Siber Güvenlik Temelleri: Bilmeniz Gereken Her Şey

Siber Güvenlik Neden Önemli?

Giderek daha bağlantılı hale gelen dünyamızda siber güvenlik (Cybersecurity) bir lüks değil, zorunluluk haline geldi. Rakamlar kendini anlatıyor: 2025'te Cybersecurity Ventures raporuna göre küresel siber suç maliyeti yılda 10,5 trilyon doları aştı. Tahminler bu rakamın 2026 ve sonrasında artmaya devam edeceğini gösteriyor.

Her 39 saniyede dünyanın bir yerinde bir saldırı girişimi gerçekleşiyor. Yalnızca 2025'te FBI'a 800 binin üzerinde siber suç şikayeti yapıldı. Bu sadece büyük şirketlerle ilgili değil — siber saldırıların %43'ü bireyleri ve küçük işletmeleri hedef alıyor.

İster okul için interneti kullanan bir öğrenci, ister çevrimiçi mağazasını yöneten bir girişimci, ister sıradan bir sosyal medya kullanıcısı olun — potansiyel bir hedefsiniz. Siber güvenlik temellerini anlamak isteğe bağlı değil, herkes için zorunlu.

Güvenlik Üçgeni: Gizlilik, Bütünlük ve Erişilebilirlik (CIA Triad)

Tehditlere geçmeden önce, her güvenlik sisteminin temelindeki ilkeyi anlamamız gerekiyor. Tanıdık gelmeyen bir terimle karşılaşırsanız, açıklama için Siber Güvenlik Terimler Sözlüğü'ne bakın. Bu ilke CIA Üçgeni olarak bilinir:

Gizlilik (Confidentiality)

Bilgiye yalnızca yetkili kişilerin erişebilmesini sağlamak. Örnek: Signal gibi şifreli bir uygulama üzerinden mesaj gönderdiğinizde, yalnızca gönderen ve alıcı okuyabilir. Şifreleme (Encryption), gizliliği sağlamanın temel aracıdır.

Bütünlük (Integrity)

Verilerin iletim veya depolama sırasında değiştirilmediğini veya üzerinde oynanmadığını garanti etmek. Örnek: banka hesabınızdan para transfer ettiğinizde, tutar değişmeden kalmalıdır. Karma oluşturma (Hashing) ve dijital imza gibi teknolojiler bunu sağlar.

Erişilebilirlik (Availability)

Sistemlerin ve verilerin ihtiyaç duyulduğunda erişilebilir olmasını sağlamak. Örnek: acil bir transfer yapmaya çalışırken bankanızın web sitesi çökerse, bu erişilebilirlik ilkesinin ihlalidir. DDoS saldırıları özellikle bu ilkeyi hedef alır.

Her siber tehdit bu üç sütunun bir veya daha fazlasını hedef alır. Bu üçgeni anlamak, herhangi bir güvenlik sorununu sistematik olarak analiz etmenize yardımcı olur.

En Önemli Siber Tehditler

Oltalama (Phishing)

En yaygın ve tehlikeli saldırı türü olup tüm ihlallerin yaklaşık %36'sını oluşturur. Sahte e-postalar veya web siteleri aracılığıyla kullanıcıları hassas bilgi vermeye kandırmaya dayanır.

Gerçek örnekler:

• Bankanızdan gelmiş gibi görünen bir e-posta: "Hesabınız askıya alındı — yeniden etkinleştirmek için buraya tıklayın"
• "Amazon"dan vermediğiniz bir sipariş hakkında bilgi ve giriş yapma isteği
• Bilinmeyen bir numaradan kargo şirketi iddiasıyla takip bağlantısı içeren WhatsApp mesajı

Oltalamayı nasıl tespit edersiniz?

• Gerçek e-posta adresini kontrol edin (örneğin: [email protected] yerine [email protected])
• Mesajdaki yazım ve dilbilgisi hatalarını arayın
• Bağlantılara tıklamayın — web sitesi adresini tarayıcınıza elle yazın
• Aciliyet yaratan mesajlara dikkat edin: "Son fırsat", "Hesabınız 24 saat içinde kapatılacak"

Fidye Yazılımları (Ransomware)

Dosyalarınızı şifreleyip geri vermek için fidye talep eden kötü amaçlı yazılım. Dünya genelinde milyarlarca dolar kayba neden oldu.

Önemli saldırılar:

• WannaCry (2017): Günler içinde 150 ülkede 230 binden fazla cihazı etkiledi. Windows açığını kullanarak hastaneleri, fabrikaları ve bankaları hedef aldı.
• NotPetya (2017): Ukrayna'da başlayıp dünya geneline yayıldı. 10 milyar doları aşan kayba neden oldu. Maersk tek başına 300 milyon dolar kaybetti ve 45 bin bilgisayarı yeniden kurmak zorunda kaldı.
• Colonial Pipeline (2021): ABD'nin en büyük yakıt boru hattını devre dışı bıraktı. 4,4 milyon dolar fidye ödendi.

