Veri sızıntısı, yalnızca BT ekiplerini ilgilendiren teknik bir sorun değildir. Aynı anda operasyonları, müşteri güvenini, marka itibarını, hukuki yükümlülükleri ve şirketin finansal risklerini etkileyen çok boyutlu bir krizdir. Bu nedenle veri sızıntısı yaşandığında verilecek ilk tepki, olayın büyümesini durdurmak ve hasarı kontrol altına almak açısından kritik öneme sahiptir.

Birçok kurum, sızıntıyı ancak olay kamuya yansıdıktan sonra fark eder. Bazı şirketler ise ilk anda yalnızca görünür zarara odaklanır ve asıl riski büyüten noktayı kaçırır: saldırı devam ediyor olabilir, yetkisiz erişim hâlâ açık olabilir ya da ortada gerçek bir veri sızıntısı değil, kurumu hedef alan manipülatif bir senaryo bulunabilir.

Bu yüzden doğru yaklaşım panik yapmak değil; hızlı, sistematik ve kanıt temelli hareket etmektir. Aşağıda, bir veri sızıntısı veya kişisel veri ihlali yaşandığında atılması gereken 6 temel adımı bulabilirsiniz.

1. SIZINTI KAYNAĞINI HIZLA TESPİT EDİN VE ERİŞİMİ KAPATIN

Veri sızıntısı sonrası ilk öncelik, olayın kaynağını belirlemek ve sızıntının devam etmesini engellemektir. Bu aşamada temel soru şudur: Veri nereden, nasıl ve kim tarafından dışarı çıktı?
Sızıntı bir siber saldırıdan kaynaklanıyorsa saldırganın erişimi derhal kesilmelidir. Olay içeriden, örneğin kötü niyetli bir çalışan tarafından gerçekleştiyse ilgili hesaplar, erişim yetkileri, uzak bağlantılar ve ayrıcalıklı oturumlar anında gözden geçirilmelidir.

Buradaki en kritik hata, olay duyulduktan sonra bile açığın kapatılmamasıdır. Kurumlar bazen açıklama yapmaya odaklanırken, saldırganın sistemde kalmaya devam edip etmediğini yeterince hızlı doğrulamaz. Oysa ilk saatlerde yapılacak erişim kesme, şifre sıfırlama, oturum kapatma, anahtar yenileme ve izolasyon adımları toplam zararı ciddi ölçüde azaltabilir.

Ayrıca her iddianın gerçek bir veri sızıntısı anlamına gelmediği de unutulmamalıdır. Bazı durumlarda, kurumun itibarını zedelemeye yönelik sahte veri setleri hazırlanabilir veya manipülatif içerikler servis edilebilir. Bu nedenle teyit edilmemiş bilgilerle değil, doğrulanmış bulgularla hareket edilmelidir.

2. SIZINTININ KAPSAMINI NETLEŞTİRİN

Veri sızıntılarında görünen tablo çoğu zaman buzdağının yalnızca görünen kısmıdır. İnternette paylaşılan birkaç örnek kayıt, daha büyük bir ihlalin işareti olabilir. Bu nedenle yalnızca dışarıda görülen veriye bakmak yeterli değildir; içeride hangi sistemlerin, hangi kullanıcıların ve hangi veri setlerinin etkilendiği ayrıntılı olarak incelenmelidir.

Kapsam analizi yalnızca teknik ekipler için değil yönetim kadroları için de kritik önemdedir. Çünkü atılacak hukuki adımlar, müşteri iletişimi, kamuoyu açıklaması ve iş sürekliliği kararları bu tespitin doğruluğuna bağlıdır. Eksik veya erken yapılan değerlendirmeler ikinci bir kriz dalgası yaratabilir.

3. HUKUKİ BİLDİRİM SÜRECİNİ GECİKMEDEN BAŞLATIN

Veri sızıntısı, hukuki sonuçları olan bir ihlaldir. Türkiye’de kişisel veri ihlali söz konusu olduğunda, veri sorumlusunun olayı öğrendiği andan itibaren bildirim sürecini gecikmeden başlatması gerekir. Kişisel Verileri Koruma Kurulu’nun 2019/10 sayılı kararı uyarınca, ihlalin Kurula gecikmeksizin ve en geç 72 saat içinde bildirilmesi beklenir; etkilenen kişilere de makul olan en kısa sürede bildirim yapılmalıdır. Aynı düzenlemeler, ihlale ilişkin bilgilerin, etkilerin ve alınan önlemlerin kayıt altına alınmasını da vurgular.

