Sızma Testlerinin Yasal Boyutu ve Hukuki Süreçleri Nasıl İşler?

Sızma ya da penetrasyon testi, sistemlerin güvenlik açıklarını tespit etmek amacıyla bilinçli ve kontrollü şekilde yapılan siber saldırıdır. Yerel ağ, yazılımlar, web ve mobil uygulamalar gibi potansiyel saldırı noktalarındaki güvenlik zayıflıklarını belirlemeye yardımcı olur. Kişisel Verilerin Korunması Kanunu (KVKK) ve veri güvenliği rehberleri, bu testlerin organizasyonlar açısından önemine dikkat çeker. Aynı zamanda siber saldırı ölçümlerine ilişkin birtakım hukuki prosedürleri de içerir. Bu yazıda sızma testi yasası niteliğindeki bazı kanuni düzenlemeleri ele aldık.

Farklı İşletmeler ve Kuruluşlar için Sızma Testlerinin Yasal Düzenlemeleri

Penetrasyon testi, bir kuruluşun bilgi sistemleri ve çalışan kaynaklı güvenlik zafiyetlerini belirlemek amacıyla gerçekleştirilen çalışmalardır. Düzenli olarak yapıldığında iç ya da dış kaynaklı zayıf noktaları, siber saldırganlardan önce belirlemeyi ve buna yönelik gerekli önlemleri almayı mümkün kılar. Bazı organizasyonlar, bu bilgi güvenliği çalışmalarını sızma testi yasasına göre gerçekleştirir. Ayrıca KVKK ve gizlilik mevzuatına uyumluluk kriterlerini de gözetir. Takip eden başlıklarda bu mevzuata ve söz konusu kurumlara ilişkin ayrıntıları görebilirsiniz.

KVKK ve Gizlilik Mevzuatı

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK); kişisel verileri işleyenlerin yükümlülükleri ile uyacakları usul ve esasları düzenler. Genel sızma testi yasası olarak kabul edilen bu kanun, kritik altyapılara sahip kuruluşlara ilişkin bazı düzenlemeler içerir. Söz konusu kuruluşlar, penetrasyon testlerini KVKK ve gizlilik mevzuatı uyumluluğu standartlarına göre gerçekleştirmelidir. Yasal düzenlemelere uygun bir KVKK sızma testinde şu detaylara dikkat edilir:

• Bilişim altyapısı sistemlerinin uyumluluk, güvenlik ve bütünlük gereksinimlerine göre düzenlenmesi
• Potansiyel zafiyetlerin ve sızıntıların alanında uzman kişiler tarafından tespit edilmesi
• Sızma testlerini gerçekleştirenlerin kişisel verilerin hukuka aykırı şekilde erişilmesine ve işlenmesine karşı gerekli önlemleri alması 

Kritik altyapılara sahip işletmeler için sızma testi yasası, bilişim altyapısının ISO 27001 bilgi güvenliği standartlarına uyumluluğunu sağlar. Bu testler, risk analizi ve yönetimi süreçlerine temel oluşturur. Böylece kuruluşun bilgi güvenliği politikalarını, ISO 27001 standartlarına göre düzenlemesine yardım eder. 

Ulaştırma ve Altyapı Bakanlığı

Ulaştırma ve Altyapı Bakanlığı, güvenlik zafiyetlerini sızma testi yasalarına göre belirleyen kurumlar arasındadır. 21 Haziran 2017’de bu konuya yönelik KamuNet Ağına Bağlanma ve KamuNet Ağının Denetimine İlişkin Usul ve Esaslar Hakkında Tebliği yayımlanmıştır. Bu tebliğe göre KamuNet üyesi kamu kurumları, penetrasyon testlerini siber güvenlik risklerini azaltmak için kurulan bu ağın bağlı olduğu sistemlerde gerçekleştirir. Ardından tespit edilen zafiyetleri gidermek için gereken çalışmaları yapar.

