Awesome Image
+90 532 282 25 23 09.00 - 19.30 avukat@orhanonal.av.tr
Whatsapp
13Nis
By: admin Nisan 13, 2026 Yorum yapılmamış

Siber Saldırı Sonrası KVKK Acil Eylem Rehberi (Fidye Yazılımı 2026 Rehberi)

A. KVKK Veri İhlali, Fidye Yazılımı ve Siber Saldırı Sonrası Şirket Yöneticisinin Acil Hukuki Yol Haritası 

KVKK veri ihlali, fidye yazılımı saldırısı ve siber olay yönetimi artık yalnızca bilişim ekibinin meselesi değildir. Bugün mesele; aynı anda kişisel veri güvenliği, ceza hukuku, sözleşmesel sorumluluk, idari para cezası, yönetici özen yükümü, itibar yönetimi ve delil koruma başlıklarını içine alan çok katmanlı bir kriz yönetimidir.

7545 sayılı Siber Güvenlik Kanunu’nun 12 Mart 2025’te kabul edilip 19 Mart 2025 tarihli Resmî Gazete’de yayımlanması ve 2026’daki yüksek ölçekli veri ihlali bildirimleri, bu alanın artık “olursa bakarız” yaklaşımıyla yürütülemeyeceğini açık biçimde göstermektedir.

Bir şirket yöneticisinin en büyük hatası, veri ihlalini “IT departmanı çözer” diye okumaktır. Oysa 6698 sayılı Kişisel Verilerin Korunması Kanunu bakımından veri sorumlusu; kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almakla yükümlüdür. Veri işleyen kullanılması, bu yükümlülüğü ortadan kaldırmaz; aksine veri sorumlusu ile veri işleyen arasında müşterek sorumluluk alanı doğurur.

Bu yazıda, KVKK veri ihlali nedir sorusundan başlayıp 72 saat bildirim kuralına, fidye yazılımı saldırısında ilk 24 saatte yapılması gerekenlerden şirket yöneticisinin hukuki sorumluluğuna kadar, sahada gerçekten işe yarayan sistematik bir yol haritası kuracağım. Bu alanın pratiğinde yön verici eksen, çoğu zaman Kurul kararları, resmi rehberler ve doğrudan kanun hükümleridir.

B. KVKK veri ihlali nedir ve neden sadece “veri sızıntısı” olarak okunmamalıdır?

Veri ihlali denildiğinde akla çoğu zaman yalnızca dışarıya veri sızması gelir. Oysa hukuki tablo bundan daha geniştir. 6698 sayılı Kanun’un 12. maddesinin 5. fıkrası, kişisel verilerin “başkaları tarafından hukuka aykırı olarak elde edilmesi” halinde veri sorumlusunun ilgili kişiyi ve Kurulu bilgilendirme yükümlülüğünü düzenler.

Kurul uygulaması ve akademik değerlendirmeler ise, ihlalin yalnız gizlilik kaybı olarak değil; bütünlük ve erişilebilirlik kaybı boyutuyla da değerlendirilmesi gerektiğini ortaya koymaktadır. Özellikle fidye yazılımı saldırılarında verinin dışarı çıkarılıp çıkarılmadığı henüz kesinleşmemiş olsa bile, veriye erişilememesi veya sistem bütünlüğünün bozulması tek başına hukuki risk doğurabilir.

Bu nedenle “veri çalındığı kesin değil, o halde ihlal yok” yaklaşımı son derece tehlikelidir. Akademik olarak da isabetli biçimde ifade edildiği üzere, “veri ihlalinin doğru tespit edilmesi ve kategorilendirilmesi önem arz etmektedir.” İhlalin kapsamı daha sonra genişleyebilir; ama ilk refleks, hukuki değerlendirmeyi geciktirmek değil, olayı doğru sınıflandırmaktır.

Fidye yazılımı saldırısı neden doğrudan KVKK konusudur?

Fidye yazılımı saldırısı, çoğu zaman yalnızca sistemleri kilitleyen bir teknik saldırı gibi algılanır. Oysa saldırı; kişisel veriye erişimi engelleyebilir, kayıtları bozabilir, yedekleri şifreleyebilir, log akışını kesebilir ve kimi vakalarda verinin dışarı aktarılmasıyla sonuçlanabilir. KVKK’nın veri güvenliği mantığı bakımından bunların her biri ciddidir. Kurul kararlarında da kötü amaçlı yazılım ve fidye yazılımı olayları, teknik-idari tedbirlerin yeterliliği, sızma testleri, risk analizi, log takibi ve yedekleme stratejisi açısından değerlendirilmiştir.

