Fidye Yazılımı Saldırısının İlk 72 Saati: KOBİ Olay Müdahale Planı

Fidye notunu ekranda gördüğünüz an iki ayrı 72 saatlik sayaç aynı anda çalışmaya başlar. Biri saldırganın baskı sayacı: “şu saate kadar ödemezsen fiyat artar, veriyi sızdırırız.” Diğeri ise yasal sayacınız. Olayda kişisel veri ihlali varsa, KVKK’ya bildirim için elinizde durumu öğrendiğiniz andan itibaren 72 saat var. İlk üç gün, krizin kalıcı bir felakete mi yoksa yönetilebilir bir kesintiye mi döneceğini büyük ölçüde belirliyor.

Korunma tarafını başka yazılarda ele aldık. Bu yazı, kötü şey zaten olduktan sonrasını anlatıyor.

İlk bir saat: panik değil, izolasyon

Refleks olarak yapılan ilk hata genellikle aynı: etkilenen makineyi kapatmak. Yapmayın. Kapatmak, bellekte duran şifreleme anahtarı ve saldırı izleri gibi adli inceleme için kritik kanıtları yok edebilir.

Bunun yerine cihazı ağdan koparın. Kablosunu çekin, Wi-Fi’yi kapatın, ama gücü açık bırakın. Amaç, fidye yazılımının yatay olarak diğer sunuculara ve paylaşımlara yayılmasını saniyeler içinde durdurmak. Aynı anda:

• Ortak ağ paylaşımlarını ve eşitlenen bulut klasörlerini askıya alın
• Aktif VPN ve uzak masaüstü oturumlarını sonlandırın
• Yedekleme sistemini ağdan izole edin — saldırganın bir sonraki hedefi büyük ihtimalle o

Bu noktada henüz “ne kadar veri gitti” sorusuna cevabınız yok, olması da gerekmiyor. İlk saatin tek işi yayılmayı durdurmak.

Kimi, ne zaman bilgilendirmelisiniz?

Saldırının teknik tarafı kadar önemli olan, doğru kişilere doğru sürede haber vermek. Türkiye’de bir KOBİ için bildirim haritası şöyle:

Kime	Ne zaman	Neden
Üst yönetim / sahip	Hemen (ilk saat)	Karar yetkisi onlarda; iletişim onların ağzından çıkmalı
KVKK	Kişisel veri ihlalinde, en geç 72 saat içinde	Kurul kararıyla “en kısa süre” 72 saat olarak tanımlı
Etkilenen ilgili kişiler	Makul en kısa sürede	Müşteri, çalışan, tedarikçi verisi sızdıysa onların da haberi olmalı
USOM / sektör SOME	En kısa sürede	Ulusal müdahale koordinasyonu ve tehdit istihbaratı
Siber sigortacı	Poliçedeki sürede (çoğu 24–72 saat)	Geç bildirim teminatı düşürebilir

KVKK’nın 72 saatlik eşiği 2019 tarihli Kurul kararına dayanıyor ve süre, ihlali fark ettiğiniz andan işlemeye başlıyor — saldırının gerçekleştiği andan değil. Kurum’un 25 Aralık 2025 tarihli yeni kararıyla, ihlal duyurularının Kurum sitesinde yayım süresi de düzenlendi; ilgili kişilere bildirim yapıldığı belgelenirse yayın süresi kısalabiliyor. Yani bildirim sürecini ciddiye almak, hem yasal yükümlülük hem de itibar yönetimi açısından işinize yarıyor.

Bildirim yapmamak ya da gecikmek, fidyenin kendisinden çok daha pahalıya patlayabilir. KVKK idari para cezaları, gecikmeli veya hiç yapılmayan ihlal bildirimlerinde belirgin biçimde artıyor.

Fidyeyi ödemeli misiniz?

