Müşterilerinizden garip e-postalar aldığınıza dair şikayetler geliyor. Ya da muhasebe yazılımınız açılmıyor ve ekranda anlamadığınız bir mesaj var. Belki de web siteniz, girdiğinizde sizi başka bir sayfaya yönlendiriyor. Bu senaryolardan herhangi biri gerçekleşiyorsa, büyük ihtimalle bir siber saldırıya maruz kaldınız. Bu an, kritik kararların verilmesi gereken bir an. Doğru adımlar hasarı sınırlar, yanlış adımlar ise durumu katlanarak kötüleştirir. Bu rehber, saldırı anında ve sonrasında yapmanız gerekenleri adım adım anlatıyor. İlk 15 Dakika: Yayılmayı Durdur 1. Etkilenen cihazları ağdan izole edin. Ethernet kablosunu fiziksel olarak çıkarın. Wi-Fi'ı kapatın. Ama cihazı kapatmayın — bellekteki kanıtlar adli analiz için değerli olabilir. 2. Diğer cihazları kontrol edin. Saldırı tek bir bilgisayarda mı yoksa ağa yayılmış mı? Diğer çalışanların bilgisayarlarında aynı belirtiler var mı? 3. Admin hesaplarının güvenliğini sağlayın. Admin parolalarını hemen değiştirin — saldırgan admin erişimi elde ettiyse, onu kilitlemek birinci öncelik. Mümkünse farklı, etkilenmemiş bir cihazdan yapın. 4. Ekran görüntüsü ve not alın. Fidye notu, hata mesajları, şüpheli dosyalar — gördüğünüz her şeyin ekran görüntüsünü alın. Zaman damgası önemli: ne zaman fark ettiniz, ilk belirti ne zaman başladı? İlk 1 Saat: Durumu Değerlendir 5. Saldırı türünü belirlemeye çalışın. Fidye yazılımı mı (dosyalar şifreli, fidye notu var)? Hesap ele geçirme mi (e-posta hesabından sizin göndermediğiniz mesajlar gidiyor)? Web sitesi saldırısı mı (site defaced veya yönlendirme yapıyor)? Veri sızıntısı mı (müşteri verileri dışarı çıkmış)? 6. Etkilenen sistemlerin kapsamını belirleyin. Hangi sunucular, bilgisayarlar, hesaplar etkilenmiş? Hangi veriler risk altında? Müşteri verileri, finansal kayıtlar, çalışan bilgileri — hangisi tehlikede? 7. Yedeklerin durumunu kontrol edin. Yedekler etkilenmiş mi? Son başarılı yedek ne zaman alınmış? Yedekler ağdan izole mi (fidye yazılımı ulaşamamış mı)? İlk 24 Saat: Profesyonel Destek ve Yasal Bildirimler 8. Profesyonel siber güvenlik desteği alın. Kendi başınıza çözmeye çalışmak, delilleri yok edebilir veya durumu kötüleştirebilir. Deneyimli bir siber güvenlik ekibi, saldırının kaynağını tespit eder, hasarı değerlendirir ve kurtarma sürecini yönetir. 9. Yasal bildirimleri yapın. KVKK kapsamında kişisel veri ihlali varsa, 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim zorunlu. Siber suç işlendiğine dair emniyet veya savcılığa şikayette bulunun. Sigorta şirketinize bilgi verin (siber sigorta poliçeniz varsa). 10. İletişim planını aktifleştirin. Etkilenen müşterileri bilgilendirmeniz gerekebilir — hem KVKK zorunluluğu hem de güven ilişkisi açısından. İletişimde şeffaf ama kontrollü olun. Ne olduğunu, ne yaptığınızı ve müşterilerin ne yapması gerektiğini (parola değiştirme gibi) açıkça belirtin. İlk 1 Hafta: Kurtarma ve Restorasyon 11. Temiz yedekten geri yükleme. Etkilenen sistemleri silip temiz yedekten geri yükleyin. Saldırıdan önceki son temiz yedeği kullanın. Dikkat: saldırganın ne zaman sisteme girdiğini bilmeden, hangi yedeğin temiz olduğunu varsaymayın — adli analiz bu soruyu cevaplamalı. 12. Saldırı vektörünü kapatın. Saldırgan nasıl girdi? Phishing mi, güvenlik açığı mı, zayıf parola mı? Bu giriş noktası kapatılmadan sistemi geri yüklemek, saldırganı tekrar davet etmek demek. 