KOBİ Siber Güvenlik Kontrol Listesi 2026 — İlk 24 Saat ve Ötesi
20 çalışanlı işletmeden 200 kişilik şirkete kadar uygulanabilir pratik siber güvenlik adımları. IT personeli olmadan da yapılabilecek kontroller, maliyet tabloları ve olay müdahale planı.
20 çalışanlı işletmeden 200 kişilik şirkete kadar uygulanabilir pratik siber güvenlik adımları. IT personeli olmadan da yapılabilecek kontroller, maliyet tabloları ve olay müdahale planı.
İçindekiler ▾
- KOBİ’ler Neden Hedef Alınıyor?
- Gerçek Senaryo: Muhasebe Bürosu
- Acil Kontroller — İlk 24 Saat
- ✅ 1. Admin Şifrelerini Değiştir
- ✅ 2. Çok Faktörlü Doğrulamayı (MFA) Aktif Et
- ✅ 3. Güncellemeleri Kontrol Et
- ✅ 4. Yedeği Test Et
- Ağ Güvenliği Kontrol Listesi
- Güvenlik Duvarı (Firewall)
- WiFi Güvenliği
- VPN
- Uç Nokta Güvenliği (Endpoint)
- Antivirüs / EDR
- Disk Şifreleme
- USB Politikası
- Veri Güvenliği ve Yedekleme
- 3-2-1 Yedekleme Kuralı
- KVKK Uyumluluğu
- İnsan Faktörü — En Zayıf Halka
- Güvenlik Farkındalık Eğitimi
- Phishing Simülasyonu
- Parola Politikası
- Ayrılan Personel Prosedürü
- Olay Müdahale Planı
- İlk 60 Dakika
- Ne Yapma
- Log Saklama
- Maliyet Tablosu
- Temel Koruma (0–5.000 TL/ay)
- Orta Seviye (5.000–15.000 TL/ay)
- Kurumsal (15.000+ TL/ay)
- Öncelik Sırası
KOBİ’ler büyük firmaların aksine özel güvenlik ekibi bulundurmuyor. Ama saldırganlar bunu biliyor. Otomatik tarama araçları, internet üzerindeki açık portları ve zayıf şifreleri 7/24 tarıyor — işletmenizin büyüklüğünü umursamadan. Bu listeyi tek seferlik bir kontrol olarak değil, üç ayda bir tekrar gözden geçireceğiniz canlı bir belge olarak kullanın.
KOBİ’ler Neden Hedef Alınıyor?
Büyük şirketlere saldırmak riskli ve emek ister. KOBİ’ler ise genellikle şu üç zayıflığı bir arada taşıyor: varsayılan şifreler değiştirilmemiş, güncellemeler geciktirilmiş, yedekleme ya yok ya düzensiz.
Verizon 2024 Data Breach Investigations Report’a göre veri ihlallerinin %43’ü küçük işletmeleri hedef alıyor. Türkiye’de BTK ve USOM verileri de benzer bir tabloyu ortaya koyuyor: muhasebe büroları, hukuk ofisleri, klinikler ve taşımacılık şirketleri düzenli hedefler arasında.
“Biz küçüğüz, kimse bize saldırmaz” — bu cümle her yıl onlarca KOBİ’yi fidye yazılımına kurban ediyor. Otomasyon araçları hedef seçmez; açık kapı arar.
Gerçek Senaryo: Muhasebe Bürosu
20 çalışanlı muhasebe bürosu. Tüm müşteri verisi tek bir sunucuda, şifresi yıllardır değiştirilmemiş Windows Share klasörü. Bir çalışanın açtığı sahte e-posta eki tüm dosyaları şifreledi. Yedek yok, 3 gün kapalı, müşterilerden özür dileme, olası KVKK cezası. Fidye 15.000 dolar.
Bunu önlemek için gereken şeylerin toplamı? Aylık 3.000 TL ve birkaç yapılandırma değişikliği.
