Türkiye'de Siber Güvenlik: USOM, TR-CERT, BDDK SEP ve Yazılım Tedarikçileri
USOM ve TR-CERT
USOM (Ulusal Siber Olaylara Müdahale Merkezi), BTK bünyesinde faaliyet gösteren Türkiye'nin siber olay koordinasyon merkezi. Temel görevleri:
Kamu kurumları ve kritik altyapı sektörlerinde siber olayların bildirim ve koordinasyonu
Siber tehdit istihbaratı yayımı (CVE'lerin Türkiye'ye etkisi, hedefli saldırı uyarıları)
Sektör bazlı TR-CERT takımlarının koordinasyonu (bankacılık TR-CERT, enerji TR-CERT, iletişim TR-CERT)
Kritik altyapı sektöründeki şirketler (enerji, su, iletişim, finans, sağlık, ulaştırma, kamu, savunma) USOM'a siber olay bildirimi yapmakla yükümlü — olayı öğrendikten sonra 24 saat içinde. KVKK Madde 12/5'teki bildirim yükümlülüğüyle paralel çalışır.
Yazılım tedarikçileri için pratik sonuç: müşteriniz kritik altyapı sektöründeyse, siber olay bildirimi tedariki zinciri kapsamına girer. Sözleşmede "tedarikçi olay bildirimi yükümlülüklerini 4 saat içinde müşteriye iletir" tipi açık madde olmalı.
BDDK SEP — bankacılık ve ödeme hizmetleri
BDDK (Bankacılık Düzenleme ve Denetleme Kurumu) Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik çerçevesinde bankalar ve ödeme kuruluşları için SEP (Sistemler ve Süreçler) sertifikasyonunu zorunlu kılmış durumda. Kapsam:
Bilgi güvenliği yönetim sistemi (ISO 27001 ile uyumlu)
Uygulama geliştirme güvenliği (Secure SDLC)
Değişiklik yönetimi
Dış tedarikçi yönetimi — yazılım tedarikçileri dahil
Olay müdahale ve iş sürekliliği
Veri koruma (KVKK Madde 12 ile uyumlu)
BDDK SEP bağımsız denetim kuruluşu tarafından yıllık denetlenir. Tipik denetim firmaları: BSI Group, KPMG, PwC, Deloitte. Yazılım tedarikçisi olarak bir bankayla sözleşme yapıyorsanız, denetim sürecinin parçası olacağınızı — müşterinin denetçisine sistem dokümantasyonu, kod örnekleri ve güvenlik uygulamaları sunmanız gerekeceğini — bilmelisiniz.
ISO 27001 — standart referans
ISO 27001 Türkiye'de en yaygın referans alınan bilgi güvenliği yönetim sistemi standardı. BDDK SEP, Sağlık Bakanlığı BGYS ve birçok kurumsal due diligence süreci ISO 27001 sertifikasyonu sorar.
Bir yazılım tedarikçisi için:
Kapsamı, hedefleri ve sorumlulukları tanımlı belgelenmiş bir ISMS
Yıllık güncellenen risk yönetim planı
Erişim kontrol, değişiklik yönetimi, olay müdahale, iş sürekliliği politikaları
Bağımsız iç ve dış denetim
Sertifikasyon tek yol değil ama herhangi bir ISO 27001 sertifikalı müşteri ile çalışan sertifikasız tedarikçi aynı inceleme altından sözleşmesel eşdeğerlik kanıtıyla geçer — çoğu zaman daha ağır iş.
Güvenli yazılım geliştirme yaşam döngüsü (Secure SDLC)
Savunulabilir bir süreç en azından şu unsurları içerir:
Proje başında tehdit modellemesi. Uygulamaya yönelik olası saldırı vektörlerinin yapılandırılmış analizi. STRIDE ya da PASTA yaygın yöntemler. Çıktı, backlog'a giren önceliklendirilmiş bir güvenlik gereksinimleri listesi.
Güvenli kodlama rehberi. Geliştirme için bağlayıcı kurallar — dile ve framework'e özgü. Web uygulamaları için: girdi doğrulama, güvenli oturum yönetimi, kriptografik temellerin doğru kullanımı, OWASP Top Ten koruması.
Pipeline'da Statik Uygulama Güvenlik Testi (SAST). Her commit'te kaynak kodun otomatik analizi. Semgrep, SonarQube veya uzmanlaşmış dil linter'ları gibi araçlar bilinen güvensiz kodlama kalıplarını yakalar.
Dinamik Uygulama Güvenlik Testi (DAST). Bir test ortamına karşı çalışma zamanı testleri. OWASP ZAP ya da Burp Suite gibi araçlar çalışan uygulamayı zafiyet taraması.
Yazılım Bileşen Analizi (SCA). Eklenen açık kaynak kütüphanelerinin bilinen zafiyetler için analizi. Dependabot, Snyk ya da Trivy standart talebi karşılar.
Canlıya alma öncesi sızma testi. Bağımsız bir denetçi (dış, geliştirici değil) uygulamayı güncel saldırı örüntülerine karşı test eder. Kritik uygulamalar için yıllık tekrarlanır. Türkiye'de sertifikalı sızma testi sağlayıcıları: STM, Natek, Lostar, Siber Yıldız, BG-TECH.
Bu unsurların hiçbiri tek başına pahalı değil. Hepsi birlikte "güvenliğe dikkat ediyoruz" ile savunulabilir bir güvenlik mimarisi arasındaki farktır.