2026 yılı veri ihlali bildirimleri de bu riskin teorik değil, son derece güncel olduğunu gösteriyor. İzelman bakımından Kuruma yapılan bildirime göre 16 Mart 2026 tarihli fidye yazılımı saldırısında hem ana veriler hem de yedekler şifrelenmiş; etkilenen kişi sayısının 10.000’in üzerinde olabileceği ve sağlık ile biyometrik veri dahil özel nitelikli kişisel verilerin de etkilenmiş olabileceği belirtilmiştir. Sentez Sağlık Hizmetleri bakımından yapılan bildirimde de ransomware saldırısı sonucu çalışan ve hasta verilerinin etkilenebileceği açıklanmıştır.

C. Hukuki çerçeve: Şirket yöneticisinin önündeki çok katmanlı mevzuat

C.1 6698 sayılı Kanun’un çekirdek hükmü: KVKK m. 12

6698 sayılı Kanun’un 12. maddesi, veri sorumlusuna çok açık bir ödev yükler: kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin edecek gerekli teknik ve idari tedbirler alınmalıdır. Aynı maddenin ikinci fıkrası, veri işleyen kullanılması hâlinde veri sorumlusu ile veri işleyenin bu tedbirlerin alınmasından müştereken sorumlu olduğunu düzenler. Beşinci fıkra ise, kişisel verilerin başkaları tarafından hukuka aykırı elde edilmesi hâlinde ilgili kişiye ve Kurula bildirim yükümlülüğünü getirir.

Burada “gerekli her türlü tedbir” ifadesi özellikle önemlidir. Kanun, şirketlere ezber bir check-list değil; risk bazlı bir güvenlik mimarisi kurma ödevi yüklemektedir. Nitekim Kurumun Veri Güvenliği Rehberi; veri envanteri çıkarılması, risk ve tehdit analizi yapılması, kontrol önceliklerinin belirlenmesi, teknik ve idari tedbirlerin buna göre planlanması gerektiğini açıkça ortaya koymaktadır.

C.2 72 saat bildirim kuralı nereden geliyor?

Kanunda “en kısa sürede” ifadesi yer alır. Kurul ise 24.01.2019 tarihli ve 2019/10 sayılı kararıyla bu ifadeyi, kural olarak 72 saat olarak yorumlamıştır. Yani veri sorumlusu, ihlali öğrendiği andan itibaren gecikmeksizin ve mümkünse 72 saat içinde Kurula bildirim yapmalıdır; bu sürede bildirim yapılamıyorsa gecikmenin gerekçesi açıklanmalıdır.

Aynı karar, kademeli bildirim yapılabileceğini ve olayın etkileri ile alınan tedbirlerin ayrıca kayıt altına alınması gerektiğini de belirtir. 2026 tarihli Kurum duyurusunda da aynı yaklaşım sürdürülmüş, “öğrenme tarihi” esas alınarak 72 saat vurgusu yeniden teyit edilmiştir.

Bu nokta çok kritiktir: 72 saat her zaman saldırının ilk gerçekleştiği andan değil, veri sorumlusunun ihlali öğrendiği andan itibaren tartışılır. Ancak “öğrenme” kavramı da pasif bir cehalet perdesi değildir. Elinizde kuvvetli emareler varken haftalarca iç soruşturma yapıp sonra “emin değildik” demek, çoğu dosyada şirketi korumaz. Akademik değerlendirmelerde de, makul bir temel oluştuğunda veri ihlalinin tespit edilmiş sayılması gerektiği savunulmaktadır.

C.3 Kurul’un internet sitesinde yayımlanma riski

Veri ihlali bildiriminin bir başka sonucu da kamusal görünürlüktür. Kurul, gerekli görürse veri ihlali bildirimini kendi internet sitesinde ilan edebilir. 2026 tarihli kamuoyu duyurusunda, 25.12.2025 tarihli ve 2025/2451 sayılı Kurul kararı uyarınca, ilan edilen ihlal bildirimlerinin kural olarak 60 gün süreyle sitede tutulacağı, bazı hâllerde ilgili kişilere bildirim yapıldığının tevsiki ile daha erken kaldırılabileceği belirtilmiştir. Bu, veri ihlali dosyalarının artık yalnız idari ceza değil; doğrudan itibar yönetimi meselesi olduğunu da göstermektedir.

C.4 7545 sayılı Siber Güvenlik Kanunu neden ayrıca önemlidir?

Siber Güvenlik Kanunu 12 Mart 2025’te kabul edilmiş, 19 Mart 2025 tarihli ve 32846 sayılı Resmî Gazete’de yayımlanmıştır. Kanun, kamu kurumları yanında siber uzayda faaliyet gösteren gerçek ve tüzel kişilere de temas eden bir çerçeve kurmakta; siber olayların etkilerini azaltmaya yönelik yükümlülükler getirmektedir.

