Siber Saldırı Sonrası KVKK Yükümlülükleri: Şirketler İçin Kriz Yönetimi (2026)
Yazarlar: Av. Mert Güneş & Av. Melis Güneş — Güneş Partners kurucu ortakları Son güncelleme: Mayıs 2026
TL;DR — Bu Yazının Özeti
Siber saldırı sonucu kişisel verilere erişim sağlanması, değiştirilmesi veya erişimin engellenmesi (ransomware dahil) KVKK kapsamında veri ihlali sayılır.
Ransomware saldırısında veriler dışarıya sızmasa bile şifrelenerek erişilemez hale gelmesi erişilebilirlik ihlali olarak Kurul'a bildirilmek zorundadır.
72 saat içinde KVKK Kurulu'na, gecikmeksizin USOM'a (Ulusal Siber Olaylara Müdahale Merkezi) ve koşulları varsa Cumhuriyet Savcılığı'na bildirim yapılmalıdır.
Fidye ödenmesi KVKK uyumunu sağlamaz, verilerin geri kazanılacağını garanti etmez ve Kurul kararlarında hafifletici neden olarak değerlendirilmez.
Olay yeri incelemesi (digital forensics) delil koruma açısından kritiktir; yanlış müdahale delilleri yok edebilir.
Tek bir siber saldırı olayında KVKK, TCK ve 5651 sayılı Kanun aynı anda devreye girebilir.
2026 yılında veri güvenliği ihlali cezası 256.357 TL – 17.092.242 TL arasındadır.
Şu An Saldırı Altındaysanız: İlk 30 Dakika
Bu yazıyı aktif bir siber saldırı sırasında okuyorsanız öncelikle şu adımları atın:
1. Etkilenen sistemlerin ağ bağlantısını kesin — kablolu ağdan çıkarın, Wi-Fi'ı kapatın. Bilgisayarı kapatmayın; RAM'deki forensic deliller kaybolabilir.
2. Saldırının yayılmasını engelleyin — diğer sistemlerin bağlantılarını kontrol edin, paylaşımlı klasörleri devre dışı bırakın.
3. Kronolojik kayıt tutmaya başlayın — her eylemi saat ve dakika bazında not alın.
4. Hukuk danışmanınızı ve BT güvenlik ekibinizi (veya dış forensic firmanızı) arayın.
5. Fidye notu veya saldırgan iletişimini ekran görüntüsüyle belgeleyin; silmeyin veya yanıt vermeyin.
Siber Saldırı KVKK Kapsamında Veri İhlali Midir?
Evet. KVKK'nın 12. maddesinin 5. fıkrası kapsamında kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi, açıklanması, değiştirilmesi veya erişilemez hale getirilmesi veri ihlali sayılır.
Siber saldırı senaryolarının her biri bu tanımın bir boyutuna karşılık gelir.
Saldırı Türü | İhlal Niteliği | Kurul Bildirimi |
|---|---|---|
Veritabanı sızıntısı (data breach) | Gizlilik ihlali | Zorunlu |
Ransomware (veri şifreleme) | Erişilebilirlik ihlali | Zorunlu |
SQL injection ile veri değişikliği | Bütünlük ihlali | Zorunlu |
Phishing ile hesap ele geçirme | Gizlilik ihlali | Zorunlu |
DDoS saldırısı (kişisel veri etkilenmişse) | Erişilebilirlik ihlali | Zorunlu |
DDoS saldırısı (kişisel veri etkilenmemişse) | Veri ihlali değil | Gerekmez |
Ransomware veri ihlali sayılır mı? Evet. Veriler dışarıya sızmasa bile şifrelenerek erişilemez hale gelmesi bir erişilebilirlik ihlalidir ve KVKK kapsamında Kurul'a bildirim zorunludur.
Üç Mevzuatın Kesişimi: KVKK + TCK + 5651
Bir siber saldırı olayında tek bir mevzuat değil, üç farklı hukuki çerçeve eş zamanlı olarak devreye girer. Şirketin her üçü kapsamında ayrı ayrı yükümlülükleri vardır.
KVKK (6698 sayılı Kanun)
Veri sorumlusunun yükümlülükleri: 72 saat içinde Kurul'a bildirim, ilgili kişilere bildirim (yüksek risk varsa), veri güvenliği tedbirlerinin yeterliliğinin ispatı. Yaptırım: 256.357 TL – 17.092.242 TL idari para cezası.
