Bir Sabah Her Şey Normal Görünür — Ama Değildir
Pazartesi sabahı ofise geliyorsunuz. Bilgisayarlar açık, e-postalar geliyor, müşteriler arıyor. Her şey normal gibi. Ama öğleden sonra bir müşteriniz arayıp soruyor: “Bize gönderdiğiniz faturadaki IBAN neden değişti?” Siz böyle bir fatura göndermemişsiniz.
Ya da şunu fark ediyorsunuz: muhasebe bilgisayarındaki bazı dosyalar açılmıyor. Uzantıları değişmiş. Masaüstünde daha önce görmediğiniz bir metin dosyası belirmiş.
Ya da IT personeliniz uyarıyor: “Sunucuya gece 03:00’te Romanya’dan giriş yapılmış.”
Bu senaryolardan herhangi biri tanıdık geliyorsa, şirketiniz hacklenmiş olabilir. Ve ilk 24 saatte yapacağınız (veya yapamayacağınız) her şey, zararın boyutunu doğrudan belirleyecek.
Türkiye’de 2025 yılında fidye yazılımı saldırıları bir önceki yıla göre 7 kat arttı. Mart 2025’te TurkNet gibi büyük bir internet servis sağlayıcısı bile siber saldırıya uğradı ve yüz binlerce kullanıcı etkilendi. Eğer büyük şirketler bile hedef olabiliyorsa, 15-20 kişilik bir şirketin “bize bir şey olmaz” demesi gerçekçi değil.
Bu rehberde, şirketinizin hacklendiğini anlamanızı sağlayacak belirtileri ve ilk 24 saatte atmanız gereken 8 kritik adımı sırasıyla anlatıyoruz.
Hacklendiğinizi Gösteren 7 Belirti
Siber saldırılar her zaman büyük patlama şeklinde olmaz. Çoğu zaman sinsi belirtilerle kendini gösterir. Aşağıdakilerden bir veya birkaçını yaşıyorsanız ciddi bir sorun olabilir:
1. Tanımadığınız Yerlerden Giriş Bildirimleri
Microsoft 365, Google Workspace veya VPN sisteminiz farklı ülkelerden giriş denemeleri gösteriyorsa, birileri hesaplarınıza erişmeye çalışıyor ya da erişmiş olabilir.
2. Müşterileriniz Sizden Sahte E-postalar Aldığını Söylüyor
E-posta hesabınız ele geçirildiyse saldırganlar sizin adınıza fatura, ödeme talimatı veya link içeren mailler gönderir. Bu hem itibar kaybı hem mali zarar demektir. Detaylı bilgi için e-posta hesabım hacklendi rehberimize bakın.
3. Dosyalar Açılmıyor veya Uzantıları Değişmiş
Bu klasik fidye yazılımı belirtisidir. Dosyalarınız şifrelenmiş ve karşılığında ödeme talep ediliyordur.
4. Sistemler Açıklanamaz Şekilde Yavaşlamış
Arka planda çalışan bir kripto madencisi, veri sızdırma yazılımı veya şifreleme işlemi sisteminizi yavaşlatır. Normal kullanımda olmayan CPU ve disk yükü dikkat çekici bir işarettir.
5. Güvenlik Yazılımı Devre Dışı Bırakılmış
Antivirüs veya firewall’unuzun “birisi tarafından” kapatıldığını fark ederseniz, bu bir saldırganın ilk yaptığı işlerden biridir. Savunma duvarını düşürmeden iç ağda serbestçe hareket edemezler.
6. Açıklanamayan Veri Transferleri
Ağ izleme sisteminiz gece saatlerinde büyük veri çıkışları gösteriyorsa, verileriniz dışarıya sızdırılıyor olabilir. Birçok saldırgan fidye istemeden önce verilerinizi kopyalar — hem şifreleyip hem de “yayınlarız” diye tehdit eder.
7. Yeni Kullanıcı Hesapları veya Yetki Değişiklikleri
Oluşturmadığınız yönetici hesapları, değişen parolalar veya yükseltilen yetkiler, saldırganın sisteminizde kalıcı erişim sağladığının göstergesidir.
İlk 24 Saatte Yapılacak 8 Kritik Adım
Panik yapmayın, ama hızlı olun. Her dakika önemli.
Adım 1: Etkilenen Sistemleri Ağdan Ayırın
Saldırının yayılmasını durduracak tek şey izolasyondur. Etkilenen bilgisayarların Ethernet kablosunu çekin, Wi-Fi’sini kapatın. Eğer birden fazla cihaz etkilenmişse, switch’i kapatarak tüm iç ağı geçici olarak ayırmayı düşünün.
5 dakika internetsiz kalmak, tüm sunucunuzun şifrelenmesinden iyidir.
Adım 2: Bilgisayarları Kapatmayın
Bu çok önemli ve sezgiseldir — “kapatalım gitsin” demek istersiniz. Ama kapatırsanız RAM’deki adli bilişim kanıtları kaybolur. Çalışan şifreleme süreçleri dosyaları kısmen bozar. Saldırganın kullandığı araçların izleri silinir.
Ağdan ayırın ama açık bırakın.
