Siber Güvenlik Hukuku ve Olay Müdahalesi: Türkiye ve Sınır Ötesi Pazarlardaki Şirketler İçin Hukuki Rehber
Siber güvenlik artık yalnızca teknik bir mesele değildir. Şirketler siber riski; hukuki yönetişim, veri koruma uyumu, tedarikçi kontrolü, olay müdahale planlaması, yönetim kurulu gözetimi, sözleşmesel koruma, sigorta ve sınır ötesi düzenleyici farkındalık yoluyla yönetmelidir.
Siber güvenlik artık hukuki, ticari ve yönetişimsel bir meseledir.
Bir siber olay teknik bir olayla başlayabilir — ele geçirilmiş bir e-posta hesabı, bir fidye yazılımı saldırısı, çalınmış kimlik bilgileri, bir bulut yanlış yapılandırması, bir tedarikçi ihlali, bir oltalama e-postası, bir kötü amaçlı yazılım bulaşması, izinsiz veritabanı erişimi ya da basit bir çalışan hatası. Ama mesele çok hızla hukuki hâle gelir.
Kişisel veri etkilendi mi? Şirket bir veri koruma otoritesine bildirim yapmalı mı? Müşteriler, çalışanlar ya da iş ortakları bilgilendirilmeli mi? Sözleşme ihlali var mı? Faaliyet sürebilir mi? Fidye ödemek hukuka uygun ya da tavsiye edilebilir mi? Sigorta devreye girer mi? Delil korunabilir mi? Yöneticiler hazırlıksız kalmaktan dolayı eleştirilebilir mi? Bir tedarikçi mi sorumluydu? Olay davaya, düzenleyici soruşturmaya veya itibar kriziyle dönüşebilir mi? Bunlar yalnızca BT departmanının soruları değildir.
Türkiye, Kuzey Kıbrıs, Birleşik Krallık, Avrupa Birliği veya daha geniş sınır ötesi pazarlarda faaliyet gösteren şirketler için siber güvenlik, tek başına bir BT meselesi olarak ele alınmamalıdır. Koordineli bir hukuki, teknik, operasyonel ve iletişimsel müdahale gerektirir. Bu rehber, şirketlerin siber güvenlik yönetişiminde, siber olay müdahalesinde, veri ihlali yönetiminde ve siber risk dağılımında dikkate alması gereken temel hukuki konuları açıklar.
1. Siber Güvenlik Yönetim Kurulu Düzeyinde Bir Risktir
Siber güvenlik artık tamamen teknik bir konu değildir. İş sürekliliğini, müşteri güvenini, kişisel veriyi, sözleşmesel yükümlülükleri, düzenleyici riski, mali kaybı, fikrî mülkiyeti ve ticari sırları etkiler; sigorta tahsilatını, dava riskini, itibarı, yönetim sorumluluğunu ve yatırımcı güvenini etkiler. Ciddi bir olay faaliyeti durdurabilir, gizli veriyi açığa çıkarabilir, raporlama yükümlülükleri doğurabilir, ödemeleri kesintiye uğratabilir, müşteri ilişkilerine zarar verebilir ve tedarikçiler, sigortacılar, çalışanlar veya düzenleyicilerle uyuşmazlık yaratabilir. Bu nedenle siber güvenlik yönetişimi yönetim kurulu ve üst yönetim düzeyine ulaşmalıdır.
Yönetim bir dizi temel soruyu yanıtlayabilmelidir: şirketin kritik sistemleri nelerdir, şirket hangi veriyi tutuyor ve siber güvenlikten kim sorumlu? Olay müdahale prosedürleri belgelenmiş mi, yedekler test ediliyor mu, tedarikçiler kontrol ediliyor mu ve çalışanlar eğitiliyor mu? Veri ihlali bildirim yükümlülükleri anlaşılıyor mu, siber sigorta var mı ve şirket bir siber olay provası yaptı mı? Yöneticiler anlamlı risk raporları alıyor mu? Siber güvenlik başarısızlığı çoğu zaman tek bir teknik zayıflıktan değil — teknolojinin etrafındaki zayıf yönetişimden kaynaklanır.
2. Siber Güvenlik Hukuku Tek Bir Kanun Değildir
Siber güvenlik hukuki riski nadiren tek bir kanundan doğar. Bir siber olay; siber güvenlik mevzuatını, kişisel verilerin korunması hukukunu, sözleşmesel yükümlülükleri ve gizlilik görevlerini devreye sokabilir; istihdam hukukunu, tüketici korumasını, bankacılık ve ödeme kurallarını ve sektöre özgü düzenlemeyi devreye sokabilir. Ayrıca fikrî mülkiyete, haksız rekabete, ceza hukukuna, sigorta hukukuna, kurumsal yönetişime, sınır ötesi veri aktarımı kurallarına ve delil ile dava hukukuna da dokunabilir.
