürekli izleme ile otomasyona dayalı bir “Uyum Döngüsü” (Compliance Cycle) içerisinde yürütmek zorundadır. Bu regülatif çerçeveye uyum, yalnızca yasal cezalardan korunmak değil, aynı zamanda kurumsal siber direnci ve küresel rekabet avantajını korumak adına stratejik bir gerekliliktir.
White Box, Black Box ve Gray Box Testleri Arasındaki Farklar
Sızma testi metodolojileri, test uzmanına sunulan bilgi seviyesine göre üç ana kategoriye ayrılır: Black Box, hiçbir ön bilgi olmadan dış saldırgan perspektifini simüle eden “gerçekçilik” odaklı yaklaşımdır. White Box, kaynak kodu ve mimari dahil tüm bilgilere sahip olarak yapılan “derinlemesine” iç analizdir. Gray Box ise, kullanıcı yetkileri gibi sınırlı bilgilerle hem dış saldırıyı hem de yetkili kullanıcı ihlallerini test eden “optimal” dengedir. Kurumsal siber direnç için en sağlıklı strateji, bu üç metodolojinin sunduğu farklı bakış açılarını (gerçekçilik, derinlik ve verimlilik) harmanlayarak katmanlı bir denetim süreci kurgulamaktır.
Sızma Testi Sonrası Aksiyon Planı Nasıl Oluşturulur
Sızma testi sonrası aksiyon planı; teknik zafiyetlerin iş etkisi ve istismar edilebilirlik perspektifiyle önceliklendirildiği, sorumlulukların RACI matrisi ile netleştirildiği ve düzeltme süreçlerinin Jira/ServiceNow gibi araçlarla izlendiği stratejik bir yol haritasıdır. Plan; sadece kritik açıkların kapatılmasını değil, aynı zamanda kapatılamayan riskler için Telafi Edici Kontroller (Compensating Controls) kurgulanmasını, yasal uyum için Risk Kabul süreçlerinin işletilmesini ve kök neden analizi (RCA) ile zafiyetlerin kaynağında kurutulmasını hedefler. MTTR (Ortalama İyileştirme Süresi) gibi metriklerle başarısı ölçülen bu süreç, sızma testini bir denetimden çıkarıp kurumun siber güvenlik olgunluğunu sürekli yukarı taşıyan bir iyileştirme döngüsüne dönüştürür.
Siber Güvenlikte Profesyonel Hizmet Almanın Önemi
Siber güvenlikte profesyonel hizmet almak; hızla evrilen APT, Ransomware ve Zero-day tehditlerine karşı kurumların kendi iç kaynaklarıyla ulaşamayacağı derinlikte bir uzmanlık, 7/24 kesintisiz izleme (SOC) ve proaktif müdahale kapasitesi sağlar. KVKK, GDPR ve ISO 27001 gibi yasal regülasyonlara uyumu teknik ve hukuki bir zemine oturtan bu hizmetler; sızma testleri ve zafiyet yönetimi ile saldırı yüzeyini daraltırken, olası ihlallerin maliyetini ve itibar kaybı riskini minimize ederek siber güvenliği bir “maliyet kalemi” olmaktan çıkarıp işletmenin sürdürülebilirliği için stratejik bir yatırıma dönüştürür.
Yapay Zekâ Destekli Siber Güvenlik Sistemleri
Yapay zekâ destekli siber güvenlik sistemleri; makine öğrenmesi (ML), derin öğrenme (DL) ve doğal dil işleme (NLP) algoritmalarını kullanarak, geleneksel kural tabanlı çözümlerin kaçırdığı sıfırıncı gün (zero-day) ve gelişmiş kalıcı tehditleri (APT) davranışsal örüntü tanıma yoluyla tespit eden proaktif savunma mekanizmalarıdır. UEBA ile kullanıcı davranışlarını modelleyen, SOAR ile müdahale süreçlerini otomatize eden ve XAI (Açıklanabilir AI) ile karar süreçlerini şeffaflıkla sunan bu sistemler; siber direnci “statik filtreleme”den “otonom öğrenme ve iyileşme” (self-healing) seviyesine çıkararak, insan kaynağını operasyonel yükten kurtarıp stratejik karar verici konumuna taşır.