Adım 3: IT Güvenlik Ekibinizi veya Dış Desteğinizi Hemen Arayın
Eğer şirket içi bir IT ekibiniz varsa hemen devreye sokulmalı. Yoksa — ki KOBİ’lerin %80’inde yoktur — dış IT desteğinizi arayın. Bu noktada saat önemlidir; “yarın hallederiz” demek saldırganın ağınızda bir gece daha kalması demektir.
Kozyatagi Bilisim olarak 7/24 acil destek hattimiz bu tür durumlar icin aktiftir: 0541 636 77 75.
Adım 4: Saldırının Kapsamını Belirleyin
Hangi sistemler etkilendi? Hangi veriler tehlikede? Müşteri verileri var mı? Mali veriler var mı? Bu soruların cevapları hem müdahale stratejinizi hem de yasal bildirim yükümlülüğünüzü belirleyecek.
Log kayıtlarını inceleyin: firewall logları, Active Directory giriş logları, e-posta sunucusu logları. Saldırganın ne zaman girdiğini, ne yaptığını ve hala içeride olup olmadığını anlamanız gerekiyor.
Adım 5: KVKK 72 Saat Bildirim Yükümlülüğünüzü Unutmayın
Eğer kişisel veri ihlali varsa — müşteri isimleri, TC kimlikleri, e-posta adresleri, finansal bilgiler sızdıysa — KVKK kapsamında Kişisel Verileri Koruma Kurulu’na 72 saat içinde bildirim yapmanız yasal zorunluluktur.
Bu süre saldırıyı fark ettiğiniz andan itibaren başlar. 72 saati kaçırmak idari para cezası anlamına gelir. Bildirim formunu kvkk.gov.tr üzerinden doldurabilirsiniz.
KVKK uyumu rehberimizde bu süreci detaylı anlatıyoruz.
Adım 6: Etkilenen Tarafları Bilgilendirin
Müşteri verileri sızdıysa, müşterilerinizi bilgilendirmeniz hem yasal zorunluluk hem de güven meselesidir. Açık, dürüst ve net olun. Hangi verilerin etkilendiğini, ne yaptığınızı ve kendilerinin ne yapması gerektiğini anlatın.
Sahte e-posta gönderilen müşterilerinizi özellikle uyarın — bankalarını arayıp şüpheli işlemleri kontrol etmelerini söyleyin.
Adım 7: Temizlik ve Onarım
Saldırganın kullandığı giriş yolunu bulun ve kapatın. Bu genellikle şunlardan biridir: zayıf veya çalınmış parola, yamalanmamış bir güvenlik açığı, phishing e-postasıyla alınan erişim bilgileri, açık bırakılmış RDP portu.
Tüm parolaları değiştirin — sadece etkilenen hesapları değil, tüm şirket hesaplarını. Çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin. Güvenlik yamalarını uygulayın. Antivirüs tanımlarını güncelleyin. Temiz yedekten veri geri yükleyin.
Adım 8: Olay Sonrası Değerlendirme Yapın
Kriz atlatıldıktan sonra “Tamam bitti” deyip geçmeyin. Oturun ve analiz edin: Saldırgan nasıl girdi? Neden fark edemedik? Hangi savunma eksikti? Müdahale süremiz yeterli miydi?
Bu değerlendirme gelecekteki saldırılara karşı en değerli yatırımınızdır.
Hacklenmeyi Beklemeden Yapılması Gerekenler
En iyi kriz yönetimi, krizi yaşamamaktır. Aşağıdaki önlemleri bugün almanız sizi bu senaryoların çoğundan koruyacaktır:
- Tüm hesaplarda MFA (çok faktörlü doğrulama) açın. Microsoft 365, Google Workspace, VPN, banka hesapları — hepsi.
- Düzenli yedekleme yapın. 3-2-1 kuralıyla: 3 kopya, 2 farklı ortam, 1 tanesi offsite.
- Güvenlik yamalarını ertlemeyin. Windows, Office, firewall yazılımı — güncel tutun.
- Çalışan eğitimi verin. Saldırıların %90’ı insan hatasıyla başlar. Phishing farkındalığı şart.
- Ağ izleme ve log toplama yapın. Anormal aktiviteleri gerçek zamanlı görmek için.
- Olay müdahale planınız olsun. Kim kimi arar, ne yapılır, KVKK bildirimi kim yapar — önceden belirleyin.
Bu İşi Tek Başınıza Yapmak Zorunda Değilsiniz
Siber saldırı anında en büyük kayıp, ne yapılacağını bilmemekten kaynaklanan zaman kaybıdır. 10 kişilik bir şirkette tam zamanlı bir siber güvenlik uzmanı istihdam etmek gerçekçi değildir. Ama saldırıya hazırlıksız yakalanmak da kabul edilemez.
Kozyatagi Bilisim olarak Anadolu Yakasi’ndaki KOBİ’lere tam kapsamli IT guvenlik hizmeti sunuyoruz: guvenlik denetimi, 7/24 izleme, olay mudahale, KVKK uyumluluk destegi ve calisan egitimi. Bir saldiri yasanmadan once altyapinizi guclendiriyoruz; yasandiktan sonra ise aninda mudahale ediyoruz.
Siber guvenlik durumunuzu ucretsiz degerlendirmek icin bizi arayin: 0541 636 77 75 veya kozyatagibilisim.com uzerinden ulasin.
Bu rehberleri de okuyun: