Türkiye'de Siber Güvenlik yeterli mi?

Bilgisayar
1

Türkiye’de Siber Güvenlik Yeterli mi?

siber-guvenlik
siber-guvenlik1024×1024 63.9 KB

Türkiye’nin siber güvenlik alanında hem ilerlemeleri hem de önemli eksikleri bulunuyor. Aşağıda “ne iyi gidiyor” ve “nerede gelişmeye ihtiyaç var” kısımlarını özetleyelim:

:white_check_mark: Güçlü Yanlar

  • Ülkemizde Ulusal Siber Olaylara Müdahale Merkezi (USOM) gibi merkezi kuruluşlar var; kamu ve özel sektör siber olaylara müdahale mekanizmaları geliştiriliyor.

  • Hukuki düzenlemelerde hareket var: 7545 Sayılı Siber Güvenlik Kanunu Mart 2025’te yürürlüğe girdi. Kritik altyapılarda siber güvenlik zorunluluğu artıyor.

  • Araştırma-geliştirme kurumları var: Örneğin TÜBİTAK BİLGEM siber güvenlik alanında çalışıyor.

  • Farkındalık artıyor: Kurumlar dijitalleşme arttıkça siber riskleri dikkate alma eğiliminde.

:warning: Gelişmesi Gereken Yanlar

  • Saldırı sayısı yüksek: 2024 yılında sadece kötü amaçlı yazılım saldırıları 235.191’e gerilemiş olsa da, ağ tabanlı saldırılar %2.340 oranında artarak ~1.037.769 düzeyine çıkmış.

  • Farkındalık hâlâ tam değil: 2020’de yapılan bir araştırmada kurum personelinin yalnızca %9’u “kurumunun en büyük riski siber tehdit” olarak gördüğünü belirtmişti.

  • Jeopolitik risk yüksek: Türkiye, coğrafi ve stratejik konumu nedeniyle yoğun siber saldırıların hedefi hâline geliyor.

  • Uygulama düzeyi eşit değil: Yasa ve stratejiler olsa da tüm kuruluşlarda, özellikle küçük ölçeklilerde, siber güvenlik olgunluğu homojen değil. Araştırmalarda “güvenlik ve gizlilik genellikle ihmal ediliyor” deniyor.

:bullseye: Yeterli mi?

Kısa cevap: Hayır, “tam” anlamıyla yeterli değil; ancak “yetersiz değil” de diyebiliriz — karışık bir tablo var.

  • Hukuki ve kurumsal altyapı yönünden ciddi adımlar atılmış durumda.

  • Ancak pratikte, tüm kuruluşlarda ve tüm sektörlerde “yüksek düzey siber direnç” diye bir şey henüz tam oturmamış görünüyor.

  • Saldırıların sayısı artarken, savunma kapasitesinin artırılması hâlâ önemli bir gündem.

  • Özellikle kritik altyapılar, kaynakları sınırlı kurumlar ve farkındalık düzeyi düşük alanlarda riskler mevcut.

:pushpin: Öneriler

Türkiye’de siber güvenliğin “yeterli” seviyeye gelmesi için şu adımlar fayda sağlar:

  1. Kurumsal Olgunluk Artışı: Tüm büyüklükteki kurumların siber güvenlik standartlarına ulaşması, güvenlik operasyon merkezleri (SOC) vb. uygulamaların yaygınlaşması.

  2. Eğitim ve Farkındalık: Hem üst yönetim hem teknik personel hem de tüm kurum çalışanları için siber güvenlik farkındalığı artırılmalı.

  3. Kritik Altyapı Koruması: Enerji, sağlık, ulaşım gibi sektörlerde siber saldırı riski daha yüksek; özel çözümler ve protokoller geliştirilmeli.

  4. Ulusal ve Uluslararası İşbirliği: Saldırılar coğrafi sınır tanımıyor; istihbarat paylaşımı, ortak tatbikatlar, küresel tehditlere karşı eşgüdüm önemli.

  5. Teknoloji ve Yerli Üretim: Yerli ve milli siber güvenlik çözümlerinin geliştirilmesi ve uygulanması savunma kapasitesini artırır.

Aşağıda Türkiye’de kamu ve özel sektör açısından siber güvenlik olgunluğu hakkında eldeki verilerle karşılaştırmalı bir durum değerlendirmesi bulabilirsin. Veriler tam kapsamlı değil; “olgunluk” kavramını – süreçler, teknoloji, farkındalık, uygulama-seviyesi gibi boyutlarla– genel hatlarıyla yorumlamaya çalıştım.

Kamu Sektörü

:white_check_mark: Güçlü yönler

  • Ulusal Siber Olaylara Müdahale Merkezi (USOM) gibi yapılar, ulusal çapta siber olaylara müdahale ve koordinasyon kapasitesi sağlıyor.

  • TÜBİTAK BİLGEM gibi kurumlar siber güvenlik araştırma-geliştirme altyapısı sunuyor.

  • 2024-2028 dönemi için hazırlanan ulusal strateji belgesinde, kamu kurumlarında eğitim, uzmanlaşma, farkındalık artırma gibi adımlar yer alıyor.

  • Yeni düzenlemelerle (örneğin 7545 Sayılı Siber Güvenlik Kanunu) kamu kurumları için yükümlülükler artmış durumda.

:warning: Zayıf / geliştirilmesi gereken yönler

  • Kamu kurumları arasında olgunluk düzeyi çok farklı: büyük, merkezi ve kritik görevli kurumlar siber güvenlik altyapısına daha fazla yatırım yaparken; yerel yönetimler ve küçük ölçekli kamu kuruluşlarında altyapı, süreç ve farkındalık eksikleri var.