Acil Kontroller — İlk 24 Saat
Başka hiçbir şey yapmadan önce şu dörde odaklan:
✅ 1. Admin Şifrelerini Değiştir
Yönlendiricin, modeminin, NAS cihazının, sunucunun varsayılan şifresi büyük ihtimalle değiştirilmemiştir. admin/admin, admin/1234 veya üreticinin varsayılan şifresi — bunlar internetteki paylaşımlı listlerde mevcut.
- Router yönetim paneline gir (genellikle 192.168.1.1 veya 192.168.0.1)
- Şifreyi en az 16 karakter, büyük/küçük harf + rakam + sembol içerecek şekilde değiştir
- Windows/Linux sunucu Administrator/root şifresini değiştir
- NAS, kamera kayıt cihazı, UPS izleme paneli — bunları da unutma
✅ 2. Çok Faktörlü Doğrulamayı (MFA) Aktif Et
E-posta, VPN, bulut depolama ve muhasebe yazılımı girişlerinde MFA zorunlu hale getir. Şifren çalınsa bile hesaba giriş yapılamaz.
- Microsoft 365/Google Workspace — admin konsoldan tüm kullanıcılara MFA zorla
- VPN — donanım token veya uygulama tabanlı OTP (Google Authenticator, Authy)
- Muhasebe/ERP yazılımı — çoğunun MFA desteği var, etkinleştirme dakikalar alıyor
✅ 3. Güncellemeleri Kontrol Et
Windows Update’i ertelemeyi bırak. 2023’teki en büyük fidye yazılımı saldırılarının büyük çoğunluğu yama yapılmamış sistemleri hedef aldı. Kritik güvenlik yamaları çıkar çıkmaz uygulanmalı.
- Windows: Ayarlar → Windows Update → Güncelleştirmeleri denetle
- Antivirüs/EDR: imza dosyaları güncel mi?
- Yönlendirici firmware: üretici sitesinden son sürümü kontrol et
✅ 4. Yedeği Test Et
Yedek almak yeterli değil — geri yüklenebildiğini test etmeden yedek yoktur.
- Küçük bir test dosyasını sil, yedekten geri yükle
- Geri yükleme ne kadar sürüyor? Bunu not et (RTO)
- Yedek, kaynak sistemle aynı yerde mi? (Fidye yazılımı yedekleri de şifreliyor)
Ağ Güvenliği Kontrol Listesi
Güvenlik Duvarı (Firewall)
| Kontrol | Durum | Öncelik |
|---|---|---|
| Gelen bağlantılar kısıtlandı mı? | ☐ | 🔴 |
| RDP (3389) internete açık mı? | ☐ | 🔴 |
| SMB (445) internete açık mı? | ☐ | 🔴 |
| Yönetim arayüzü (SSH/Telnet) internete açık mı? | ☐ | 🔴 |
| Güvenlik duvarı kuralları son 6 ayda gözden geçirildi mi? | ☐ | 🟡 |
| IDS/IPS aktif mi? | ☐ | 🟡 |
RDP internete açık bırakmak, brute-force saldırılarının en yaygın giriş noktası. Uzaktan masaüstü erişimine ihtiyacın varsa VPN üzerinden yap.
# Windows PowerShell ile RDP port kontrolü
netstat -an | findstr :3389
# Sonuç 0.0.0.0:3389 ise internete açık demekWiFi Güvenliği
- WPA3 kullan — eski cihazlar desteklemiyorsa WPA2-AES (TKIP değil)
- WiFi şifresi en az 20 karakter, düzenli olarak değiştir
- Misafir ağını ayır — müşteri ve ziyaretçiler iç ağa erişmemeli
SSID: SirketAdi-Personel → Dahili ağa erişim
SSID: SirketAdi-Misafir → Sadece internete çıkış, dahili ağ izolasyonuBir büyük otel senaryosu: Misafir WiFi’si iç ağdan ayrılmamış. Lobideki bir ziyaretçi muhasebe sunucusuna erişebildi. Nedeni? Misafir ağı ayrımı yoktu.