TCK (5237 sayılı Türk Ceza Kanunu)
Saldırgan açısından: Bilişim sistemine girme (TCK m. 243: 1-3 yıl hapis), sistemi engelleme/bozma (TCK m. 244: 1-5 yıl hapis), verileri yok etme/değiştirme (TCK m. 244/2: 1-5 yıl hapis), kişisel verileri hukuka aykırı elde etme (TCK m. 136: 2-4 yıl hapis).
Şirket açısından: Kişisel verilerin korunmaması nedeniyle oluşan ihmali sorumluluk (TCK m. 137: nitelikli hal, ceza artırımı).
5651 Sayılı Kanun
İnternet aracılığıyla gerçekleşen saldırılarda yer sağlayıcı ve içerik sağlayıcı yükümlülükleri devreye girer. Erişim loglarının saklanması (2 yıl), BTK ve USOM ile koordinasyon, mahkeme kararıyla erişim engeli talepleri bu kapsamdadır.
Çoklu Bildirim Yükümlülüğü: Kime, Ne Zaman?
Siber saldırı sonrasında şirketin bildirim yapması gereken birden fazla muhatap vardır.
1. KVKK Kurulu'na Bildirim — 72 Saat
İhlali öğrendiğiniz andan itibaren en geç 72 saat içinde ihlalbildirim.kvkk.gov.tr üzerinden bildirim zorunludur. Tüm detaylar netleşmemişse aşamalı bildirim yapılabilir.
2. USOM'a Bildirim — Gecikmeksizin
USOM (Ulusal Siber Olaylara Müdahale Merkezi), siber güvenlik olaylarının koordinasyonundan sorumlu ulusal kuruluştur. Kritik altyapı işletmecileri ve büyük ölçekli saldırılarda USOM'a bildirim yasal bir zorunluluktur.
USOM bildirimi, KVKK bildiriminden bağımsız ve paralel olarak yapılmalıdır. USOM'un teknik destek sağlama, saldırı vektörünü analiz etme ve diğer potansiyel hedefleri uyarma işlevi vardır.
3. Cumhuriyet Savcılığı'na Suç Duyurusu
Siber saldırı bir cezai fiildir. Saldırganın tespiti ve cezai kovuşturma için Cumhuriyet Savcılığı'na suç duyurusunda bulunulması önerilir. Özellikle fidye talebi içeren saldırılarda suç duyurusu hem hukuki hem delil koruma açısından kritiktir.
4. İlgili Kişilere Bildirim — Yüksek Risk Varsa
İhlalin ilgili kişiler açısından yüksek risk oluşturduğu tespit edilmişse (finansal veriler sızmışsa, kimlik hırsızlığı riski varsa, özel nitelikli veri etkilenmişse) en kısa sürede ilgili kişilere de bildirim yapılmalıdır.
5. Sektörel Düzenleyicilere Bildirim
Bankacılık sektöründe BDDK'ya, telekomünikasyon sektöründe BTK'ya, enerji sektöründe EPDK'ya ek bildirim yükümlülükleri bulunabilir.
6. Siber Sigorta Şirketine Bildirim
Siber sigorta poliçeniz varsa, poliçe koşullarında belirtilen süre içinde (genellikle 24-48 saat) sigortacıya bildirim yapılması zorunludur. Geç bildirim teminat kaybına yol açabilir.
Ransomware Vakası: Fidye Ödenmeli mi?
Ransomware saldırısında saldırgan verileri şifreler ve şifre çözme anahtarı karşılığında fidye (genellikle kripto para) talep eder. "Fidye ödeyelim mi?" sorusu şirketlerin en sık karşılaştığı ve en kritik dilemmasıdır.
Fidye Ödemenin Riskleri
Verilerin geri geleceği garanti değildir. Güvenlik araştırmalarına göre fidye ödeyen şirketlerin yaklaşık üçte biri verilerini tam olarak geri kazanamamaktadır. Saldırganlar parayı alıp şifre çözme anahtarını göndermeyebilir veya anahtar çalışmayabilir.
İkinci saldırı riski artar. Fidye ödeyen şirketler, "ödeme yapan hedef" olarak işaretlenir ve yeniden saldırıya uğrama olasılıkları belirgin biçimde yükselir.
Suç örgütlerinin finansmanı. Fidye ödemesi, organize suç gruplarının faaliyetlerini finanse eder. Bazı yargı bölgelerinde yaptırım listesindeki gruplara ödeme yapmak ayrıca cezai sorumluluk doğurabilir.
KVKK açısından hafifletici değildir. Fidye ödenmesi Kurul kararlarında hafifletici neden olarak değerlendirilmez. Kurul'un değerlendirdiği kriter, ödeme yapılıp yapılmadığı değil; saldırıdan önce yeterli güvenlik tedbirlerinin alınıp alınmadığıdır.
