Giriş: “Bizi Kim Hedef Alır ki?” Bu cümle KOBİ sahiplerinin siber güvenlik konusundaki en yaygın kanaatidir. “Biz küçük bir firmayız, bankalar var, devlet kurumları var, hackerlar onların peşinde, bizi kim takmış” mantığı sezgisel olarak makul gelir.
Ne yazık ki gerçek bunun tam tersidir. 2025 verilerine göre Türkiye’de gerçekleşen siber saldırıların büyük çoğunluğu KOBİ’leri hedef aldı. Sebep basittir: KOBİ’ler büyük kurumların güvenlik bütçesine sahip değildir, çoğunda profesyonel güvenlik yapılandırması yoktur, çalışanlar siber farkındalık eğitimi almamıştır, yedekleme sistemleri ya yoktur ya çalışmaz haldedir.
Saldırgan açısından bakıldığında KOBİ “çabuk ve kolay para” demektir. 000 TL fidye almak çok daha kârlıdır. Bu yazının amacı sizi korkutmak değil, gerçek bir resim çizmek ve bu resmin içinde KOBİ’nizin nasıl korunabileceğini anlatmaktır.
Ne süper teknik konuşacağız ne de “korkun, bize gelin” diyeceğiz. Gerçek tehditleri, gerçek önlemleri ve gerçek bir yol haritasını paylaşacağız. 2026’da KOBİ’leri Bekleyen 5 Büyük Tehdit 1.
Fidye Yazılımı (Ransomware) Fidye yazılımı tüm dosyalarınızı şifreleyip karşılığında para isteyen kötücül yazılımdır. Bir kez bulaştığında şirketin tüm verilerine erişim kaybedilir — Word dosyaları, Excel tabloları, müşteri veritabanı, fotoğraflar, sözleşmeler, hepsi şifrelenmiş ve okunamaz hale gelir. 000 TL arasında fidye ister, “ödemezseniz dosyalarınızı asla geri alamazsınız” der.
Üstelik ödeseniz bile dosyalarınızı geri alacağınızın garantisi yoktur. Detaylı ne yapılması gerektiğini [fidye yazılımı saldırısı sonrası yapılacaklar] yazımızda anlattık. 2.
İş E-postası Dolandırıcılığı (BEC) Business Email Compromise yani BEC, son yılların en hızlı büyüyen siber suçudur. Saldırgan bir şekilde şirketinizin bir yöneticisinin e-posta hesabına erişir veya çok benzer bir alan adından sahte e-posta atar. Sonra muhasebe departmanına “acele bir ödeme yapılması lazım, şu hesaba transfer et” diye mesaj atar.
Mesaj o kadar profesyonelce ve doğal görünür ki muhasebe çalışanı şüphelenmeden yüksek miktarlı havaleler yapabilir. Türkiye’de bu yöntemle yüz binlerce, hatta milyonlarca lira kaybeden KOBİ’ler vardır.
3. Tedarik Zinciri Saldırıları
Doğrudan sizi hedef almayan ama sizi etkileyen saldırılardır. Kullandığınız bir yazılımın üreticisi hacklenir, o yazılımın bir güncellemesi kötücül kod içerir ve sizin sisteminize sızar. Veya çalıştığınız bir tedarikçi firmasının e-postası ele geçirilir, sahte fatura alırsınız ve farkında olmadan saldırgana ödeme yaparsınız.
Bu saldırı tipinden korunmak zor çünkü sebep sizde değildir.
4. Sosyal Mühendislik ve Phishing
Çalışanlarınızın doğrudan kandırılmasıyla yapılan saldırılardır. “Şifreniz süresi doldu, buraya tıklayın” e- postası, “kargo gelecek, bilgilerinizi onaylayın” mesajı, “bankadan arıyorum, doğrulama kodunuzu söyler misiniz” telefonu… Çoğu çalışan bu tuzaklara takılır.
Saldırgan şirketinizin ağına girmek için en kolay yolun teknik açık değil, dikkatsiz bir çalışan olduğunu bilir. Detaylı bilgi için [e-posta phishing engelleme] yazımıza bakabilirsiniz.
