Fiziksel Sızma Testi (Physical Pentest)
Mart 23, 2026
Fiziksel Sızma Testleri ve Güvenlik Bariyerleri
Bir kurumun siber savunması ne kadar güçlü olursa olsun, kritik sistemlere ve verilere erişim çoğu zaman fiziksel alanlardan geçer: ofisler, veri merkezleri, ağ dolapları ve ziyaretçi kabul noktaları. Bir saldırganın binaya girebilmesi veya bir ağ portuna fiziksel temas kurabilmesi, birçok dijital güvenlik kontrolünü (Firewall, EDR vb.) anlamsızlaştırabilir. Bu nedenle fiziksel güvenlik, siber güvenliğin ayrı bir konusu değil, temel bir katmanı olarak görülmelidir.
Fiziksel sızma testleri, bir kurumun fiziksel güvenlik kontrollerinin ve insan süreçlerinin gerçek hayattaki dayanıklılığını ölçen kontrollü değerlendirmelerdir. Bu makale; bariyerlerin, prosedürlerin ve algılama kabiliyetinin ne kadar etkili olduğunu savunma odaklı bir çerçevede ele alır.
Fiziksel Sızma Testi Nedir?
Fiziksel sızma testi, binaya girişten en kritik sistem odasına kadar olan tüm erişim yolunu senaryolarla test etme sürecidir. Testin amacı sadece bir kapıyı açmak değil; insan, süreç ve teknoloji üçlüsünün bir bütün olarak nasıl çalıştığını ölçmektir.
Bu testler şu üç temel noktada değer üretir:
Önleyici Kontroller: Kapı kilitleri, kartlı geçiş sistemleri ve turnikelerin fiziksel dayanıklılığı.
Tespit ve Yanıt: Kamera izleme ekiplerinin veya güvenlik görevlilerinin şüpheli durumlara reaksiyon süresi.
Süreç Boşlukları: Ziyaretçi kayıtları, kurye/teslimat prosedürleri ve anahtar yönetimi gibi operasyonel zayıflıklar.
Güvenlik Bariyerleri: Katmanlı Yaklaşım
Fiziksel güvenlik, “katmanlı savunma” (Defense in Depth) prensibiyle tasarlandığında etkilidir. Bir katmanın aşılması durumunda saldırganın bir sonrakinde yakalanması hedeflenir:
Çevre Güvenliği: Bina çevresi, otopark girişleri, çitler ve aydınlatma. Yetkisiz yaklaşmayı caydırır ve ilk görünürlüğü sağlar.
Giriş Kontrolü: Resepsiyon, turnikeler ve kimlik doğrulama sistemleri. “Doğru kişi doğru yerde mi?” sorusunun yanıtlandığı ilk kapıdır.
İç Alan Segmentasyonu: Her departman veya oda aynı risk seviyesinde değildir. Arşiv, sistem odası ve ağ dolapları gibi bölgeler ek kilitler ve yetkilerle korunmalıdır.
İzleme ve Algılama: CCTV kameraları, hareket sensörleri ve alarm panelleri. Önlemenin yetmediği yerde tespit devreye girer.
Varlık Güvenliği: Ağ switch dolaplarının kilitli olması, yazıcı güvenliği ve aktif olmayan ağ portlarının devre dışı bırakılması.
Yaygın Risk Senaryoları
Tailgating (Peşine Takılma): Yetkili bir personelin kart basarak açtığı kapıdan, kart basmadan hemen arkasından sızma eylemi.
Ziyaretçi ve Taşeron Suistimali: Kurye, bakım ekibi veya temizlik görevlisi kılığına girerek kritik alanlara (Örn: Sistem odası) refakatsiz erişim sağlama.
Fiziksel Bilgi Sızıntısı: Masa üzerinde unutulan rozetler, beyaz tahtadaki şifreler veya yazıcıda kalan hassas dökümanlar üzerinden bilgi toplama.
Ağ Altyapısına Erişim: Toplantı odalarındaki veya koridorlardaki açık ağ portlarına zararlı cihazlar (Örn: Raspberry Pi, Keylogger) yerleştirme.
Test Yönetimi: Kapsam ve Etik
Fiziksel testler insan sağlığını ve hukuki sınırları etkileyebileceği için çok sıkı yönetilmelidir:
Yazılı Yetkilendirme: Testin sınırları, tarihleri ve “acil durdurma” kriterleri önceden imzalanmalıdır.
Zarar Vermeme (No Harm): Mülke zarar vermeden, kilit kırmadan ve panik yaratmadan yürütülmelidir.
İletişim Planı: Güvenlik müdürü veya üst yönetimle anlık iletişim hattı açık tutulmalıdır.
İyileştirme: Fiziksel Bariyerleri Güçlendirme
Ziyaretçi Yönetimi: Refakat zorunluluğu getirin ve süreli/renkli rozetler kullanarak yetkiyi görselleştirin.
Erişim Yetkilendirme: “Need-to-enter” (girme ihtiyacı) prensibini uygulayın; kritik odalara sadece sınırlı personelin girmesini sağlayın.
Fiziksel Port Güvenliği: Kullanılmayan duvar portlarını (patch panel üzerinden) devre dışı bırakın ve switch dolaplarını mutlaka kilit altında tutun.
CCTV ve Alarm: Kameralardaki kör noktaları minimize edin ve alarm sistemlerini doğrudan güvenlik merkezine bağlayın.
Temiz Masa Politikası: Mesai bitiminde döküman ve rozetlerin kilitli çekmecelerde saklanmasını kurumsal kültür haline getirin.
Sonuç
Fiziksel sızma testleri, siber savunmanın “görünmez” fiziksel zayıflıklarını ortaya çıkarır. En güçlü şifreleme ve firewall sistemleri bile, sistem odasına fiziksel olarak girebilen bir saldırgan karşısında etkisiz kalabilir. Katmanlı bariyerler ve sürekli farkındalık ile kurumun toplam saldırı yüzeyi anlamlı biçimde daraltılabilir.