Fidye Ödenmemesi Halinde Ne Yapılmalı?
Yedekleme sistemlerinden veri kurtarma (backup recovery) birincil çözüm yoludur. Bu nedenle düzenli, test edilmiş ve ağdan izole (offline) yedekleme sistemlerinin varlığı ransomware'e karşı en etkili savunmadır.
Yedekleme yoksa veya saldırıdan etkilenmişse, uzman bir digital forensics firmasıyla çalışarak şifreleme algoritmasının zayıf noktalarından veri kurtarma denenebilir. Bazı yaygın ransomware türleri için ücretsiz şifre çözme araçları (NoMoreRansom projesi gibi) mevcuttur.
Digital Forensics: Olay Yeri İncelemesi
Siber saldırı sonrası digital forensics (adli bilişim incelemesi) hem delil koruma hem de kök neden analizi açısından kritik önem taşır.
Neden Forensic İnceleme Zorunlu?
Kurul savunması için delil: İnceleme raporu, saldırının nasıl gerçekleştiğini, hangi güvenlik tedbirlerinin mevcut olduğunu ve ihlalin kapsamını belgeleyerek Kurul savunmasının temelini oluşturur.
Cezai süreç için delil: Cumhuriyet Savcılığı'na yapılacak suç duyurusunda ve cezai kovuşturmada forensic rapor teknik delil niteliğindedir.
Siber sigorta tazminatı için: Sigorta şirketleri, tazminat talebini değerlendirirken forensic raporu esas alır.
Yanlış Müdahale Delilleri Yok Edebilir
Forensic incelemede en kritik kural budur: saldırı tespit edildiğinde etkilenen sistemler kapatılmamalı, yalnızca ağdan izole edilmelidir.
Bilgisayarın kapatılması RAM belleğindeki geçici verileri (çalışan süreçler, ağ bağlantıları, şifreleme anahtarı kalıntıları) kalıcı olarak siler. Bu veriler saldırganın kimliğinin tespiti ve saldırı yönteminin anlaşılması için paha biçilmez delillerdir.
Aynı şekilde saldırı sonrası sisteme "bakayım ne olmuş" diye giriş yapmak, dosya açmak veya taşımak delillerin bütünlüğünü bozar (evidence tampering). Forensic firması gelene kadar etkilenen sisteme dokunulmaması ideal yaklaşımdır.
Forensic Sürecinin Aşamaları
1. Delil toplama (acquisition): Etkilenen sistemlerin disk imajı alınır, RAM bellek dump edilir, log dosyaları güvenli ortama kopyalanır.
2. Analiz: Saldırı vektörü (nasıl girildi), hareket yolu (lateral movement), etkilenen veriler, saldırganın kimlik bilgileri (IP, zararlı yazılım imzası) tespit edilir.
3. Raporlama: Bulgular, hem teknik hem hukuki dilde yazılmış bir raporda sunulur. Bu rapor Kurul savunmasında, cezai süreçte ve sigorta talebinde kullanılır.
4. İyileştirme önerileri: Saldırının tekrarını önlemeye yönelik teknik tedbirler önerilir.
Saldırı Sonrası Adım Adım Kriz Yönetimi
Aşama 1: Acil Müdahale (Saat 0-6)
Etkilenen sistemleri ağdan izole edin — kapatmayın. İhlal müdahale ekibini toplayın. Saldırının türünü, kapsamını ve devam edip etmediğini tespit edin. Kronolojik kayıt tutmaya başlayın. Forensic firma ile iletişime geçin (iç ekip yoksa).
Aşama 2: Sınırlama ve Değerlendirme (Saat 6-24)
Güvenlik açığını tespit edin ve kapatın. Etkilenen kişisel veri kategorilerini ve tahmini kişi sayısını belirleyin. Fidye talebi varsa ödeme yapmayın; notu belgeleyin. Yedekleme sistemlerinin durumunu kontrol edin. USOM'a bildirim yapın. Hukuk danışmanınızla Kurul bildirim taslağını hazırlamaya başlayın.
Aşama 3: Hukuki Bildirimler (Saat 24-72)
72 saat dolmadan ihlalbildirim.kvkk.gov.tr üzerinden Kurul'a bildirim yapın. Cumhuriyet Savcılığı'na suç duyurusunda bulunun. İlgili kişilere bildirim gerekiyorsa metni ve kanalı hazırlayın. Sektörel düzenleyiciye bildirim yapın (varsa). Siber sigorta şirketine bildirim yapın (varsa).
