Dijital Acil Servis: SOME Mimarisi ve İhlal Anında “Altın Saatler”
Siber güvenlikte bir ihlalin gerçekleşmesi kaçınılmaz kabul edildiğinde, asıl başarı saldırıyı durdurmaktan ziyade o saldırıya nasıl yanıt verildiğinde saklıdır. SOME (Siber Olay Müdahale Ekibi), bir siber saldırı tespit edildiği andan itibaren teknik analiz, adli bilişim ve hukuki süreçleri koordine eden kurumsal “acil müdahale” birimidir. Olay müdahale süreci; panikle hareket etmek yerine, kanıtları koruyarak saldırganı izole etmeyi hedefleyen disiplinli bir IR (Incident Response) Planı üzerine kuruludur.
Müdahalenin “Altın Saatleri”nde yapılan en kritik hata, sistemleri aniden kapatmaktır; oysa SOME, uçucu verileri (RAM içeriği, aktif ağ bağlantıları) toplamak için sistemin Adli Kopyasını (Forensic Image) almadan kalıcı işlem yapmaz. İzolasyon (Containment) aşamasında saldırganın yayılımı (Lateral Movement) engellenirken, eş zamanlı olarak KVKK ve GDPR kapsamında zorunlu olan 72 saatlik bildirim süreci başlatılır. Bu süreçte ihlalin boyutu, etkilenen kişi sayısı ve sızan veri kategorileri hızla raporlanmalıdır.
Başarılı bir SOME mimarisi, sadece teknik ekiplerden değil; hukuk, halkla ilişkiler ve üst yönetimden oluşan çok katmanlı bir ekiptir. Olayın ardından yapılan Post-Mortem (Otopsi) toplantısı ise, zafiyetlerin neden tespit edilemediğini analiz ederek kurumun bir sonraki saldırıya karşı bağışıklık kazanmasını sağlar. Siber dünyada profesyonel müdahale, kaosu veriye, veriyi ise kurumsal savunma kalkanına dönüştürme sanatıdır.