Kilitli Kasalar ve Çift Katmanlı Şantaj: Fidye Yazılımı Bir “Veri İhlali” midir?
Nisan 6, 2026
KVKK,Siber Savunma,veri ihlali
Bu sorunun cevabını verebilmek için, önce siber güvenlikteki “Veri Güvenliği” kavramının (CIA Üçlüsü) ne anlama geldiğini hukuk diliyle çözmemiz gerekir. Veri güvenliği sadece gizlilikten ibaret değildir; üç sacayağı vardır:
- Gizlilik (Confidentiality): Veriyi sadece yetkili kişiler görebilir.
- Bütünlük (Integrity): Veri yetkisiz kişilerce değiştirilemez.
- Erişilebilirlik (Availability): Yetkili kişiler, veriye ihtiyaç duydukları her an ulaşabilir.
KVKK (Kişisel Verilerin Korunması Kanunu) ve Avrupa’daki karşılığı GDPR, veri ihlalini sadece “verinin çalınması” olarak tanımlamaz. Kanun der ki; kişisel verilerin hukuka aykırı olarak değiştirilmesi, yok olması veya erişilemez hale gelmesi de bir veri ihlalidir.
Evrim Geçiren Kötülük: Çifte Şantaj (Double Extortion)
Hukuki tarafı netleştirdik. Peki ya teknik gerçeklik? Hackerlar veriyi sadece şifreliyor mu?
2010’ların ortalarındaki ilk nesil fidye yazılımları (WannaCry, CryptoLocker) nispeten “dürüst” hırsızlardı. Sisteme girer, sadece şifreler ve parayı isterlerdi. Ancak şirketler akıllandı. Muazzam yedekleme (Backup) sistemleri kurdular. Sunucular şifrelendiğinde şirketler “Size para ödemiyoruz, sunucuları siliyoruz ve dünkü yedeklerimizden sistemi ücretsiz olarak geri getiriyoruz” demeye başladılar. Fidye yazılımı çetelerinin gelirleri bıçak gibi kesildi.
Siber suçlular bu savunmaya 2019 yılında korkunç bir taktikle cevap verdi: Çift Katmanlı Şantaj (Double Extortion).
Bugün Maze, LockBit veya ALPHV gibi modern fidye çeteleri sisteme sızdığında hemen şifreleme yapmazlar. İçeride günlerce, bazen haftalarca sessizce dolaşırlar (Dwell Time). Şirketin en kritik verilerini (müşteri kredi kartları, mahrem yazışmalar, ürün AR-GE tasarımları, VIP müşteri listeleri) bulurlar ve bu verileri yavaş yavaş, güvenlik duvarlarına yakalanmadan (Web Filtering atlatarak) kendi sunucularına sızdırırlar (Data Exfiltration).
Verinin tamamını çaldıktan sonra, şifreleme bombasını patlatırlar. Şirket CEO’su masaya oturup “Yedeklerimiz var, size para ödemiyoruz” dediğinde, hackerlar o ölümcül kartı masaya sürer: “Yedeklerinizin olması umurumuzda değil. Biz verilerinizi çoktan kopyaladık. Eğer 3 gün içinde 5 Milyon Dolar ödemezseniz, şirketinizin tüm gizli belgelerini ve müşterilerinizin özel yazışmalarını kendimize ait olan Dark Web ‘İfşa Sitemizde’ (Leak Site) tüm dünyaya açık şekilde yayınlayacağız. Rakipleriniz, müşterileriniz ve KVKK Kurulu her şeyi görecek.”
İşte bu saniye, kriz “Erişilebilirlik” ihlalinden çıkıp, devasa bir “Gizlilik” felaketine (Tam Veri Sızıntısı) dönüşür.
İspat Yükü (Burden of Proof): "Schrödinger'in Verisi"
Diyelim ki sisteminiz şifrelendi. Hackerlar henüz “Verini çaldık” diye bir mesaj atmadı. CEO size dönüp “Emin misin, gerçekten verimizi dışarı çıkarmışlar mı?” diye sordu.