Örneğin bir fidye yazılımı saldırısı; iş kesintisini, bildirim yükümlülüğü doğuran bir kişisel veri ihlalini, çalışan-veri maruziyetini, müşteri-sözleşme ihlalini, adli bilişim incelemesini, sigortacı bildirimini, polis veya bir otoriteyle iletişimi, tedarikçi sorumluluğunu, ödeme-yaptırım incelemesini, kamuya iletişimi ve dava riskini aynı anda içerebilir. Bu nedenle hukuki müdahale koordineli olmalıdır. Bir şirket, hukuki, teknik ve iletişimsel kararları kimin vereceğine karar vermek için bir saldırının gerçekleşmesini beklememelidir.
3. Siber Güvenlik Yönetişim Çerçevesi
Güçlü bir siber güvenlik yönetişim çerçevesi hukuki, teknik ve organizasyonel kontrolleri bir araya getirir. Temel unsurları tipik olarak bir bilgi güvenliği politikasını, bir veri koruma politikasını, bir erişim kontrol politikasını, bir kabul edilebilir kullanım politikasını, bir uzaktan çalışma politikasını ve bir tedarikçi güvenlik politikasını içerir. Ayrıca bir olay müdahale planını, bir iş sürekliliği planını, bir yedekleme-ve-kurtarma planını ve bir ihlal-bildirim prosedürünü içerir; bunlar bir siber sigorta incelemesi, çalışan eğitimi, yönetim kuruluna raporlama, iç denetim, tedarikçi durum tespiti, kilit sözleşmelerin hukuki incelemesi ve bir delil-koruma protokolüyle desteklenir.
Amaç kâğıt üzerinde uyum yaratmak değildir. Amaç, bir olay gerçekleştiğinde şirketin ne yapacağını bilmesini sağlamaktır. Siber güvenlik yönetişimi pratik, test edilmiş ve onu fiilen kullanacak kişilerce anlaşılmış olmalıdır.
4. Kritik Varlıkların ve Verinin Haritalanması
Bir şirket anlamadığı şeyi koruyamaz. Siber hukuki hazırlık; şirketin kişisel verisini, müşteri veritabanlarını, çalışan kayıtlarını, ticari sırlarını, mali bilgilerini, kaynak kodunu, sözleşmelerini, dava dosyalarını ve sağlık, ödeme ya da başka türlü hassas verilerini, bunlarla birlikte bu bilginin aktığı fikrî mülkiyeti, bulut sistemlerini, e-posta hesaplarını, CRM ve ERP platformlarını, yedekleri, üçüncü taraf entegrasyonlarını, tedarikçi erişim noktalarını, yönetici hesaplarını ve uzaktan-erişim yollarını haritalamakla başlar.
Bu haritalama hukuken önemlidir çünkü bir siber olayın kişisel veriyi etkileyip etkilemediğini, gizlilik yükümlülüklerinin doğup doğmadığını, müşterilerin bilgilendirilmesi gerekip gerekmediğini, bir tedarikçinin sorumlu olup olmadığını, sigortanın uygulanıp uygulanmadığını, iş sürekliliği planlarının yeterli olup olmadığını, sınır ötesi aktarımların var olup olmadığını ve bildirim sürelerinin uygulanıp uygulanmadığını belirlemeye yardımcı olur. Bir siber olay müdahale ekibinin olgulara hızlıca ihtiyacı vardır ve varlık ile veri haritalaması bu olguları sağlar.
5. Kişisel Veri İhlalleri
Birçok siber olay kişisel veri içerir. Bir kişisel veri ihlali; izinsiz erişim, kazara ifşa, veri kaybı, silme veya yok etme, fidye yazılımı şifrelemesi, izinsiz kopyalama, yanlış adrese gönderilmiş bir e-posta, ele geçirilmiş bir çalışan hesabı, çalınmış bir dizüstü bilgisayar, açıkta kalmış bir veritabanı, bir tedarikçi ihlali veya bir bulut yapılandırma hatası biçiminde olabilir.
Türkiye'de kişisel veri işleyen şirketler, olayları Kişisel Verilerin Korunması Kanunu ile Kişisel Verileri Koruma Kurulu'nun ilgili kararları ve rehberliği kapsamında değerlendirmelidir. Hukuk ekibi; hangi verinin etkilendiğini ve kimin verisi olduğunu, özel nitelikli veri kategorilerinin söz konusu olup olmadığını ve kaç kişinin etkilendiğini; verinin erişilip erişilmediğini, kopyalanıp, şifrelenip ya da sızdırılıp sızdırılmadığını ve verinin kendisinin şifreli olup olmadığını; kimlik hırsızlığı veya mali zararın mümkün olup olmadığını; otoriteye bildirimin gerekip gerekmediğini ve etkilenen kişilerin bilgilendirilmesi gerekip gerekmediğini; sınır ötesi meselelerin doğup doğmadığını; ve hangi düzeltici adımların gerektiğini değerlendirmelidir. Veri ihlali değerlendirmesi zamana duyarlıdır ve bir şirket hukuki analize başlamadan önce kusursuz teknik kesinliği beklememelidir.