13. Tüm parolaları değiştirin. Sadece admin parolalarını değil, tüm kullanıcı parolalarını sıfırlayın. MFA aktif değilse, bu vesileyle tüm kritik hesaplarda MFA'yı zorunlu kılın. 14. Güvenlik yamalarını uygulayın. Tüm yazılımları güncelleyin. Özellikle saldırının istismar ettiği açığı yamayın. İlk 1 Ay: Analiz ve İyileştirme 15. Olay sonrası analiz (post-mortem) yapın. Ne oldu? Nasıl oldu? Neden önlenemedi? Bu sorulara dürüst cevaplar vermek, gelecekteki saldırıları önlemenin temelidir. Suçlu aramak değil, sistem açıklarını bulmak amaç. 16. Güvenlik iyileştirmelerini uygulayın. Post-mortem'den çıkan bulgulara göre güvenlik önlemlerini güçlendirin. Eksik olan kontrolleri (MFA, yedekleme, segmentasyon, eğitim) tamamlayın. 17. Çalışan eğitimini güncelleyin. Yaşanan olay, çalışan eğitimi için en etkili materyal. Gerçek saldırıyı (hassas detaylar çıkarılarak) vaka çalışması olarak kullanın. 18. Güvenlik denetimi yaptırın. Saldırı sonrası kapsamlı bir güvenlik denetimi veya sızma testi, kapatılamayan başka açıkların olup olmadığını doğrular. Yapmamanız Gereken 5 Şey 1. Panik yapmak ve rastgele dosyalar silmek. Kanıtları yok edersiniz. Adli analiz için deliller korunmalı. 2. Fidye ödemek. Verilerin geri geleceğinin garantisi yok. Tekrar hedef olma olasılığı artar. Suç örgütünü finanse edersiniz. 3. Olayı gizlemeye çalışmak. KVKK kapsamında bildirim zorunluluğu var. Gizleme, yasal yaptırımları ve itibar zararını katlar. 4. Etkilenen sistemi formatlayıp hemen kullanmaya devam etmek. Saldırı vektörü belirlenmeden sistemi geri yüklemek, aynı saldırıyı tekrar yaşamak demek. 5. "BT'ci halleder" diyerek geçiştirmek. Bir siber saldırı, tüm şirketin meselesidir. Yönetim, hukuk, iletişim ve operasyon dahil — çok yönlü bir kriz yönetimi gerektirir. Olay Müdahale Planı: Saldırıdan Önce Hazırlık En iyi kriz yönetimi, kriz olmadan önce yapılan hazırlıktır. Her işletmenin, ölçeğine uygun bir olay müdahale planı olmalı. Planın içermesi gerekenler: Olay müdahale ekibi (kim, hangi rolde, iletişim bilgileri), saldırı türüne göre müdahale prosedürleri, yedek ve geri yükleme prosedürleri, iletişim şablonları (müşteri bildirimi, KVKK bildirimi, basın açıklaması), dış destek iletişim bilgileri (siber güvenlik firması, avukat, sigorta). Planı düzenli test edin. Masa başı tatbikatı (tabletop exercise) yapın: hayali bir senaryo üzerinden planı adım adım uygulayın, boşlukları tespit edin. Sonuç Bir siber saldırıya uğramak utanılacak bir şey değil — dünyanın en büyük şirketleri bile saldırıya uğruyor. Önemli olan, saldırıya hazırlıklı olmak ve gerçekleştiğinde doğru adımları doğru sırada atmak. Eğer şu an bir saldırı yaşıyorsanız, bu rehberdeki adımları izleyin ve en kısa sürede profesyonel destek alın. Eğer henüz bir saldırı yaşamadıysanız, bugün bir olay müdahale planı hazırlayarak o günün geldiğinde hazırlıksız yakalanmayacağınızdan emin olun. Diyarbakır'da siber olay müdahale desteği ve güvenlik denetimi için VefaSoft ile iletişime geçebilirsiniz.
İlgili Yazılar:
KOBİ'ler İçin Siber Güvenlik: Nereden Başlamalı? Fidye Yazılımı (Ransomware) Nedir? Korunma Yöntemleri Siber Saldırı Türleri: Phishing'den Ransomware'e Tam Liste Diyarbakır'da Siber Güvenlik: Yerel İşletmeler İçin Rehber