Eğer daha önce konuştuğumuz SIEM (Güvenlik Bilgi ve Olay Yönetimi), İçerik Filtreleme ve Loglama (Değiştirilemez Loglar) mimarilerini kurmadıysanız, içeride körsünüz demektir. Zeki bir hacker, sistemden çıkmadan önce tüm güvenlik loglarını siler veya şifreler.
Elinizde log yoksa, verinin çıkıp çıkmadığını teknik olarak kanıtlayamazsınız. Bu duruma adli bilişimde “Schrödinger’in Verisi” denir; verinin çalınıp çalınmadığı bilinemez. Ancak Hukuk ve KVKK bu belirsizliği şirketin lehine değil, aleyhine yorar. Eğer şirket “Verilerimiz şifrelendi ama dışarı çıktığına dair bir delil bulamadık (çünkü loglarımız yok)” derse, Kurul “Aksini ispatlayamadığınız için verinin çalındığını (sızdığını) varsaymak ve tüm müşterilerinize ‘Verileriniz ele geçirilmiş olabilir’ diye resmi bildirim yapmak zorundasınız” der. Bu, kurumsal itibarın yerle bir olmasıdır.
Müzakere Psikolojisi: Ödemek ya da Ödememek?
Diyelim ki sisteminiz şifrelendi. Hackerlar henüz “Verini çaldık” diye bir mesaj atmadı. CEO size dönüp “Emin misin, gerçekten verimizi dışarı çıkarmışlar mı?” diye sordu.
Eğer daha önce konuştuğumuz SIEM (Güvenlik Bilgi ve Olay Yönetimi), İçerik Filtreleme ve Loglama (Değiştirilemez Loglar) mimarilerini kurmadıysanız, içeride körsünüz demektir. Zeki bir hacker, sistemden çıkmadan önce tüm güvenlik loglarını siler veya şifreler.
Elinizde log yoksa, verinin çıkıp çıkmadığını teknik olarak kanıtlayamazsınız. Bu duruma adli bilişimde “Schrödinger’in Verisi” denir; verinin çalınıp çalınmadığı bilinemez. Ancak Hukuk ve KVKK bu belirsizliği şirketin lehine değil, aleyhine yorar. Eğer şirket “Verilerimiz şifrelendi ama dışarı çıktığına dair bir delil bulamadık (çünkü loglarımız yok)” derse, Kurul “Aksini ispatlayamadığınız için verinin çalındığını (sızdığını) varsaymak ve tüm müşterilerinize ‘Verileriniz ele geçirilmiş olabilir’ diye resmi bildirim yapmak zorundasınız” der. Bu, kurumsal itibarın yerle bir olmasıdır.
Sonuç
Fidye yazılımı, teknolojik bir arıza (IT Outage) değildir; kurumun tüm sinir sistemini, hukuki varlığını ve marka itibarını hedef alan, tam teşekküllü bir kurumsal rehin alma operasyonudur. “Veri dışarı çıkmadıysa ihlal yoktur” yanılgısı, birçok şirketin sonunu hazırlayan o sahte rahatlık hissidir. Modern fidye yazılımlarına karşı tek geçerli savunma, şifrelendikten sonra fidyeyi nasıl ödeyeceğinizi düşünmek değil; daha önce konuştuğumuz Zero Trust (Sıfır Güven), Ağ Segmentasyonu (VLAN) ve Çevrimdışı/Değiştirilemez Yedekleme (Immutable Backups) mimarileriyle o zehrin kanınıza karışmasını en başından engellemektir. Bir kez şifrelendiğinizde, hukuk masasında ve hackerların ifşa sitelerinde kaybedeceklerinizin yanında, siber güvenliğe harcamadığınız bütçe sadece ufak bir bahşiş gibi kalacaktır.
Tags :
#DoubleExtortion,#FidyeYazılımı,#GDPR,#KrizYönetimi,#KVKK,#Ransomware,#SiberSavunma,#Veriİhlali
Share This :