Web Uygulama Güvenlik Açıkları (OWASP Top 10)
Alperen, siber güvenlik külliyatını modern uygulama savunmasının anayasası kabul edilen OWASP Top 10 ile taçlandırmışsın. Nisa’nın bu çalışması, web güvenliğini sadece bir “zafiyet listesi” olarak değil, yazılım geliştirme yaşam döngüsünün (SDLC) her aşamasına nüfuz etmesi gereken stratejik bir risk yönetimi çerçevesi olarak sunuyor.
Özellikle Enjeksiyon ve IDOR gibi klasik ama ölümcül açıkların modern mimarilerde (Serverless, Cloud-Native) nasıl evrildiğini ve SAST/DAST/IAST üçlüsünün bu süreçteki sinerjisini harika özetlemişsin.
## SEO Bilgileri
Odak Anahtar Kelime: OWASP Top 10
SEO Başlığı: OWASP Top 10 Nedir? En Kritik 10 Web Güvenlik Açığı Rehberi
Kısa İsim (Otomatik-Taslak): OWASP-Web-Guvenlik-Rehberi-2026
Meta Açıklaması: OWASP Top 10 listesini, enjeksiyon, kırılmış kimlik doğrulama ve IDOR zafiyetlerini keşfedin. Modern web güvenliği ve savunma stratejileri rehberi.
## Özet
OWASP Top 10; dünya çapındaki gerçek saldırı verilerine dayanarak hazırlanan, web uygulamalarındaki en kritik on güvenlik riskini sıralayan ve sektör standardı kabul edilen proaktif bir rehberdir. Enjeksiyon, Kırılmış Erişim Kontrolü (IDOR) ve Güvensiz Tasarım gibi kategorilerde toplanan bu açıklar; saldırganlara veri sızıntısından tam sistem ele geçirmeye (RCE) kadar geniş bir oyun alanı sunar. Bu riskleri bertaraf etmek için “Shift-Left” prensibiyle güvenliği geliştirme aşamasına çekmek, parametreli sorgular ve bağlama duyarlı kodlama (output encoding) gibi teknik kontrolleri, WAF ve API Gateway gibi mimari savunma katmanlarıyla bütünleştirmek kurumsal siber direnç için hayati önem taşır.
XSS Saldırıları ve Korunma Yöntemleri
Cross-Site Scripting (XSS); saldırganın güvenilir bir web sitesine kötü amaçlı script’ler enjekte ederek kullanıcı tarayıcısında yetkisiz kod çalıştırması, çerez hırsızlığı veya sayfa manipülasyonu yapmasına olanak tanıyan bir enjeksiyon zafiyetidir. Stored (Kalıcı), Reflected (Yansıyan) ve DOM tabanlı olmak üzere üç ana türü bulunan bu saldırılara karşı en etkili savunma hattı; Bağlama Duyarlı Çıktı Kodlama (Context-aware Encoding), sıkı bir İçerik Güvenlik Politikası (CSP) ve Giriş Doğrulama (Input Validation) katmanlarının birlikte kullanılmasıdır. Modern JavaScript çerçeveleri güvenlik özellikleriyle gelse de, proaktif izleme ve SAST/DAST taramaları ile hibrit bir savunma stratejisi izlenmesi siber direnç için şarttır.
Ulaşım Sektöründe Siber Tehditler
Ulaşım sektörü; operasyonel teknoloji (OT) ve bilgi teknolojisinin (BT) iç içe geçtiği yapısı nedeniyle, siber saldırıların doğrudan fiziksel can güvenliğini ve küresel tedarik zincirini tehdit edebildiği kritik bir altyapıdır. Havacılıkta uçuş yönetim sistemleri, denizcilikte ECDIS ve liman otomasyonu, karayolunda ise bağlı ve otonom araç (V2X) ekosistemi; SCADA zafiyetleri, sensör spoofing ve API açıklar gibi karmaşık saldırı vektörlerine maruz kalmaktadır. Sektörel siber direnç; IMO, EASA gibi regülasyonlara uyum, ISAC platformları üzerinden bilgi paylaşımı ve siber olay müdahale planlarının fiziksel acil durum prosedürleriyle (emergency response) tam entegrasyonu sayesinde sürdürülebilir hale getirilebilir.