Kanun metninde, kamu kurumları ile gerçek ve tüzel kişilerin siber saldırıları önlemeye veya etkilerini azaltmaya yönelik tedbirler almakla sorumlu olduğu; hizmet sunmak, veri toplamak, işlemek ve benzeri suretle bilgi sistemleri kullananların tespit ettikleri zafiyetleri ve siber olayları Başkanlığa gecikmeksizin bildirmekle yükümlü olabileceği düzenlenmiştir.

Bu nedenle 2026 itibarıyla iyi bir kriz yönetimi, yalnız KVKK bildirimi ile sınırlı kurulamaz. Özellikle faaliyet alanı, regüle sektör niteliği, kritik altyapı teması veya olayın ölçeği dikkate alındığında; şirketler KVKK, sözleşmesel yükümlülükler, sektörel düzenlemeler ve siber güvenlik bildirim rejimlerini birlikte değerlendirmek zorundadır.

c.5 Ceza hukuku boyutu: TCK 243, 244, 136, 138 ve 140

Bir siber saldırı dosyası yalnız idari para cezası üretmez. Türk Ceza Kanunu’nda bilişim sistemine hukuka aykırı girme suçu m.243’te; sistemi engelleme, bozma, verileri yok etme, değiştirme veya erişilmez kılma fiilleri m.244’te düzenlenmiştir. Kişisel verilerin hukuka aykırı verilmesi, yayılması veya ele geçirilmesi m.136’da; verileri kanuni süre geçmesine rağmen yok etmeme m.138’de; tüzel kişiler hakkında güvenlik tedbiri uygulanması ise m.140’ta yer alır.

Bu nedenle teknik olayın niteliği, sadece “saldırının mağduru şirket” olup olmadığınızla bitmez; delil yönetimi ve şirket içi süreçler yanlış yürütülürse, ceza hukuku bakımından yeni riskler de doğabilir.

C.6 Şirket yöneticisinin özen borcu ve iç sorumluluğu

Türk Ticaret Kanunu bakımından yönetim kurulu üyeleri ve yöneticiler, görevlerini tedbirli bir yönetici özeniyle yerine getirmek ve şirket menfaatini dürüstlük kuralına uygun biçimde gözetmek zorundadır. TTK m.553 ise kanun veya esas sözleşmeden doğan yükümlülüklerin kusurlu ihlali hâlinde, şirkete, pay sahiplerine ve alacaklılara karşı sorumluluk rejimini kurar.

Siber güvenlik ve kişisel veri güvenliği artık şirket yönetiminin çevresel bir detayı değil; doğrudan özen borcu alanıdır. “BT bakıyordu” savunması, özellikle bütçe, politika, denetim ve kriz yönetimi eksikliğinin bulunduğu dosyalarda yönetsel sorumluluğu bertaraf etmeyebilir.

D. İlk 24 saat: En kritik pencere

Siber saldırı sonrası ilk 24 saat, dosyanın kaderini belirler. Bu evrede yapılan yanlış bir teknik işlem, aylar sonra savunulamayacak hukuki hasar doğurabilir. Kurul kararlarında, olayla bağlantılı cihazın hemen formatlanmasının incelemeyi imkânsızlaştırdığı ve veri güvenliği yükümlülüğü değerlendirmesinde aleyhe sonuç doğurduğu görülmektedir. Başka bir ifadeyle, panik halinde “sistemi temizleme” refleksi, delili yok etme sonucunu doğurabilir.

D.1 İlk refleks ne olmalı?

İlk refleks, tek başına format atmak veya ekranı kapatmak değil; olay komuta yapısını kurmaktır. Hukuk, bilişim, üst yönetim, gerekiyorsa dış adli bilişim ve iletişim ekipleri aynı anda devreye alınmalıdır. Çünkü bu aşamada atılacak her adım hem teknik incelemeyi hem de Kurula yapılacak bildirimin doğruluğunu belirleyecektir. Kurum rehberi; şüpheli hareketlerin tespiti, düzenli log tutulması, uygunsuzlukların hızla raporlanması ve erişim kayıtlarının izlenmesini temel tedbirler arasında saymaktadır.

D.2 Neler kesinlikle yapılmamalı?

Rastgele cihaz formatlamak, logları silmek, yedek üstüne yazmak, kullanıcı hareketlerini kayıt dışı bırakmak, olayın kapsamı anlaşılmadan kamuya veya çalışanlara dağınık açıklamalar yapmak ve tedarikçi firmayı sürecin dışına itmek ciddi hatalardır. Kurul, veri işleyen kullanan veri sorumlusunun, veri işleyenin de en az kendisiyle aynı güvenlik seviyesini sağlamasını temin etmek zorunda olduğunu açıkça vurgulamaktadır. Bu nedenle “olay dış hizmet sağlayıcıda oldu, bizi ilgilendirmez” savunması hukuken zayıftır.