Burada önemli olan yalnızca “bildirim yapmak” değil, doğru kapsamla ve doğru zamanlamayla bildirim yapmaktır. Eksik bilgi vermek, geç hareket etmek veya belge yönetimini zayıf bırakmak, sonraki denetim ve dava süreçlerinde şirketin aleyhine sonuç doğurabilir.

4. OLAYIN KÖK NEDENİNİ TEKNİK OLARAK İNCELEYİN

İlk müdahale tamamlandıktan sonra sıradaki adım, olayın neden ve nasıl gerçekleştiğini ortaya koymaktır. Çünkü gerçek sebep anlaşılmadan alınan önlemler yalnızca geçici çözüm üretir.

Bu aşamada log kayıtları, erişim hareketleri, veri akışları, üçüncü taraf bağlantıları, bulut servisleri, uç nokta davranışları ve yetki zincirleri detaylı biçimde incelenmelidir. Amaç yalnızca “hangi veri sızdı?” sorusunu yanıtlamak değil; “bu olay neden mümkün oldu?” sorusuna da net cevap vermektir.

Çoğu kurum için en zor nokta tam da burasıdır. Çünkü olay anında sağlam log yönetimi, veri erişim görünürlüğü, sınıflandırma altyapısı ve denetim izleri yoksa, geriye dönük analiz hem uzar hem de belirsizlik artar.

Bu nedenle veri sızıntısı yaşanmadan önce kurulan güvenlik katmanları büyük fark yaratır. DLP, DCAP, SIEM sistemleri; ihlal anında yalnızca savunma aracı değil, aynı zamanda olayın doğru anlaşılmasını sağlayan kanıt altyapısıdır.

5. KRİZ İLETİŞİMİNİ VE İTİBAR YÖNETİMİNİ PROFESYONELCE YÜRÜTÜN

Bu noktada susmak, geç açıklama yapmak veya muğlak ifadeler kullanmak güven kaybını artırır. Kurumun açıklaması açık, dürüst, ölçülü ve yönlendirici olmalıdır. Olayın ne olduğu, hangi bilgilerin etkilenmiş olabileceği, şirketin ne yaptığı ve ilgili kişilerin hangi önlemleri alması gerektiği net şekilde anlatılmalıdır.

Doğru iletişim yaklaşımı yalnızca itibar kaybını azaltmaz; aynı zamanda şirketin durumu ciddiyetle ele aldığını ve kontrolü yeniden tesis ettiğini gösterir.

6. HUKUKİ, OPERASYONEL VE TİCARİ RİSKLERİ BİRLİKTE DEĞERLENDİRİN

Veri sızıntısı sonrasında idari yaptırımlar, sözleşmesel uyuşmazlıklar, müşteri talepleri, tazminat riskleri, iş ortaklığı sorunları ve sektörel denetimler gündeme gelebilir.

Bu nedenle olay yönetimi yalnızca BT ekibine bırakılmamalıdır.

Hukuk, uyum, iç denetim, insan kaynakları, operasyon ve üst yönetim aynı çerçevede hareket etmelidir. Hangi yükümlülüklerin doğduğu, hangi sözleşmelerin etkilendiği, hangi müşteri gruplarının bilgilendirileceği ve hangi iç politika değişikliklerinin gerekli olduğu bütüncül biçimde değerlendirilmelidir.

KVKK kapsamındaki idari para cezaları her yıl güncellenen tutarlar üzerinden uygulanabildiği için güncel mevzuat ve güncel ceza tabloları üzerinden hareket edilmelidir. 

Ayrıca unutulmaması gereken en önemli savunma unsurlarından biri, aksiyon kayıtlarıdır. Olayın ne zaman tespit edildiği, hangi teknik ve idari önlemlerin hangi sırayla devreye alındığı, kimlerin bilgilendirildiği ve hangi kararların neden verildiği eksiksiz biçimde belgelenmelidir. İyi tutulan kayıtlar; denetim, soruşturma ve olası dava süreçlerinde şirketin elini güçlendirir.