KOBİ’ler için Siber Güvenlik Bilgi Merkezi

Küçük İşletmeler için Adım Adım Siber Güvenlik Rehberi

Bu sayfa, Türkiye’deki KOBİ ve küçük işletmeler için hazırlanmış, “nereden başlamalıyım?” sorusuna sade cevaplar veren bir bilgi merkezidir. Teknik jargonu mümkün olduğunca azaltarak, fidye yazılımlarından yedekleme stratejisine, KVKK teknik tedbirlerden kurumsal antivirüs seçimlerine kadar temel konuları özetliyoruz.

İçindekiler KOBİ RehberiRansomwareYedekleme 3‑2‑1KVKKE-posta GüvenliğiParola & MFAAntivirüs & EDREskişehir TalepleriKontrol ListesiSSS

Küçük İşletme Siber Güvenlik Rehberi

KOBİ’ler için siber güvenlik, devasa bütçeler ve karmaşık ürünler anlamına gelmek zorunda değil. Aşağıdaki 6 madde, çoğu küçük işletmenin ilk etapta odaklanması gereken temel başlıkları özetler:

  • 1. Yedekleme Stratejisi: Kritik dosyalarınızı ve veritabanlarınızı düzenli, otomatik ve mümkünse off-site (farklı lokasyon) yedeklemeden geçirmiyorsanız, diğer tüm önlemler eksik kalır.

  • 2. Uç Nokta Güvenliği: Ofis PC’leri, dizüstüler ve sunucular üzerinde güncel ve merkezi yönetilen bir güvenlik (AV/EDR) katmanı şarttır.

  • 3. Kullanıcı Farkındalığı: Çalışanların phishing mailleri, USB bellekler ve şifre kullanımı konusunda bilinçli olması, teknik önlemler kadar kritiktir.

  • 4. Ağ ve VPN Güvenliği: Modem parolası, Wi‑Fi erişimi, şubeler arası VPN tünelleri ve uzaktan bağlantı politikaları net tanımlanmalıdır.

  • 5. Yetki ve Hesap Yönetimi: Herkesin her şeye tam yetkili olduğu yapılar, hem iç hataya hem de kötü niyete davetiye çıkarır.

  • 6. Basit Bir Olay Planı: Fidye virüsü, veri kaybı veya şüpheli olay durumunda ilk 24 saatte kim ne yapacak, çok net olmalıdır.

Ransomware (Fidye Virüsü) Nedir, Nasıl Çalışır?

Ransomware, sisteminizdeki dosyaları şifreleyerek veya verilerinizi çalarak, karşılığında para (genellikle kripto para) talep eden zararlı yazılım ailesidir. Küçük işletmeler de en az büyük kurumlar kadar hedef haline gelmiş durumdadır; çünkü genelde koruma katmanı daha zayıftır.

Fidye Virüsü Bulaşınca Ne Olur?

  • Dosya sonlarına garip uzantılar eklenir; Excel, Word, PDF gibi dosyalar açılmaz hâle gelir.
  • Masaüstünde veya klasörlerde, fidye talimatlarını içeren notlar belirir.
  • Şifre çözücü anahtar için belirli süre içinde ödeme yapılması istenir.

Ransomware’e Karşı Alınabilecek Basit Önlemler

  • 3-2-1 kuralına uygun, test edilmiş bir yedekleme yapısı kurun.
  • Merkezi yönetilen bir güvenlik çözümü ile RDP, zayıf şifre ve şüpheli davranışları izleyin.
  • Çalışanlara yılda en az bir kez phishing eğitimi verin; örnek mailler üzerinden pratik yapın.

Kendi ortamınızdaki ransomware riskini ölçmek için Ransomware Kontrol Listesi ve Fidye Maliyeti Hesaplayıcı araçlarını kullanabilirsiniz.

Yedekleme Stratejisi ve 3‑2‑1 Kuralı

Yedekleme, sadece “bir disk alıp arada bir kopya almak” değildir. Kritik veriler için hem donanım arızası hem de siber saldırı senaryolarına dayanabilecek bir strateji gerekir.

3‑2‑1 Yedekleme Kuralı Nedir?

  • 3 kopya: Verinizin en az 3 kopyası olmalı (1 asıl, 2 yedek).
  • 2 farklı ortam: Örneğin sunucu diski + NAS, veya NAS + bulut.
  • 1 off-site: En az bir kopya, ofis dışındaki bir lokasyonda tutulmalı.