  • USOM raporuna göre birçok kurumda “yazılı politika/prosedürlerin olmaması”, “ağ güvenliği konfigürasyon hataları”, “erişim denetimi yetersizlikleri” gibi teknik ve yönetsel açıklar tespit edilmiş durumda.

  • Kritik altyapı sistemlerinde saldırı riski yüksek: örneğin 2023’ün ilk yarısında Türkiye’de Endüstriyel Kontrol Sistemleri (ICS) makinelerinin saldırıya uğrama oranı küresel ortalamanın üzerinde (%41,9) olarak ölçülmüş.

:memo: Özet

Kamu sektörü “temel yatırıma ve düzenlemeye doğru ilerleyen” bir aşamada. Yasal ve kurumsal çerçeve büyük ölçüde oluşturulmuş durumda. Ancak uygulama düzeyinde – özellikle her kurumda süreçlerin standart hale getirilmesi, teknik altyapı iyileştirmeleri, yerel ölçekli kurumlarda kapasite artışı – eksikler mevcut.

Özel Sektör

:white_check_mark: Güçlü yönler

  • Özel sektör yöneticilerinin büyük bir kısmı (“%80’den fazlası”) paydaş güvenini sağlamak için siber güvenlik ve veri korumasının önemli olduğunu kabul ediyor.

  • Düzenleyici çerçeve özel sektöre de yükümlülükler getiriyor; bu da özel sektörün uyum düzeyini artırma yönünde bir motivasyon sağlıyor.

  • Sektörel risk incelemeleri, özel sektörde (özellikle regülasyona tabi sektörlerde) siber güvenlik olgunluğunun diğerlerine kıyasla daha yüksek olduğunu gösteriyor.

:warning: Zayıf / geliştirilmesi gereken yönler

  • Özel sektör şirketlerinde hazırlık düzeyi hâlâ “istenen” seviyenin altında: Forcerta’nın “Türkiye Sektörel Siber Güvenlik Risk İncelemesi 2022” çalışmasında “kritik hizmetler sunan ve özel nitelikli kişisel verilere sahip şirketlerin siber güvenlik hazırlıklarının istenen düzeyde olmadığı” belirtilmiş.

  • Küçük ve orta ölçekli işletmelerde (KOBİ’ler) kaynak, farkındalık ve uzmanlık eksikleri göze çarpıyor — siber güvenlik genellikle büyük şirketlerin konusu olup, tüm kurumlarda yaygın değil.

  • Uygulama ve operasyonel düzeyde teknik açıklar: kamu tarafında olduğu gibi özel sektörde de “erişim denetimi”, “ağ segmentasyonu”, “çok faktörlü kimlik doğrulama” gibi uygulamaların yaygınlığı tam değil. (Kamu-özel ayrımı yapılmaksızın USOM ve diğer kaynaklar bu teknik eksikleri vurguluyor)

:memo: Özet

Özel sektör genel olarak “farkında ve adım atıyor” durumda. Ancak siber güvenlik olgunluğu — tam anlamıyla süreçlerle, teknolojiyle, kültürle kurumlaşmış bir hal — tüm şirketlerde aynı düzeyde değil. Özellikle KOBİ’ler ve regülasyona daha az tabi sektörlerde eksikler daha fazla.

:magnifying_glass_tilted_left: Karşılaştırma Tablosu

Boyut Kamu Sektörü Özel Sektör
Yasal/kurumsal çerçeve Güçlü bir yapı mevcut; yeni düzenlemeler devreye girdi Yasal uyum artıyor; ancak uygulamada kurumlar arasında farklılık var
Teknik altyapı & süreçler Büyük kurumlarda iyi; küçük/yerel kurumlarda eksikler var Büyük ölçekli şirketlerde nispeten iyi; KOBİ ve regülasyona tabi olmayanlarda eksiklikler
Farkındalık & kültür Kurumsal farkındalık yükseliyor; ancak bütün kurumlarda sistematik süreçler oturmamış Yönetim seviyesinde farkındalık artmakta; ancak tüm personel ve tüm şirketlerde siber güvenlik kültürü yaygın değil
Kritik altyapı & siber saldırı riski Türkiye’de kritik altyapılar yüksek risk altında; kamu kurumlarında olay müdahale kapasitesi geliştirme aşamasında Özel sektörde saldırı riski yüksek; bazı sektörlerde savunma zayıf gözlemleniyor
Eşitsizlik & ölçek etkisi Kurumlar arası eşitsizlik önemli (büyüklük, kaynak, coğrafya açısından) Şirket boyutu, sektör, kaynak durumu olgunluk farklarını artırıyor

:white_check_mark: Sonuç

Özetle: Türkiye’de kamu ve özel sektör açısından siber güvenlik olgunluğu bakımından gelişmiş bir altyapı ve iyileştirme eğilimi var, ancak herkes için aynı seviyede değil ve “tam olgunluk” aşamasında değiliz. Kurumsal hazırlık, teknik uygulamalar ve kültürel olgunluk açısından hâlâ önemli adımlar atılması gerekiyor.

Aşağıda Türkiye’de belirli sektörlere yönelik (finans, enerji, ödeme hizmetleri) 2023-2025 dönemi siber güvenlik olgunluğu durumuna dair çıkabilen rapor ve kaynaklardan toparladığım bulgular yer alıyor. Veriler her sektör için tam nicel olgunluk skorları vermeyebilir, ama “durum nasıl, ne eksik” açısından anlamlı.

