"Biz küçük bir firmayız, kim bizi hacklesin ki?" Bu cümle, Türkiye'deki KOBİ'lerin siber güvenlik konusundaki en yaygın ve en tehlikeli yanılgısı. Gerçek tam tersi: siber saldırganlar büyük şirketlerin kalın savunma duvarlarıyla uğraşmak yerine, güvenlik altyapısı zayıf olan küçük ve orta ölçekli işletmeleri özellikle tercih ediyor. Küresel verilere göre siber saldırıların önemli bir kısmı KOBİ'leri hedef alıyor ve bu saldırılara maruz kalan küçük işletmelerin ciddi bir bölümü saldırıdan sonraki altı ay içinde faaliyetlerini durdurmak zorunda kalıyor. Bunun sebebi basit: büyük şirketlerin olay müdahale ekipleri, siber sigorta poliçeleri ve kriz yönetim bütçeleri var. Bir KOBİ'nin bunların hiçbiri olmadan bir fidye yazılımı saldırısından kurtulması çok daha zor. Bu rehber, Diyarbakır'daki ve Türkiye'deki KOBİ'ler için siber güvenliğe nereden, nasıl ve hangi bütçeyle başlanacağını adım adım anlatıyor. Neden KOBİ'ler Hedefte? KOBİ'lerin saldırganlar için cazip olmasının somut sebepleri var: Güvenlik bütçesi yok veya çok düşük. Çoğu KOBİ, BT bütçesinin tamamını iş süreçlerini yürütmeye harcıyor. Güvenlik ayrı bir kalem olarak bile planlanmıyor. Bu, kapısı açık bir dükkan gibi — hırsız için davetiye. Tam zamanlı BT personeli yok. 10-50 kişilik bir firma genellikle BT işlerini "bilgisayardan anlayan" bir çalışana veya dışarıdan gelen bir teknik servise bırakıyor. Bu kişilerin siber güvenlik uzmanlığı olması beklenmemeli. Değerli veri barındırıyorlar. Müşteri bilgileri, finansal kayıtlar, tedarikçi anlaşmaları, çalışan TC kimlik numaraları — bir KOBİ'nin veritabanında saldırgan için son derece kıymetli veriler bulunuyor. Büyük şirketlere giriş kapısı olabiliyorlar. Tedarik zinciri saldırılarında, büyük şirketin doğrudan sistemine sızmak yerine, o şirketle çalışan küçük bir tedarikçi hedef alınıyor. KOBİ üzerinden büyük şirkete uzanan bu saldırı yolu giderek daha sık kullanılıyor. Saldırı sonrası toparlanma kapasiteleri düşük. Yedekleri yoksa, olay müdahale planları yoksa, siber sigortaları yoksa — bir KOBİ için ciddi bir siber saldırı, iş sürekliliğini doğrudan tehdit eder. 10 Adımda KOBİ Siber Güvenlik Yol Haritası Adım 1: Neyi Korumanız Gerektiğini Belirleyin Her şeyi aynı seviyede korumaya çalışmak hem maliyetli hem de verimsiz. Önce kritik varlıklarınızı belirleyin: Müşteri veritabanı, finansal kayıtlar (muhasebe yazılımı verileri), çalışan kişisel bilgileri, ticari sırlar (fiyatlandırma, tedarikçi anlaşmaları), web sitesi ve e-ticaret altyapısı, e-posta hesapları, dosya sunucusu veya bulut depolama. Bu listeyi çıkardıktan sonra her varlık için kendinize sorun: "Bu veriye erişilemezse işimiz durur mu? Bu veri sızarsa yasal sonuçları ne olur?" Cevabı "evet" olan her şey, öncelikli koruma altına alınmalı. Adım 2: Temel Güvenlik Hijyeni Karmaşık çözümlere geçmeden önce, temel hijyen kurallarını uygulayın. Bunlar ücretsiz veya çok düşük maliyetli