6. Olay Müdahale Planı
Bir olay müdahale planı esastır. İyi bir plan, harekete geçecek kişileri belirler — olay müdahale lideri, hukuki sorumlu, BT veya güvenlik sorumlusu, veri koruma sorumlusu, iletişim sorumlusu ve yönetim karar vericileri — bunlarla birlikte dış adli bilişim sağlayıcısını, siber sigortacı irtibatını ve dış danışmanı. Bildirim sürecini, delil-koruma adımlarını, karar kayıtlarını, düzenleyici raporlama prosedürünü, müşteri-iletişim sürecini ve iş sürekliliği eylemlerini ortaya koyar.
Plan, yaygın olay türlerini kapsamalıdır: fidye yazılımı, iş e-postası ele geçirme, oltalama, veri sızdırma, bir bulut veya tedarikçi ihlali, içeriden tehdit, kayıp bir cihaz, bir web sitesi ihlali, ödeme dolandırıcılığı, hizmet engelleme ve müşteri verisine izinsiz erişim. Bir olay müdahale planı kimsenin okumadığı bir yerde saklanan bir belge olmamalı; masa başı tatbikatlarıyla test edilmelidir. Bir siber olay gerçekleştiğinde şirketin müdahale yapısını sıfırdan tasarlayacak vakti olmayacaktır.
7. Bir Siber Olaydan Sonraki İlk 24 Saat
İlk yirmi dört saat kritiktir. Bir şirket, mümkünse delili koruyarak ve kayıtların yok edilmesinden kaçınarak olayı sınırlamalı, etkilenen sistemleri belirlemeli ve iç müdahale ekibini bilgilendirmelidir. Hukuk danışmanı erken dahil edilmeli, gerektiğinde adli bilişim uzmanları görevlendirilmeli ve siber sigorta bildirim yükümlülükleri incelenmelidir. Şirket kişisel-veri maruziyetini değerlendirmeli, sözleşmesel bildirim yükümlülüklerini belirlemeli ve spekülatif beyanlardan kaçınarak iç ve dış iletişimi kontrol etmelidir. Bir karar kaydı başlatmalı, otoritelere bildirim yapılması gerekip gerekmediğini belirlemeli ve iş sürekliliği önlemlerini hazırlamalıdır.
Yaygın bir hata, teknik aciliyetin hukuki delili silmesine izin vermektir. Sistemlerin izole edilmesi gerekebilir, ama kayıtlar ve kalıntılar mümkün olan her yerde korunmalıdır. Hukuk ve teknik ekipler en baştan birlikte çalışmalıdır.
8. Fidye Yazılımı: Hukuki ve Stratejik Meseleler
Fidye yazılımı en ciddi siber tehditlerden biridir. Sistemlerin şifrelenmesini, verinin çalınmasını, kamuya ifşa tehdidini, iş kesintisini, bir fidye talebini, müşteri-veri maruziyetini, tedarikçi aksamasını, şantajı ve itibar baskısını içerebilir.
Fidye yazılımı müdahalesi karmaşık hukuki sorular doğurur. Kişisel veri erişildi mi yoksa sızdırıldı mı ve şirketin güvenilir yedekleri var mı? Ödeme hukuken caiz mi ve yaptırımları ya da kara para aklamayla mücadele kurallarını ihlal edebilir mi? Sigorta fidyeyi veya kurtarma maliyetlerini karşılıyor mu? Kolluk bilgilendirilmeli mi ve müşteriler haberdar edilmeli mi? Saldırgan yayım tehdidinde bulunuyor mu ve çalınan veri tespit edilebilir mi? Müzakere uygun mu ve karar verme yetkisi kimde? Fidye yazılımı yalnızca bir BT kurtarma meselesi olarak ele alınmamalıdır — bu bir hukuki kriz, bir ticari kriz ve bir yönetişim sınavıdır; şirket kararlarını delile, hukuki tavsiyeye, teknik değerlendirmeye ve net yönetim sorumluluğuna dayandırmalıdır.
9. İş E-postası Ele Geçirme ve Ödeme Dolandırıcılığı
İş e-postası ele geçirme yaygın ve tehlikelidir. Hacklenmiş yönetici e-posta hesaplarını, sahte tedarikçi banka bilgilerini, fatura manipülasyonunu, yönetimin taklidini, hileli ödeme talimatlarını, ele geçirilmiş tedarikçi hesaplarını, sahte hukuk-bürosu veya danışman e-postalarını ve benzer-görünen alan adlarını içerebilir.