Küçük işletmeler için pratik yaklaşım; yerel bir NAS veya yedek disk ile birlikte, bulut tabanlı bir yedekleme çözümünü (örneğin Narbulut) devrede tutmaktır. Böylece hem donanım arızasına hem de fidye saldırılarına karşı dayanıklılık artar.

KVKK İçin Temel Teknik Tedbirler

KVKK, sadece aydınlatma metni ve sözleşmeden ibaret değildir; arka planda teknik tedbirlerin de alınmış ve sürdürülebilir olması gerekir. KOBİ ölçekte sık karşılaşılan teknik eksiklerden bazıları:

  • Kimin hangi dosyaya, hangi veritabanına, ne zaman eriştiğinin kaydının tutulmaması.
  • Yedekleme ve saklama sürelerinin belirsiz olması; eski verilerin gereksiz yere tutulması.
  • Veri ihlali durumunda nasıl hareket edileceğine dair yazılı ve test edilmiş bir planın olmaması.

Loglama ve erişim kayıtları, KVKK açısından kritik bir konudur. Hangi kullanıcının hangi veriyi okuduğu/değiştirdiği, makul bir süre boyunca denetlenebilir olmalıdır. Bu amaçla log ve denetim çözümleri (örneğin Netwrix gibi) devreye alınabilir.

Kendi KVKK hazırlık seviyenizi hızlıca görmek için KVKK / Regülasyon Hazırlık Panosu aracımızı kullanabilirsiniz.

E-posta ve Office Güvenliği: Phishing, Makro ve Ekler

Çoğu fidye ve zararlı yazılım saldırısı, teknik zafiyetlerden çok, e-posta ve Office dosyaları üzerinden başlar. Bu nedenle küçük işletmelerde “mail ve ofis güvenliği”, antivirüs kadar önemli bir başlık hâline gelmiştir.

Phishing (Kimlik Avı) Maillerini Ayırt Etmek

  • Aciliyet vurgusu ve tehdit içeren başlıklar (“Hesabınız kapanacak”, “Son uyarı” vb.).
  • Gönderen adresinin, görünen isimle uyuşmaması veya farklı bir alan adı kullanması.
  • Linklerin, gerçek kurumsal siteler yerine benzer görünen alan adlarına yönlendirmesi.

Office Makroları ve Ek Dosyalar

Özellikle dışarıdan gelen Excel/Word dosyalarının içindeki makrolar, zararlı kod barındırabilir. Çalışanların, tanımadıkları kaynaktan gelen dosyalarda “Makroları Etkinleştir” tuşuna basmamayı öğrenmesi, basit ama etkili bir savunmadır.

Parola Politikası ve MFA (Çok Faktörlü Doğrulama)

Zayıf veya tekrar kullanılan şifreler, saldırganların en kolay faydalandığı açıklardan biridir. Yönetici hesapları, e-posta kutuları ve uzaktan erişim (RDP/VPN) noktaları için güçlü bir parola politikası ve mümkünse MFA zorunlu olmalıdır.

  • Çalışan şifrelerinin belirli aralıklarla değiştirilmesi ve tekrar kullanılmaması.
  • Yönetici ve kritik hesaplar için ek güvenlik katmanı (SMS, mobil uygulama veya donanımsal anahtar).
  • Basit ve tahmin edilebilir şifrelerin (firmaadı123, 123456 vb.) yasaklanması.

Kurumsal Antivirüs Seçimi ve EDR Nedir?

Geleneksel antivirüsler, bilinen zararlı imzalarına odaklanırken; EDR (Endpoint Detection and Response) çözümleri davranışsal analiz, olay izleme ve olay müdahale (response) yetenekleri sunar.

KOBİ için Antivirüs Seçerken Nelere Bakmalı?

  • Merkezi yönetim imkânı (tüm makineleri tek konsoldan görmek ve yönetmek).
  • RDP, zayıf şifre ve şüpheli süreç davranışlarını görebilme yeteneği.
  • Sunucu ve istemcileri aynı çatı altında koruyabilme.

Küçük işletmeler için pratik yaklaşım, güçlü bir kurumsal antivirüs/EDR çözümünü, temel politika setleriyle birlikte devreye almak ve bunu yedekleme / loglama ile bir üçgen hâline getirmektir.