D.3 Delil koruma neden hukuki meselenin tam merkezindedir?

Çünkü ihlalin tarihi, kapsamı, saldırı vektörü, etkilenen veri kategorileri, ilgili kişi sayısı ve alınan önlemler; daha sonra yalnız teknik raporla değil, idari ve adli makamlar önünde de tartışılır. Kurul’un 2019/10 sayılı kararında olayın etkileri ve alınan önlemlerle ilgili kayıtların tutulması ve istenildiğinde Kurula sunulmak üzere hazır bulundurulması gerektiği açıkça belirtilmiştir. Bu nedenle imaj alma, log koruma, erişim kayıtlarının muhafazası, yedeklerin durumunun sabitlenmesi ve olay zaman çizelgesinin oluşturulması hukuki savunmanın iskeletidir.

E. Teknik ve idari tedbirler: Kanunun görmek istediği resim

E.1 Risk analizi ve veri envanteri olmadan savunma zayıftır

Kuruma göre etkili veri güvenliği, elde hangi verilerin bulunduğunu bilmekle başlar. Hangi kişisel veriler işleniyor, bunlar nerede tutuluyor, hangi kullanıcılar erişiyor, hangi tedarikçiler sisteme dokunuyor, hangi veri kategorileri daha hassas? Bu soruların cevabı yoksa, saldırı olduktan sonra yapılan savunma da eksik kalır. Rehberde risklerin tespiti, bu risklerin gerçekleşme ihtimali ile yol açacağı zararın değerlendirilmesi ve buna göre önceliklendirilmiş kontrol seti kurulması önerilmektedir.

E.2 Eğitim ve farkındalık yalnız insan kaynakları meselesi değildir

Phishing e-postaları, yanlış alıcıya veri gönderimi, zararlı dosya açılması, yetki aşımı ve zayıf parola kullanımı hâlâ veri ihlallerinin en temel sebepleri arasındadır. Kurum rehberinde çalışan eğitimine ve farkındalık faaliyetlerine özel vurgu yapılmıştır. Kurul kararlarında ise, eğitimlerin olaydan sonra verilmesinin yeterli kabul edilmediği açıkça görülmektedir. Yani eğitim “güzel olur” kategorisinde değil, veri güvenliği tedbirlerinin asli unsurudur.

E.3 Log, erişim kontrolü, sızma testi, antivirüs, IDS/IPS ve yedekleme

Kurumun teknik tedbirler listesinde erişim logları, uygulama güvenliği, ağ güvenliği, şifreleme, sızma testi, saldırı tespit ve önleme sistemleri, veri kaybı önleme çözümleri, yedekleme, güvenlik duvarı ve anahtar yönetimi gibi başlıklar açıkça sayılmıştır. Bu liste gösteriyor ki iyi niyet artık yetmiyor; ölçülebilir, belgelendirilebilir ve denetlenebilir güvenlik mimarisi aranıyor. Özellikle fidye yazılımı riskine karşı rehberde, yedeklerin çevrimdışı veya ağ dışında tutulması, yalnız sistem yöneticisinin erişebilmesi ve fiziksel güvenliğinin sağlanması tavsiye edilmektedir.

E.4 Veri işleyen ve tedarikçi yönetimi

Çağrı merkezi, bulut hizmeti, CRM sağlayıcısı, yazılım firması, dış IT ekibi veya çağrı merkezi altyapısı kullanan hemen her şirket için veri işleyen zinciri ayrı bir risk başlığıdır. Kurulun yaklaşımı nettir: veri işleyenle yazılı çerçeve kurulmalı, talimat ilişkisi belirgin olmalı, erişim sınırları çizilmeli ve veri işleyenin de en az veri sorumlusuyla aynı güvenlik seviyesini sağlaması temin edilmelidir. Veri sorumlusu bu zinciri yönetmediğinde, ihlal üçüncü tarafta başlamış olsa bile hukuki sonuçların dışına çıkamaz.

F. 72 saatlik bildirim dosyası nasıl hazırlanmalıdır?

72 saatlik bildirim, “form doldurup göndermek” değildir. İyi bir veri ihlali bildirimi; olayın öğrenilme tarihini, ilk tespiti, saldırının muhtemel başlangıcını, etkilenen sistemleri, veri kategorilerini, etkilenen kişi sayısı tahminini, alınan ilk tedbirleri, henüz doğrulanamayan alanları ve sonraki güncellemelerin çerçevesini içermelidir. Kurul, bildirim yapılamıyorsa gecikmenin gerekçesinin açıklanmasını; bilgiler tam değilse kademeli bildirim yapılmasını kabul etmektedir.