Son zamanlarda sağlık sektörü ciddi bir saldırıyla karşılaştı — ayrıntıları Hastanelere Fidye Yazılımı Saldırısı haberinde okuyun.

Kendinizi nasıl korursunuz? Bilinmeyen kaynaklardan e-posta eklerini açmayın, düzenli yedekler alın ve işletim sisteminizi her zaman güncel tutun. Daha fazla bilgi için 2026'nın En Tehlikeli Tehditleri ve Kendinizi Nasıl Korursunuz yazımızı okuyun.

Kaba Kuvvet Saldırıları (Brute Force)

Tüm olası kombinasyonları deneyerek parolaları tahmin etmeye çalışma. Modern donanımlarla saniyede milyarlarca kombinasyon test edilebilir.

# Örnek: Parola gücünü kontrol etme
# Zayıf parola: 123456 (bir saniyeden kısa sürede kırılır)
# Orta parola: Mohamed2026 (saatler içinde kırılır)
# Güçlü parola: Xy#9kL$mPq2! (milyonlarca yıl gerektirir)

# Güvenlik tarama aracı
nmap -sV --script ssl-enum-ciphers -p 443 example.com

Bu saldırıya karşı nasıl savunulur?

• Harf, rakam ve sembol içeren uzun parolalar kullanın (en az 12 karakter)
• Sınırlı sayıda başarısız denemeden sonra hesap kilitlemeyi etkinleştirin
• Otomatik araçları engellemek için CAPTCHA kullanın
• İki faktörlü kimlik doğrulamayı (2FA) etkinleştirin — parola ele geçse bile saldırgan giremez

Ortadaki Adam Saldırıları (Man-in-the-Middle)

Saldırgan, iletişim kuran iki taraf arasına girerek aralarında aktarılan verileri yakalar. Arkadaşınıza bir mesaj gönderdiğinizi ama üçüncü bir kişinin okuduğunu ve ulaşmadan değiştirebildiğini düşünün.

Bu ne zaman olur?

• Şifrelenmemiş halka açık Wi-Fi ağları kullanırken (kafeler, havalimanları)
• HTTPS yerine HTTP kullanan siteleri ziyaret ederken
• Tarayıcıdaki güvenlik sertifikası uyarılarını görmezden gelirken

Kendinizi nasıl korursunuz?

• Adres çubuğunda her zaman HTTPS (yeşil kilit) olduğunu doğrulayın
• Halka açık ağlara bağlanırken VPN kullanın
• Güvenlik sertifikası uyarılarını asla görmezden gelmeyin

SQL Injection

Web uygulamalarındaki en tehlikeli açıklardan biri. Saldırgan, veri giriş noktalarını (giriş formları gibi) kullanarak doğrudan veritabanında komut çalıştırır.

-- Örnek: Açığı olan bir giriş formu
-- Kullanıcı, kullanıcı adı alanına şunu yazar:
' OR '1'='1' --

-- Bu, sorguyu şuna dönüştürür:
SELECT * FROM users WHERE username = '' OR '1'='1' --' AND password = ''
-- Sonuç: Parolasız giriş!

# Yanlış yöntem (injection'a açık):
query = f"SELECT * FROM users WHERE username = '{username}'"

# Doğru yöntem (parametrize edilmiş sorgu):
query = "SELECT * FROM users WHERE username = :username"
result = db.execute(query, {"username": username})

Bu tür açıklar tüm veritabanının çalınmasına, tüm verilerin silinmesine veya sunucunun ele geçirilmesine yol açabilir. Bu yüzden parametrize edilmiş sorgular ilk savunma hattıdır.

DDoS Saldırıları

Saldırgan, sunucuyu gerçek kullanıcılara hizmet veremez hale gelene kadar devasa miktarda istekle boğar. Bin kişinin aynı anda tek kapıdan girmeye çalıştığını düşünün — kimse giremez.

Ürkütücü rakamlar:

• Kaydedilen en büyük DDoS saldırısı saniyede 3,47 terabite ulaştı
• Dark web'de bir DDoS saldırısı 10 dolardan ucuza kiralanabilir
• Şirketler için ortalama kesinti maliyeti: dakikada 22 bin dolar

Korunma: Trafiği filtreleyen ve kötü amaçlı istekleri engelleyen Cloudflare veya AWS Shield gibi hizmetleri kullanın.

En İyi Koruma Uygulamaları

Parola Yönetimi

Parola ilk savunma hattıdır. Ancak ortalama bir kişinin 100'den fazla çevrimiçi hesabı var. Detaylar için Güçlü Parola Rehberi yazımızı okuyun. Her hesap için benzersiz ve güçlü bir parolayı nasıl hatırlarsınız?

Çözüm: Parola Yöneticisi (Password Manager)

Bitwarden (ücretsiz ve açık kaynak) veya 1Password gibi araçlar:

• Her hesap için rastgele, güçlü parolalar oluşturur
• Şifreli olarak saklar — yalnızca bir ana parolayı hatırlamanız yeterli
• Giriş formlarını otomatik doldurur
• Parolanız veri sızıntısında görünürse uyarır

İki Faktörlü Kimlik Doğrulama (2FA)

Tüm önemli hesaplarınızda iki faktörlü kimlik doğrulamayı etkinleştirin: e-posta, banka, sosyal medya. SMS yerine Google Authenticator veya Authy gibi uygulamalar tercih edin — SMS ele geçirilebilir.

