Şirketlerin faaliyeti ve iş yapış şekilleri, şirketlerin bünyesinde mevcut üretim, pazarlama, reklam, satış, taşıma, iletişim gibi tüm birimler teknoloji ve dijitalleşme ile yeniden yapılandırılmıştır. Bu husus şirketler için büyük ilerleme sağlasa da aynı zamanda yeni risklerin özellikle dijital risklerin oluşumunu da beraberinde getirmiştir.
Hem dünya genelinde hem de Türkiye’de son yıllarda meydana gelen siber saldırıların sayısı ve niteliğinde ciddi artışlar gerçekleşmiştir. Fidye yazılımları, oltalama girişimleri, iş e-postalarının ele geçirilmesiyle yapılan ödeme talimatı dolandırıcılıkları ve yapay zekâ destekli kimlik taklidi (deepfake) yöntemleri, şirketlerin finansal ve operasyonel güvenliğini doğrudan tehdit eder boyutlara ulaşmıştır. Bu siber saldırılar ise ekonomik kayıplara yol açtığı gibi kişisel verilerin ele geçirilmesi ticari itibar kaybı gibi sonuçlara da yol açmaktadır.
Bu gelişmeler ışığında ülkemizde de siber güvenliğe ilişkin kapsamlı düzenleme ihtiyacı ortaya çıkmış ve bu doğrultuda 19.03.2025 tarihinde Resmî Gazete’de yayımlanan 7545 sayılı Siber Güvenlik Kanunu yürürlüğe girmiştir. Kanun ile mevcut ve muhtemel siber saldırıların tespit edilmesi, önlenmesi ve etkilerinin en aza indirilmesi; kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları ile gerçek ve tüzel kişilerin siber tehditlere karşı korunması amacıyla gerekli kurumsal yapıların ve yükümlülüklerin oluşturulması hedeflenmiştir.
A. Siber Güvenlik Açıkları ve Risk Türleri:
Yetersiz güvenlik politikaları, insan kaynaklı hatalar, hizmet sağlayıcılardan kaynaklı eksiklikler gibi nedenlerle siber güvenlik açıkları meydana gelebilmekte ve bu açıklar kötü niyetli kişiler tarafından kullanıldığında şirketlerin ekonomik kayba uğramasına ve şirketler için hukuki sorumlulukların doğmasına yol açabilmektedir.
Güncellenmeyen yazılımlar, güçlü parola kullanılmaması, kimlik doğrulama eksiklikleri, yetersiz ağ güvenliği, log kayıtlarının tutulmaması veya analiz edilmemesi, çalışanların hataları ve bilinçsiz işlemleri, dış kaynaklı hizmetlerin yeterince denetlenmemesi şirketlerin bilgi sistemlerinde en sık karşılaşılan risklerdir.
Bunun yanı sıra dijitalleşmenin ilerlemesi siber saldırı yöntemlerini de çeşitlendirmiştir. Şirket çalışanlarına gönderilen sahte e-posta ve siteler aracılığı ile hesap bilgilerine erişilmesi, iş e postalarının ele geçirilmesi ve bu yolla sahte ödeme talimatları oluşturulması, sistemlerin kilitlenmesi ve verilerin şifrelenerek karşılığında fidye talep edilmesi yeni nesil dolandırıcılık yöntemlerinin en ön planda olanlarıdır.
B. Şirketlerin Yeni Nesil Dolandırıcılıklara Karşı Hukuki Yükümlülükleri:
Teknolojik gelişmelerin hızla ilerlemesi ve buna bağlı olarak siber saldırıların çeşitlenmesi karşısında şirketlerin yalnızca teknik tedbirler değil aynı zamanda hukuki tedbirler de alması zorunlu hale gelmiştir. Bu kapsamda, 7545 sayılı Siber Güvenlik Kanunu, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili ikincil düzenlemeler, şirketlere siber güvenliğe ilişkin çok yönlü yükümlülükler getirmektedir. Mevzuatın getirdiği yükümlülüklere uyulmamasının ise hem idari hem de cezai sorumluluğu bulunmaktadır.
Şirketler öncelikle bilgi işlem ve sistemleri hakkında mevcuttaki ve ileride oluşabilecek muhtemel tehdit ve riskleri belirleyebilmek için düzenli risk analizi yaptırmalıdır. Bu risk analizlerinin sonuçları ile kurum içi ve dışarıdan gelebilecek tehditlere karşı güvenlik politikası oluşturmak zorundadır. Güvenlik politika ve prosedürlerinin yazılı olarak hazırlanması; erişim yönetimi, yetkilendirme, şifreleme, log kayıtlarının tutulması ve ağ güvenliğine ilişkin kuralların açıkça belirlenmesi KVKK ve Siber Güvenlik Kanunu kapsamında temel bir yükümlülüktür. Ayrıca bu politika ve prosedürlerin çalışanlara duyurulması ve uygulamanın sağlanması idari sorumluluk açısından önemlidir.
Şirketler aynı zamanda siber olaya yönelik müdahale ekibinin oluşturulması, sızma testlerini düzenli aralıklarla yapılması, tespit halinde derhal giderilmesi ve olaya ilişkin kayıtların belirli sürelerle tutulması için organizasyon oluşturması gerekmektedir. Kişisel verilerin işlendiği sistemlerde oluşan siber saldırıları sonucunda veri ihlali gelmesi halinde 72 saat içerisinde Kişisel Verileri Koruma Kurulu’na bildirim yapması gerekmektedir. Bildirim yapılmaması veya geç yapılması, ağır idari para cezalarıyla sonuçlanabilmektedir.
C. SONUÇ
Teknolojinin hızla ilerlemesi, siber güvenlik tehditlerini de her geçen gün artırmaktadır. Bu nedenle şirketlerin tüm operasyonel süreçleri, dijital altyapıları saldırının hedefi haline gelmektedir. Bu nedenle şirketlerin siber güvenlik politikalarını yalnızca teknik bir konu olarak değil, kurumsal risk yönetimi ve hukukî uyumun temel bir unsuru olarak ele alması zorunludur.
7545 sayılı Siber Güvenlik Kanunu, KVKK ve ilgili ikincil düzenlemeler, şirketlere hem teknik hem de idari açıdan kapsamlı yükümlülükler yüklemektedir. Bu kapsamda şirketler, siber saldırı ve riskler kapsamında risk analizi yapmak, güvenlik politikalarını ve prosedürlerini oluşturmak, log kayıtlarını tutmak, ihlal durumunda bildirim yapmak, çalışan farkındalığını artırmaya yönelik işlemler yapmak ve riskin oluşması durumunda hareket planlarını hazırlamakla yükümlüdürler.
Kıdemli Av. Betül Önal Payze
