İşin garibi, Bakın şimdi, “siber güvenlik bitti” cümlesi kulağa biraz iddialı geliyor. Hatta açık konuşayım bir düşüneyim… — çoğu zaman fazla pazarlama kokuyor. Ama işin aslı şu ki burada gerçekten değişen bir şey var; sadece yanlış yere bakınca bütün resim bulanıklaşıyor. Ben de 2024’ün Ekim ayında İstanbul’da bir kurumsal uygulama denetimi yaparken bunu net gördüm — ekip patch yetiştirmekten nefes alamıyordu. Sorunların yarısı koddan değil, süreçten çıkıyordu (ciddiyim)
Siber güvenliği yalnızca açık kapatmak sananlar için manzara sanki değişmiş gibi duruyor. Hani AI geldi, bir sürü zafiyeti otomatik buluyor ve düzeltiyor ya… tamam, güzel. Fena değil. Ama bu sadece üst katman. Binanın temeli ayrı mesele — temel çürükse, boyayı tazelemekle ev kurtulmuyor.
Neden Herkes Yanlış Yerden Bakıyor?
Çünkü siber güvenlik denince akla ilk gelen şey hâlâ açık taraması, yama yönetimi ve alarm ekranları oluyor. Bunlar önemli mi? Evet, tabi ki önemli. Ama sadece bunlardan ibaret değil — ve işte tam burada çoğu ekip tökezliyor. Bir startup’ta çalışan arkadaşım Can’la 2023 Kasımında Kadıköy’de kahve içerken tam da bunu konuşmuştuk; onlar küçük ekip olmalarına rağmen kimlik erişim kurgusu kötü olduğu için her yeni özellik bir risk paketine dönüşüyordu, farkında bile değillerdi.
Kendi deneyimimden konuşuyorum, İşin can sıkıcı tarafı şu: endüstri yıllarca hızı ödüllendirdi, sağlamlık ikinci plana itildi. Sonra ortaya devasa bir savunma piyasası çıktı — SIEM’ler, EDR’ler, MSSP’ler, tarayıcılar… Hepsi lazım olabilir ama bazen temel eksikse üstüne kaç kat koruma koyarsanız koyun nafile kalıyor. Nafile.
Hmm, bunu nasıl anlatsamdı…
Şahsen, Az önce “açık kapatma” dedim ama aslında biraz daha geniş düşünmek lazım. Kimlik yönetimi, tedarik zinciri güveni, veri soyu izleme (data lineage), operasyon sürekliliği… Bunların hepsi oyunun parçası. Saldırganın tek yolu kod açığı değil ki; bir düşüneyim… yanlış yetkiyle girer, eski bağımlılıktan sıçrar çıkar, insan hatasından yürür. Bu kadar basit.
Kırılan model neydi?
Kırılan model aslında “önce yaparız sonra koruruz” yaklaşımıydı. Bu model kısa vadede rahatlatıyor çünkü ürünü hızlı çıkarıyorsunuz. Gel gelelim orta vadede faturası kabarıyor; teknik borç büyüyor, güvenlik ekibi yangın söndürücüye dönüyor. Kimse köke bakmıyor artık.
Benzer bir tabloyu 2022’de Ankara’daki bir SaaS projesinde gördüm. Ürün ekibi iki haftada bir özellik atıyordu ama tehdit modeli güncellenmiyordu bile (inanın bana). Sonra en basit rol ayrımı hatası yüzünden müşteri verisi yanlış panele düşmeye çok yaklaştı — çok yaklaştı, demek istiyorum gerçekten. İşte böyle anlarda insan şunu söylüyor: keşke baştan biraz daha yavaş gitseydik.