5. İçeriden Tehditler
Eski çalışanlar, mutsuz mevcut çalışanlar veya dikkatsizce hareket eden iyi niyetli çalışanlar kasıtlı veya kazara veri ihlallerine sebep olabilir. Ayrılan bir satış elemanının müşteri listesini USB’ye kopyalayıp rakip firmaya götürmesi, bir muhasebe çalışanının yanlışlıkla tüm bordroyu yanlış e-postaya göndermesi, bir yöneticinin kafede şirket laptopunu bırakıp gitmesi… Bu tür olaylar çok yaygındır ve güçlü erişim kontrolü olmayan şirketlerde tespit bile edilmez.
Katmanlı Güvenlik Nedir, Neden Önemlidir? Siber güvenlik tek bir ürün veya tek bir önlem değildir. “Antivirüs aldık, güvendeyiz” yaklaşımı tehlikelidir çünkü hiçbir tek savunma mekanizması mükemmel değildir.
Modern güvenlik anlayışı katmanlı savunma (defense in depth) ilkesine dayanır. Bu ilkeyi bir kalenin savunmasına benzetebilirsiniz. Ortaçağ kaleleri tek bir duvarla değil, birden fazla savunma katmanıyla korunurdu: hendek, dış surlar, iç surlar, ana kale, kale içindeki burç.
Bir saldırgan birinci katmanı geçse de ikinci katmanı geçmesi zor olurdu, ikinciyi geçse üçüncü, derken vazgeçerdi. Aynı mantık siber güvenlikte de geçerlidir. KOBİ için bu katmanlar şunları içermelidir: Çevre güvenliği: Firewall ile dış dünyadan gelen tehditleri filtreleme Ağ güvenliği: Network segmentasyonu, VLAN, şüpheli trafik tespiti Endpoint güvenliği: Bilgisayar ve sunucularda antivirüs/EDR Erişim kontrolü: Kim neye erişebiliyor, MFA, parola yönetimi E-posta güvenliği: Spam, phishing, BEC koruması Veri güvenliği: Şifreleme, yedekleme, DLP İnsan katmanı: Çalışan eğitimi, farkındalık programları İzleme katmanı: Loglama, anomali tespiti, SIEM Yanıt katmanı: Olay müdahale planı, iletişim protokolleri Bir saldırgan bir katmanı geçse bile diğerlerinde takılacaktır.
Önemli olan birden fazla katmanın çalışıyor olmasıdır. Bunlardan birini eksik bırakmak zinciri zayıflatır. Endpoint Güvenliği: Antivirüs, EDR, MDR Farkları Bu üç terim sıkça karıştırılır ve KOBİ sahipleri arasında yanlış kararlara sebep olur.
Açıklayalım. Antivirüs (AV) Geleneksel antivirüs yazılımı bilinen kötücül yazılımları “imza” tabanlı tespit eder. Yani daha önce tanımlanmış zararlı dosyaların listesini tutar ve bilgisayarda bunlara denk gelirse engeller.
Bu yöntem 2000’lerde yeterliydi ama 2026’da başlı başına yetersizdir. Çünkü modern saldırılar sürekli yeni varyantlar üretir ve imza listesinde olmayan dosyalar antivirüsten kolayca geçer. EDR (Endpoint Detection and Response) EDR yeni nesildir.
İmzaya değil davranışa bakar. Bir dosya zararlı imza içermese bile, anormal davranışlar sergiliyorsa (örneğin tüm Word dosyalarını birden okumaya başlıyorsa, sistem dosyalarını değiştirmeye çalışıyorsa, beklenmedik bir sunucuyla iletişim kuruyorsa) tespit edip engeller. EDR ayrıca olay sonrası analiz için detaylı log tutar — saldırının nereden geldiğini, ne yaptığını, hangi dosyalara dokunduğunu görebilirsiniz.
MDR (Managed Detection and Response) MDR aslında EDR’ın yönetilen versiyonudur. EDR ürünü kurarsınız ama uzman bir ekip 7/24 onu izler, gelen alarmları yorumlar, gerçek tehdit olanları tespit eder ve müdahale eder. Çünkü EDR çok alarm üretir ve bunları yorumlamak ciddi bir uzmanlık ister.