Eskişehir’de En Sık Duyduğumuz BT ve Güvenlik Talepleri

Eskişehir ve çevresindeki KOBİ’lerle çalışırken, benzer cümleleri sıkça duyuyoruz: “Sunucumuzun yedeği tam mı?”, “KVKK denetimi gelirse ne olur?”, “Uzaktan çalışanlar için güvenli bağlantı nasıl yapılır?” Aşağıdaki mini başlıklar, bu tip talepleri özetler:

  • Eskişehir’de sunucu ve veritabanı yedekleme yapısının gözden geçirilmesi.
  • Eskişehir OSB ve hizmet firmalarında KVKK teknik tedbirlerinin pratik düzeyde kurulması.
  • Uzaktan çalışanlar ve şubeler için güvenli VPN ve firewall politikalarının tasarlanması.

10 Maddede Hızlı Siber Güvenlik Kontrol Listesi

Aşağıdaki maddelere içtenlikle “Evet” diyebiliyorsanız, çoğu KOBİ’den daha iyi durumdasınız demektir. Ne kadar çok “Hayır / Emin değilim” çıkarsa, o kadar fazla gelişim alanı var demektir.

  1. Sunucu ve kritik dosyalarınız için test edilmiş, otomatik çalışan bir yedeklemeniz var.
  2. En az bir yedek kopyanız, ofis dışında veya bulutta tutuluyor.
  3. Tüm bilgisayar ve sunucularda güncel, merkezi yönetilen bir güvenlik yazılımı var.
  4. Çalışanlara yılda en az bir kez phishing / siber farkındalık eğitimi veriliyor.
  5. Ofis Wi‑Fi şifreniz basit değil ve misafir ağı ayrı tanımlanmış durumda.
  6. Yönetici ve kritik hesaplarda güçlü parola politikası ve mümkünse MFA uygulanıyor.
  7. Kim hangi dosyaya / veritabanına erişiyor, erişim loglarıyla izleyebiliyorsunuz.
  8. Uzaktan erişim (VPN, RDP vb.) için kapalı kapı yaklaşımı ve yetki kısıtlaması uygulanıyor.
  9. KVKK kapsamında kişisel verilerin nerede tutulduğunu ve yedeklendiğini biliyorsunuz.
  10. Fidye virüsü veya veri kaybı durumunda ilk 24 saatte kimlerin ne yapacağını anlatan kısa bir planınız var.

Sık Sorulan Sorular

Küçük bir işletme için en kritik 3 siber güvenlik adımı nedir?

Test edilmiş bir yedekleme yapısı, merkezi yönetilen uç nokta güvenliği ve temel kullanıcı farkındalığı (phishing, şifre kullanımı, USB gibi konularda) genelde ilk üç adımı oluşturur. Bu üçü olmadan yapılan diğer yatırımlar, beklenen faydayı vermez.

Fidye virüsü durumunda fidye ödenmeli mi?

Güvenlik otoriteleri, genellikle fidye ödenmesini önermemektedir; çünkü ödeme, verilerin geri geleceğini garanti etmez ve saldırganları teşvik eder. En sağlıklı yaklaşım, güçlü bir yedekleme stratejisiyle saldırı öncesi hâle geri dönebilmektir.

KVKK loglama zorunlu mu?

KVKK rehberlerinde, erişim kayıtlarının tutulması ve denetlenebilirliğin sağlanması teknik tedbirler arasında sayılır. Özellikle kişisel verilerin tutulduğu sistemlerde, kimlerin ne yaptığının kayıt altında olması hem mevzuat hem de olay incelemesi için zorunlu hâle gelmiştir.

Yedekleme ne sıklıkla yapılmalı?

Kritik veriler için günlük veya daha sık (örneğin her saat) yedekleme idealdir; en azından gün sonunda alınan sağlam bir yedek, birçok KOBİ için kabul edilebilir seviyeyi temsil eder. Daha seyrek yedeklemelerde, olası bir olayda kaybedeceğiniz veri miktarı ciddi biçimde artar.

Bulut yedekleme güvenli mi?

Doğru tasarlanmış bir bulut yedekleme yapısı; şifreleme, erişim kontrolü ve versiyonlama özellikleriyle, yerel disklere göre çoğu zaman daha yüksek güvenlik seviyesi sunar. Önemli olan, verinin kim tarafından, nasıl şifrelendiği ve hangi ülke / veri merkezinde tutulduğudur.

Küçük bir işletme için EDR şart mı?

Bütçe elveriyorsa, EDR çözümleri özellikle uzaktan erişim, sunucu ve kritik kullanıcı bilgisayarlarında önemli avantaj sağlar; ancak başlangıç aşamasında, güçlü bir kurumsal antivirüs ve sağlam yedekleme yapısı da ciddi bir güvenlik katmanı oluşturur. Zamanla olgunlaştıkça, EDR ve merkezi loglama gibi bileşenler eklenebilir.