Hukuki meseleler; fonların geri alınmasını, banka bildirimini, bir polis raporunu, sigorta bildirimini, sözleşme sorumluluğunu, çalışan veya tedarikçi ihmalini, kişisel-veri maruziyetini, dolandırıcılık-önleme kontrollerini ve delil korumasını kapsar. Şirketler ödeme-doğrulama prosedürleri benimsemeli ve banka bilgilerindeki her değişiklik bağımsız bir kanaldan doğrulanmalıdır. Bir ödeme-dolandırıcılığı olayı hızla, kaybı kimin üstleneceği — şirket, banka, tedarikçi, müşteri, çalışan, satıcı ya da sigortacı — konusunda bir uyuşmazlığa dönüşebilir; iyi prosedürler ise başlı başına bir hukuki koruma biçimidir.
10. Tedarikçi ve Tedarik Zinciri Siber Riski
Birçok siber olay tedarikçilerle başlar. Bir şirket; bulut sağlayıcılara, bordro sağlayıcılarına, BT destek şirketlerine, SaaS platformlarına, CRM araçlarına, muhasebe yazılımına, ödeme işlemcilerine, İK platformlarına, siber güvenlik tedarikçilerine, YZ tedarikçilerine, pazarlama ajanslarına, lojistik sağlayıcılarına, çağrı merkezlerine ve dış danışmanlara dayanabilir. Tedarikçi erişimi gizli risk yaratabilir.
Hukuki inceleme; tedarikçinin hangi sistemlere erişebileceğini, kişisel veri işleyip işlemediğini ve bu verinin nerede saklandığını; alt işleyicilerin söz konusu olup olmadığını, hangi güvenlik tedbirlerinin gerektiğini ve olay bildiriminin gerekip gerekmediğini; tedarikçinin siber sigortası olup olmadığını, denetim haklarının mevcut olup olmadığını ve hangi sorumluluk tavanının uygulandığını; tedarikçi kaynaklı ihlaller için tazminatın mevcut olup olmadığını, tedarikçinin alt işleyicileri değiştirip değiştiremeyeceğini ve fesihte ne olacağını — verinin iade mi edileceğini yoksa silineceğini mi dahil — sormalıdır. Siber güvenlik, en zayıf güvenilen erişim noktası kadar güçlüdür ve tedarikçi sözleşmeleri bir olaydan sonra değil, öncesinde incelenmelidir.
11. Ticari Sözleşmelerde Siber Güvenlik Hükümleri
Siber güvenlik hükümleri, teknoloji, veri veya erişim riskinin bulunduğu her sözleşmede yer almalıdır. İlgili hükümler; bilgi-güvenliği yükümlülüklerini, güvenlik standartlarına uyumu, erişim-kontrol gerekliliklerini, şifrelemeyi, çalışan taraması ve eğitimini ve alt yüklenici kısıtlamalarını ele alabilir. İhlal-bildirim sürelerini belirleyebilir, incelemelerde işbirliğini şart koşabilir ve denetim ve sızma-testi haklarını, veri silmeyi, iş sürekliliğini ve felaket kurtarmayı sağlayabilir. Güvenlik olayları için sorumluluğu dağıtabilir ve tazminatları, sigorta gerekliliklerini, düzenleyici işbirliğini, fesih haklarını, delil korumasını ve gizliliği sağlayabilir.
Genel gizlilik hükümleri yeterli değildir. Bir tedarikçi sistemlere veya kişisel veriye erişebiliyorsa, siber güvenlik yükümlülükleri açık olmalıdır — ve tedarikçi ne kadar kritikse, sözleşmesel kontrol o kadar güçlü olmalıdır.
12. Siber Sigorta
Siber sigorta değerli olabilir, ama çoğu zaman yanlış anlaşılır. Bir poliçe; adli bilişim incelemesini, hukuki danışmanlığı, bildirim maliyetlerini, kriz iletişimini, iş kesintisini, fidye yazılımı müdahalesini, veri kurtarmayı, sorumluluk taleplerini, düzenleyici-soruşturma maliyetlerini, siber şantajı, ödeme dolandırıcılığını ve tedarikçi olaylarını karşılayabilir.
Ancak teminat; istisnalarla, bildirim süreleriyle, güvenlik teminatlarıyla, asgari-kontrol gereklilikleriyle, önceden-bilgi istisnalarıyla, yaptırım kısıtlamalarıyla, alt limitlerle ve bekleme süreleriyle, ayrıca izinsiz ödemeler, yedek tutmama, çok faktörlü kimlik doğrulamayı uygulamama, onaysız tedarikçilerin kullanımı veya geç bildirim için istisnalarla sınırlanabilir. Şirketler poliçeleri bir olaydan önce incelemeli ve kimin ne zaman bilgilendirilmesi gerektiğini, hangi tedarikçilerin kullanılabileceğini, danışmanın panel danışmanı olması gerekip gerekmediğini, fidye müdahalesinin kapsanıp kapsanmadığını, iş-kesintisi hesabının net olup olmadığını, sosyal mühendisliğin kapsanıp kapsanmadığını ve düzenleyici cezaların sigortalanabildiği yerlerde kapsanıp kapsanmadığını anlamalıdır. Siber sigorta, siber güvenlik yönetişiminin yerine geçmez; müdahale mimarisinin bir parçasıdır.
13. Delil Korunması ve Hukuki Gizlilik (Privilege)
Siber olaylar delil üretir — sistem kayıtları, e-posta başlıkları, uç-nokta verisi, ağ trafiği, erişim kayıtları ve adli imajlar; fidye notları, sohbet kayıtları, ekran görüntüleri, çalışan ve tedarikçi yazışmaları, olay zaman çizelgeleri ve yönetimin verdiği kararlar; müşteri şikâyetleri, düzenleyici başvurular ve sigortacı yazışmaları. Bu delil dikkatle korunmalıdır.
Dava, düzenleyici soruşturma veya sigorta uyuşmazlığı doğarsa, şirketin ne olduğunu ve ne zaman tespit edildiğini, hangi sistemlerin etkilendiğini ve hangi verinin söz konusu olduğunu, hangi kararların alındığını ve hangi azaltıcı adımların atıldığını, bildirimin neden yapıldığını veya yapılmadığını ve makul güvenlik tedbirlerinin var olup olmadığını göstermesi gerekebilir. Gizlilik, mahremiyet ve dava riskinin ilgili olduğu yerlerde hukuk danışmanı erken dahil edilmelidir; çünkü incelemenin yapısı, sonraki ifşa ve savunma stratejisini etkileyebilir.
14. Düzenleyici Bildirim ve İletişim
Bir siber olay; bir veri koruma otoritesine, bir sektör düzenleyicisine, kolluğa veya bir siber otoriteye ve müşterilere, çalışanlara, sözleşmesel karşı taraflara, sigortacılara, bankalara, ödeme sağlayıcılarına, yatırımcılara ve denetçilere bildirim yükümlülükleri doğurabilir. Şirket, hangi bildirimlerin zorunlu, hangilerinin isteğe bağlı ve hangilerinin stratejik olarak tavsiye edilebilir olduğunu belirlemelidir.
İletişim doğru, kontrollü ve delile dayalı olmalıdır. Yaygın bir hata, çok erken spekülasyonla ya da güven zaten zedelendikten sonra çok geç iletişim kurmaktır. Hukuk, teknik ve iletişim ekipleri, herhangi bir beyan yayımlanmadan önce koordine olmalıdır.
15. Müşteri ve Çalışan Bildirimleri
Bireylerin etkilendiği yerlerde bildirim gerekli veya tavsiye edilebilir olabilir. İyi bir bildirim; ne olduğunu ve hangi verinin söz konusu olduğunu, olayın ne zaman gerçekleştiğini ve şirketin ne yaptığını açıklar; bireye ne yapması gerektiğini, parolaların değiştirilip değiştirilmemesi gerektiğini ve mali takibin tavsiye edilip edilmediğini söyler; sorular için iletişim bilgileri ve ileride güncellemelerin gelip gelmeyeceğine dair bir işaret sağlar.
Bildirimler açık ama dikkatli olmalıdır. Riski olduğundan az göstermemeli, henüz doğrulanmamış olguları abartmamalıdır. Çalışanlar için iç iletişim de önemlidir: parola değişiklikleri, oltalama riski, sistem kullanımı, medya soruları ve müşteri iletişimi konusunda talimatlara ihtiyaç duyabilirler.
16. Siber Güvenlik ve İstihdam
Çalışanlar siber riskin merkezindedir. Hukuki ve İK meseleleri; oltalama eğitimi, kabul edilebilir kullanım politikaları, kişisel cihaz kullanımı ve uzaktan çalışma; parola yönetimi, kişisel e-posta kullanımı, erişim hakları ve çalışan izleme; disiplin işlemi, içeriden tehditler, işten ayrılan çalışanlar ve gizli bilgi; ve YZ araçlarının kullanımı, sosyal mühendislik ve işyeri soruşturmaları bağlamında doğabilir.
Bir şirket, istihdam belgelerinin ve politikalarının siber güvenlik kontrollerini desteklediğinden emin olmalıdır. Çalışanlar hangi veriye erişebileceklerini bilmeli; iş ilişkisi sona erdiğinde erişim kaldırılmalı; gizli-bilgi yükümlülükleri açık olmalı; ciddi güvenlik ihlalleri için disiplin sonuçları belgelenmeli; izleme mahremiyet kurallarına uymalı; ve uzaktan-çalışma düzenlemeleri güvenlik gereklilikleri içermelidir. Siber güvenlik kısmen bir insan sorunudur; politikalar ve eğitim önemlidir.