Finans Sektörü

:magnifying_glass_tilted_left: Bulgular

  • Hazine ve Maliye Bakanlığı’nın 2024 yılı faaliyet raporunda “mali piyasalara yönelik siber güvenlik konusunda siber dayanıklılık ve güvenlik olgunluk seviyesi artırılacaktır” ifadesi yer alıyor.

  • Finans sektörünün siber güvenlik ortamı, artan tehditler, veri ihlali maliyetleri, yetenek açıkları ve sıkılaşan düzenlemelerle karşı karşıya olduğu; olgunluk ve direnç artırımının öncelik olduğu belirtiliyor.

:white_check_mark: Güçlü Yanlar

  • Finans sektörü regülasyon gereklilikleri açısından baskı altında; bu da siber güvenliğe yatırım yapılmasını teşvik ediyor.

  • Stratejik belgelerde finans sektöründe “olgunluk artırılacak” hedefinin yer alması, sektörün farkındalığının yüksek olduğunu gösteriyor.

:warning: Geliştirilmesi Gerekenler

  • Olgunluk seviyesi hâlâ “yeterli düzeyin altında” olarak değerlendiriliyor: Olgun ve optimize edilmiş düzeye ulaşma konusunda kurumlar arasında farklılıklar mevcut.

  • Yetenek (uzman personel) açığı ve güvenlik operasyonlarının (örneğin sürekli siber olay müdahalesi) yaygınlığı hâlâ tüm finans kuruluşlarında eşit değil.

:bullseye: Özet

Finans sektörü Türkiye’de siber güvenlik olgunluğu açısından “öncelikli” ve “gelişmekte olan” durumda. Yasal çerçeve ve farkındalık yönünden olumlu, ancak uygulama ve kurumlar arası eşitsizlik açısından eksikleri var.

Enerji Sektörü

:magnifying_glass_tilted_left: Bulgular

  • Enerji Piyasası Düzenleme Kurumu (EPDK) tarafından 2023’te yayımlanmış olan “Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği” ile enerji sektöründe endüstriyel kontrol sistemlerinin siber güvenliğinin artırılması için “yetkinlik modeli” getirilmiş durumda.

  • Raporlarda “enerji şirketlerinde uç nokta ve yama sıklığı gibi alanlarda ciddi riskler olduğu” belirtiliyor.

:white_check_mark: Güçlü Yanlar

  • Enerji sektörü stratejik altyapı olarak yüksek öncelikli sayılıyor; regülasyon yoluyla olgunluk modeline geçiş başlatıldı.

  • Endüstriyel kontrol sistemleri (ICS/OT) için özel düzenlemeler yapılmış olması, sektörün kritik yönünü gözettiğini gösteriyor.

:warning: Geliştirilmesi Gerekenler

  • Uygulama düzeyinde hâlâ önemli eksikler var: Yama yönetimi, uç nokta koruması, OT & IT entegrasyonu gibi alanlarda riskler devam ediyor.

  • “Yetkinlik modeli” yeni; yani birçok kuruluş için bu modelin uygulanması hâlâ geçiş sürecinde. Bu da olgunluk açısından tam seviyeye ulaşılmadığını gösteriyor.

:bullseye: Özet

Enerji sektörü siber güvenlik olgunluğu bakımından Türkiye’de kritik bir odak alanı; regülasyon ve modelleme açısından adımlar atılmış durumda ama pratikte henüz tüm kurumlarda yüksek olgunluk standardı yaygın değil.

Ödeme Hizmetleri / Finansal Teknoloji Sektörü

:magnifying_glass_tilted_left: Bulgular

  • Forcerta Danışmanlık tarafından yayımlanan “Ulusal Ödeme Şirketleri Siber Güvenlik Risk İncelemesi 2024” başlıklı çalışma, ödeme sektöründe siber güvenlik risklerinin ve olgunluk eksiklerinin var olduğunu ortaya koyuyor.

:white_check_mark: Güçlü Yanlar

  • Ödeme hizmetleri gibi dijital iş modelleri yüksek riskli alanlarda, siber güvenlik bilinci artıyor ve dış değerlendirme çalışmaları yapılıyor.

  • Bu tür çalışmaların yapılması sektör içinde “hazırlık” ve “ölçme” aşamasına geçildiğini gösteriyor.

:warning: Geliştirilmesi Gerekenler

  • Ödeme şirketlerinde hâlâ “zayıf noktalar” mevcut: raporda zayıf alanlar ve geliştirme ihtiyaçları açıkça ifade edilmiş.

  • Bu tür şirketlerin tümünün aynı olgunluk düzeyinde olmadığı, risk yönetimi uygulamalarının değişken olduğu belirtiliyor.

:bullseye: Özet

Ödeme hizmetleri sektörü Türkiye’de siber güvenlik olgunluğu açısından gelişme gösteriyor; ancak diğer iki sektörle karşılaştırıldığında “yüksek olgunluk” düzeyine ulaşanların sayısı daha sınırlı olabilir.

:pushpin: Genel Değerlendirme

  • Sektörlerin her biri kendi içinde farklı düzeylerde: Finans ve enerji sektörleri “yüksek öncelikli” ve “düzenlemelere tabi” alanlar olarak daha ileri adımlar atıyor.

  • Ancak her iki sektörde de olgunluk düzeyi kurumlar arasında değişiyor; “kurum büyükse, kaynak fazlaysa” olgunluk daha yüksek olabiliyor.

  • Dijital-yoğun, regülasyonu daha yeni sektörlerde (ödeme hizmetleri gibi) olgunluk düzeyi biraz daha geride olabilir ama hızla yaklaşılıyor.

  • Kritik altyapı ve yüksek riskli alanlarda olgunluk modeli, yetkinlik düzeyi gibi düzenleyici yaklaşımlar devreye giriyor — bu da ilerleme için pozitif.

