Siber Olay Müdahalesi: Hukuk Ekibi İçin 72 Saatlik Kontrol Listesi

Giriş

Siber olaylar, bugün hemen hemen her şirket için "olursa değil, ne zaman olur" kategorisinde bir risktir. Bir olayın — fidye yazılımı, veri sızıntısı, iç kaynaklı sabotaj, tedarikçi zinciri saldırısı — hukuki maliyetinin büyük bölümü, ilk 72 saatte alınan kararlarla belirlenir. Bu pencere içinde KVKK bildirim süreleri başlar, delil güvenliği kurulur ya da kaçırılır, iletişim disiplini iç ve dış paydaşlar açısından temellenir.

Bu yazı, bir siber olay anında hukuk ekibinin izlemesi gereken aksiyonları saat saat haritalandırır. Yazının amacı tek tek davaları çözmek değil; şirketlerin olay öncesi bir "runbook" niteliğinde hazır çerçeveye sahip olmasını sağlamaktır.

Olay Öncesi — Hazırlık

72 saatlik pencerenin nasıl yönetileceği aslında olaydan önce kurgulanır. Hukuk ekibinin hazır tutması gereken temel belgeler:

• Olay müdahale politikası ve yönetim kurulu onayı — olayı kimin başlatabileceği, iletişim akışları, dış danışman devreye giriş mekanizması.
• Olay müdahale runbook'u — teknik, hukuki, iletişim ve yönetim boyutunu saat saat tanımlayan yönerge.
• İletişim şablonları — Kurum bildirim taslağı, veri sahibi duyuru taslağı, çalışan iletişim mesajı, kamuya açık duyuru, müşteri iletişimi.
• Önceden anlaşılmış dış danışmanlar — adli bilişim firması, dış hukuk bürosu, kriz iletişim ajansı ve sigorta broker temasları, olay anında telefon açılacak seviyede hazır.
• Delil güvenliği matrisi — hangi verinin nasıl toplanacağı, zincirin nasıl korunacağı, avukat-müvekkil gizliliğinin nasıl korunacağı.

İlk 4 Saat — Tespit ve Başlangıç

Olayın tespiti ile hukuk ekibinin dahil olması arasındaki süre mümkün olduğunca kısa tutulmalıdır.

• Olayı kaydet — ilk tespit saati, tespit yöntemi, tespiti yapan kişi, ilk belirtiler.
• Olay müdahale komitesini topla — teknik (CISO / BT güvenlik), hukuk (iç avukat / dış büro), iletişim, operasyon, üst yönetim temsilcisi.
• İlk etki değerlendirmesi — hangi sistemler etkilendi, hangi veriler risk altında, veri sahipleri kim, hangi yargı çevreleri devreye giriyor (yurt dışı var mı)?
• Delil güvenliği başlat — log kayıtlarını izole et, etkilenen sistemlerin anlık görüntüsünü al, rastgele silme veya tekrar başlatmayı engelle.
• Avukat-müvekkil gizliliği düzeni kur — iç soruşturmanın hukuk ekibi yönetiminde yürütülmesi, e-posta yazışmalarının "privileged & confidential" ibaresiyle işaretlenmesi.
• Zorunlu müdahale kararları için güvenli karar alma zemini — etkilenen sistemin kapatılması operasyonel, adli veya mukavele riski mi doğurur?

4-24 Saat — Kapsam Belirleme ve Bildirim Hazırlığı

Olayın gerçek kapsamı bu pencerede çözülmeye başlar; KVKK bildirim süresi de bu zaman dilimi içinde tetiklenir.

KVKK'nın 72 saatlik bildirim yükümlülüğü

Kurul'un 24 Ocak 2019 tarihli ve 2019/10 sayılı kararı, veri sorumlusunun bir kişisel veri ihlalini "öğrendiği tarihten itibaren 72 saat içinde" Kurum'a bildirim yükümlülüğünü düzenler. Bildirim; ihlalin niteliği, kategorileri, sayısal etkisi, olası sonuçları, alınmış ve alınacak tedbirleri kapsayan yapılandırılmış bir dosyayı gerektirir.

72 saat, kesintisiz takvimsel süredir — hafta sonu veya tatil bildirim süresini durdurmaz. "Öğrenme" tarihinin yorumu, uygulamada kritik bir tartışma konusudur: olayın belirtisinin fark edildiği an mı, kesin olarak ihlal olduğu sonucuna varıldığı an mı? Uygulamada tavsiye edilen, belirtinin fark edilmesinden itibaren saati başlatmak ve — sonradan ihlal olmadığı anlaşılsa da — bildirim hazırlığının aktif biçimde yürütülmesidir.