VPN
Uzaktan çalışma varsa VPN zorunlu. E-posta üzerinden dosya paylaşmak VPN değil.
- OpenVPN veya WireGuard tabanlı kurumsal VPN
- Her kullanıcı için ayrı sertifika/hesap — ortak şifre kullanma
- Bağlantı logları tut (kim, ne zaman, nereden)
Uç Nokta Güvenliği (Endpoint)
Her bilgisayar potansiyel bir giriş noktası.
Antivirüs / EDR
| Ürün | Tür | Aylık (kullanıcı başı) | Özellik |
|---|---|---|---|
| Microsoft Defender for Business | EDR | ~40 TL | Microsoft 365’e entegre |
| ESET Endpoint Security | AV+EDR | ~80 TL | Hafif, SOHO uyumlu |
| Malwarebytes for Teams | Anti-malware | ~90 TL | Fidye koruması güçlü |
| CrowdStrike Falcon Go | EDR | ~120 TL | Kurumsal seviye |
Antivirüs ve EDR (Endpoint Detection & Response) aynı şey değil. EDR, zararlı yazılım tespit etmenin ötesinde davranış analizi yapar — şüpheli işlemleri karantinaya alır.
Disk Şifreleme
Dizüstü bilgisayar çalınırsa veriye erişilemez olmasını sağlar.
- Windows: BitLocker (Pro/Enterprise sürümde mevcut)
- macOS: FileVault (Sistem Ayarları → Gizlilik ve Güvenlik)
- Kurtarma anahtarını güvenli bir yerde sakla (IT sorumlusunda veya şifre yöneticisinde)
USB Politikası
USB aygıtları fidye yazılımı ve veri sızdırma için sık kullanılan vektörler.
- Grupat politikasıyla (Group Policy) tanımlanmamış USB cihazlarını engelle
- Minimum gereksinim: çalışanları USB güvenliği konusunda bilgilendir
- Yüksek öncelikli: muhasebe ve HR bilgisayarlarında USB portlarını devre dışı bırak
Veri Güvenliği ve Yedekleme
3-2-1 Yedekleme Kuralı
Siber güvenliğin altın standardı:
3 kopya yedek
2 farklı ortam (örn: yerel NAS + bulut)
1 kopya tesis dışında (offsite)| Yedek Türü | Örnek | Fidye Koruması |
|---|---|---|
| Yerel (dahili disk) | D:\ yedek klasörü | ❌ Tehlikeli — aynı ağda şifrelenir |
| Harici disk | USB HDD | ⚠️ Bağlıyken risk var, çıkarılınca güvenli |
| NAS (immutable) | Synology + snapshot | ✅ Değiştirilemez anlık görüntüler |
| Bulut | Backblaze, Azure Backup | ✅ Ağ dışı, fidye ulaşamaz |
Kritik nokta: Yedek sistemi ile kaynak sistem aynı kimlik bilgilerini kullanmamalı. Saldırgan admin parolasını ele geçirirse yedekleri de şifreleyebilir.
KVKK Uyumluluğu
Müşteri, personel veya hasta verisi işliyorsan KVKK yükümlülüklerin var:
- Kişisel veri envanteri oluştur (hangi veri, nerede, kim erişiyor)
- Erişim kontrolleri: minimum yetki prensibi (her çalışan yalnızca işine gereken veriye erişmeli)
- Veri ihlali olursa 72 saat içinde KVKK Kurumu’na bildirim
- Veri imha prosedürü: ayrılan çalışanın erişimleri anında kapat
İnsan Faktörü — En Zayıf Halka
Teknik önlemler tek başına yeterli değil. 2023 ihlallerinin %74’ünde insan etkeni rol oynadı (kaynak: Verizon DBIR 2024).
Güvenlik Farkındalık Eğitimi
Tek bir oturum yetmez. Her altı ayda bir tekrarlanması gereken bir süreç.
Minimum eğitim içeriği:
- Phishing e-postası nasıl anlaşılır?
- Güçlü şifre nedir, şifre yöneticisi nasıl kullanılır?