Kısa cevap: hayır, en azından ilk tepki olarak değil. Birkaç sert gerçek:

• Ödeyenlerin önemli bir kısmı verisinin tamamını geri alamıyor; çözücü anahtar çoğu zaman eksik ya da bozuk çalışıyor.
• Ödeme, sizi “ödeyen kurban” olarak işaretler. Aynı grubun ya da başkasının birkaç ay içinde geri gelme ihtimali artar.
• Veri sızdırıldıysa, ödeme verinin silineceğini garanti etmez — elinizde sadece suçlunun sözü vardır.
• Bazı tehdit aktörleri yaptırım listelerinde yer alır; bu durumda ödeme ayrı bir hukuki risk doğurabilir.

Ödeme bir BT kararı değil, hukuk ve üst yönetimin birlikte vereceği bir iş kararıdır. Ve bu kararı, temiz yedekten geri dönüp dönemeyeceğinizi bilmeden vermeyin.

Geri dönüş: temiz yedek her şeydir

İşte burada saldırıdan önceki hazırlığınızın faturası kesilir. Değişmez (immutable) veya çevrimdışı bir yedeğiniz varsa, oyun tamamen değişir — pazarlık masasından kalkar, geri yükleme planınıza geçersiniz. Bu yüzden olay müdahalesi aslında saldırı gününde değil, aylar önce yedekleme mimarisini kurarken kazanılır. Bu mimariyi değişmez yedekleme rehberinde ayrıntılı anlattık.

Geri yüklemede sırayı bozmayın: önce sıfırdan temiz kurulmuş sistemler, sonra veri. Şifreli ortama yedeği geri yüklerseniz, açık kalmış arka kapıdan tekrar şifrelenmesi an meselesi.

Kriz bittikten sonra: aynı kapıyı kapatın

Sistemler ayağa kalktığında iş bitmiş olmuyor. Saldırganın içeri girdiği yolu bulup kapatmadan üretime dönmek, ikinci dalgayı davet etmek demek. Tipik giriş yolları açık RDP portları, yamasız sunucular ve çalınmış parolalar. Bu yüzden müdahale sonrası asgari liste:

1. Tüm yönetici ve servis hesabı parolalarını sıfırlayın
2. İnternete açık her hesapta MFA’yı zorunlu kılın
3. Eksik güvenlik yamalarını kapatın — yama yönetimi rehberi bu süreci sistematikleştirir
4. Ağı segmentlere ayırın ki bir sonraki olayda yayılma sınırlı kalsın
5. Olaydan çıkardığınız dersi yazılı bir müdahale planına dökün

Sık Sorulan Sorular

Fidyeyi ödersek verimiz kesin geri gelir mi? Hayır, garanti yok. Ödeme yapanların bir kısmı çözücü anahtarı hiç almıyor, alanların da bir bölümü verisini tam kurtaramıyor. Ödeme, çözümün değil yeni bir riskin başlangıcı olabilir.

Her fidye saldırısını KVKK’ya bildirmek zorunda mıyım? Bildirim yükümlülüğü, olayın bir kişisel veri ihlali olup olmamasına bağlı. Kişisel veriler şifrelendiyse, sızdırıldıysa veya erişilemez hale geldiyse ihlal söz konusudur ve 72 saatlik bildirim devreye girer. Yalnızca operasyonel sistemler etkilendiyse durum farklı değerlendirilir — bu ayrımı bir uzmana danışarak netleştirin.

Siber sigorta fidye ödemesini karşılar mı? Poliçeye göre değişir. Bazı poliçeler fidye ve müzakere masrafını kapsar, bazıları yalnızca kurtarma ve hukuki süreci. Ama hemen hepsi olayın belirli bir sürede bildirilmesini şart koşar; geç haber verirseniz teminat düşebilir.

Fidye senaryosuna hazırlıklı olmak, saldırı gününde değil bugün alınan kararlarla mümkün. Mevcut yedekleme, kimlik ve müdahale yapınızı birlikte gözden geçirip işletmenize özel bir olay müdahale planı çıkaralım. Bizimle iletişime geçin — ilk 72 saatte ne yapacağınızın yazılı olduğu, denenmiş bir planınız olsun.

Kaynaklar

• KVKK — Veri İhlali Bildirimi (2019/10 Kurul Kararı)
• KVKK — Veri İhlal Bildirimleri
• USOM — Ulusal Siber Olaylara Müdahale Merkezi
• Microsoft Learn — İnsan kaynaklı fidye yazılımı