Kapsam analizi için sorulacak sorular

• Hangi kişisel veriler etkilendi? (kimlik, iletişim, finansal, sağlık, biyometrik, konum, vb.)
• Kaç veri sahibi etkilendi? Yaklaşık sayı mı kesin sayı mı?
• Veri kaçtı mı, ifşa edildi mi, sadece erişildi mi? Yetkisiz işleme seviyesi nedir?
• Şifreleme kırıldı mı? Pseudonymization etkili mi?
• Olay devam ediyor mu, sonlandırıldı mı?
• Yurt dışına aktarılan veri var mı? Hangi ülke?

Bildirim hazırlığı paralel yürütülmeli

Bildirim hazırlanırken teknik ekip hâlâ kapsamı araştırıyor olabilir. Bu durumda Kurum'a başvuru iki aşamalı yapılabilir: ilk bildirim (elde bulunan bilgiyle), güncelleyici bildirim (kapsam netleştikçe). Kurum, gecikmeli veya eksik ilk bildirimi, hiç yapılmamasına göre daha anlayışla karşılar.

24-48 Saat — Paydaş İletişimi

Veri sahiplerine bildirim

KVKK, "ihlalin işlenen kişisel veri sahibinin hak ve özgürlükleri için muhtemelen yüksek risk oluşturması" hâlinde veri sahiplerine bildirim yapılmasını düzenler. Bildirim:

• Açık ve sade bir dille yazılmalı,
• Hangi verilerin etkilendiğini,
• Ne gibi etkiler doğurabileceğini (kimlik hırsızlığı, mali kayıp, iletişim dolandırıcılığı),
• Alınan ve alınması tavsiye edilen koruma adımlarını,
• Şirketin iletişim kanalını açıkça belirtmeli.

Veri sahibi iletişiminin zamanlaması, Kurum bildirimi ile eşzamanlı veya kısa bir gecikmeyle yapılması uygundur; birkaç gün bekleyip sonra yapılan bildirimler itibar kaybı dışında Kurum'un da soru konusu olur.

Düzenleyici paralel süreçler

Olayın şirketin faaliyet sektörüne göre birden fazla düzenleyiciye bildirim doğurabilir:

• Bankalar ve ödeme kuruluşları için BDDK / TCMB,
• Elektronik haberleşme operatörleri için BTK,
• Sermaye piyasası aktörleri için SPK,
• Sigorta şirketleri için Sigortacılık ve Özel Emeklilik Düzenleme ve Denetleme Kurumu (SEDDK),
• Sağlık sektörü için Sağlık Bakanlığı,
• Kritik altyapı işletmecileri için 7545 sayılı Siber Güvenlik Kanunu çerçevesinde Siber Güvenlik Başkanlığı.

Bildirim süreleri ve formatları sektörel mevzuata göre farklıdır; paralel takvim önceden çıkarılmalıdır.

Müşteri ve iş ortağı iletişimi

Kurumsal müşteriler, tedarikçiler ve iş ortakları sözleşmesel olarak bilgilendirilmek zorunda olabilir. Veri işleme sözleşmeleri (DPA) tipik olarak veri ihlali durumunda belirli bir süre içinde (genellikle 24-48 saat) veri sorumlusuna bildirim yükümlülüğü getirir. Bu sözleşmelerdeki bildirim taahhütleri kaçırılmamalı.

Çalışan iletişimi

Olayın duyurulma anı, hem çalışan morali hem de kriz yönetimi açısından kritiktir. Çalışanlara; olayın varlığı, şirketin aldığı adımlar, bireysel dikkat etmeleri gereken noktalar (şifre değişimi, phishing uyarısı) açık bir dille iletilmelidir.

48-72 Saat — Kurum Bildirimi ve Adli Karar

Kurum bildirim modülü üzerinden dosya

KVKK Kurum'a bildirim, Kurum'un veri ihlali bildirim modülü üzerinden yapılır. Bildirim ekinde tipik olarak yer alan belgeler:

• İhlal açıklaması,
• Kök neden analizi (o ana kadar yapılmış kısmı),
• Etkilenen veri sahibi listesi / aralığı,
• Veri kategorileri,
• Alınan acil tedbirler,
• Alınacak orta ve uzun vadeli tedbirler,
• Veri sahibi iletişiminin yapıldığı tarih ve metin.