Çoğu KOBİ’nin kendi bünyesinde böyle bir ekip yoktur, MDR hizmeti bu boşluğu doldurur. Hangisi KOBİ İçin Doğru? 10 kişiden az şirketler için iyi bir iş antivirüsü yeterli olabilir.
10-50 arası şirketler EDR’a geçmelidir. 50+ kişilik şirketler MDR seviyesinde bir hizmete bakmalıdır. Detaylı karşılaştırma ve marka önerileri için [şirket için en iyi antivirüs] yazımıza göz atabilirsiniz.
Ağ Güvenliği: Firewall ve Ötesi Firewall ofis ağınızla internet arasındaki trafik kontrolcüsüdür. Hangi trafiğin geçeceğine, hangisinin engelleneceğine karar verir. Ev tipi modemlerde de basit firewall vardır ama bunlar bir KOBİ ağını korumak için yetersizdir.
Profesyonel firewall’lar (Fortinet, SonicWall, WatchGuard, Cisco) çok daha gelişmiş kontroller sunar. Modern Firewall’da Olması Gereken Özellikler Stateful inspection: Sadece port değil, bağlantı durumunu izleme IPS/IDS: Saldırı tespit ve önleme Web filtering: Çalışanları zararlı sitelerden korumak Application control: Hangi uygulamaların çalışmasına izin verileceği SSL inspection: Şifreli trafik içindeki tehditleri görme VPN desteği: Uzak çalışanlar için güvenli erişim Loglama: 5651 sayılı kanun uyumlu kayıt tutma Raporlama: Düzenli güvenlik raporları Network Segmentasyonu Tüm cihazlarınızın aynı ağda olması zayıf bir mimaridir. Network’ü VLAN’lara böler, farklı kullanıcı gruplarını ve cihazları izole edersiniz.
Tipik bir KOBİ segmentasyonu şöyledir: Kullanıcı VLAN: Çalışan bilgisayarları Sunucu VLAN: Şirket sunucuları IoT VLAN: Yazıcılar, kameralar, akıllı cihazlar Misafir VLAN: Ziyaretçi Wi-Fi Yönetim VLAN: Network cihazlarının yönetim erişimi Bu yapıda bir VLAN’a yapılan saldırı diğerlerine sıçrayamaz. Yazıcı hacklenmiş olsa bile sunucularınıza ulaşamaz. Misafir Wi-Fi’ye bağlanan kötü niyetli biri şirket dosyalarınıza erişemez.
E-posta Güvenliği: Modern Saldırıların Ana Giriş Noktası Siber saldırıların büyük çoğunluğu e-posta yoluyla başlar. Bir çalışan zararlı bir eki açar veya sahte bir linke tıklar, böylece sistem ele geçirilir. Bu yüzden e-posta güvenliği KOBİ siber güvenliğinin en kritik parçalarından biridir.
Temel E-posta Güvenlik Önlemleri Spam ve phishing filtreleme: Office 365 ve Google Workspace’in dahili filtreleri vardır ama yetersiz olabilir. Daha güçlü çözümler (Mimecast, Proofpoint, Barracuda) gerekebilir. SPF, DKIM, DMARC kayıtları: Bu üç DNS kaydı olmadan birileri sizin alan adınızı kullanarak sahte e- posta gönderebilir.
Detaylı kurulum için [SPF DKIM DMARC rehberi] yazımız var. Ek dosya taraması: Gelen e-posta eklerinin sandbox ortamında çalıştırılarak güvenliğinin doğrulanması URL yeniden yazımı: E-postadaki linkleri tıklandığı anda kontrol etmek BEC koruması: Yönetici taklidi e-postaları için davranış analizi İnsan Faktörü: En Önemli Katman Tüm teknik önlemler bir tarafa, siber güvenliğin en zayıf halkası neredeyse her zaman insandır. Dünyanın en pahalı firewall’ı, çalışanınızın bir phishing e-postasındaki linke tıklamasını engelleyemez.
Bu yüzden çalışan farkındalığı her güvenlik stratejisinin merkezinde olmalıdır. Etkili Bir Farkındalık Programının Bileşenleri Düzenli eğitimler: Yılda en az 2 kez güncel tehditler hakkında bilgilendirme Simüle phishing testleri: Çalışanlara kontrollü sahte phishing e-postaları gönderip kim tıklıyor görmek. Tıklayanlara ekstra eğitim verilir, ceza verilmez.