17. Siber Güvenlik ve Yapay Zekâ
YZ araçları yeni siber güvenlik ve gizlilik meseleleri yaratır. Riskler; çalışanların gizli veriyi kamuya açık YZ araçlarına yüklemesini, istem enjeksiyonunu, YZ-üretimi oltalamayı, deepfake dolandırıcılığını ve otomatik sosyal mühendisliği; güvensiz YZ entegrasyonlarını, model eğitimi yoluyla sızıntıyı ve bir YZ-tedarikçi ihlalini; ve halüsinasyonlu güvenlik tavsiyesini, kötü amaçlı kod üretimini, izinsiz kazımayı ve sentetik-kimlik dolandırıcılığını içerir.
Şirketler YZ yönetişimini siber güvenlik politikasına entegre etmeli; bu, onaylı YZ araçlarını, yasak veri girdilerini, gizlilik kurallarını, tedarikçi incelemesini, kayıt ve izlemeyi, insan incelemesini, olay bildirimini ve YZ-destekli dolandırıcılık konusunda eğitimi kapsamalıdır. YZ hem bir verimlilik aracı hem bir tehdit çarpanıdır; hukuki yönetişim her iki yönü de tanımalıdır.
18. İşlemlerde Siber Güvenlik Durum Tespiti
Siber güvenlik; birleşme-devralmalarda, yatırımlarda ve ticari ortaklıklarda giderek daha önemlidir. Siber durum tespiti; bilgi-güvenliği politikalarını, olay geçmişini ve veri-ihlali kayıtlarını; siber sigortayı, sızma testini, açık yönetimini, erişim kontrollerini ve çok faktörlü kimlik doğrulamanın uygulanmasını; bulut güvenliğini, tedarikçi riskini, veri haritalamasını, yedekleme uygulamalarını ve düzenleyici bildirimleri; ve müşteri şikâyetlerini, güvenlik sertifikalarını, çalışan eğitimini, BT bağımlılığını, eski sistemleri, kaynak-kod güvenliğini ve YZ-araç kullanımını incelemelidir.
Bir hedef şirket değerli görünebilir ama gizli siber yükümlülükler taşıyabilir. Bir alıcı; şirketin olay yaşayıp yaşamadığını ve bunların gerektiği gibi bildirilip bildirilmediğini, sistemlerin entegrasyon için yeterince güvenli olup olmadığını ve müşteri verisinin hukuka uygun korunup korunmadığını, siber teminatların gerekip gerekmediğini, bedelin bir kısmının alıkonulması gerekip gerekmediğini ve özel bir tazminatın gerekip gerekmediğini sormalıdır. Siber durum tespiti; değerlemeyi, işlem yapısını ve devir sonrası entegrasyonu etkileyebilir.
19. Yöneticiler ve Yönetimin Sorumluluğu
Siber güvenlik yönetişimi yöneticileri incelemeye açabilir. Ciddi bir olaydan sonra sorular doğar: yönetim riski biliyor muydu, makul kontroller uygulandı mı ve bütçe ayrıldı mı? Uyarılar göz ardı edildi mi, olay müdahalesi test edildi mi ve tedarikçiler incelendi mi? Hukuki yükümlülükler anlaşıldı mı, yönetim kurulu bilgilendirildi mi, kararlar belgelendi mi ve ifşa zamanında ve doğru muydu?
Bir şirket siber güvenliği, gözetim olmadan devredilen tamamen operasyonel bir mesele olarak ele almamalıdır. Yönetimin her teknik ayrıntıyı anlaması gerekmez, ama risk çerçevesini, hesap verebilirlik yapısını ve olay müdahale sürecini anlamalıdır. Yönetim kurulu tutanakları ve risk raporları, büyük bir olaydan sonra önemli delil hâline gelebilir.
20. Sınır Ötesi Siber Olaylar
Sınır ötesi olaylar daha karmaşıktır. Bir şirket Türkiye'de kurulmuş, veriyi Avrupa'da barındırıyor, ABD merkezli bir bulut sağlayıcı kullanıyor, Birleşik Krallık müşterilerine hizmet veriyor, Kuzey Kıbrıs'ta personel istihdam ediyor ve AB'de yerleşik kişilerin verisini işliyor olabilir. Bu, örtüşen sorular yaratır: hangi hukuk uygulanır ve hangi otoriteye bildirim yapılmalı; veri nerede barındırılıyor ve hangi sözleşmeler uygulanır; hangi tedarikçi sorumlu ve AB veya BK müşterileri etkilendi mi; NIS2 riski doğar mı ve sınır ötesi veri aktarımları söz konusu mu; kolluk raporları gerekir mi ve hangi gizlilik kuralları uygulanır; ve talepler nerede açılabilir ve tazminat nerede icra edilebilir.
Sınır ötesi olay müdahalesi en baştan koordine edilmelidir. Yalnızca yerel bir müdahale, yabancı bildirim yükümlülüklerini veya sözleşmesel yükümlülükleri kaçırabilir.