  • Fakat “tam olgunluk” (yani tüm süreçlerin, teknoloji ve kültürün entegre, sürekli iyileştiren bir yapı olması) hâlâ yaygın değil.

Türkiye’de sağlık sektörünün siber güvenlik olgunluğu

1) Mevzuat ve kurumsal yapı: güçlü iskelet

  • Kişisel Sağlık Verileri Hakkında Yönetmelik ve KVKK’nın rehber/kararları, sağlık verisini “özel nitelikli veri” olarak sıkı koruma altına alıyor. Sağlık Bakanlığı’nın bu konuya özel portalı ve duyuruları var.

  • KVKK’nın 2024 faaliyet notu: yıl içinde 281 veri ihlali bildirimi Kurula ulaştı (sektör kırılımı paylaşılmıyor ama sağlık, ihlallerde sık görülen alanlardan).

  • Sağlık Bakanlığı bünyesinde Siber Güvenlik Daire Başkanlığı / Sektörel SOME yapısı kurumsal koordinasyon sağlıyor.

  • Üst çatı strateji olarak Ulusal Siber Güvenlik Stratejisi 2024-2028 yürürlükte.

  • Kısa yorum: Çerçeve ve kurumlar mevcut; bu, olgunluğun “yapısal” tarafını güçlendiriyor.

2) Tehdit görünümü: yüksek baskı (özellikle fidye yazılımı)

  • ENISA’nın sağlık sektörü tehdit raporu; zayıf yamalama, kimlik/multifaktör eksikleri ve olay müdahale planlarının kritikliği vurgulanıyor.

  • Health-ISAC 2024-2025 özetleri, sağlık hizmetlerine yönelik saldırıların artış eğiliminde olduğunu ortaya koyuyor.

  • Türkiye özelinde de medya ve danışmanlık kaynakları 2024’te fidye yazılımları ve veri sızıntılarını öne çıkarıyor.

Kısa yorum: Sağlık verisinin değeri ve operasyon kesintisinin etkisi nedeniyle tehdit seviyesi yüksek.

3) Somut olaylar: karışık tablo

  • Türk Tabipleri Birliği sistemleri 7 Ağustos 2025’te saldırıya uğradı; kurum sistemleri geçici kapatıldı.

  • Türk Veteriner Hekimler Birliği (sağlık ekosistemi paydaşı) Ekim 2025’te yaklaşık 26 bin hekimin verilerinin sızdırıldığını duyurdu.

  • e-Nabız/MHRS gibi merkezi sistemler için 2024-2025’te dolaşan “toplu veri sızıntısı” iddiaları resmi makamlarca yalanlandı; münferit oltalama vakalarına dikkat çekildi.

Kısa yorum: “Büyük ulusal sistemler” için resmi inkârlar varken, meslek örgütleri/dernekler gibi çevre kurumlardaki olaylar, ekosistemin zayıf halkalarını gösteriyor.

4) Olgunluk seviyesi: nerede duruyoruz?

  • Yerli çalışmalar ve sektör analizleri, büyük/merkezi kurumlarda olgunluğun daha yüksek; KOBİ ölçekli hastane ve kliniklerde süreç/teknoloji/insan kaynağı açısından boşlukların daha belirgin olduğuna işaret ediyor.

  • Avrupa ölçeğindeki rehberler (ENISA) ile kıyaslandığında, yamaların zamanında uygulanması, güçlü kimlik doğrulama (MFA), olay müdahale ve iş sürekliliği testleri en çok güçlendirilmesi gereken alanlar.

Özet hüküm: Sağlıkta siber güvenlik “tam olgunlukta” değil; regülasyon ve merkezi kapasite iyi, saha uygulaması heterojen.

5) Hastaneler ve sağlık kuruluşları için 10 maddelik hızlı yol haritası

  1. MFA zorunlu (uzaktan erişim, e-posta, idari paneller).

  2. Yama/SANS kritik liste ve maksimum 14 gün SLA (OT/medikal cihazlarda risk-temelli).

  3. Ayrıcalıklı erişim kasası ve oturum kayıtları (PAM).

  4. E-posta güvenliği + bilinçlendirme (oltalama başı tehdit).

  5. Yedekleme 3-2-1 ve felaket kurtarma tatbikatı (en az yılda 1 kez).

  6. Envanter ve segmentasyon: medikal cihazlar (OT) ayrı ağda, internetten izole.

  7. DLP + log korelasyon/SIEM ile görünürlük.

  8. Tedarikçi/supply-chain güvenlik şartları (BHV/entegrasyonlarda sözleşmesel kontroller).

  9. KVKK & Sağlık verisi prosedürleri: erişim, maskeleme, minimizasyon, ihlal bildirim akışı.

  10. Sektörel SOME ile temas ve ihbar hatları (USOM listeleri ve uyarıları takip).

Hızlı sonuç

  • Yeterli mi? Sağlıkta kısmen: politika/kurumlar güçlü; operasyonel olgunluk ise kurumdan kuruma ciddi değişiyor.

  • En kritik açıklar: yamalama ve varlık yönetimi, kimlik/doğrulama, olay müdahale ve yedekleme tatbikatları.

  • Öncelik: regüle büyük kurumların iyi uygulamalarını (MFA, segmentasyon, tatbikat) KOBİ ölçeğine yaymak ve tedarik zinciri risklerini kapatmak.

e-devlet , e-nabız vs. üzerinden T.C. vatandaşlarının verilerinin çalındığı doğru mu?