Burada yapılan yaygın hata, eksik bilgi korkusuyla hiç bildirim yapmamaktır. Oysa Kurul mantığı bunun tersidir: makul ölçüde teyit edilen çekirdek bilgiyle zamanında bildirim yapın, sonra yeni tespit oldukça ek bildirim verin. Gecikme gerekçesiz kaldığında, ihlalin kendisinden bağımsız ikinci bir ihlal alanı doğar.

İlgili kişilere bildirim nasıl ele alınmalıdır?

İlgili kişilere bildirim, yalnızca mevzuat gereği bir formalite değildir; zararın büyümesini azaltan koruyucu bir araçtır. 2026 tarihli kamuoyu duyurusunda Kurum da bu bildirimin amacını, ilgili kişilerin olumsuz sonuçları azaltacak önlemleri alabilmesi olarak açıkça ifade etmektedir. Bu nedenle özellikle kullanıcı hesabı, şifre, iletişim bilgisi, finansal veri, sağlık verisi veya kimlik numarası etkilenmişse, bildirim dili teknik değil işlevsel olmalı; ilgili kişiye ne olduğunu, ne yapması gerektiğini ve şirketin ne yaptığını anlatmalıdır.

G. Özel nitelikli kişisel verilerde risk neden katlanır?

6698 sayılı Kanun’un 6. maddesi; sağlık bilgisi, biyometrik veri, genetik veri, sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler gibi kategorileri özel nitelikli kişisel veri olarak düzenler. Bu tür veriler bakımından daha sıkı koruma mantığı geçerlidir. Sağlık kuruluşları, işverenler, insan kaynakları şirketleri, güvenlik şirketleri, okul ve klinikler bu yüzden daha yüksek risk taşır. Fidye yazılımı saldırısında “sadece dosyalar şifrelendi” savunması, etkilenmiş veri kategorisi özel nitelikli ise çok daha zayıf kalır.

İzelman bildirimi bunun güncel örneğidir. Kuruma yapılan açıklamada, kimlik ve iletişim verileri yanında lokasyon, özlük, hukuki işlem, finans, mesleki deneyim, pazarlama, sendika üyeliği, sağlık ve biyometrik veri kategorilerinin etkilenmiş olabileceği belirtilmiştir. Bu tür dosyalarda kriz artık sadece veri güvenliği krizi değil; iş hukuku, sağlık hukuku, tazminat riski ve kurumsal itibar krizi hâline gelir.

H. İdari para cezaları ne kadar ağır olabilir?

Yaptığımız araştırmalar neticesinde; 2026 yılı için Kurum tarafından ilan edilen yeniden değerleme tutarlarına göre, 6698 sayılı Kanun’un 12. maddesindeki veri güvenliği yükümlülüklerine aykırılık hâlinde uygulanabilecek idari para cezası 256.357 TL’den 17.092.242 TL’ye kadar çıkabilmektedir.

Kurul kararlarının yerine getirilmemesi hâlinde de aynı aralık geçerlidir. VERBİS yükümlülüklerine aykırılık bakımından da 2026 yılı için 341.809 TL ile 17.092.242 TL arasında ceza öngörülmektedir. Bu rakamlar, KVKK dosyalarının artık “uyarı gelir geçer” ciddiyetsizliğiyle ele alınamayacağını tek başına göstermektedir.

Burada önemli olan nokta şudur: veri ihlalinin kendisi bir kalem, 72 saat bildirim yükümlülüğüne uyulmaması başka bir kalem, Kurul kararına aykırılık ise bambaşka bir kalem risk doğurabilir. Yani tek bir siber olay, şirket bakımından katmanlı idari sonuçlar üretebilir.

I. Kurul kararlarından çıkan pratik dersler

I.1 “Geç bildirim” ayrı bir ihlaldir

Kurulun 2021/426 sayılı kararında, bir yardım masası panelindeki yetkilendirme sorunu ve yetersiz maskeleme nedeniyle çok sayıda kişinin verilerinin etkilenmesi yanında, 72 saat içinde bildirim yapılmaması da ayrıca değerlendirilmiş; veri güvenliği tedbirleri bakımından ayrı, geç bildirim bakımından ayrı idari para cezası uygulanmıştır. Bu karar, “zaten olay oldu, bir de geç bildirimin ne önemi var?” anlayışının hukuken yanlış olduğunu gösterir.