21. NIS2 ve Uluslararası Siber Güvenlik Standartları
AB faaliyeti, müşterileri veya tedarik-zinciri riski olan şirketlerin, NIS2 çerçevesine bağlı yükümlülükler dahil olmak üzere Avrupa siber güvenlik beklentilerini dikkate alması gerekebilir. NIS2 doğrudan uygulanmadığı yerlerde bile, uluslararası müşteriler; risk-yönetimi tedbirlerini, olay raporlamasını, tedarik-zinciri güvenliğini, erişim kontrolünü, şifrelemeyi, iş sürekliliğini, açık yönetimini, siber güvenlik yönetişimini, yönetim kurulu hesap verebilirliğini, tedarikçi yönetimini ve belgelenmiş politikaları bekleyebilir.
Uluslararası siber güvenlik standartları sözleşmesel gereklilik hâline gelebilir. Türkiye veya Kuzey Kıbrıs merkezli bir tedarikçiden, kendisi doğrudan AB hukukuna tabi olmasa bile, bir AB müşterisi güvenlik kontrollerini göstermesini isteyebilir. Bu nedenle siber güvenlik uyumu, iş yapmanın ticari bir koşulu hâline gelmektedir.
22. Pratik Bir Siber Güvenlik Hukuki Kontrol Listesi
Bir olaydan önce şirketler odaklı bir dizi soruyu yanıtlayabilmelidir. Bir olay müdahale planı var mı, test edildi mi ve siber olaylara kim liderlik ediyor — ve hukuk danışmanı erken dahil ediliyor mu? Kişisel-veri ihlali prosedürleri belgelenmiş mi, kritik sistemler ve veri haritalanmış mı ve yedekler test ediliyor mu? Çok faktörlü kimlik doğrulama uygulanmış mı ve erişim hakları gözden geçiriliyor mu? Tedarikçiler değerlendiriliyor mu, sözleşmeler siber güvenlik hükümleri içeriyor mu ve siber sigorta, bildirim yükümlülükleri anlaşılmış olarak yürürlükte mi? Çalışanlar eğitiliyor mu, oltalama ve dolandırıcılık kontrolleri var mı ve YZ araçları kontrol ediliyor mu? Kayıtlar korunuyor mu, iletişim şablonları hazırlanmış mı ve yönetim kurulu raporları belgeleniyor mu? Sınır ötesi bildirim meseleleri anlaşılıyor mu, siber riskler işlemlerde inceleniyor mu ve iş sürekliliği planları hukuki yükümlülüklerle uyumlu mu?
Yanıtlar; bir kriz bunları sınamadan çok önce yatırım, yönetişim ve sözleşme kararlarını biçimlendirmelidir.
23. Şirketlerin Yaptığı Yaygın Hatalar
En zararlı hatalar tanıdıktır. Şirketler siber güvenliği yalnızca bir BT meselesi olarak görür, hukuk danışmanını erken dahil etmez ve delili korumaz. İhlal değerlendirmesini geciktirir ve bildirim sürelerini kaçırır; spekülatif iletişimler gönderir ve tedarikçi sorumluluğunu göz ardı eder; zayıf sözleşmelere güvenir ve siber sigortanın otomatik devreye gireceğini varsayar. Yedekleri test etmez, yönetici erişimini kontrol etmez ve çalışanları eğitmez; iş-e-postası-ele-geçirme riskini göz ardı eder ve kontrolsüz YZ-araç kullanımına izin verir. Kararları belgelemez, sınır ötesi yükümlülükleri dikkate almaz, veri haritalamasını ancak bir ihlalden sonra keşfeder ve tedarikçi sözleşmelerini öncesinde değil, bir olaydan sonra müzakere eder. Çoğu siber hukuki sorun, hazırlık eksikliğiyle daha da kötüleşir.
Sıkça Sorulan Sorular
Siber güvenlik hukuki bir mesele midir?
Evet. Siber güvenlik; kişisel veriyi, sözleşmeleri, gizliliği, düzenleyici yükümlülükleri, sigortayı, istihdamı, kurumsal yönetişimi, davayı ve itibarı etkiler. Hem teknik hem hukuki bir risk olarak yönetilmelidir.
Bir siber olaydan sonra şirket önce ne yapmalı?
Şirket olayı sınırlamalı, delili korumalı, iç müdahale ekibini bilgilendirmeli, hukuki ve teknik uzmanları dahil etmeli, kişisel veri maruziyetini değerlendirmeli, sigorta yükümlülüklerini incelemeli ve iletişimi kontrol etmelidir.
Bir veri ihlali ne zaman bildirilmeli?
Bildirim, uygulanacak hukuka ve olgulara bağlıdır. Türk veri koruma uygulamasında, ihlal bildiriminin zamanlaması ve içeriği olay tespit edilir edilmez değerlendirilmelidir.
Fidye yazılımı yalnızca bir BT sorunu mudur?
Hayır. Fidye yazılımı; kişisel veriyi, iş kesintisini, fidye ödeme meselelerini, yaptırımları, sigortayı, müşteri bildirimini, davayı ve düzenleyici raporlamayı içerebilir.