| Yaklaşım | Kısa Vadeli Artı | Uzun Vadeli Eksi |
|---|---|---|
| Sadece yama odaklı | Hızlı tepki verir | Sürekli kovalamaca yaratır |
| Tasarımda güvenlik | Daha az kriz üretir | Başta disiplin ister |
| AI ile otomatik düzeltme | Ekip yükünü azaltır | Sorunun kökünü tek başına çözmez |
Hollow Shield Nedir? Şu Parlak Zırh Meselesi
“Hollow Shield” denen fikir bana boş kabuk gibi geliyor — ve ben bu benzetmeyi seviyorum çünkü tam oturuyor (şaşırtıcı ama gerçek). Dışarıdan sağlam duruyor ama içi pek dolu değil. Savunma katmanı varmış gibi görünür; raporlar çıkar, paneller dolar taşar… fakat yapı özünde reaksiyonel kalır. Hep arkadan gelir. Daha fazla bilgi için Agentforce Script: Salesforce’un AI Ajanlarına Getirdiği Fren Pedalı yazımıza bakabilirsiniz.
Şöyle ki, Böyle yapılarda bütçe de garip çalışıyor. Güvenliğe para harcanıyor diye sevinirsiniz ama o para bazen gerçekte önleyici mimariye gitmez; mevcut karmaşayı yönetmeye gider. Bir tür dijital pansuman yani. Yarayı kapatıyor ama iyileştirmiyor.
Açık söyleyeyim, bunun iyi tarafı da var: bazı organizasyonlarda bu savunma katmanı ciddi hasarı önlüyor. Bunu küçümseyemeyiz. Gerçekten önlüyor. Ama kötü tarafı şu — sistem hep arkadan geliyor. Saldırı zaten olmuş oluyor.
Neleri kapsamaz?
- Yetki tasarımındaki zayıflıkları kapsamaz.
- Tedarik zincirindeki kör noktaları kapsamaz.
- Operasyonel kırılganlığı tek başına çözemez. — bunu es geçmeyin
- Ekipler arası sorumluluk dağınıklığını sihirle düzeltmez.
“Daha çok güvenlik aracı almak” ile “daha sağlam sistem kurmak” aynı şey değil.
İkincisi zor olan.
Birincisi satın alma listesi.
Tema Temel Mi? Asıl Mesele Burada Başlıyor
Temel dediğim şey biraz soyut görünebilir. Ama aslında gündelik hayatta çok tanıdık bir karşılığı var — evin kolonları gibi düşünün (inanın bana). Kolon yoksa perde takmanın pek anlamı kalmıyor tabi. Hiç. Bu konuyla ilgili Apple ile Samsung Arasındaki Veri Savaşı: Antitröst Dosyasında Yeni Perde yazımıza da göz atmanızı tavsiye ederim.
// Basit düşünce modeli
if (design_has_constraints && access_is_minimal && evidence_is_traceable) {
security_posture = "structural";
} else {
security_posture = "reactive";
}Bilmem anlatabiliyor muyum, Bu küçük örnek komik görünebilir ama mesaj net: sistem daha doğarken kısıtlarla kuruluyorsa iş kolaylaşıyor. Yetkiler dar tutuluyorsa (söylemesi ayıp) saldırganın hareket alanı küçülüyor; değişiklik geçmişi izlenebiliyorsa sorun çıktığında “kim neyi neden yaptı” sorusu havada kalmıyor. Basit ama güçlü bir mantık bu. Bu konuyla ilgili JavaScript’te Async Mantığı: Event Loop’u Gerçekten Anlamak yazımıza da göz atmanızı tavsiye ederim.
Bunu biraz açayım.
Bana göre burada en kritik kavramlardan biri “continuity” — yani kesintiye dayanıklılık. Kurumsal projelerde çoğu ekip saldırıya odaklanıp kalıyor ama asıl acı veren şey bazen saldırının kendisi bile olmuyor; servis kesintisi oluyor, müşteri kaybı oluyor, itibar gidiyor. Ve o itibarı geri almak… hmm, nasıl desem, çok daha uzun sürüyor. MCP Patladı: 97 Milyon İndirimin Arkasındaki Hikâye yazımızda da bu konuya değinmiştik.
Küçük startup ile enterprise aynı mı?