Aşama 4: Kurtarma ve İletişim (Gün 3-7)
Yedeklerden veri kurtarma sürecini başlatın. Sistemleri güvenli biçimde yeniden devreye alın. İlgili kişilere bildirim yapın. Gerekiyorsa basın açıklaması yayımlayın. Forensic raporun ilk bulgularını değerlendirin.
Aşama 5: Kök Neden ve İyileştirme (Hafta 2-4)
Forensic raporunu tamamlayın. Kök neden analizine göre güvenlik tedbirlerini güncelleyin. Çalışanlara acil güvenlik eğitimi verin. Kurul'a aşamalı bildirim güncellemesi yapın. Kurul savunma dosyasını hazırlayın.
Aşama 6: Uzun Vadeli Önlemler (Ay 1-3)
Penetrasyon testi yaptırın. Veri güvenliği politikalarını revize edin. Veri işleme sözleşmelerini (DPA) güncelleyin. İhlal müdahale planını güncelleyin ve simülasyon yapın. VERBİS bilgilerini güncelleyin (gerekiyorsa).
Kurul Savunmasında Siber Saldırı Argümanları
Siber saldırı kaynaklı ihlallerde Kurul savunması özel bir strateji gerektirir.
Güçlü Savunma Argümanları
Saldırıdan önce mevcut olan güvenlik tedbirlerinin belgelenmesi cezayı önemli ölçüde düşürür: güncel antivirüs ve güvenlik duvarı, MFA uygulaması, düzenli güvenlik yamaları, çalışan siber güvenlik eğitimi kayıtları, penetrasyon testi raporları, şifreleme uygulamaları, erişim yetkilendirme matrisi. Bu tedbirlerin varlığını ispat etmek, Kurul'un "yeterli tedbir alınmış ancak saldırı buna rağmen başarılı olmuş" değerlendirmesi yapmasına olanak tanır.
Hızlı bildirim, Kurul ile şeffaf iletişim, forensic rapor sunulması ve zararın azaltılması için yapılan somut çalışmalar da güçlü hafifletici argümanlardır.
Zayıf Savunma Argümanları
Kurul tarafından kabul edilmeyen savunmalar şunlardır: "Saldırı çok sofistikeydi, engellenemezdi" (MFA yoksa, yamalar güncellenmemişse bu argüman kabul görmez), "Dış hizmet aldığımız firma sorumludur" (Aktif Yatırım Bankası kararı bu savunmayı açıkça reddetmiştir), "Çalışan phishing'e tıkladı, biz ne yapalım" (çalışan eğitiminin yetersizliği bizzat veri sorumlusunun yükümlülüğüdür), "Veriler çalınmadı, sadece şifrelendi" (erişilebilirlik ihlali de bildirim zorunluluğu doğurur).
Sık Sorulan Sorular
Ransomware saldırısında veriler dışarıya sızmadıysa bildirim gerekir mi?
Evet. Verilerin şifrelenerek erişilemez hale gelmesi bir erişilebilirlik ihlalidir ve KVKK kapsamında Kurul'a bildirim zorunludur. Verilerin dışarıya sızıp sızmadığı ayrı bir değerlendirme konusudur; ancak bildirimi ortadan kaldırmaz.
Fidye ödemek KVKK cezasını etkiler mi?
Hayır. Fidye ödenmesi Kurul kararlarında ne hafifletici ne de ağırlaştırıcı neden olarak değerlendirilir. Kurul'un değerlendirdiği kriter, saldırıdan önce yeterli güvenlik tedbirlerinin alınıp alınmadığı ve bildirimin süresinde yapılıp yapılmadığıdır.
USOM bildirimi KVKK bildirimi yerine geçer mi?
Hayır. İki bildirim birbirinden bağımsızdır. USOM'a bildirim siber güvenlik koordinasyonu içindir; KVKK Kurulu'na bildirim kişisel veri koruma yükümlülüğüdür. Her ikisi de ayrı ayrı ve paralel olarak yapılmalıdır.
Saldırgan yurt dışındaysa suç duyurusu işe yarar mı?
Saldırganın tespiti ve yargılanması zor olabilir; ancak suç duyurusu birçok açıdan faydalıdır: soruşturma başlatılması diğer potansiyel hedeflerin uyarılmasına katkı sağlar, forensic delillerin resmi biçimde kayıt altına alınmasını sağlar, siber sigorta tazminat talebinde destekleyici belge olarak kullanılır ve Kurul savunmasında şirketin proaktif yaklaşımını belgeler.