Tedarikçiler siber olaylardan sorumlu olabilir mi?
Sözleşmeye, olayın sebebine, güvenlik yükümlülüklerine, ihmale, veri işleme koşullarına, sorumluluk tavanlarına ve tazminatlara bağlı olarak olabilirler. Tedarikçi sözleşmeleri olay yaşanmadan önce incelenmelidir.
Siber sigorta hukuken incelenmeli mi?
Evet. Siber sigorta poliçeleri; koşullar, istisnalar, bildirim yükümlülükleri, onaylı tedarikçiler, güvenlik gereklilikleri ve limitler içerir. Teminata güvenmeden önce bunlar anlaşılmalıdır.
Şirketlerin bir siber olay müdahale planı gerekir mi?
Evet. Yazılı ve test edilmiş bir olay müdahale planı; şirketlerin hızlı hareket etmesine, delili korumasına, hukuki yükümlülükleri karşılamasına ve zararı azaltmasına yardımcı olur.
Siber güvenlik birleşme-devralma ve yatırımlarda önemli mi?
Evet. Siber güvenlik durum tespiti; değerlemeyi ve işlem koşullarını etkileyebilecek gizli yükümlülükleri, zayıf sistemleri, geçmiş ihlalleri, düzenleyici riski ve entegrasyon risklerini ortaya çıkarabilir.
Sonuç
Siber güvenlik artık arka planda bir teknik işlev değildir. Hukuki risk yönetiminin, kurumsal yönetişimin, veri korumanın, sözleşmesel disiplinin, sigorta stratejisinin ve iş dayanıklılığının bir parçasıdır.
Bir siber olay, bir şirketin hazırlıklı olup olmadığını sınar. En güçlü şirketler, asla saldırıya uğramayacaklarını varsayanlar değildir; hangi veriyi tuttuğunu, hangi sistemlerin önemli olduğunu, hangi tedarikçilerin erişimi olduğunu, kimin müdahale etmesi gerektiğini, hangi otoritelerin bilgilendirilmesi gerekebileceğini, delilin nasıl korunacağını ve iş sürekliliğinin nasıl güvence altına alınacağını bilen şirketlerdir. Türkiye, Kuzey Kıbrıs ve sınır ötesi pazarlardaki şirketler için siber güvenlik hukuki hazırlığı, olaydan önce inşa edilmelidir. Bir siber kriz başladığında ise zaman, delil ve güven en değerli varlıklar hâline gelir.
Terziolu & Partners Nasıl Yardımcı Olabilir
Terziolu & Partners; işletmelere, yatırımcılara, girişimcilere ve özel müvekkillere Türkiye, Kuzey Kıbrıs ve sınır ötesi hukuki konularda danışmanlık verir. Çalışmalarımız; siber güvenlik hukuki yönetişimi konusunda danışmanlığı; siber olay müdahale çerçevelerinin hazırlanmasını; kişisel-veri ihlali müdahalesi ve bildirim stratejisi konusunda danışmanlığı; ticari sözleşmelerdeki siber güvenlik hükümlerinin incelenmesini; tedarikçi ve tedarik-zinciri siber riski konusunda danışmanlığı; siber sigorta meselelerinin incelenmesini; işlemlerde siber durum tespitine desteği; fidye yazılımı, iş-e-postası-ele-geçirme ve ödeme-dolandırıcılığı müdahalesi konusunda danışmanlığı; adli bilişim uzmanları, BT ekipleri, sigortacılar, veri koruma danışmanları ve yabancı danışmanlarla koordinasyonu; ve siber olaylardan, tedarikçi başarısızlıklarından veya veri ihlallerinden doğan uyuşmazlıklara desteği içerebilir.
Siber güvenlik hukuki hazırlığı, siber olay müdahalesi veya veri ihlali stratejisi için ekibimizle görüşün.
Bu makale yalnızca genel bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. Siber güvenlik hukuku, veri-ihlali yükümlülükleri, olay-müdahale görevleri, sigorta teminatı, sözleşmesel sorumluluk ve düzenleyici bildirim gereklilikleri; yargı çevresine, sektöre, olay türüne, söz konusu veriye, etkilenen sistemlere, sözleşmelere, zamanlamaya ve uygulanacak hukuka göre değişebilir. Bu yayına dayanılarak hiçbir işlem yapılmamalı veya yapılmaktan kaçınılmamalıdır. Bir siber olaya müdahale etmeden, bir otoriteye bildirimde bulunmadan, etkilenen kişilerle iletişim kurmadan, fidyeyle ilgili bir karar vermeden, sigorta teminatına güvenmeden veya dava açmadan önce konuya özgü hukuki, teknik, adli bilişim, sigorta ve düzenleyici danışmanlık alınmalıdır. Terziolu & Partners'a bir talebin iletilmesi, vekâlet ilişkisi yazılı olarak resmen kabul edilmedikçe avukat–müvekkil ilişkisi doğurmaz.