Siber Güvenlik Olay Müdahale Planı Oluşturma: Adım Adım Pratik Rehber

Siber güvenlik olay müdahale planı (Incident Response Plan - IRP), herhangi bir siber saldırı anında kaosa sürüklenmeden hızlı ve etkili bir şekilde hareket etmenizi sağlayan bir yol haritasıdır. Plan olmadan, tespit süresi uzar, hasar büyür ve iş sürekliliği tehlikeye girer. Bu yazıda, IRP'nin altı aşamasını, ekiplerinizi nasıl organize edeceğinizi ve hazırlığınızı test ederken dikkat etmeniz gereken noktaları pratik bir kontrol listesiyle ele alıyoruz.

IRP'yi Anlamak: Neden Kritik?

Olay müdahale planı, yalnızca büyük şirketler için değil, her ölçekteki işletme için hayati bir gerekliliktir. Hedefli bir fidye yazılımı saldırısı veya spear phishing kampanyası karşısında hazırlıklı olmak, ortalama tespit süresini (Mean Time to Detect - MTTD) önemli ölçüde kısaltır ve potansiyel maddi kaybı azaltır. Planınız, NIST veya SANS gibi standart çerçevelerle uyumlu olmalıdır.

IRP'nin Altı Aşaması ve Pratik Kontrol Listesi

Aşağıdaki kontrol listesini adım adım uygulayarak işletmenize özgü bir plan oluşturabilirsiniz.

1. Hazırlık (Preparation)

Bu aşama, olay öncesinde yapılması gereken tüm hazırlıkları kapsar. Başarılı bir müdahalenin temelidir.

• Olay Müdahale Ekibini (IRT) Oluşturun: BT güvenlik, sistem yöneticileri, hukuk, iletişim ve üst yönetimden temsilciler belirleyin. Her bireyin rolünü ve sorumluluklarını netleştirin.
• İletişim Kanallarını Belirleyin: Acil durumlarda kullanılacak alternatif bir haberleşme yöntemi (ör. ayrı bir Signal grubu, şifreli e-posta) belirleyin. Normal kanalların saldırı altında olabileceğini unutmayın.
• Araç ve Kaynakları Hazırlayın: Güvenlik bilgisi ve olay yönetimi (SIEM) sistemi, uç nokta tespit ve yanıt (EDR) çözümü, adli bilişim araçları ve yedekleme altyapısını kullanıma hazır tutun. SIEM kurulum rehberimizi inceleyerek doğru yapılandırma ipuçlarını öğrenebilirsiniz.
• Yedekleme ve Kurtarma Prosedürlerini Test Edin: Kritik sistemlerin ve verilerin düzenli olarak yedeklendiğinden (3-2-1 kuralı) ve bu yedeklerin geri yüklenebildiğinden emin olun.

2. Tespit ve Analiz (Detection & Analysis)

Saldırının erken fark edilmesi, hasarın sınırlı kalmasını sağlar.

• İzleme ve Uyarıları Yapılandırın: EDR, SIEM ve ağ izleme araçlarında anormal davranışlar için uyarı kuralları oluşturun. Örneğin, birden fazla başarısız oturum açma girişimi, beklenmedik ağ çıkış trafiği.
• Olay Bildirim Sürecini Tanımlayın: Çalışanların şüpheli bir durumu kime ve nasıl rapor edeceğini belirleyin. Bir eposta adresi veya web formu değil, doğrudan IRT liderine ulaşacak bir hat kurun.
• Önceliklendirme Yapın: Etkilenen sistemlerin kritikliğine, verilerin hassasiyetine ve saldırının yaygınlığına göre olayları kategorize edin (Düşük, Orta, Yüksek, Kritik).

3. Kontrol Altına Alma (Containment)

Saldırının yayılmasını durdurmak için hızlı aksiyon alın.

• Kısa Vadeli Kontrol: Etkilenen sistemi ağdan izole edin (fiziksel olarak kabloyu çekin veya ağ anahtarında portu kapatın). Geçici olarak ilgili kullanıcı hesabını devre dışı bırakın.
• Uzun Vadeli Kontrol: Sistemleri temiz yedeklere geri yükleyin, geçici güvenlik yamaları uygulayın veya geçici güvenlik kuralları (ACL) ekleyin. Ağ segmentasyonu ile saldırının diğer bölgelere sıçramasını engelleyebilirsiniz.
• Dijital Delil Koruma: Adli analiz için disk imajları alın, logları kaydedin ve delillerin bütünlüğünü koruyun. Zincirleme delil takibini (chain of custody) başlatın.

4. Yok Etme (Eradication)

Kontrol altına almanın ardından tehdidi sistemden tamamen temizleyin.