İşe yarayan sözleşme maddeleri
Genel güvenlik maddeleri değersiz. Spesifik maddeler müzakerede az maliyetlidir ve zarar durumunda çok — ters oranda.
Etkili formülasyon örnekleri:
"Yüklenici CI/CD pipeline'ında SAST ve SCA çalıştırır ve kritik bulguları üretim yayınından önce belgeler."
"Yüklenici canlıya almadan önce bağımsız bir denetçi tarafından yapılacak dış sızma testini sağlar. Test raporu müşteriye teslim edilir."
"Kullanılan bir bileşende güvenlik açığı öğrenilmesi durumunda müşteri 24 saat içinde bilgilendirilir."
"Kaynak kod belgelenmiş bir güvenli kodlama politikası altında geliştirilir, bu politika talep üzerine müşteriye sunulur."
Bu maddeler icra edilebilir. Genel "yüklenici uygun güvenlik sağlar" maddesi anlaşmazlık durumunda değildir.
Sızma testi — kapsam ve sınırlar
Sızma testi kapsamlı bir güvenlik ispatı değil. Tanımlı bir saldırı vektörüne karşı, tanımlı bir zaman dilimi içinde hedefli test. Web uygulamaları için tipik kapsam:
Siyah kutu (denetçi sadece URL'yi bilir): dışarıdan görünen saldırı yüzeyi.
Gri kutu (denetçi kullanıcı hesabına sahip): B2B uygulamalar için gerçekçi senaryo.
Beyaz kutu (denetçi kod erişimine sahip): derin, daha çok ortaya çıkarır, pahalı.
B2B web uygulamaları için 5–10 iş günü gri kutu testi en ekonomik giriş. Rapor tespit edilen zafiyetleri kritiklik değerlendirmesiyle (genelde CVSS) ve giderim önerileriyle içerir.
Önemli: sızma testi açığı bulur, düzeltmez. Giderim geliştirme bütçesinin parçasıdır — ilk üretken sızma testi sonrası yama için %10–20 ek efor plana eklenmeli.
D'Cloud'un güvenliği operasyonel kılma biçimi
Standart uygulamamız: her pipeline'da SAST ve SCA. Proje başında zorunlu tehdit modellemesi. OWASP ASVS Seviye 2 temelli güvenli kodlama rehberi standart uygulamalar için, kritik ürünler için Seviye 3. Her büyük yayım öncesinde CREST ya da OSCP sertifikalı ortak üzerinden dış sızma testi.
Sözleşmesel: eser sözleşmesi ekine özel güvenlik maddeleri, 24 saat olay müdahale zaman penceresi, mimari ve kritik tasarım kararları için belgeleme yükümlülüğü. Güvenlik angajmanları siber güvenlik portföyümüzün parçası ve DevOps ve bulut altyapı ile ayak takibiyle yürür.
Sonraki adım
Kuruluşunuz USOM bildirim yükümlülüğü veya BDDK SEP/ISO 27001 sertifikasyonu hazırlığı altındaysa, mevcut yazılım tedariki yapılarının yapılandırılmış bir değerlendirmesi zaman kazandırır. Hangi tedarikçilerin hangi güvenlik hükümleri sözleşmede var? Ücretsiz online keşif görüşmesi planlayın — denetçi sormadan önce mevcut durumu inceleriz. Veri koruma katmanı için KVKK uyumlu yazılım geliştirme yazısı tamamlayıcı — KVKK Madde 12 ve BDDK SEP konu olarak iç içe geçiyor.
Sık sorulan sorular
Mühendislerimizin bireysel olarak ISO 27001 sertifikalı olması gerekir mi?
Zorunlu değil. Sertifikalı tedarikçi organizasyonlar kendi uyum yükünüzü belirgin biçimde azaltır. Kendiniz ISO 27001 ya da TISAX taşıyorsanız, kritik tedarikçiler karşılık gelen sertifikasyonu taşımalı ya da eşdeğer bir ISMS göstermelidir.
USOM bildirim yükümlülüğü 50 çalışanın altındaki KOBİ için de geçerli mi?
Kritik altyapı sektöründe (enerji, iletişim, finans, sağlık) çalışanlar büyüklükten bağımsız kapsamda. Diğer sektörlerde doğrudan değil — ancak kritik altyapı müşterisinin tedarikçisi iseniz, sözleşmeye göre olay bildirimi yapacaksınız.
Sızma testi ne sıklıkla tekrarlanmalı?
Kritik uygulamalar için yıllık ya da önemli değişiklik sonrası. Daha az kritik uygulamalar için iki yılda bir. Büyük mimari değişiklik sonrası her zaman — son test yakın zamanda olsa bile.
Orta ölçekli bir web uygulaması için dış sızma testi ne tutar?
Piyasa fiyatlandırması kapsam ve denetçi nitelikleriyle değişir. Somut teklifler kapsam hizalamasından (etkilenen bileşenler, test derinliği, test günleri) sonra gelir. 5 iş günü altı test efor, kritik uygulamalar için yeterli derinlik sağlamaz.
SAST ve SCA'yı iç olarak çalıştırabilir miyiz?
Evet ve çalıştırmalısınız. Dependabot (GitHub'da ücretsiz), Trivy ya da SonarCloud gibi araçlar temel talebi karşılar. Daha önemli yatırım araçtan çok, bulguları zamanında değerlendirip giderme sürecidir.