Söz konusu bakanlık, KamuNet ile bağlantılı birimlerine ve sistemlerine yönelik bir Bilgi Güvenliği Yönetim Sistemi (BGYS) kurar. Kurmuş olduğu BGYS adına TS ISO/IEC 27001 veya ISO/IEC 27001 standardı belgeleri alır. Sızma testi yasasına göre gerekli tebdirleri alarak hem kendi bilişim altyapısının hem diğer KamuNet paydaşlarına ait verilerin olumsuz etkilenmesini önler.

Sermaye Piyasası Kurulu (SPK)

Sermaye Piyasası Kurulu, veri güvenli çalışmalarında bir sızma testi yasasına bağlı kalan organizasyonlar arasında yer alır. SPK sızma testi yasası, 2018’in Ocak ayında yayımlanan bir tebliğe dayanır. Bilgi Sistemleri Yönetim Tebliği’ne göre SPK’ya bağlı olanlar, gerekli belgelere sahip gerçek ya da tüzel kişiler tarafından yılda en az bir defa penetrasyon testinden geçirilir. İlgili tebliğin Ek-1 bölümünde yer alan asgari sızma testi gereklilikleri ise şunlardır:

• İletişim altyapısı ve aktif cihazlar
• DNS servisleri
• Etki alanı ve kullanıcı bilgisayarları
• E-posta servisleri
• Veri tabanı sistemleri
• Web uygulamaları
• Mobil uygulamalar
• Kablosuz ağ sistemleri
• Dağıtık servis dışı bırakma testleri
• Sosyal mühendislik testleri

Tüm bu SPK sızma testi prosedürleri; belli başlı kurumları, kuruluşları ve ortaklıkları ilgilendirir. Sayılan organizasyonlar; bilgi sistemlerinin yönetimine ilişkin unsurları tesis eder, düzenli olarak gözden geçirir, günceller ve ilgili tüm birimlere duyurur. Bu düzenlemeleri baz alanlara örnek olarak Borsa İstanbul, emeklilik yatırım fonları, halka açık ortaklıklar ve Takasbank verilebilir. 

Bankacılık Düzenleme ve Denetleme Kurumu

Bankacılık Düzenleme ve Denetleme Kurumu (BDDK), veri güvenliğini sızma testi yasasına göre sağlayan organizasyonlardan biridir. BDDK sızma testi yasası olarak Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ esas alınır. Bu tebliğ; mevduat, katılım, kalkınma ve yatırım bankalarını kapsar. Tebliğin bilgi sistemlerine ilişkin risk yönetimi bölümünde finansal kuruluşlarda bağımsız ekipler tarafından düzenli aralıklarla sızma testi yaptırılması gerektiği ifade edilmiştir. 

Ayrıca ilgili tebliğin internet bankacılığı kısmında bu faaliyetlerin yılda en az 1 defa olmak üzere penetrasyon testinden geçirileceği belirtilmiştir. Söz konusu tebliğ, 1 Temmuz 2020’de kaldırılmıştır. Onun yerine benzer maddeleri içeren Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği yürürlüğe girmiştir.

Enerji Piyasası Düzenleme Kurumu

13 Temmuz 2017’de yayımlanan Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliği, bir tür sızma testi yasası olarak kabul edilebilir. İlgili yönetmelikte EKS (Endüstriyel Kontrol Sistemleri) Güvenlik Kontrolleri adlı bir rehber yer alır. Bu rehbere göre organizasyonların belirli aralıklarla ve özel olarak tespit edilen bir prosedür çerçevesinde sızma testi gerçekleştirmesi gerekir. Enerji Piyasası Düzenleme Kurumu kapsamındaki birimler, bu testleri raporlar ve sonuçları analiz eder. Böylece sızma testi yasasına göre güvenlik zafiyetlerini belirleyebilir ve önleyebilir.

Gelir İdaresi Başkanlığı

Gelir İdaresi Başkanlığına (GİB) bağlı kurumlar ve kuruluşlar, sızma testlerini e-Belge Özel Entegratörleri Bilgi Sistemleri Denetim Kılavuzu maddelerine göre gerçekleştirir. Bu kılavuz, GİB’den izin alan özel entegratör kuruluşları ilgilendirir. GİB sızma testi kapsamında yapılan işlemler ise aşağıdaki gibidir.