• Kötü Amaçlı Yazılımı Temizleyin: Güncel antivirüs/EDR yazılımlarıyla tam tarama yapın. Şüpheli dosyaları ve kayıt defteri girdilerini kaldırın.
• Açıkları Kapatın: Saldırının kullandığı zafiyetleri belirleyin (ör. yamalanmamış bir yazılım, zayıf parola) ve gerekli yamaları uygulayın. Güvenlik açığı taraması vs sızma testi yazımızdan hangi yöntemi ne zaman kullanacağınızı öğrenebilirsiniz.

5. Kurtarma (Recovery)

Normal iş operasyonlarına güvenli bir şekilde dönün.

• Sistemleri Geri Yükleyin: Temiz yedeklerden (önceden test edilmiş) sistemleri yeniden kurun. Tüm sistemlerin güncel olduğundan emin olun.
• Kademeli Geçiş Yapın: Tüm sistemi aynı anda açmak yerine, önce düşük riskli sistemleri, ardından kritik sistemleri devreye alın. Her aşamada izlemeyi yoğunlaştırın.
• İş Sürekliliği Planlarını Uygulayın: Veri kaybı veya uzun kesinti durumunda devreye girecek manuel süreçleri aktive edin.

6. Ders Çıkarma (Lessons Learned)

Olaydan sonraki iki hafta içinde bir toplantı düzenleyerek sonuçları değerlendirin.

• Zaman Çizelgesi Oluşturun: Olayın tespit edilmesinden kurtarmaya kadar geçen süreci saat saat kaydedin.
• Ne İyi, Ne Kötü Gitti?: Ekibin müdahale hızı, araçların etkinliği, iletişim eksiklikleri gibi konularda geri bildirim alın.
• Düzeltici Faaliyetler Belirleyin: Hazırlık aşamasında eksik kalan noktaları gidermek için aksiyon maddeleri oluşturun. Örneğin, yeni bir güvenlik aracı satın almak, eğitim planlamak.
• Planı Güncelleyin: Öğrenilen dersleri IRP'ye ekleyin ve yılda en az bir kez tatbikat yaparak planı canlı tutun.

Sık Yapılan Hatalar ve Dikkat Edilmesi Gerekenler

• Planı dolapta unutmak: Aylık veya en azından üç aylık periyotlarla masa başı tatbikatları (tabletop exercises) yaparak ekibin planı hatırlamasını sağlayın.
• Üst yönetimi sürece dahil etmemek: Maliyet ve itibar yönetimi için yöneticilerin onayı ve desteği kritiktir. IRP sunumlarınızda iş etkilerini vurgulayın.
• Herkesi haberdar etmemek: Hukuk, halkla ilişkiler ve insan kaynakları gibi birimlerin de sürece dahil olduğundan emin olun. Özellikle veri ihlali bildirim yükümlülükleri için hukuk ekibiyle koordinasyon şarttır.
• Yedeklerin çalışmadığını fark etmemek: Yedeklerinizi düzenli olarak restore testine tabi tutun. Yoksa kurtarma aşamasında gerçekçi olmayan vaatlerle karşılaşırsınız.

IRP Oluşturmanın İşletmeye Katkıları

İyi hazırlanmış bir olay müdahale planı, siber saldırı anında panik yerine sistemli bir hareket kabiliyeti kazandırır. Tespit süresini kısaltır, kontrol altına alma hızını artırır ve iş sürekliliğini garanti altına alır. Ayrıca, siber sigorta poliçelerinde indirim sağlayabilir ve yasal uyumluluk yükümlülüklerini yerine getirmede yardımcı olur. Unutmayın, plan yalnızca kâğıt üzerinde kalmamalı, düzenli tatbikatlarla canlı tutulmalıdır. İlk adım olarak ekibinizi toplayın ve bu kontrol listesindeki maddeleri işaretlemeye başlayın.

Sık Sorulan Sorular

Siber güvenlik olay müdahale planı (IRP) nedir?

IRP, bir siber saldırı anında başvurulacak adım adım talimatlar bütünüdür. Hazırlık, tespit, kontrol altına alma, yok etme, kurtarma ve ders çıkarma aşamalarını kapsar.

IRP oluştururken en kritik aşama hangisidir?

Hazırlık aşaması en kritik olanıdır çünkü ekip, araç ve iletişim kanalları gibi temel bileşenler olmadan diğer aşamalar başarısız olur.

IRP'yi ne sıklıkta test etmeliyim?

En az yılda bir kez kapsamlı tatbikat, ayda bir ise masa başı tatbikatı yapmanız önerilir. Ayrıca büyük altyapı değişikliklerinden sonra test edilmesi gerekir.

Küçük işletmeler için IRP şart mı?

Evet, küçük işletmeler hedef haline gelmektedir. Plan olmazsa tespit süresi uzar, fidye ödeme riski artar ve iş sürekliliği tehlikeye girer. Basit bir plan bile büyük fark yaratır.