Digital forensics maliyeti ne kadar?
Forensic inceleme maliyeti saldırının kapsamına, etkilenen sistem sayısına ve inceleme derinliğine göre değişir. Küçük ölçekli bir olayda 50.000-150.000 TL, kapsamlı bir saldırıda 500.000 TL ve üzeri maliyet oluşabilir. Siber sigorta poliçelerinin büyük çoğunluğu forensic maliyetlerini karşılar.
Saldırı sonrası sistemleri ne zaman yeniden açabilirim?
Forensic delil toplama tamamlanmadan ve güvenlik açığı kesin olarak kapatılmadan sistemlerin yeniden devreye alınması hem delil kaybına hem de ikinci saldırıya zemin hazırlar. Forensic firmasının ve BT güvenlik ekibinin onayı alınmadan sistemler açılmamalıdır.
Okuyucular Bunları da Soruyor
Çalışanımın phishing linkine tıklaması siber saldırı mı sayılır?
Evet, phishing sonucu kişisel verilere yetkisiz erişim sağlanmışsa bu bir veri ihlalidir ve KVKK bildirim yükümlülüğü doğar. Kurul, çalışan hatasını veri sorumlusunun sorumluluğunu ortadan kaldıran bir gerekçe olarak kabul etmez; aksine çalışan eğitiminin yetersizliğini ağırlaştırıcı etken olarak değerlendirir.
Saldırıyı biz değil, müşterimiz fark etti. 72 saat ne zaman başlar?
Müşterinin veya herhangi bir üçüncü tarafın ihbar etmesiyle bilgi edindiğiniz saat, sizin öğrenme anınızdır. 72 saat bu andan itibaren başlar.
Yedekleme sistemim de saldırıdan etkilendi, ne yapmalıyım?
Bu durum kriz yönetimini ciddi biçimde zorlaştırır. Forensic firma ile offline yedekleme medyalarından kurtarma denenmelidir. Kurul'a bildirimi bu durumun süreci geciktirdiğini belirterek aşamalı bildirim formatında yapın. Bu senaryo, yedekleme sistemlerinin ana ağdan izole (air-gapped) tutulmasının ne kadar kritik olduğunu somut biçimde gösterir.
Siber saldırı sonrası itibar yönetimi nasıl yapılmalı?
Şeffaflık en güçlü itibar koruma aracıdır. İhlali gizlemeye çalışmak ve sonradan ortaya çıkması, doğrudan açıklama yapmaktan çok daha ağır itibar hasarı doğurur. Proaktif iletişim stratejisi ile müşterilere ve kamuoyuna dürüst, net ve yapıcı bilgilendirme yapılması önerilir.
Sonuç
Siber saldırı, her şirketin karşılaşabileceği bir gerçekliktir ve 2026 yılında bu riskin boyutu her geçen gün büyümektedir. Saldırı sonrasında KVKK, TCK ve 5651 sayılı Kanun kapsamında eş zamanlı yürütülmesi gereken hukuki süreçler, teknik müdahale ve iletişim yönetimi büyük bir koordinasyon gerektirir.
72 saat, bu koordinasyonu sıfırdan kurmak için yeterli bir süre değildir. İhlal müdahale planının, forensic firma ilişkisinin ve hukuki danışmanlık mekanizmasının önceden hazırlanmış olması, kriz anında hem hukuki hem teknik hem de itibar açısından belirleyici farkı yaratır.
Güneş Partners olarak siber saldırı sonrası kriz yönetimi, KVKK Kurul bildirim sürecinin yönetimi, Cumhuriyet Savcılığı'na suç duyurusu, Kurul savunması ve idare mahkemesinde itiraz süreçlerinde şirketlere kapsamlı hukuki destek sağlıyoruz. Aktif bir saldırı altındaysanız veya hazırlıklı olmak istiyorsanız bizimle iletişime geçebilirsiniz.
Bu İçerik Hakkında
Bu içerik, Güneş Partners kurucu ortakları Av. Mert Güneş ve Av. Melis Güneş tarafından, 6698 sayılı KVKK m. 12, Kurul'un 2019/10 sayılı İlke Kararı, 5237 sayılı TCK m. 243-244 ve 135-138, 5651 sayılı Kanun, USOM koordinasyon çerçevesi ve 2025-2026 dönemi Kurul emsal kararları temelinde hazırlanmıştır. Siber saldırı ve KVKK kriz yönetimi süreçlerinde profesyonel destek için gunespartners.com adresini ziyaret edebilirsiniz.