• Ağ ve iletişim altyapısı testleri
• İşletim sistemi ve platform testleri
• Uygulama testleri
• Veri tabanı testleri
• Web uygulamaları testleri
• Mobil uygulama testleri

GİB’e bağlı özel entegratörler, yılda en az bir kez sızma testi yapar. Penetrasyon testinde kılavuzda tanımlanan varlıklar ve bilgi sistemleri ele alınır. Bu sayede ilgili kuruluşlar, veri güvenliğini sızma testi yasasına göre iyileştirir ve korur.

Sızma Testlerinin İzin ve Sözleşme Gereklilikleri

İşletmeler için sızma testi yasalarından gelen bazı sözleşme gereklilikleri bulunur. Penetrasyon testi yapan firma ve bilişim altyapısına yönelik ölçümlerin gerçekleştirileceği organizasyon arasında bir anlaşma imzalanır. Bu kontrat, ilgili sistemlere yetki kapsamında sızılmasına ve testlerin yasal zeminde uygulanmasına olanak tanır. Aksi takdirde Türk Ceza Kanunu’nun 245/A maddesi gereğince bilişim suçları meydana gelebilir. Böyle bir durumda hem testi uygulayan hem de sistemlerine kontrollü şekilde sızılan organizasyonlara yönelik hukuki sorunlar açığa çıkabilir.

Müşteri Onayı ve İzin Süreçleri

Yasalara uygun ve etik sızma testi yapmak, izin süreçlerinin eksiksiz tamamlanmasına bağlıdır. Müşteri onayının sözleşmelerle belgelendiği sızma testi işlemleri, bilişim sistemi suçlarının ortaya çıkmasını önleyebilir. Bu doğrultuda Cumhurbaşkanlığı Dijital Dönüşüm Ofisi (CBDDO) Bilgi ve İletişim Güvenliği Rehberi temel alınır. Söz konusu rehberin “Sızma Testleri ve Güvenlik Tedbirleri” başlığında izinlere ilişkin detaylara yer verilir. Buna göre testi gerçekleştirecek taraftan, bu süreçte ulaşılan hiçbir verinin yetkisiz kişilere verilmemesi, aktarılmaması ve ifşa edilmemesine yönelik taahhüt istenir. Ayrıca müşteri onayları belgelenir ve testlerin kapsamı da açıkça belirlenir.

Sızma Testi Sözleşmeleri ve Kapsamı

Bazı veri güvenliği rehberlerinde ve yasal düzenlemelerde sızma testi sözleşmelerine dair detaylar yer alır. Bu resmî dokümanlar arasındaki CBDDO Bilgi ve İletişim Güvenliği Rehberi, penetrasyon testi sözleşmelerine genel bir çerçeve çizer. İlgili rehbere göre sızma testinde firma çalışanları aktif bir rol oynar. Zira çalışanlar, kurum içinde çeşitli verilere erişebilir ve bunları bazı işlemlerinde kullanabilir. Ayrıca penetrasyon testini gerçekleştirenler de bilişim altyapısındaki verilere ulaşır. Gizlilik taahhütnameleri, bu verilerin ifşa edilmemesi ve amaç dışında kullanılmaması gibi konuları güvenceye alır.

Sızma Testlerinin Güvenli Ortamda Yasal Yürütülmesi

Cumhurbaşkanlığı Dijital Dönüşüm Ofisinin penetrasyon testi yasası niteliğindeki rehberinde bu işlemin güvenli bir ortamda yürütülmesine yönelik tedbirlerden bahsedilir. Bu tedbirlere göre sızma testi ortamı; güvenlik duvarları ve alan/bölge bazlı kimlik doğrulama gibi yöntemler kullanılarak birbirinden ayrılmalıdır. Ayrıca bahsi geçen test ortamları için farklı süreçlerin yetkili birimler tarafından yürütülmesini sağlayan görevler ayrılığı prensibi de uygulanmalıdır.