Bu konuda kesin bir “evet, kesin çalındı” diyemeyiz — ama “kesinlikle hiçbir şey yaşanmadı” da diyemeyiz. Yapılan açıklamalar ve iddialar arasında net bir sonuca ulaşmış değiliz. Aşağıda durumu özetliyorum:

:check_mark: Resmi açıklamalar

  • e‑Nabız sistemi üzerinden “milyonlarca kişinin verileri çalındı” iddiaları ortaya çıkmıştır. Ancak Türkiye Cumhuriyeti Sağlık Bakanlığı bu iddiaları reddetmiştir: “Söz konusu sistemden veri sızıntısı yaşanmamıştır.” şeklinde açıklama yapılmıştır.

  • e‑Devlet Kapısı, EBA, ÖSYM gibi sistemlerle ilgili 2-3 Ekim 2021 tarihlerinde gündeme gelen “toplu veri sızıntısı” iddialarına ilişkin olarak, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi teknik kontrollerin ardından “herhangi bir veri sızıntısı kaydına rastlanmamıştır” açıklamasını yapmıştır.

:warning: İddialar, şüpheler ve güvenlik çevresi

  • Bazı çevrimiçi forumlar, kullanıcı yorumları ve sosyal medya içerikleri “benim adım-soyadım, T.C. numaram, adresim gibi bilgiler elimde” gibi iddialar paylaşmaktadır. Örneğin bir reddit kullanıcısı:

    “Panel adı verilen devlet sunucularından çalınmış veriler. 15 yaşındaki veletlerin elinde.”
    Bu tür ifadeler doğrudan doğrulanmış resmi vakalara dönüşmemiş durumda.

  • Akademik bir çalışma, 2016’da bazı Türkiye vatandaşlarına ait verilerin (T.C. kimlik no, doğum yeri, doğum tarihi vb) sızdırıldığına dair analiz sunmuştur.

  • Ancak sistemin geneline dair resmi bir “massive leak” teyidi yok: iddialar sistem düzeyinde büyük bir sızıntıdan ziyade “bireysel hesap ele geçirmeleri”, “oltalama saldırıları” gibi olaylardan kaynaklı olabilir şeklinde yorumlanıyor. Örneğin Dijital Dönüşüm Ofisi açıklamasında bunu ifade etmiştir.

:face_with_monocle: Ne çıkarılabilir?

  • Senin veya başkalarının “verilerimin çalındığını düşünüyorum” diye şikâyeti olabilir — bu her zaman sistemin kendisinden büyük bir sızıntı yapıldığı anlamına gelmez; daha küçük ölçekli sızmalar, kullanıcı hataları, oltalama gibi olaylar olabilir.

  • Resmî kurumlar sistem düzeyinde yaygın bir veri sızıntısı kaydı olmadığını belirtiyor.

  • Ancak “hiçbir güvenlik açığı yok” anlamına da gelmiyor; sistemler büyük ve karmaşık ortamlar, hiçbir sistem tam bağışıksız değildir.

:locked_with_key: Ne yapabilirsin?

  • Kendi kişisel bilgilerini korumak için çok faktörlü kimlik doğrulama (MFA) varsa aktif olarak kullan.

  • Şifrelerini düzenli değiştir, özgün ve güçlü şifreler kullan.

  • Gelen mesajlara, e-maillere dikkat et — oltalama (phishing) gibi yöntemlerle kişisel bilgiler elde edilmeye çalışılabilir.

  • T.C. kimlik numarası ve diğer hassas bilgilerimin internette herhangi bir yerde paylaşılıp paylaşılmadığını kontrol etmeye çalış (örneğin “kimlik numaram sızdı mı” gibi hizmetler olabilir).

  • Resmî kurumların duyurularını takip et — herhangi bir resmi veri sızıntısı bildirildiğinde, kurumların yönlendirdiği adımları uygulamak önemli.

aşağıda hem hangi verilerin risk altında olabileceğini, hem de vatandaş olarak kendi verini nasıl kontrol edebileceğini adım adım anlatıyorum. Ayrıca geçmişte Türkiye’de yaşanmış doğrulanmış veri sızıntılarını da özetledim, böylece riskin hangi kaynaklardan geldiğini daha net görebilirsin.

:puzzle_piece: 1. Hangi veriler risk altında olabilir?

Sistemin (örneğin e-Devlet, e-Nabız) kendisinden değil ama bu sistemlerle ilişkili dijital ekosistemlerden sızıntı yaşanabilir. Riskli alanları şöyle gruplayabiliriz:

Veri türü Tipik kaynak Risk durumu
T.C. kimlik no, ad-soyad, doğum tarihi 2016’da internete sızan eski MERNİS tablosu :check_mark: Zaten internette dolaşan en yaygın set
Telefon, e-posta, adres e-ticaret siteleri, kargo ve finansal platform sızıntıları :warning: Dolaylı sızıntı olasılığı yüksek
Sağlık kayıtları (e-Nabız verileri) Merkezi sistemlerden ziyade → hastanelerdeki alt yüklenici/laboratuvar sistemleri :warning: Sınırlı vakalar; sistem bazlı büyük sızıntı doğrulanmadı
e-Devlet kimlik bilgileri Zayıf şifre, oltalama, zararlı yazılım :warning: Kullanıcı hatasıyla bireysel ele geçirilme mümkün
Finansal bilgiler (IBAN, kart verisi) Banka/fintech ihlalleri, dolandırıcılık siteleri :warning: Daha çok kimlik hırsızlığı bağlantılı

Sonuç: Devletin ana sistemlerinden toplu sızıntı kanıtı yok; ancak 2016 MERNİS verisi ve özel sektör kaynaklı çok sayıda veri seti hâlâ karanlık ağlarda dolaşıyor. Bu da “benim bilgilerim internette var mı?” endişesini açıklıyor.