VPN Kullanımı

VPN internet bağlantınızı şifreler ve IP adresinizi gizler. Özellikle şu durumlarda önemlidir:

• Halka açık Wi-Fi ağlarını kullanırken
• Hassas bilgilere erişirken (banka, e-posta)
• Gizliliğinizi internet servis sağlayıcınızdan korumak istediğinizde — ayrıca Veri Gizliliği İpuçları yazımızı okuyun

Güvenilir hizmetler: Mullvad VPN, ProtonVPN (ücretsiz planı var), NordVPN. VPN'in nasıl çalıştığını ayrıntılı anlamak için VPN Nedir ve Gizliliğinizi Nasıl Korur yazımızı okuyun.

Kablosuz Ağ Güvenliği (Wi-Fi)

• Yönlendiricinizin varsayılan ağ adını ve parolasını hemen değiştirin
• WPA3 şifreleme kullanın (en az WPA2) — asla WEP kullanmayın
• Mümkünse ağ adını (SSID) gizleyin
• Ziyaretçiler için ayrı bir misafir ağı oluşturun
• Yönlendirici yazılımını düzenli güncelleyin

Yedekleme Stratejisi (3-2-1 Kuralı)

Bu altın kural, saldırı veya donanım arızası nedeniyle veri kaybından korur:

• Önemli verilerinizin 3 kopyası
• 2 farklı türde depolama ortamı (örneğin: harici disk + bulut depolama)
• 1 kopya farklı bir coğrafi konumda (örneğin: bulut depolama)

Bu kuralı önemli dosyalarınıza uygulayın: fotoğraflar, belgeler, iş projeleri ve yerine koyamayacağınız her şey.

Sosyal Mühendislikten Korunma

Sosyal mühendislik (Social Engineering), bilgi veya erişim elde etmek için insanları manipüle etme sanatıdır. Saldırganın sistemi kırmasına gerek yok — tek bir kişiyi kandırması yeterli. Tüm taktikleri anlamak için Sosyal Mühendislik Rehberimizi okuyun.

Altın kurallar:

• Parolaları veya doğrulama kodlarını kimseyle paylaşmayın — teknik destek olduğunu iddia etseler bile
• Bilgi paylaşmadan önce arayanın kimliğini doğrulayın
• Bir teklif gerçek olamayacak kadar iyi görünüyorsa, muhtemelen dolandırıcılıktır
• Acele etmeyin — saldırganlar aciliyet ve korkuya güvenir

Yazılımları Düzenli Güncelleyin

Güncellemeler yalnızca yeni özellikler için değil — güvenlik açıklarını yamalar. İşletim sistemi ve uygulamalar için otomatik güncellemeyi etkinleştirin. Geciktirdiğiniz her gün saldırganlar için bir fırsattır.

İşletmeler İçin Siber Güvenlik

Bir şirket veya işletme yönetiyorsanız, sorumluluk daha büyük. Daha derinlemesine bilgi için Küçük İşletmeler İçin Siber Güvenlik yazımızı okuyun. Temel ilkeler:

• Çalışan eğitimi: İhlallerin %80'inden fazlası insan hatasıyla başlar. Ekibinizi oltalama ve sosyal mühendisliği tanımaya eğitin.
• En az yetki ilkesi: Hiçbir çalışana işi için gerekenden fazla erişim vermeyin.
• Olay müdahale planı: İhlal olduğunda ne yapılacağına dair net bir plan hazırlayın.
• Düzenli sızma testleri: Saldırganlar açıkları bulmadan önce sistemlerinizi test ettirin.
• Şifreleme: Hassas verileri hem depolamada hem de iletimde şifreleyin.

Siber Güvenlikte Öğrenme Yolu

Siber güvenliği kariyer olarak düşünüyorsanız, başlamak için pratik adımları öğrenmek üzere Teknoloji Kariyer Yolu rehberimizi okuyun.

Sıkça Sorulan Sorular

Sonuç

Siber güvenlik satın alacağınız bir ürün değil — inşa edeceğiniz günlük bir alışkanlıktır. Kendinizi korumak için teknik uzman olmanıza gerek yok. Bugün ele aldığımız temel uygulamaları hayata geçirmeye başlayın: parola yöneticisi kullanın, iki faktörlü kimlik doğrulamayı etkinleştirin, şüpheli bağlantılardan kaçının ve yedek alın.

Siber güvenliği kariyeriniz yapmak istiyorsanız, bu alan iş piyasasında en çok talep gören alanlardan biri — dünya genelinde 3,5 milyonun üzerinde doldurulmamış pozisyon var. Ayrıntılı yol haritası için Siber Güvenlik Kariyerinize Nasıl Başlarsınız yazımızı okuyun.