- Şüpheli bir şey görünce ne yapılır? (Kimi aramalıyım?)
- Çalışırken kişisel cihaz kullanımının riskleri
Phishing Simülasyonu
Çalışanlara gerçekçi sahte e-postalar gönder, kaç kişinin tıkladığını ölç. Ceza amaçlı değil — farkındalık amaçlı.
Ücretsiz araç: GoPhish (açık kaynak, kendi sunucunda çalıştırılabilir)
Parola Politikası
| Kural | Neden |
|---|---|
| En az 14 karakter | Brute-force maliyetini katlar |
| Kelime listelerindeki yaygın kelimeler yasak | ”Şirket2024!” dışarıdan tahmin edilebilir |
| Her sistem için farklı şifre | Bir platform sızarsa diğerleri etkilenmesin |
| Şifre yöneticisi zorunlu | Bitwarden (ücretsiz), 1Password, KeePass |
| Periyodik değiştirme zorunluluğu | NIST 2024 rehberi — ihlal olmadıkça değiştirme, karmaşıklığa odaklan |
Ayrılan Personel Prosedürü
Ayrılma günü şunlar yapılmış olmalı:
□ AD/Azure AD hesabı devre dışı
□ E-posta erişimi kapat (dışarı yönlendirme kaldır)
□ VPN sertifikası iptal et
□ Şirket sistemlerindeki tüm aktif oturumlar sonlandır
□ Fiziksel erişim (kart, anahtar) iade al
□ Cihazlar (laptop, telefon) geri al ve temizleBu listenin yarısı atlanıyor genellikle. Ayrılan çalışanın 3 ay sonra hâlâ VPN erişimi olduğunu keşfetmek nahoş sürpriz.
Olay Müdahale Planı
Saldırı olursa ne yaparsın? Bu sorunun cevabı önceden hazır olmalı.
İlk 60 Dakika
1. Etkilenen cihazı ağdan HEMEN ayır (ethernet kabloyu çek, WiFi'yi kapat)
— Fidye yazılımı ağ paylaşımlarına yayılıyor, her saniye önemli
2. Diğer cihazları tara — fidye yayıldı mı kontrol et
3. IT güvenlik uzmanı veya USOM'u ara
USOM: 0850 211 19 07 (7/24)
E-posta: usom@usom.gov.tr
4. Yedekten geri yükleme planı — yedek nerede, kim erişebilir?
5. KVKK bildirimi — kişisel veri etkilendiyse 72 saat içinde zorunlu
6. İhlali kayıt altına al (screenshot, log, zaman damgası)
— Sigorta tazminatı ve yasal süreçler için gerekliNe Yapma
- Fidye ödeme — dosyaları geri alma garantisi yok, saldırganı finanse ediyorsun
- Etkilenen cihazı kapatma — RAM’deki şifreleme anahtarı kaybolabilir, adli analiz zorlaşır
- Sosyal medyada paylaşma — müşteriler panikleyebilir, itibar zararı büyür
Log Saklama
Log olmadan ne olduğunu anlayamazsın:
| Sistem | Minimum Saklama Süresi |
|---|---|
| Güvenlik duvarı logları | 6 ay |
| VPN bağlantı logları | 1 yıl |
| Windows olay logları | 3 ay |
| Web proxy logları | 3 ay |
| E-posta güvenlik logları | 1 yıl |
KVKK kapsamında log saklama yükümlülükleri var — ihmal edilmesi durumunda idari yaptırım.
Maliyet Tablosu
Güvenlik yatırımını ertelemenin bedeli, bir saldırıdan sonra ödenenden çok daha az.
Temel Koruma (0–5.000 TL/ay)
Antivirüs/EDR lisansı (10 kullanıcı) ~800 TL/ay
Şifre yöneticisi (10 kullanıcı) ~200 TL/ay
Bulut yedekleme (500 GB) ~300 TL/ay
Güvenlik duvarı lisans yenileme ~500 TL/ay
─────────────────────────────────────────────────────
Toplam ~1.800 TL/ayOrta Seviye (5.000–15.000 TL/ay)
Temel koruma + VPN, EDR, phishing simülasyonu, güvenlik farkındalık platformu, haftalık log incelemesi.