adımlar: Tüm varsayılan parolaları değiştirin — modem, yazıcı, güvenlik kamerası, yönetim panelleri dahil. Her çalışan için ayrı hesap ve parola oluşturun; ortak hesap kullanmayın. Parola politikası belirleyin: minimum 12 karakter, karmaşıklık zorunluluğu, 90 günde bir değişim. İşten ayrılan çalışanların hesaplarını aynı gün devre dışı bırakın. Masa başında bilgisayar başından kalkılırken ekran kilidi alışkanlığı edindirin. Adım 3: Çok Faktörlü Kimlik Doğrulama (MFA) Bu tek başına siber saldırıların büyük çoğunluğunu engeller. E-posta hesapları (özellikle admin hesapları), bulut servisleri (Google Workspace, Microsoft 365), muhasebe ve ERP yazılımları, uzaktan erişim (VPN, RDP), sosyal medya hesapları — hepsinde MFA aktif olmalı. Google Authenticator veya Microsoft Authenticator gibi ücretsiz uygulamalar yeterli. SMS doğrulamayı mümkünse kullanmayın çünkü SIM swap saldırılarına açık. Adım 4: Yedekleme Stratejisi (3-2-1 Kuralı) 3-2-1 kuralı: verilerinizin 3 kopyası, 2 farklı ortamda, 1 tanesi fiziksel olarak farklı lokasyonda. Pratikte bu şöyle görünür: birincil veri iş bilgisayarında/sunucuda, ikinci kopya harici diske (haftalık), üçüncü kopya bulut yedekleme servisine (günlük otomatik). Yedeklerin çalıştığını düzenli olarak test edin — yedek almak yetmez, geri yükleme testi yapmak zorundasınız. Ayda bir, rastgele bir dosyayı yedekten geri yükleyin ve doğrulayın. Fidye yazılımı saldırılarında yedekler hayat kurtarır. Ama dikkat: fidye yazılımları ağa bağlı yedekleri de şifreleyebilir. Bu yüzden en az bir yedeğiniz ağdan izole (offline) olmalı. Adım 5: Yazılım Güncellemeleri ve Yama Yönetimi Bilinen güvenlik açıklarını hedef alan saldırıların büyük çoğunluğu, güncellenmemiş yazılımlardaki zafiyetleri kullanıyor. İşletim sistemi otomatik güncellemelerini açın. Web tarayıcılarını güncel tutun. WordPress, Joomla veya benzeri CMS kullanıyorsanız eklentileri düzenli güncelleyin. Kullanılmayan yazılımları kaldırın — her yazılım potansiyel bir saldırı yüzeyi. Windows 7, Office 2010 gibi desteği sona ermiş ürünleri hâlâ kullanıyorsanız, bunlar artık güvenlik yaması almıyor ve ciddi bir risk oluşturuyor. Adım 6: E-posta Güvenliği E-posta, siber saldırıların en yaygın giriş noktası. Temel önlemler şöyle özetlenebilir. SPF, DKIM ve DMARC kayıtlarını DNS'e ekleyin — bu, e-postanızın taklit edilmesini zorlaştırır. Spam filtresini aktif ve güncel tutun. Çalışanlara şüpheli e-posta örnekleri gösterin — bir seferlik eğitim değil, düzenli hatırlatma. Fatura, ödeme talimatı veya parola sıfırlama içeren e-postalarda, e-posta dışı bir kanaldan (telefon gibi) doğrulama yapma alışkanlığı kazandırın. Toplu e-posta göndermek için şirket e-postasını kullanmayın — bu, domain'inizin spam listesine düşmesine neden olabilir. Adım 7: Ağ Güvenliği Temelleri Modem/router'ın varsayılan admin parolasını değiştirin, firmware'ini güncelleyin. Misafir Wi-Fi'yı iş ağından ayırın (ağ segmentasyonu). Wi-Fi şifrelemesinde WPA3 veya en azından WPA2 kullanın, WEP kesinlikle kullanmayın. Uzaktan erişim gerekliyse VPN kullanın, RDP'yi doğrudan internete açmayın çünkü RDP (Remote Desktop Protocol) en çok istismar edilen servislerden biri. Kullanılmayan portları güvenlik duvarında kapatın. Adım 8: Çalışan Farkındalık Eğitimi Teknik çözümler ne kadar güçlü olursa olsun, bir çalışanın şüpheli bir bağlantıya tıklaması tüm güvenliği devre dışı bırakabilir. Çalışan eğitimi en yüksek getirili güvenlik yatırımıdır. İşe alım sürecinde temel siber güvenlik oryantasyonu verin. Üç ayda bir kısa hatırlatma eğitimleri düzenleyin (15-20 dakikalık, pratik, gerçek örneklerle). Phishing simülasyonu yapın: sahte bir oltalama e-postası gönderip kaç çalışanın tıkladığını ölçün. Sosyal mühendislik farkındalığı: telefonda veya yüz yüze bilgi talep eden kişilerin kimliğini doğrulama refleksi. "Hata yapan cezalandırılır" değil, "fark eden ödüllendirilir" kültürü oluşturun. Ceza korkusu, çalışanların güvenlik ihlallerini gizlemesine neden olur. Adım 9: KVKK Uyumluluğu KVKK sadece büyük şirketler için değil — kişisel veri işleyen her ticari işletme KVKK kapsamında. Temel yükümlülükler şunları kapsar. VERBİS kaydı (zorunlu kategorideyseniz). Aydınlatma metni hazırlama ve yayınlama. Kişisel veri envanteri çıkarma. Veri işleme süreçlerini belgelendirme. Veri ihlali durumunda 72 saat içinde KVKK'ya bildirim. Teknik ve idari tedbirleri alma ve belgelendirme. Uyumsuzluğun cezası yüz binlerce TL'ye ulaşabiliyor. Daha da önemlisi, bir veri ihlali durumunda yasal tedbirleri almamış olmak, tazminat davalarında işletmeyi savunmasız bırakıyor. Adım 10: Güvenlik Denetimi ve Sızma Testi Tüm bu adımları uyguladıktan sonra, gerçekten güvende olup olmadığınızı doğrulamanın tek yolu profesyonel bir güvenlik denetimidir. Güvenlik açığı taraması (vulnerability scan): otomatik araçlarla bilinen zafiyetlerin taranması. Düzenli ve düşük maliyetli. Sızma testi (penetration test): bir güvenlik uzmanının saldırgan gibi davranarak sisteminize sızmaya çalışması. Daha kapsamlı, daha pahalı ama çok daha değerli. Yılda en az bir kez güvenlik açığı taraması, kritik değişikliklerden sonra (yeni yazılım, altyapı değişikliği) ise sızma testi önerilir. Bütçe Dostu Siber Güvenlik: Ne Kadar Harcamalı? KOBİ'lerin en çok sorduğu soru bu. Cevap, şirketin büyüklüğüne ve risk profiline göre değişir ama genel bir çerçeve çizilebilir: Sıfır maliyet (hemen yapılabilir): Parola politikası, MFA aktivasyonu, yazılım güncellemeleri, varsayılan parolaların değiştirilmesi, işten ayrılan çalışan hesaplarının kapatılması. Düşük maliyet (yıllık birkaç bin TL): Bulut yedekleme servisi, antivirüs/endpoint protection lisansları, e-posta güvenlik filtresi. Orta maliyet (on binler TL seviyesi): Profesyonel güvenlik denetimi ve sızma testi, güvenlik duvarı yapılandırması, KVKK uyumluluk danışmanlığı, çalışan eğitim