Cumhuriyet Başsavcılığı'na suç duyurusu

Olay eğer dış saldırı, iç sabotaj, veri hırsızlığı veya TCK m. 243-246 kapsamındaki bilişim suçlarından birini teşkil ediyorsa, Cumhuriyet Başsavcılığı'na şikâyette bulunulması düşünülmelidir. Suç duyurusu:

• İç soruşturmada elde edilen delillerle birlikte sunulmalı,
• CMK prosedürlerine uygun hazırlanmalı,
• Olay teknik açıdan belgelenmeli,
• İşlenmiş kişisel veri hakkı zarara uğramış ise müşteri adına da katılım değerlendirilmelidir.

İç soruşturma ve disiplin

Olay iç kaynaklı ise (çalışan ihmali veya kasıtlı ihlali), disiplin süreci ile birlikte — ancak paralel — yürütülmeli; avukat-müvekkil gizliliği altında olan inceleme sonuçları erken safhada dağıtılmamalı.

Olay Sonrası — 72 Saat Sonrası Süreç

Olay müdahalesi 72 saatte bitmez; sonrası aşağıdaki kalemlerden oluşur.

• Tedarikçi rücu — olayın kaynağında bir tedarikçinin kusur varsa, sözleşmesel rücu, zararın paylaşımı ve — gerekirse — dava.
• Sigorta tazminat dosyası — siber sigorta poliçesinde yer alan bildirim süreleri, delil listesi ve olay dokümantasyonu sigorta şirketine sunulur.
• Kurum ek bildirimleri — kök neden analizi tamamlandığında, alınan tedbirler somutlaştığında Kurum'a güncelleyici bildirim.
• Veri sahibi ikinci iletişim — olay çözüldüğünde veri sahiplerine kapanış iletişimi.
• Yönetim kurulu raporu — yönetim kurulunun 6102 sayılı TTK kapsamındaki sorumluluğu için olayın resmi kaydı.
• Dersler ve iyileştirme — olay sonrası değerlendirme raporu, runbook güncellemesi, farkındalık eğitimi, politika revizyonları.
• Kurum idari yaptırım süreci — Kurum'un soruşturma başlatması hâlinde savunma hazırlığı, — gerekirse — Kurul kararına karşı idari yargı yolu.

Sıkça Yapılan Hatalar

Uygulamada sık rastlanan hatalar, aslında runbook'un ve tatbikatın olmamasından kaynaklanır.

• Olayı saklama eğilimi: Yönetimin itibar endişesiyle olayı geçiştirmesi, 72 saatlik bildirim süresinin kaçırılmasına ve Kurum'un çok daha ağır yaptırımına yol açar.
• Delil bozma: Etkilenen sistemlerin hızlıca temizlenmesi, şüpheli e-postaların silinmesi, log'ların rotasyon ile kaybedilmesi. Adli bilişim gelene kadar hiçbir şeye dokunulmaması kuralı kurum içinde duyurulmuş olmalıdır.
• Avukat-müvekkil gizliliği dışında iletişim: Sosyal platformlarda yapılan iç yazışmalar, üçüncü kişilere yazılan bilgilendirme e-postaları sonradan delil olarak karşımıza çıkabilir.
• Bildirim metninin mazeret dili: Kurum'a veya veri sahibine bildirimin aşırı savunmacı, mazeret doldurulmuş olması; şirketi daha yapıcı değil daha kusurlu gösterir.
• Sigorta bildiriminin gecikmesi: Siber sigorta poliçelerinin çoğu kısa bildirim süreli; gecikme tazminat hakkını kaybetirir.

Sonuç

Siber olay müdahalesi, teknik bir çalışma değil; teknoloji, hukuk, iletişim ve yönetimi aynı masada buluşturan bir disiplindir. Bu disiplinin merkezinde iyi hazırlanmış bir runbook, önceden tanımlanmış iletişim şablonları ve canlı bir çalışan farkındalığı vardır. Olay geldiğinde panikle karar verme, runbook'a gidip disiplinli biçimde ilerleme arasındaki fark; şirketin olayın sonunda ayakta kalıp kalmayacağını belirler.

Hukuk ekipleri için pratik öneri: siber güvenlik ekipleri ve iletişim ekipleriyle yılda bir kez tatbikat yapmak. Senaryo üzerinde çalışmak, gerçek olay geldiğinde kararların reflekse dönüşmesini sağlar ve 72 saatin nasıl kullanılacağını önceden öğrenmenin tek yoludur.