Data Breach (Veri İhlali)

#veri-ihlali #siber-guvenlik #GDPR #KVKK #veri-koruma #ransomware

Yetkisiz kişilerin hassas, korumalı veya gizli verilere erişmesi, bu verileri çalması veya ifşa etmesi; kuruluşlar ve bireyler için ciddi hukuki, finansal ve itibar riskleri doğuran güvenlik olayı.

Veri ihlali (data breach), yetkisiz kişilerin şirketlere, kurumlara veya bireylere ait hassas, korumalı ya da gizli verilere erişim sağladığı ya da bu verileri dışarıya sızdırdığı bir güvenlik olayıdır. Açığa çıkan veriler kişisel kimlik bilgileri, finansal kayıtlar, sağlık verileri, oturum açma kimlik bilgileri veya fikri mülkiyet olabilir. IBM'in 2025 raporuna göre bir veri ihlalinin küresel ortalama maliyeti 4,4 milyon dolar seviyesindedir; dünyada ise her gün ortalama 443 veri ihlali yaşanmaktadır.

Data Breach Nasıl Gerçekleşir?

Data breach'ler çeşitli saldırı vektörleriyle meydana gelir. Phishing (oltalama) saldırılarında çalışanlar sahte e-posta veya web siteleriyle kandırılarak kimlik bilgileri ele geçirilir. Kötü amaçlı yazılımlar (malware) sistemlere sızarak veri çalar veya saldırganlara uzaktan erişim sağlar. Zayıf ya da yeniden kullanılan parolalar, saldırıların en temel kaldıraçlarından biridir. Yama uygulanmamış yazılımlardaki güvenlik açıkları otomatik araçlarla taranarak istismar edilir. İçeriden gelen tehditler (insider threats) ise kötü niyetli ya da dikkatsiz çalışanlardan kaynaklanır; bu olaylar tüm ihlallerin yaklaşık %20'sini oluşturur.

Yaygın Veri İhlali Türleri

  • check_circle Harici Siber Saldırılar: Siber suçluların teknik güvenlik açıklarından yararlanarak sisteme sızması; SQL enjeksiyonu, brute force ve credential stuffing gibi teknikler kullanılır.
  • check_circle Fidye Yazılımı (Ransomware): Veriler şifrelenerek fidye talep edilir; saldırganlar genellikle verileri de çalarak 'çifte gasp' (double extortion) uygular ve yayınlamakla tehdit eder.
  • check_circle Tedarik Zinciri Saldırıları: Üçüncü taraf yazılım veya hizmet sağlayıcıları aracılığıyla gerçekleşir; güvenilen bir partnerin ihlali aracılığıyla hedef kuruluşa sızılır.
  • check_circle Sosyal Mühendislik: İnsan psikolojisini manipüle eden teknikler; spear phishing, vishing (sesli oltalama) ve pretexting ile yetkili kullanıcılar yönlendirilir.
  • check_circle İçeriden Gelen Tehditler: Mevcut veya eski çalışanların kasıtlı ya da kazara neden olduğu sızıntılar; aşırı geniş erişim hakları bu riski artırır.

Önemli Örnekler

Haziran 2025'te tarihte en büyük kimlik bilgisi derlemesi olarak kayıtlara geçen bir ihlalde 16 milyar oturum açma bilgisi açığa çıktı. 2026'daki Canvas platformu ihlali, ShinyHunters hacking grubunun üstlendiği bir saldırıyla 8.809 eğitim kurumunu ve 275 milyon kullanıcıyı etkiledi; 3,65 terabayt veri çalındığı iddia edildi. Türkiye'de Mart 2026'da bir restoran zincirine ait sistemlerin ihlalinde 2,7 milyon kayıt sızdırıldı ve olay KVKK tarafından incelemeye alındı. Bu örnekler, veri ihlallerinin artık belirli sektörleri değil tüm dijital ekosistemi hedef aldığını göstermektedir.

Hukuki Yaptırımlar: GDPR ve KVKK

Avrupa Birliği'nde Genel Veri Koruma Yönetmeliği (GDPR), kuruluşlara veri ihlalini farkına vardıktan sonra 72 saat içinde yetkili denetim otoritesine bildirme zorunluluğu getirir. İhlaller şirket cirosunun %4'üne veya 20 milyon Euro'ya kadar para cezasına yol açabilir; 2025 yılında GDPR kapsamında toplam 1,2 milyar Euro'nun üzerinde ceza kesildi. Türkiye'de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) benzer yükümlülükler öngörür: ihlaller 72 saat içinde Kişisel Verileri Koruma Kurumu'na ve ilgili kişilere bildirilmeli, aksi hâlde idari para cezası uygulanabilir.

Korunma Yöntemleri

  • check_circle Çok Faktörlü Kimlik Doğrulama (MFA): Parola çalınsa bile yetkisiz erişimi engeller; MFA uygulamayan hesaplar ihlale en açık hedeflerdir.
  • check_circle Şifreleme: Veriler hem dinlenme (at rest) hem aktarım (in transit) sırasında şifrelenmeli; böylece ihlal gerçekleşse bile ham veri okunamaz.
  • check_circle Sıfır Güven Mimarisi: Her kullanıcı ve cihaz sürekli doğrulanır, asgari yetki (least privilege) ilkesi uygulanır; bu sayede ihlal yayılımı sınırlandırılır.
  • check_circle Düzenli Güvenlik Denetimleri: Sızma testleri ve güvenlik açığı taramaları, saldırganlar bulmadan önce zayıf noktaların tespitini sağlar.
  • check_circle Olay Müdahale Planı: İhlal gerçekleştiğinde hızlı yanıt verebilmek için önceden hazırlanmış bir süreç; GDPR/KVKK bildirim yükümlülüklerini zamanında yerine getirmeyi kolaylaştırır.