programı. Kural basit: BT bütçenizin en az yüzde 10-15'i güvenliğe ayrılmalı. Eğer BT bütçeniz 100.000 TL ise, 10.000-15.000 TL güvenlik için ayrılması makul bir başlangıç. Bu rakam, bir siber saldırının potansiyel maliyetinin yanında son derece mütevazı kalır. KOBİ'lerin En Sık Yaptığı 5 Hata 1. "Antivirüs yeterli" varsayımı. Antivirüs, güvenliğin sadece bir katmanı. Tek başına fidye yazılımına, phishing'e veya iç tehditlere karşı yeterli değil. 2. Yedekleme yapmamak veya test etmemek. Yedek almak yetmez — yedeğin geri yüklenebilir olduğunu test etmek zorunlu. Birçok işletme, saldırı sonrası yedeklerinin bozuk veya eksik olduğunu keşfediyor. 3. Eski yazılımları kullanmaya devam etmek. Windows 7, desteksiz CMS eklentileri, güncellenmemiş PHP sürümleri — bunlar bilinen açıklara sahip ve saldırganlar bu açıkları otomatize araçlarla tarıyor. 4. Tüm çalışanlara admin yetkisi vermek. Her çalışan, işini yapması için gereken minimum yetkiye sahip olmalı (en az ayrıcalık ilkesi). Muhasebecinin sunucu ayarlarına, satış ekibinin veritabanı yönetimine erişmesi gerekmez. 5. Olay müdahale planı olmaması. Bir saldırı anında ne yapılacağını bilmemek, panik, yanlış kararlar ve daha büyük hasar demek. Basit bir olay müdahale planı bile yoktan çok daha iyi. Nereden Başlamalı? İlk 30 Gün Planı Hemen bu haftadan itibaren uygulanabilecek somut bir 30 günlük plan: 1. Hafta: Tüm kritik hesaplarda (e-posta, banka, yönetim panelleri) MFA aktifleştirin. Varsayılan parolaları değiştirin (modem, yazıcı, kamera). İşten ayrılmış çalışanların hâlâ aktif hesabı var mı kontrol edin. 2. Hafta: Yedekleme stratejisi kurun. Bulut yedekleme servisi seçin, otomatik yedekleme başlatın. Bir geri yükleme testi yapın. 3. Hafta: Tüm yazılımları güncelleyin. Kullanılmayan yazılımları kaldırın. Wi-Fi şifresini değiştirin, misafir ağı ayırın. 4. Hafta: Çalışanlara 30 dakikalık bir farkındalık eğitimi verin. Temel konular: phishing nasıl tanınır, şüpheli durumda kime haber verilir, parola güvenliği. Bu dört haftalık plan, sıfır veya çok düşük bütçeyle uygulanabilir ve işletmenizin güvenlik seviyesini dramatik şekilde yükseltir. Sonuç Siber güvenlik, KOBİ'ler için artık "olsa iyi olur" kategorisinde bir konu değil. Dijitalleşen iş süreçleri, yasal zorunluluklar ve artan saldırı oranları, her ölçekteki işletmenin güvenliğini ciddiye almasını zorunlu kılıyor. İyi haber şu: başlamak için milyonlarca liralık bütçeye ihtiyacınız yok. Yukarıdaki 10 adımın ilk 5'i neredeyse sıfır maliyetle uygulanabilir ve tek başlarına bile riskinizi ciddi ölçüde azaltır. Diyarbakır'da KOBİ'lere özel siber güvenlik danışmanlığı ve güvenlik denetimi hizmetleri için VefaSoft ile iletişime geçebilirsiniz.
İlgili Yazılar:
Diyarbakır'da Siber Güvenlik: Yerel İşletmeler İçin Rehber Siber Güvenlik Nedir? 2026 Rehberi Şirketim Hacklendi, Ne Yapmalıyım? Adım Adım Kriz Rehberi E-Ticaret Siteleri İçin Siber Güvenlik Kontrol Listesi