Değil, tabi ki değil! Küçük startup’ta hız baskısı yüksek olduğu için temel kuralları baştan koymak şart; yoksa teknik borç kartopu gibi büyüyor ve bir noktadan sonra durduramıyorsunuz. Enterprise tarafta ise mesele ölçekleniyor — tek hata binlerce kullanıcıya yayılıyor. Yönetişim eksikleri daha pahalı, çok daha pahalı hale geliyor.
Peki Geliştirici Ne Yapacak?
Hani, “Geliştiriciler yerinden ediliyor” hikâyesine pek inanmıyorum doğrusu. Asıl olan şu: geliştirici artık sonradan yamayan — en azından ben öyle düşünüyorum — kişi olmaktan çıkıp sistemi doğru kuran kişiye dönüşüyor. Bu bana 2024 Martında İzmir’de görüştüğüm bir fintech mimarının sözünü hatırlattı — “En pahalı bug production’a çıkan bug değil, tasarımda görünmeyen bug.” Abartısız doğru laf.
- Kod incelemede güvenliği son adım değil ilk filtre yapın.
- Erişimleri minimumda tutun.
- Tedarik bağımlılıklarını düzenli kontrol edin.
- Metrikleri sadece açık sayısıyla sınırlamayın.
- Mimaride geri dönüş planını unutmayın!
Neyse uzatmayayım… AI’nın yaptığı en faydalı işlerden biri tekrar eden işleri azaltmak olabilir ama bu sizi rehavete sürüklememeli. Bir araç zafiyeti buldu diye problem bitmiş sayılmaz; çoğu zaman problem o zafiyetin oluşmasına izin veren kültürde yatıyordur. Ve evet, bu kısmı duymak can sıkıcı olabilir. Biliyorum.
Neler Kazandırır Neler Kaybettirir?
Dürüst olayım: bu geçişin kazancı büyük olabilir ama bedelsiz değil. Kazanç tarafında daha az manuel patch yükü, daha erken sinyal, daha düşük operasyon stresi var. Kaybettiğiniz şey ise eski alışkanlıkların rahatlığı — o rahatlık sahteydi gerçi, yine de insan alışınca bırakmak istemiyor.
Birkaç avantaj/dezavantaj maddesi bırakayım:
- Avantaj: Daha az kriz-odaklı çalışma döngüsü oluşur.
- Avantaj: Güvenlik ürünlerine bağımlılık azalabilir.
- Dezavantaj: Tasarım disiplini yoksa iyileşme yüzeysel kalır. (bence en önemlisi)
- Dezavantaj: İlk yatırım ve kültür değişimi zorlayıcıdır.
Sıkça Sorulan Sorular
Siber güvenlik gerçekten bitiyor mu?
Kısmen yardım eder, neredeyse tamamen devralmaz.Mesela politika,risk kararıoperasyonel sahiplenme insan ister.AI hızlıdır;ama bağlam kurușturmaz..
Küçük şirketler nereden başlamalı?
Önce erişimleri sadeleştirin,bağımlılıkları temizleyin,log toplamayı düzgün kurun.Sonra otomasyon ekleyin.Tersini yaparsanız elinizde parlak araçlar olur;temiz sonuç olmaz.
En büyük hata ne?
Güvenliği ürün listesine indirgemek.Yani “şunu aldık tamamdır” demek.Aslında—dur saniye—önce süreç,sonra mimari gelir.Araç en son gelir.
Kaynaklar ve İleri Okuma
OWASP Top Ten Projesi
NIST Computer Security Resource Center
CISA Resmi Web Sitesi
FOSRES Nedir? Açık Kaynak Güvenlik Eğitimi İçin Yeni Bir Yol
20+ yıl deneyimli Azure Solutions Architect. Microsoft sertifikalı bulut mimari ve DevOps danışmanı. Azure, yapay zekâ ve bulut teknolojileri üzerine Türkçe teknik içerikler üretiyor.
İlgili Yazılar
Bu içerik işinize yaradı mı?
Benzer içerikleri kaçırmamak için beni sosyal medyada takip edin.