Olay raporlama kültürü: Şüpheli bir e-posta gören çalışanın çekinmeden bildirebileceği bir kanal Yöneticilerin örnek olması: Yönetim güvenlik önlemlerine uyduğu sürece çalışanlar da uyar Kısa, sık tekrarlar: 1 saatlik yıllık eğitim yerine 5 dakikalık aylık videolar daha etkilidir Çalışanlara Öğretilmesi Gereken Temel Kurallar Şüpheli e-posta eklerini açma, link tıklama Şifrelerini kimseyle paylaşma, kağıda yazıp masaüstüne yapıştırma Her hesap için farklı şifre kullan (parola yöneticisi öner) Telefonla gelen “bankadan arıyorum” çağrılarına karşı dikkatli ol Yöneticiden gelen ani ve acele bir ödeme talebini her zaman ikinci kanaldan doğrula Şirket bilgisayarına tanımadığın USB takma Halka açık Wi-Fi’lerde şirket sistemlerine girme veya VPN kullan Bilgisayar başından kalkarken ekranı kilitle Olay Müdahalesi: Saldırı Olduğunda Ne Yapılır? Hiçbir güvenlik mükemmel değildir. Ne kadar önlem alırsanız alın, bir gün bir olayla karşılaşma ihtimaliniz vardır.
Bu yüzden bir olay müdahale planı (Incident Response Plan) hazırlanmalıdır. Plan yoksa, kriz anında herkes panikle koşuşturur ve durum kötüleşir. Olay Müdahale Planının 6 Aşaması 1.
Hazırlık: Plan hazırlama, ekip belirleme, iletişim protokolleri, araç temini 2. Tespit: Bir şeylerin ters gittiğini fark etme 3. İzolasyon: Etkilenen sistemleri ağdan ayırarak yayılmayı durdurma 4.
Yok etme: Tehdidi sistemlerden temizleme 5. Kurtarma: Sistemleri normale döndürme, yedekten geri yükleme 6. Öğrenme: Olayın nasıl olduğunu analiz etme, gelecek için ders çıkarma Bir KOBİ’nin bu süreçleri kendi başına yönetmesi pratikte çok zordur.
Yönetilen IT veya MDR sağlayıcısı bu süreçleri profesyonelce işletir.
KVKK ve Siber Güvenlik İlişkisi
KVKK (Kişisel Verilerin Korunması Kanunu) Türkiye’de 2016’dan beri yürürlüktedir. KOBİ’lerin önemli bir kısmı bu kanunu ya bilmiyor ya da göz ardı ediyor. Ama denetimler sıkılaşıyor ve cezalar yüksek (binlerce liradan milyonlara kadar).
KVKK siber güvenlikten ayrı bir konu değildir; ikisi iç içedir. Kanun “kişisel veriler uygun teknik ve idari tedbirlerle korunmalıdır” der.
Güvenlik duvarları
Bu listede gördüğünüz her madde, aynı zamanda iyi bir siber güvenlik altyapısının da parçasıdır. Yani siber güvenlik için yapılan yatırımlar zaten KVKK uyumunun büyük bir kısmını da karşılar. İki kuş tek taşla. Detaylı bilgi için [KVKK uyumu için IT altyapısı] yazımıza bakın.
KOBİ İçin Minimum Güvenlik Checklist’i
Eğer bütçeniz sınırlıysa ve “mutlaka olması gereken” minimum bir liste arıyorsanız, aşağıdaki maddeleri öncelik sırasıyla uygulayın: 1. Otomatik yedekleme kurun, yedeklerin geri yüklenebildiğini test edin 2. Tüm bilgisayarlarda kurumsal antivirüs/EDR kullanın (ücretsiz versiyonlar yetersizdir) 3.
Tüm kullanıcı hesaplarına güçlü şifre + MFA şartı koyun 4. Profesyonel bir firewall kurun, ev tipi modeme güvenmeyin 5. E-postada SPF, DKIM, DMARC kayıtlarını doğru yapılandırın 6.