:magnifying_glass_tilted_left: 2. “Verilerim çalındı mı?” nasıl kontrol edilir?

:warning: Bu adımlar sadece meşru kaynaklar üzerinden yapılmalıdır; “TC kimlik numaranızı girin, sızmış mı öğrenin” diyen rastgele sitelere kesinlikle bilgi girme.

:white_check_mark: Güvenli kontrol yöntemleri

  1. Have I Been Pwned (hibp.com)
    → E-postanı girip bu e-posta adresinin yer aldığı sızıntıları görebilirsin.
    → TC kimlik no girilmez! Sadece e-posta bazlıdır.

  2. Kişisel veri ihlali duyuruları (kvkk.gov.tr)
    → KVKK Veri İhlali Bildirimleri sayfasında, Türkiye’de resmî olarak bildirilen tüm ihlalleri listeler.
    → Örneğin “bir laboratuvar”, “bir sigorta şirketi” gibi kurumlarda ihlal olmuşsa görebilirsin.

  3. Google alert / arama
    → Ad + soyad + T.C. numaranın bir kısmını (örneğin ilk 5 hane) yazıp tırnak içinde arat; sonuç çıkıyorsa kaynağa bak.
    → Ancak çoğu zaman çıkanlar 2016’daki eski veri setlerinden türemedir.

  4. Sahte e-Devlet siteleri fark etme

    • Resmî adres yalnızca turkiye.gov.tr’dir.

    • Mobilde “ 404 Sayfa Bulunamadı dışı hiçbir bağlantıya giriş yapma.

    • “Kimliğinizi doğrulayın” gibi e-posta/SMS bağlantılarına tıklama.

:brick: 3. Türkiye’de yaşanmış doğrulanmış büyük veri sızıntıları

Yıl Kaynak / Kurum Veri tipi Açıklama
2016 MERNİS tabanı 49 milyon vatandaş kaydı En yaygın sızıntı; eski adres/doğum bilgileri içeriyor
2020-2023 Özel hastaneler, laboratuvar sistemleri Tıbbi test verileri, kimlik bilgileri Bazıları KVKK’ya bildirildi
2022 YemekSepeti, Hepsiburada, Trendyol vb. İletişim bilgileri Saldırı değil ama yetkisiz erişim vakaları
2024-2025 Küçük dernek/oda sistemleri Üye listeleri Türk Tabipleri Birliği (TTB) örneği, 2025’te doğrulandı

Bu tablo, e-Devlet veya e-Nabız’dan değil ama ekosistemdeki “zayıf halkalardan” kaynaklanan sızıntıları gösteriyor.

:locked: 4. Kendi güvenliğini güçlendirmek için yapılabilecekler

  1. e-Devlet şifresini PTT’den alın, kimseyle paylaşma.

  2. İki adımlı doğrulama (MFA) aktif et (e-Devlet → Güvenlik Ayarları).

  3. Parolalarını yöneticide tut, farklı platformlarda aynı parolayı kullanma.

  4. Kimlik numaranla kayıt olan özel sitelere (örneğin kargo, alışveriş) minimum veri ver.

  5. Mobil imza / e-İmza gibi güçlü kimlik yöntemlerini tercih et.

  6. Oltalama mesajlarını (örnek: “veri ihlali yaşandı, hesabını doğrula”) doğrudan sil.

  7. KVKK ihlal listesini ayda bir kontrol et.

  8. Şüpheli durumda CİMER veya USOM’a ihbar bırak.

:compass: 5. Gerçekçi genel sonuç

  • e-Devlet ve e-Nabız sistemlerinden resmî olarak doğrulanmış toplu veri sızıntısı yok.

  • Fakat internette dolaşan eski veri setleri (özellikle 2016 MERNİS) hâlâ kullanılıyor ve dolandırıcılıkta “kaynak” gibi gösteriliyor.

  • Bireysel hesap ele geçirmeleri (zayıf şifre, oltalama, kötü yazılım) yaygın.

  • Dijital hijyen düzeyi arttıkça (MFA, şifre yöneticisi, dikkatli davranış) risk büyük ölçüde azaltılabiliyor.

YARARLANILAN KAYNAKLAR:

:classical_building: 1. Resmî Kurum ve Devlet Kaynakları

Bu kaynaklar doğrudan kamu kurumları veya resmî açıklamalardır; verilerin doğrulanabilir kısmını sağlarlar.

Kaynak Türü Sağladığı bilgi
Ulaştırma ve Altyapı Bakanlığı – Ulusal Siber Güvenlik Stratejisi 2024–2028 Strateji belgesi Türkiye’nin 2024–2028 dönemine ait ulusal siber güvenlik hedefleri, kurum rolleri
Sağlık Bakanlığı – Siber Güvenlik ve Bilgi Güvenliği Dairesi Kurumsal site Sağlık sektörü SOME yapısı, e-Nabız güvenliği hakkında açıklamalar
KVKK – Veri İhlali Bildirimleri Resmî kayıt Türkiye’de bildirilen tüm kişisel veri ihlalleri listesi
Hazine ve Maliye Bakanlığı – 2024 Faaliyet Raporu Faaliyet raporu Finans sektörü siber güvenlik olgunluk hedefleri
Anadolu Ajansı – e-Devlet ve enerji sektörü haberleri Resmî haber ajansı e-Devlet ve enerji sektörüyle ilgili resmî açıklamalar
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi (dolaylı olarak AA üzerinden) Açıklama e-Devlet veri sızıntısı iddialarına ilişkin teknik değerlendirme

:test_tube: 2. Akademik ve Teknik Çalışmalar

Bu kaynaklar bağımsız akademik analiz, teknik inceleme veya bilimsel gözlem içeren yayınlardır.

Kaynak Türü Sağladığı bilgi
Arxiv – “National ID Leak: Turkey 2016” Akademik makale 2016’daki MERNİS veri sızıntısının yapısı ve etkileri
Arxiv – Türkiye’de siber güvenlik farkındalığı (2022) Akademik çalışma Türkiye’de kurumlarda farkındalık ve güvenlik olgunluğu düzeyi
ENISA – Health Sector Cybersecurity Threat Landscape Avrupa Birliği teknik raporu Sağlık sektörü için tehdit eğilimleri ve öneriler
Health-ISAC Annual Threat Report 2024–2025 Uluslararası siber istihbarat raporu Sağlık hizmetlerine yönelik saldırı eğilimleri

:briefcase: 3. Özel Sektör ve Danışmanlık Raporları

Bu kaynaklar Türkiye’de siber güvenlik alanında faaliyet gösteren kurumların saha araştırmalarına dayalı raporlarıdır.

Kaynak Türü Sağladığı bilgi
Sangfor Türkiye – Yeni Siber Güvenlik Yasası Özel sektör analizi 7545 Sayılı Kanun’un kurumsal etkileri
Marsh Türkiye – 2020 Siber Risk Algı Araştırması Anket/rapor Kurumsal farkındalık ve yönetici algısı
KPMG Türkiye – Siber Güven Öngörüleri 2022 Sektör raporu Şirketlerin öncelikleri ve yatırım trendleri
Forcerta – Türkiye Sektörel Siber Güvenlik Risk İncelemesi 2022 Sektör analizi Türkiye’de sektör bazında olgunluk farklılıkları
Forcerta – Enerji ve Ödeme Hizmetleri Raporları 2023–2024 Teknik rapor Enerji ve finansal teknoloji sektörleri için risk profili
BeyazNet – Finans sektörü siber güvenlik raporu 2025 Uzman yorumu Bankacılıkta siber direnç analizi
DGRNet – USOM perspektifi 2025 analizi Uzman blog/teknik yorum Türkiye’de kamu kurumlarındaki eksik alanlar

:newspaper: 4. Medya ve Haber Kaynakları

Gazete, dergi ve bağımsız medya kuruluşlarının analizleri.

Kaynak Türü Sağladığı bilgi
TRTHaber – Siber saldırı haberleri Ulusal medya Türkiye’de siber saldırı sayıları ve USOM açıklamaları
Sigortacı Gazetesi – 2024 siber saldırı istatistikleri Sektörel basın 2024 Türkiye saldırı sayıları ve oran artışı
Kriter Dergi – Türkiye’nin siber kalkını analizi Dergi makalesi Jeopolitik risk ve ulusal savunma yönü
Anlatılanın Ötesi – e-Nabız veri sızıntısı haberi Haber sitesi Sağlık Bakanlığı’nın resmî yalanlaması
SağlıSoluHaber – e-Devlet/e-Nabız açıklaması Haber sitesi Toplu veri sızıntısı iddialarına açıklık

:people_holding_hands: 5. Sivil Toplum, Meslek Kuruluşları ve Diğer Kaynaklar

Meslek birlikleri ve bireysel kullanıcı deneyimlerini aktaran kaynaklar.

Kaynak Türü Sağladığı bilgi
Türk Tabipleri Birliği (TTB) Kurumsal açıklama 2025 TTB siber saldırısı duyurusu
Türk Veteriner Hekimler Birliği (TVHB) Kurumsal açıklama 26.000 üyelik veri sızıntısı doğrulaması
Reddit Türkiye – e-Devlet başlığı Kullanıcı tartışması Doğrulanmamış ama toplumsal farkındalığı yansıtan içerik
Anahtar Partisi – AR-GE Güvenlik Raporu Sivil düşünce kuruluşu Kamu kurumları arasındaki olgunluk farklarını analiz ediyor
2

Kişisel Dijital Güvenlik Kontrol Listesi

Aşağıda, pratik ve uygulanabilir bir “Kişisel Dijital Güvenlik Kontrol Listesi” var. İki bölümden oluşuyor:

  1. Hızlı Kontrol (15–30 dk) – hemen uygulayabileceklerin

  2. Derinlemesine Plan (30/60/90 gün) – kalıcı koruma için adım adım

1) Hızlı Kontrol – 15–30 dk

Hesaplar

  • Kritik hesaplarınızda (e-Devlet, e-Nabız, bankalar, e-posta) MFA/2FA’yı açın (tercihen uygulama tabanlı; SMS yedek kalsın).

  • Parola yöneticisi (ör. 1Password/Bitwarden vb.) kullanın; her hesap için uzun ve benzersiz parola oluşturun.

  • Parola tekrarını sıfırlayın: aynı parolayı kullandığınız hesapları ayırın.

  • Şifre sıfırlama e-postanızı (primary e-mail) ekstra koruyun: MFA + güçlü parola + kurtarma e-postası.

Cihazlar

  • Telefon/PC güncel (iOS/Android/Windows/macOS en son sürüm + güvenlik yamaları).

  • Ekran kilidi: kısa zaman aşımlı, biyometri + PIN/uzun parola.

  • Disk şifreleme: Windows BitLocker / macOS FileVault / Android & iOS varsayılan.

  • SIM PIN etkin; SIM değişikliği uyarıları (operatör uygulaması varsa açın).

Tarayıcı/İnternet

  • Şifre kaydetme sadece parola yöneticisinde; tarayıcı otomatik kaydı kapalı.

  • Tarayıcıda izinsiz bildirimler kapalı, kötü amaçlı site koruması açık.

  • Ev modeminde WPA2-AES/WPA3, güçlü Wi-Fi parolası, yönetici parolasını değiştirin.

Veri ve Yedek

  • Önemli dosyalar için 3-2-1 yedek: 3 kopya, 2 farklı ortam, 1’i çevrimdışı/harici.

  • Telefonunuzda yedeklemeyi (iCloud/Google) etkinleştirin.

Kimlik ve Dolandırıcılık

  • Bilinen ihlaller için e-postanızı Have I Been Pwned ile kontrol edin.

  • e-Devlet/e-Nabız sahte giriş sayfalarına DİKKAT: yalnızca turkiye.gov.tr / enabiz.gov.tr.

2) Derinlemesine Plan – 30/60/90 Gün

Gün 0–30: Temelleri Sağlamlaştır

Hesap Hijyeni

  • Tüm kritik hesaplarda MFA + yedek kodlar güvenli yerde.

  • Kurtarma e-postası/telefonu güncel; eski erişimleri temizle.

  • Parola yöneticisine geçişi tamamla; zayıf/tekrarlı parolaları değiştir.

Cihaz Güvenliği

  • PC ve telefon için otomatik güncelleme açık; sürücü/firmware güncel.

  • Windows Defender / macOS XProtect / mobilde güvenilir güvenlik taraması yap.

  • Uygulama izinlerini gözden geçir: konum, mikrofon, kamera, fotoğraflar → gerekmedikçe kapat.

Ağ & Modem

  • Modem/Router firmware güncel; uzaktan yönetimi kapat.

  • Misafir Wi-Fi aç, IoT cihazları bu ağa taşı.

  • DNS güvenliği (DNS-over-HTTPS/TLS) tarayıcıda etkin.

Veri Koruma

  • Önemli belgeler için şifreli arşiv (zip/7z şifre, dosya-bazlı şifreleme).

  • Bulut hesabında paylaşımlar ve kamuya açık linkleri denetle.

Gün 31–60: Kimlik ve Mahremiyet

Kimlik İzleme & Uyarılar

  • Banka/fintech uygulamalarında giriş/işlem bildirimleri açık.

  • KVKK Veri İhlali Bildirimleri sayfasını ayda 1 kontrol et.

  • Sık kullanılan e-postalar için ihlal uyarısı (HIBP notify) tanımla.

Mahremiyet Ayarları

  • Google/Apple hesaplarında reklam kimliği sıfırla; kişiselleştirilmiş reklamları kısıtla.

  • Sosyal medyada profil görünürlüğü ve etiketleme izinlerini daralt.

  • E-posta filtreleri: faturalar/bankacılık için sahte alan adlarını yakalayan kurallar ekle.

Sosyal Mühendislik Eğitimli Ol

  • Aile/iş arkadaşlarıyla “doğrulama kelimesi” belirleyin (acil para/IBAN taleplerinde).

  • “Acil, hemen tıkla/öde” temalı mesajları başka kanalla doğrula.

Gün 61–90: İleri Düzey ve Acil Durum Planı

Güvenlik Anahtarları

  • En kritik hesaplarda donanım güvenlik anahtarı (FIDO2/WebAuthn) ekle (mümkünse).

Acil Durum Kartı

  • “Kaybolma/Hırsızlık Planı”:

    • iPhone/Android → Bul uygulaması etkin, Kayıp Modu nasıl açılır biliyorum.

    • Banka kartları → tek numaralı iptal hattı notlu.

    • Operatör → SIM kapatma prosedürü notlu.

    • e-posta & parola yöneticisi → oturum sonlandırma adımları hazır.

Ransomware Dayanıklılığı

  • Harici yedek diski yalnız gerektiğinde tak, sonrasında fiziksel olarak ayır.

  • Yedeklerden geri dönüş denemesi (restore test) yap: 1 dosya + 1 klasör.

Dijital Miras (opsiyonel)

  • Google/Apple hesap etkin olmayan yönetici/mirasçı ayarı.

  • Parola yöneticisinde acil erişim kişisi.

Ek Bölümler (İhtiyaca Göre)

e-Devlet / e-Nabız için özel

  • Giriş bildirimleri ve MFA açık.

  • “Güvenli cihazlar/oturumlar” ekranını ayda 1 temizle.

  • Bilinmeyen cihaz/giriş görürsen derhâl şifre değiştir + CİMER/USOM’a bildirim.

Seyahat Modu

  • Banka uygulamalarında yurt dışı işlem uyarıları.

  • Parola yöneticisinde Seyahat Kasası (gerekli en az giriş).

  • Genel (cafe vb.) Wi-Fi’de VPN kullan; hassas işlemleri mobil veriyle yap.

Ödeme Güvenliği

  • Sanal kart/harcama limiti düşük kart ile online alışveriş.

  • 3D Secure ve işlem bildirimleri açık.

Hızlı Referans – Tek Sayfalık Mini Liste

  • MFA her yerde + yedek kodlar kasada

  • Parola yöneticisi + benzersiz parolalar

  • Telefon/PC güncel + disk şifreleme

  • Modem güçlü parola + WPA2/3 + misafir ağ

  • 3-2-1 yedek + restore testi

  • Uygulama izinleri temizlik

  • HIBP & KVKK ihlal kontrolü

  • Dolandırıcılık “acil para/IBAN” → başka kanalla doğrula

  • e-Devlet/e-Nabız sadece resmi adres, bildirimler açık