I.2 “Format attık, düzelttik” savunması şirketi kurtarmaz

Kurulun 2020/466 sayılı kararında, veri işleyen tarafla ilişkili olay sonrasında etkilenen bilgisayarın formatlanmasının olayın araştırılmasını zorlaştırdığı vurgulanmıştır. Aynı kararda, veri işleyenin yeterince denetlenmemesi ve çalışan eğitimlerinin olaydan sonra verilmesi de aleyhe değerlendirilmiştir. Bu karar pratikte çok kıymetlidir; çünkü sahada en çok görülen refleks, delili korumak yerine cihazı hızla temizlemektir. Oysa iyi savunma, “çabuk temizledik” değil; “olayı kontrollü biçimde yönettik, delili koruduk, kapsamı şeffaf biçimde tespit ettik” savunmasıdır.

I.3 Fidye yazılımında yedek, log ve test altyapısı sorgulanır

Kurulun 2020/463 sayılı kararında, kötü amaçlı yazılım/fidye yazılımı eksenindeki olayda kritik sunucuların ve yedeklerin silinmesi veya kullanılamaz hâle gelmesi değerlendirilmiş; çok uluslu ve yüksek ölçekli bir yapının sızma testi, risk analizi, log takibi ve güvenlik tedbirleri bakımından daha donanımlı olması beklentisi açıkça ortaya konulmuştur. Bu yaklaşım, büyük ölçekli şirketlerin “küçük işletme gibi” savunma yapamayacağını gösterir.

İ. 2026’daki güncel ihlal bildirimleri bize ne söylüyor?

Civil Mağazacılık bildiriminde, veritabanı yöneticisi seviyesinde yetkiyle CRM veritabanına erişim sağlandığı ve verilerin dışarı aktarıldığı; etkilenebilecek kişi sayısının yaklaşık 4.500.000 olabileceği açıklanmıştır. Bir kısım web bildiriminde, geçerli erişim yetkileri ve API anahtarlarının ele geçirilmesi sonucu 212.523 kullanıcının etkilenmiş olabileceği belirtilmiştir.

Bu iki olay tek başına şunu anlatıyor: veri ihlali artık yalnız kaba kuvvetle sisteme girilen bir saldırı değil; meşru görünen yetkilerin kötüye kullanılması, anahtar sızıntısı ve ayrıcalıklı hesapların ele geçirilmesi üzerinden de ilerliyor.

Yine 2026’daki bildirimler, fidye yazılımı saldırılarında yalnız canlı sistemlerin değil, yedeklerin de etkilenebildiğini gösteriyor. Bu nedenle “yedek var, sorun yok” cümlesi hukuken ve teknik olarak artık güvenli bir cümle değildir. Sorgulanması gereken asıl mesele; yedeğin ayrıştırılmış olup olmadığı, erişim kontrolü, geri yükleme testi ve olay anındaki log sürekliliğidir.

J. Şirket yöneticisinin acil hukuki yol haritası

J.1. Olayı teknik ekipten çekip kurumsal krize dönüştürün

Siber saldırı fark edildiği anda mesele yalnız BT sorunu olarak bırakılmamalıdır. Yönetim, hukuk, bilgi işlem, insan kaynakları, iletişim ve gerekiyorsa dış danışman aynı masa etrafında toplanmalıdır. Çünkü veri kategorisi, etkilenen kişi sayısı, sektörel yükümlülük, tedarikçi ilişkisi ve sözleşmesel taahhütler aynı anda değerlendirilmelidir. Bu yaklaşım, hem KVKK m.12’deki güvenlik yükümlülüğüne hem de TTK’daki özen borcuna uygundur.

J.2. Delili koruyun; panik temizliği yapmayın

Cihazları rastgele kapatmak, formatlamak, logları silmek veya yalnız “çalışsın yeter” mantığıyla sistem toparlamak ileride savunulamayacak hasar doğurur. Adli bilişim bakışıyla delil koruma, olayın hukuki omurgasıdır. Kurul kararları bu konuda son derece öğreticidir.

J.3. İhlalin çekirdek çerçevesini ilk saatlerde çıkarın

Hangi sistem etkilendi? Hangi veri kategorileri risk altında? Veri dışarı çıkarılmış olabilir mi? Erişim hâlen devam ediyor mu? Yedekler güvenli mi? Dış hizmet sağlayıcı veya bulut altyapısı dahil mi? Bu soruların ilk taslak cevabı olmadan doğru bildirim yapılamaz. Kurum rehberi de risk analizi ve varlık tespitini veri güvenliğinin başlangıç noktası kabul etmektedir.

J.4. 72 saat hesabını doğru başlatın

Saat, sonsuz iç inceleme bittiğinde değil; ihlalin öğrenildiği anda işlemeye başlar. Bilgi eksikse kademeli bildirim verilir. Ama gerekçesiz suskunluk, çoğu dosyada ikinci ihlale dönüşür.