Tüm sistemlere düzenli güncelleme uygulayın (Windows, yazılımlar, donanım firmware) 7. Çalışanlara siber güvenlik eğitimi verin (yılda 2 kez) 8. Hassas verilerin nerede olduğunu belgeleyin ve erişimi kısıtlayın 9.
Bir olay müdahale planı hazırlayın (basit bile olsa) 10. Yılda bir güvenlik denetimi yaptırın Bu 10 maddeyi düzgün uygulayan bir KOBİ, hiçbir önlem almayan KOBİ’nin yaşadığı risklerin %90’ını ortadan kaldırır. Sıfıra indirmez — sıfır risk diye bir şey yoktur — ama saldırgan için sizi “kolay hedef” olmaktan çıkarır.
Sıkça Sorulan Sorular
Bizim sektörümüz hedef değil, gerçekten gerek var mı? Siber saldırganlar sektör seçmiyor. Ransomware otomatik araçlarla rastgele hedefler tarar, bulduğu açık her sisteme saldırır.
Sizin “önemsiz” olmanız sizi kurtarmaz. Antivirüs satın almak yeterli değil mi? Hayır.
Antivirüs sadece bir katmandır ve tek başına çok sınırlı koruma sağlar. Katmanlı yaklaşım esastır. Bulut hizmetleri kullanıyoruz, güvenlik onların sorumluluğunda değil mi?
Bulut sağlayıcı sadece kendi altyapısının güvenliğinden sorumludur. Kullanıcı hesapları, yetkiler, veri erişimi sizin sorumluluğunuzdadır. Buna “shared responsibility” denir.
Çalışanlarımıza güveniyoruz, eğitime gerek var mı? Güven ile bilgi farklı şeylerdir. En iyi niyetli çalışan bile bilmediği bir tehdit karşısında savunmasızdır.
Eğitim güvensizlik değil, koruma sağlamaktır. Siber sigorta yaptırsak yeterli olur mu? Siber sigorta yardımcı olur ama önlem değildir.
Üstelik çoğu poliçe asgari güvenlik önlemlerinin alınmış olmasını şart koşar — almadan tazminat talep ederseniz reddedilirsiniz. KOBİ’ler için bütçe ne kadar olmalı? Uluslararası standartlar IT bütçesinin %10-15’inin güvenliğe ayrılmasını önerir.
KOBİ için pratik olarak çalışan başına aylık 200-500 TL arası bir güvenlik bütçesi mantıklı bir başlangıçtır. Ücretsiz Siber Güvenlik Değerlendirmesi Şirketinizin mevcut güvenlik durumunu uzmanlarımız ücretsiz analiz ediyor. Hangi katmanlar mevcut, hangi açıklar var, öncelikli aksiyonlar neler — net bir rapor sunuyoruz.
Hiçbir taahhüt olmadan görüşmek için iletişime geçin.
Sonuç
Siber güvenlik korkuyla satılan bir ürün değildir. Aksine, doğru yapıldığında işinizi rahatlatan bir altyapıdır. Şirketinizin verilerinin güvende olduğunu bilmek, çalışanlarınızın bir tıklamayla şirketi krize sokmayacağından emin olmak, denetimler geldiğinde KVKK uyumlu olduğunuzu gösterebilmek — bunların hepsi sıradan bir KOBİ sahibinin hak ettiği rahatlıklardır.
Önemli olan, mükemmel değil yeterli olmaktır. Hiçbir güvenlik sistemi %100 değildir. Ama %20’den %80’e çıkmak çok kolaydır ve bu büyük farkı yaratır.
Saldırgan her zaman direnci en az olan hedefe yönelir; siz “biraz zor” olmayı başardığınızda saldırgan başkasını seçer. Bu yazıdaki minimum checklist’i uygulayan KOBİ, saldırganın gözünde zaten “geçilmesi zor” hedef haline gelmiş demektir. Eğer “bunların hepsini nasıl yaparım, kimden başlarım, kim bana yardım eder” diye düşünüyorsanız, doğru bir IT iş ortağı bu sürecin tamamını sizin için yönetir.
Sizin işiniz işinizi büyütmektir; güvenliği uzmanlara bırakın ve gece rahat uyuyun.