KVKK Veri İhlali Şüphesinde Teknik Ekip Ne Yapmalı? İlk Tespit, Kayıt Koruma ve Olay Çerçevesi

Veri ihlali şüphesi ile doğrulanmış ihlal aynı şey değildir

Veri ihlali şüphesi, kurumların en hassas teknik süreçlerinden biridir. Ancak burada ilk yapılması gereken şey, şüphe ile kesinliği birbirine karıştırmamaktır. Olağan dışı oturum kaydı, yüksek hacimli sorgu, beklenmeyen dışa aktarım davranışı veya kullanıcı hesabında anormal hareket görülmesi ciddi göstergelerdir; fakat bunlar tek başına kesin ihlal hükmü kurmak için yeterli olmayabilir.

Tam tersine bazı kurumlar da “henüz kesin değil” diyerek kritik saatleri boşa harcar. Sağlıklı yaklaşım şudur: Kesin konuşmak için erken olabilir, fakat ciddiye almak için yeterli teknik işaret oluşmuş olabilir.

İlk teknik soru ne olmalıdır?

Veri ihlali şüphesi doğduğunda çoğu ekip hemen “hangi veri gitti?” sorusuna odaklanır. Oysa önce şu soru sorulmalıdır: Şüpheyi doğuran teknik gösterge nedir?

Çünkü olayın çıkış noktası doğru tanımlanmazsa sonraki analiz dağılır.

Şüpheyi doğuran göstergeler neler olabilir?

• olağan dışı kullanıcı girişi
• anormal sorgu yoğunluğu
• export veya indirme davranışı
• e-posta yönlendirme kuralı değişikliği
• yönetici hesap kullanımı
• dış servislere beklenmeyen bağlantı
• bulut panelinde yetki anormalliği

Bu ilk gösterge, hangi kayıt katmanlarından ilerlenmesi gerektiğini belirler.

Teknik ekip ilk aşamada neyi anlamaya çalışmalıdır?

İlk hedef, olayın türünü yaklaşık olarak sınıflandırmaktır.

Temel sınıflandırma soruları

• yetkisiz erişim mi var?
• hesap ele geçirilmesi ihtimali mi söz konusu?
• sadece erişim mi oldu, veri hareketi de var mı?
• olağan kullanıcı davranışından sapma ne düzeyde?
• içeriden kötüye kullanım ihtimali var mı?
• üçüncü taraf sistem ilişkisi devrede mi?

Bu aşamada kusursuz sonuca ulaşmak gerekmez. Amaç, hangi kayıtların kritik olduğunu ve olayın hangi eksende derinleşebileceğini anlamaktır.

Hangi kayıtlar derhal korunmalıdır?

Veri ihlali şüphesinde en büyük kayıplardan biri, olayın kendisinden çok kayıtların dönmesidir. Birçok sistem logu sınırlı süre tutulur. Bu nedenle ilk aşamada ilgili veri kaynaklarının korunması gerekir.

Öncelikli kayıt grupları

• kimlik doğrulama logları
• kullanıcı oturum kayıtları
• uygulama erişim logları
• veri tabanı sorgu kayıtları
• güvenlik duvarı ve ağ geçidi logları
• uç nokta güvenlik uyarıları
• yönetici paneli faaliyet kayıtları
• bulut olay kayıtları
• e-posta kural ve erişim logları
• dosya paylaşım ve indirme hareketleri

Burada önemli olan yalnızca veri toplamak değil, verinin nasıl ve ne zaman alındığını da kayıt altına almaktır. Çünkü sürecin izlenebilirliği, sonradan yapılacak değerlendirmenin güvenini doğrudan etkiler.

Veri gerçekten dışarı çıktı mı, yoksa yalnızca erişim mi oldu?

Bu ayrım çok kritiktir. Her yetkisiz erişim, otomatik olarak veri dışa aktarımı anlamına gelmez. Aynı şekilde yüksek hacimli işlem de her zaman ihlal sonucu değildir.

Teknik ekip bu nedenle şu ayrımı dikkatle yapmalıdır:

• sisteme giriş oldu mu?
• giriş sonrası hangi alanlara erişildi?
• yalnızca görüntüleme mi vardı, yoksa export davranışı da var mı?
• veri hacmi olağan kullanımın üzerinde mi?
• dış bağlantı veya indirme izi bunu destekliyor mu?

Bu sorular, erişim ile veri hareketi arasındaki farkı ortaya koyar. Sağlıklı değerlendirme de bu ayrım üzerine kurulur.

İç kaynaklı risk ihtimali neden ciddiye alınmalıdır?

Veri ihlali konuşulunca çoğu kurumun aklına önce dış saldırgan gelir. Oysa her olay dış kaynaklı değildir. Aşırı yetkilendirilmiş kullanıcı, görev tanımı dışına taşan sorgu davranışı, eski personel hesabının açık kalması veya bilinçli iç veri toplama gibi senaryolar da teknik olarak gerçek ihtimallerdir.

Burada amaç kişiselleştirilmiş suçlama yapmak değildir. Ama teknik ekip iz temelli düşünmek zorundadır.

İç kaynaklı riskte bakılması gereken işaretler

• işlem saatleri normal mi?
• sorgu kapsamı görev tanımıyla uyumlu mu?
• kullanıcı daha önce benzer hacimde işlem yapmış mı?
• olağan dışı export veya indirme davranışı var mı?
• yetki seviyesi gereğinden geniş mi?

Kurumsal olgunluk, bu ihtimali duygusal değil teknik biçimde değerlendirebilmekte ortaya çıkar.

Teknik ekip ile yönetim arasındaki dil farkı nasıl yönetilmelidir?

Veri ihlali şüphesinde teknik bulgular, yönetime veya hukuk birimine doğrudan aynı dille aktarılmaz. Teknik ekip kendi içinde anlamlı olan terimler kullanabilir; ancak yönetime iletilen çerçevede risk, etki, belirsizlik ve sonraki adım daha net görünmelidir.

Örneğin “anormal sorgu paterni” teknik olarak anlamlıdır; fakat yönetim açısından bunun kurumsal karşılığı da açıklanmalıdır. Güçlü iletişim şu dengeyi kurar:

• gereksiz kesinlik kurmaz
• ama belirsizlik nedeniyle hiçbir şey söyleyememiş de görünmez

Bu nedenle teknik raporlama burada kritik rol oynar.

Sık sorulan sorular

Veri ihlali şüphesinde ilk ne yapılmalı?

Şüpheyi doğuran teknik gösterge netleştirilmeli, kritik loglar korunmalı ve olay sınıflandırılmalıdır.

Her yetkisiz erişim veri ihlali midir?

Hayır. Erişim ile veri dışa aktarımı ayrı ayrı değerlendirilmelidir.

Teknik ekip yönetime ne sunmalıdır?

Yaklaşık olay çerçevesi, korunan kayıtlar, risk düzeyi ve henüz teyit bekleyen alanlar.

Veri ihlali şüphesi, öncelikle teknik görünürlük problemidir. Kurumun doğru karar verebilmesi için önce teknik gerçeğe mümkün olduğunca yaklaşması gerekir. Bu da panikle değil; kayıt koruma, doğru sınıflandırma ve disiplinli analizle mümkündür. Sağlam kurum refleksi, şüphe anında hızlı hüküm kurmak değil, savunulabilir teknik çerçeve üretmektir.