Etik Kurallar Doğrultusunda Sızma Testi

Dijital Dönüşüm Ofisi tarafından yayımlanan sızma testi genelgesi, bu işlemin etik standartlarda olmasına yardım eder. Bu doğrultuda penetrasyon testini yapmak için tercih edilen herhangi bir kullanıcı ya da sistem hesabının, yalnızca meşru amaçlar için kullanıldığından emin olunmalıdır. Aynı zamanda bu hesaplar, düzenli olarak kontrol edilmeli ve kayıt altına alınmalıdır. Test bittikten sonra ise zafiyetleri önlemek için kayıtları silmek gerekir.

Test Sonuçları ve Yasal Yükümlülükler

Sızma testi yasaları ya da rehberleri, sonuçlara yönelik maddeler içerir. Bu maddelere göre penetrasyon testi sonuçları, veri ihlallerine yol açmamak için gizli tutulur. Ayrıca mevcut güvenlik açıklarını daha net görebilmek ve yeni stratejilere bir kılavuz oluşturmak için raporlaştırılır. Böylece elde edilen bulgulara göre bilgi ve iletişim sistemlerini, yasal mevzuata uyumlu duruma getirmek mümkün olur.

Raporlama ve Veri Koruma İhlalleri

Penetrasyon testi ve güvenli denetimi sonuçları, bir puanlama yöntemine göre raporlandırılmalıdır. Bu rapor, mevcut güvenlik zafiyetlerinin hangi düzeyde olduğunu gösterir. Düzenli kırmızı takım tatbikatlarının yapılması ise organizasyonların siber saldırılara karşı kurumsal hazırlığını test etmesini sağlar. Kırmızı takım* tatbikat sonuçları da diğer bulgular gibi belgelendirilmeli ve bu somut verilere göre kurumda gerekli iyileştirmeler yapılmalıdır.

Yasal Zorunluluklara Uyum ve İyileştirme Süreçleri

Sızma testi yasası çerçevesinde gerçekleştirilen işlemlerle ulaşılan sonuçlara göre bazı güvenlik iyileştirmeleri yapmak gerekir. Bu doğrultuda güvenlik zafiyetleri, öncelikle sırasına göre giderilir. Daha sonra sıra, doğrulama testlerini uygulamaya gelir. Görevlerin ayrılığı ilkesine göre yapılan doğrulama testleri, kapatılan güvenlik açıklarını kontrol etmeye yardımcı olur.

Yasalara Uygun Penetrasyon Testi için Neden Uzman Desteği Almalısınız?

Penetrasyon testi, güvenlik zafiyetlerini tespit etmek ve gidermek amacıyla gerçekleştirilen önemli bir süreçtir. Bazı hukuki sorumluluklara tabidir ve veri ihlali ya da bilişim suçları gibi riskleri içerir. Bu nedenle yasalara uygun bir sızma testi yapmak için uzman yardımı almanız gerekir. Örneğin TSE onaylı sızma testi firması inventiv, alanında yetkin ekibi sayesinde bilişim altyapınızı söz konusu sorunlarla karşılaşmadan iyileştirmenizi sağlar. 

Siber güvenlik denetimi için destek alabileceğiniz inventiv, Securvent hizmeti kapsamında bilginiz ve gözetiminiz dâhilinde testler gerçekleştirir. Kurumunuzun bilişim altyapısındaki açıkları tespit eder, raporlar ve çözüme kavuşturur. Sonuçları yalnızca belirli bir süreliğine sakladığı ve veri gizliliğine önem verdiği için farklı nitelikteki organizasyonlar tarafından güvenle tercih edilir. Daha pek çok avantajdan faydalanarak kurumunuzun bilişim altyapısını güçlendirmek için vakit kaybetmeden inventiv ile tanışabilirsiniz.

Notlar:

*bilinçli ve kontrollü yapılan siber ataklarda saldırgan rolünü üstlenen güvenlik uzmanlarıdır