J.5. İlgili kişi bildirimini küçümsemeyin

Kullanıcının, çalışanın, hastanın, müşterinin veya tedarikçinin ne yaşandığını bilmeye hakkı vardır. Ayrıca bu bildirim, zararı azaltma fonksiyonu da görür. Şirketler çoğu zaman kriz iletişimi korkusuyla bu adımı öteler; oysa gecikme, hem güven kaybını hem hukuki riski büyütür.

J.6. Tedarikçi ve veri işleyen zincirini masaya yatırın

Olay dış firmada başlamış olsa bile sözleşmeler, erişim yetkileri, log paylaşımı, müdahale protokolü ve sorumluluk matrisi derhâl incelenmelidir. Veri işleyen kullanan veri sorumlusu, “benim sistemim değildi” savunmasına sığınamaz.

J.7. Olay sonrasında değil, olay sırasında yazılı iz bırakın

Tarih-saat çizelgesi, alınan aksiyonlar, erişim kesme kararları, teknik raporlar, yönetim toplantıları, dış uzman görevlendirmeleri ve Kurula yapılan bildirimler yazılı iz bırakmalıdır. İyi dosya yönetimi, sonradan kurgulanan savunmadan çok daha güçlüdür. Kurul da olayın etkileri ve alınan tedbirlerin kayıt altına alınmasını istemektedir.

K. Sık yapılan ölümcül hatalar (Müvekkil tecrübesinden fikirler)

K.1 “Bizde veri sızmadı, sadece sistem kilitlendi”

Bu cümle, çoğu zaman erken ve tehlikeli bir varsayımdır. Fidye yazılımı saldırısında veri kopyalanmamış olsa bile erişilebilirlik ve bütünlük sorunu doğabilir; ayrıca dışarı aktarım ihtimali teknik inceleme bitmeden kesin dille reddedilemez. Geniş yorum, hem akademik çalışmalarda hem Kurul mantığında daha güvenli zemindir.

K.2 “Önce temizleyelim, sonra hukuk konuşuruz”

Bu yaklaşım, cihaz formatı, log kaybı, yedek üstüne yazma ve olay izinin bozulması sonucu doğurabilir. Kurul kararları tam aksini söylüyor. Önce delil ve süreç disiplini gerekir.

K.3 “Tedarikçi yaptıysa sorumluluk onda”

Hayır. Veri işleyen kullanan veri sorumlusu, m.12/2 çerçevesinde yükümlülüğün dışına çıkmaz. Yazılı sözleşme, talimat ve denetim mekanizması yoksa sorumluluk tartışması daha da ağırlaşır.

K.4 “Çalışan eğitimini sonra veririz”

Kurul uygulaması, olaydan sonra apar topar verilen eğitimi tek başına yeterli görmemektedir. Farkındalık, saldırı öncesi alınması gereken asli idari tedbirdir.

L. Kısa ama çok kritik sorular

L.1 KVKK veri ihlali bildirimi yapılmazsa ne olur?

İhlalin niteliğine göre veri güvenliği yükümlülüğüne aykırılıktan ayrı, geç veya hiç bildirim yapmaktan ayrı idari sonuçlar doğabilir. 2021/426 sayılı Kurul kararı, bunun somut örneğidir. 2026 yılı ceza tutarları da son derece yüksektir.

L.2 Fidye yazılımı saldırısında veri dışarı çıkmamışsa yine de bildirim gerekir mi?

Olayın teknik tablosuna göre gerekir. Çünkü mesele yalnız kesin sızıntı değil; hukuka aykırı elde edilme ihtimali, erişim kaybı, bütünlük sorunu ve ilgili kişi üzerindeki riskle birlikte değerlendirilir. İhlali dar yorumlamak çoğu zaman şirket lehine değil, aleyhine sonuç verir.

L.2 Şirket yöneticisi kişisel olarak sorumlu olabilir mi?

TTK bakımından özen borcu ve kusurlu ihlal hâlinde sorumluluk tartışması doğabilir. Ayrıca olayın yönetimi, imha yükümlülüğü, veri güvenliği politikaları ve iç denetim eksikliği büyüdükçe yönetsel sorumluluk da daha görünür hâle gelir.

L.3 Sağlık verisi ihlalinde tablo neden daha ağırdır?

Çünkü sağlık verisi özel nitelikli kişisel veridir. Bu nedenle koruma standardı yükselir; ihlal sonrası bildirim, etki değerlendirmesi ve kriz yönetimi daha hassas yürütülmelidir. 2026’daki sağlık sektörü ihlal bildirimleri bu gerçeği teyit etmektedir.