Kurumsal (15.000+ TL/ay)
SOC hizmeti, penetrasyon testi, SIEM, 7/24 izleme.
Karşılaştırma için: Türkiye’deki ortalama fidye yazılımı talebi 50.000–200.000 TL aralığında. Veri kurtarma maliyeti, iş kesintisi ve itibar zararı buna dahil değil.
Öncelik Sırası
Kaynaklar kısıtlıysa bu sıraya göre ilerle:
- Kritik (bu hafta): Admin şifreleri, MFA, RDP kapatma, güncellemeler
- Yüksek (bu ay): Yedekleme sistemi, antivirüs/EDR, misafir ağı ayrımı
- Orta (3 ay içinde): Disk şifreleme, USB politikası, personel eğitimi
- Planlı (6 ay içinde): Penetrasyon testi, KVKK uyumluluk denetimi, olay müdahale tatbikatı
Hepsini birden yapmaya çalışmak yerine önce kritik açıkları kapat. İyi haber: ilk iki adım ücretsiz veya minimum maliyetle yapılabilir.
Not: Bu liste başlangıç noktası. Sektöre (sağlık, finans, hukuk) ve şirket büyüklüğüne göre ek gereksinimler olabilir. Bir güvenlik danışmanıyla ihtiyaç analizi yaptırmak, genellikle ilk yılda kendini amorti eden bir yatırım.
Kaynaklar
- Saldırıların %43'ü küçük işletmeleri hedef alıyor — Accenture Cybersecurity Report (2023)
- Bir veri ihlalinin ortalama maliyeti 4,88 milyon dolar — IBM Cost of a Data Breach Report (2024)
- KOBİ'lere yönelik siber saldırılar %32 arttı — Kaspersky SMB Threat Report (2024)
- Fidye yazılımı saldırılarında ortalama kurtarma süresi 22 gün — Sophos State of Ransomware Report (2024)
Sıkça Sorulan Sorular
KOBİ'ler gerçekten siber saldırı hedefi mi oluyor? +
Evet. Verizon 2024 DBIR raporuna göre veri ihlallerinin %43'ü küçük işletmeleri hedef alıyor. Büyük şirketlere kıyasla savunması daha zayıf oldukları için otomasyon araçlarıyla rastgele hedef alınıyorlar.
IT personeli olmadan siber güvenlik sağlanabilir mi? +
Temel koruma seviyesi sağlanabilir. Admin şifreleri, MFA, güncellemeler ve yedekleme — bunların hiçbiri IT uzmanlığı gerektirmiyor. Ancak ağ segmentasyonu ve SOC hizmetleri için dış destek almak daha gerçekçi.
Siber güvenlik için minimum bütçe ne kadar? +
Temel koruma için aylık 2.000-5.000 TL yeterli başlangıç noktası. Antivirüs/EDR lisansı, güvenlik duvarı ve yedekleme hizmetini kapsıyor. Fidye yazılımından sonra ödenen ortalama tutanın çok altında.
KVKK kapsamında KOBİ'lerin teknik yükümlülükleri neler? +
Kişisel veri içeren sistemlerde erişim logları, şifreleme, ayrılma prosedürleri ve veri ihlali bildirimi zorunlu. 72 saat içinde KVKK Kurulu'na bildirim yapılmazsa idari para cezası uygulanıyor.
Fidye yazılımı saldırısına uğrarsam ne yapmalıyım? +
Etkilenen cihazı ağdan derhal ayır, yetkilileri (USOM: 0850 211 19 07) ve KVKK Kurulu'nu bildir, yedekten geri yüklemeyi dene. Fidye ödeme son seçenek — dosyaları geri almanızı garanti etmiyor.
Profesyonel Destek mi Lazım?
Bu konuda yardıma ihtiyacın varsa yanındayız. Kurulum, konfigürasyon ve sorun giderme için ulaş.
