Küçük İşletmeler İçin Siber Güvenlik Tavsiyeleri
Küçük işletmeler için uygulanabilir siber güvenlik önerileri: parola güvenliği, MFA, yedekleme, çalışan farkındalığı, güncellemeler ve temel güvenlik adımları.
2026-03-12 · 7 dk okuma
Sosyal Mühendislik: Sisteminizin En Zayıf Halkası İnsan
Yazar: Lasetech··4 dk okuma
Bir siber güvenlik uzmanına "En büyük güvenlik açığı nedir?" diye sorsanız, muhtemelen tek bir kelimeyle yanıt verir:
İnsan.
Güvenlik duvarları, şifreleme, iki faktörlü doğrulama… Bunların hiçbiri işe yaramayabilir. Çünkü en sofistike saldırılar artık sisteminizi değil, çalışanınızı hedef alıyor.
Tarihin En Tuhaf (ve En Öğretici) Hack'i
1979 yılında genç bir hacker, dünyanın en büyük teknoloji şirketlerinden biri olan Digital Equipment Corporation'ı (DEC) hacklemek istiyordu.
Bir güvenlik açığı mı aradı? Karmaşık bir exploit mi yazdı? Hayır.
Sadece telefon etti.
Şirketin sistem yöneticisini aradı ve kendini baş geliştirici Anton Chernoff olarak tanıttı. "Sisteme giriş yapamıyorum" dedi. Sistem yöneticisi hiç tereddüt etmeden yeni bir kullanıcı adı ve şifre oluşturdu — ve DEC'in en kritik işletim sistemi geliştirme sunucularına erişim kapısını sonuna kadar açtı.
O genç hacker, Kevin Mitnick'ti. Bugün dünyanın en ünlü siber güvenlik uzmanlarından biri olarak tarihe geçen isim. FBI'ın yıllarca en çok aradığı siber suçlu olan Mitnick, sisteme sızmak için teknik becerilerinden çok insan psikolojisini kullandığını defalarca vurgulamıştır.[^1]
Bu hikaye hem gülünç derecede basit hem de dehşet verici. Çünkü 1979'dan bu yana çok şey değişti — ama insan doğası değişmedi.
Sosyal Mühendislik Nedir?
Sosyal mühendislik; teknik sistemleri değil, insanları manipüle ederek gizli bilgilere veya sistemlere yetkisiz erişim sağlama pratiğidir.
Saldırganlar bunu yaparken evrensel insan eğilimlerini istismar eder:
- Yardım etme isteği — "Bir sorunum var, acil yardıma ihtiyacım var."
- Otorite korkusu — "Ben IT müdürüyüm, şifrenizi hemen sıfırlamamız gerekiyor."
- Merak — "Şirket hakkında önemli bir belge var, açmanızı tavsiye ederim."
- Aciliyet hissi — "Bu işlemi bugün tamamlamazsak ciddi bir sorun yaşarız."
En önemli nokta şu: kurbanlar çoğu zaman saldırıya uğradıklarının farkına bile varmaz.
Yaygın Sosyal Mühendislik Yöntemleri
Phishing (Oltalama)
E-posta yoluyla gerçekmiş gibi görünen sahte mesajlar gönderilerek kullanıcı bilgileri çalınır. Günümüzde phishing saldırılarının büyük çoğunluğu, çalışanları hedef alan spear phishing — yani kişiye özel hazırlanmış oltalama — biçiminde gerçekleşmektedir.
Vishing (Telefon Dolandırıcılığı)
Mitnick'in kullandığı yöntemin modern versiyonu. Saldırgan sizi arar, BT destek uzmanı, banka görevlisi veya üst yönetici gibi davranır ve adım adım kritik bilgileri elde eder.
Pretexting (Senaryo Kurma)
Saldırgan inandırıcı bir kimlik ve hikaye oluşturur. Örneğin sahte bir tedarikçi olarak ofise girer, "sunucu odasını kontrol etmem gerekiyor" der ve içeri girer.
Baiting (Yemleme)
Virüslü bir USB bellek şirket otoparkına ya da lobisine bırakılır. Meraklı bir çalışan onu bilgisayarına takar — ve saldırgan içeri girmiş olur.
CEO Fraud (CEO Dolandırıcılığı)
Üst yönetimin e-posta adresi taklit edilerek finans departmanından acil havale talebi yapılır. Bu yöntemle dünya genelinde milyarlarca dolarlık zarar yaşandığı raporlanmıştır.
Kendinizi ve Şirketinizi Nasıl Korursunuz?
1. Kimlik Doğrulama Talep Edin
Telefonda veya e-postada gelen her kritik istekte, kişinin kim olduğunu bağımsız kanaldan teyit edin. Unvan ne kadar yüksek olursa olsun. Gerçek bir BT müdürü ya da üst yönetici, kimliğinin doğrulanmasından rahatsız olmaz.
2. Aciliyet Duygusuna Şüpheyle Yaklaşın
"Hemen yapılması gerekiyor", "bugün son gün", "aksi takdirde ciddi sonuçlar doğar" gibi ifadeler sosyal mühendislerin en sevdiği araçlardır. Bir adım geri çekilin, doğrulayın.
3. Farkındalık Eğitimi Verin
Güvenliğin en zayıf halkası eğitilmemiş çalışanlardır. Düzenli simülasyon ve eğitimler, çalışanların gerçek bir saldırı karşısında refleks geliştirmesini sağlar. Teknik sistemlere yapılan yatırımın en az yarısı kadar insan eğitimine de yatırım yapılmalıdır.
4. Minimum Yetki İlkesini Uygulayın
Her çalışanın her bilgiye veya sisteme erişmesi gerekmez. Bir saldırgan içeri girmeyi başarsa bile, erişebileceği alanı sınırlandırmak hasarı önemli ölçüde azaltır.
5. Güvenlik Kültürü Oluşturun
Çalışanlar şüpheli bir durumu bildirmekten çekinmemeli. "Belki yanılıyorumdur" endişesiyle sessiz kalan bir çalışan, farkında olmadan saldırganın işini kolaylaştırır. Hata bildirimini teşvik eden bir kültür, teknik önlemlerden çok daha güçlü bir savunma hattıdır.
Son Söz
Kevin Mitnick şunu söylüyordu: "Şirketler teknolojiyi korumak için milyonlar harcıyor, ama insanları eğitmek için neredeyse hiçbir şey yapmıyor."
Güvenlik bir teknoloji meselesi değil, bir kültür meselesidir.
Siber tehditlere karşı kapsamlı bir strateji oluşturmak, çalışan farkındalığını artırmak veya mevcut güvenlik altyapınızı değerlendirmek istiyorsanız Lasetech ile iletişime geçin. Hem teknik hem de insan odaklı güvenlik çözümleri sunuyoruz.
[^1]: Kaynak: CSO Online — "Social engineering: Definition, examples, and techniques" ve Mitnick Security
İlgili Yazılar
Phishing (Oltalama) Nedir?
Phishing, kullanıcıları kandırarak hassas bilgileri ele geçirmeye yönelik en yaygın siber saldırı türlerinden biridir. Nasıl çalıştığını ve korunma yollarını öğrenin.
2026-03-09 · 3 dk okuma
Güvenlik Duvarı Nedir? Nasıl Çalışır ve İşletmeniz Neden İhtiyaç Duyar?
Güvenlik duvarı, ağınızı yetkisiz erişim ve siber tehditlere karşı koruyan ilk savunma hattıdır. Nasıl çalıştığını ve işletmeniz için hangisinin doğru olduğunu öğrenin.
2026-03-14 · 4 dk okuma