M. Veri ihlali dosyası, iyi yönetilirse kriz; kötü yönetilirse zincirleme sorumluluk doğurur

KVKK veri ihlali, siber saldırı veya fidye yazılımı dosyasında asıl farkı saldırının varlığı değil, şirketin saldırı sonrası nasıl davrandığı yaratır. Delili koruyan, 72 saat kuralını doğru işleten, ilgili kişiyi zamanında bilgilendiren, tedarikçi zincirini yöneten, log ve yedek disiplinini belgeleyen ve yönetsel özen borcunu ciddiye alan şirket ile panikle sistemi temizleyip haftalarca sessiz kalan şirket aynı hukuki tabloda değerlendirilmez.

Bu nedenle siber saldırı sonrası ilk telefon, yalnız teknik destek hattına değil; veri ihlali, KVKK ve ceza riski birlikte okuyabilen bir hukuk aklına açılmalıdır. Çünkü iyi hukuki koordinasyon, çoğu dosyada zararı saldırının kendisinden değil; saldırı sonrası yapılan yanlışlardan kurtarır.

Son yıllarda üstlendiğimiz benzer mahiyetteki siber saldırısına dayalı muhtelif soruşturma ve davalarında; İzmir, Muğla, Aydın, Manisa, Balıkesir, Denizli, Çanakkale, Bursa, Samsun-Ordu, Konya ve İstanbul hattında artan siber suç dosyalarında, Avukat Orhan ÖNAL olarak yaklaşımımız nettir: “Her dosyayı aynı kalıpla değil, kendi delil anatomisine göre savunuruz.”

Bir Kısım Çokça Okunan Avukat Orhan Önal Yazısı

# Yazı Başlığı Kısa Anahtarlar Orijinal Link (Tıklanabilir URL)
1 Yasadışı Bahis & Para Nakline Aracılık Savunma – 7258 Kanun 7258, para nakli, bahis savunması, CMK 134 https://www.orhanonal.av.tr/yasadisi-bahis-para-nakline-aracilik-savunma-7258-kanun/
2 Siber Suçlarda “İddia” Değil “İspat”: Delil–Usul–Strateji dijital delil, adli bilişim, savunma stratejisi https://www.orhanonal.av.tr/siber-suclarda-iddia-degil-ispat-delil-usul-strateji/
3 Yasa Dışı Bahis ve Sanal Kumar Soruşturma-Savunma … yasa dışı bahis, sanal kumar, ödeme zinciri, blockchain delil https://www.orhanonal.av.tr/yasa-disi-bahis-ve-sanal-kumar-odeme-zincirinden-blockchaine-delil/
4 NCMEC; Çocuk İstismarı, Çocuk Cinsel Tacizi, Müstehcenlik NCMEC, TCK 226, müstehcenlik, dijital delil https://www.orhanonal.av.tr/ncmec-cocuk-istismari-cocuk-cinsel-tacizi-mustehcenlik/
5 Siber Suçlar ve Adli Bilişim Hukukunda Savunma ve Avukat siber suçlar avukatı, adli bilişim hukuku, CMK 134 https://www.orhanonal.av.tr/siber-suclar-ve-adli-bilisim-hukukunda-savunma-ve-avukat/
6 Yasa Dışı Bahis Suçu ve Kripto Para Suçları; MASAK Etkisi yasa dışı bahis, kripto, MASAK, TCK 282 https://www.orhanonal.av.tr/yasa-disi-bahis-sucu-ve-kripto-para-suclari-masak-etkisi/
  • Teknik ve hukuk alanında tecrübe gerektiren bu konularda telafisi imkansız hak kayıplarına uğramamak için, mutlaka avukatınıza danışmanızı şiddetle önermekteyiz.
  • Aradığınız dava türü veya hukuki ihtilaf hakkında *yazılar*  bölümüne & siber suçlar konulu yazılar için tıklayarak ya da sağ üst köşeden arama yaparak onlarca davanız hakkında dilediğinizi okuyup, araştırabilirsiniz.

    • AVUKAT DESTEĞİ

      Randevu almak için çalışma saatleri içerisinde aşağıdaki telefon aracılığı ile ulaşabilir, whatsapp hattına yazabilir (tıkla) veya aşağıdaki adrese mail atabilirsiniz. 

      Hafta içi: 09:00 – 19:00
      Cumartesi: 10:00 – 18:00
      Telefon: +90 532 282 25 23

      Gizlilik

      Gizlilik, bir avukatın ve hukuk büromuzun en önemli etik ilkelerinden biridir; 1136 sayılı Kanunda tanımlanan gizlilik ve ifşa etmeme ilkesini çok dikkatli ve hassas bir şekilde uygular. Ancak büromuz, müvekkillerinin bilgi, belge ve bilgilerini gizlilik ve bilgi sorumluluğu sınırları içinde gizli tutar ve hiçbir şekilde ve hiçbir koşulda üçüncü kişi ve kurumlarla paylaşmaz.

Leave A Comment

© 2022 Av. Orhan Önal Law Firm. All Rights Reserved.

Call Now Button