Ana SayfaBlogVeri Sızıntısı Olduğunda Ne Yapmalı? Şirketler İçin İlk 72 Saat Rehberi
Geri
BLOG LİSTESİNE DÖN
Veri Sızıntısı Olduğunda Ne Yapmalı? Şirketler İçin İlk 72 Saat Rehberi
24.05.2026

Elena Varol
SearchInform Türkiye İş Geliştirme Müdürü

Veri sızıntısı, herhangi bir şirketi hiç beklenmedik bir anda ciddi bir krizle karşı karşıya bırakabilir. Güvenlik çözümlerinin kullanılmaması, kullanılan çözümlerin yanlış yapılandırılması, ürünün kapsam açısından yetersiz kalması ya da insan hatası… Nedeni ne olursa olsun, bir sızıntı yaşandığının öğrenildiği andan itibaren doğru aksiyonların hızla alınmasını sağlayacak bir dokümana ihtiyaç vardır. Bu doküman; kimin, hangi birimin, ne kadar süre içinde ve hangi adımları atması gerektiğini açıkça tanımlayan bir veri ihlali müdahale planı olmalıdır. Plan, ilk saniyeden olay sonrası değerlendirme sürecine kadar tüm aşamaları kapsamalıdır. Bu yazım ise ilk 72 saat içinde izlenmesi gereken temel yol haritasını sunar ve daha detaylı bir olay müdahale planı oluşturulurken zemin niteliğinde kullanılabilir.

1. Sızıntıyı Durdurun

Veri sızıntısı fark edildiği an ilk yapılması gereken, olayın kaynağını tespit edip sızıntının devam etmesini engellemektir. Dışarıdan hacker erişimi varsa ya da olay içeriden kötü niyetli bir çalışan tarafından gerçekleştirilmişse, yetkiler kaldırılmalı ve erişimler derhal kapatılmalıdır.

Ayrıca her sızıntı iddiasının gerçek olmayabileceğini de unutmamak gerekir. Şirketinizin itibarını hedef alan kişiler, sahte bir veri setini şirketinizden sızdırılmış gibi göstererek internette paylaşabilir. Bu nedenle ilk müdahale iki yönlü yürütülmelidir: Bir yandan erişimler ve olası açıklar kontrol edilmeli, diğer yandan paylaşılan haberlerin – böyle haberler varsa – gerçekten şirkete ait olup olmadığı doğrulanmalıdır.

Şunun da altını çizmek isterim: Kriz yönetimi sürecinde ilk andan itibaren hukuk, uyum, siber güvenlik/BT, kurumsal iletişim ekipleri ve üst yönetim aynı masada olmalıdır.

2. Olayın Kapsamını Netleştirin

Veri sızıntısı durumunda, sızmış gibi görünen kısım olayın tamamını göstermeyebilir. Bu nedenle “hangi veri sızdı?” sorusu kadar “başka hangi verilere erişilmiş olabilir?” sorusu da önemlidir. İnceleme sırasında yalnızca görünür bilgilerle yetinmeyin; etkilenmiş olabilecek altyapı unsurlarını, veri türlerini ve kişi gruplarını da kontrol edin.

3. Teknik İncelemeyi Başlatın, Kanıtları Toplayın

Sızan verilerin türüne ve yapısına bakılarak, verilerin şirketinizden mi yoksa dışarıdan bir iş ortağından mı sızdığına dair ilk analiz yapılabilir. Ancak olayın kök nedeninin tespit edilmesi için daha detaylı bir teknik inceleme gerekir. Şirket içinde bunu yapabilecek uzmanlık yoksa dış uzman desteği almak mantıklıdır.

Kök neden analizi yapılmadan “sorun çözüldü” demek risklidir. Özellikle içeriden kaynaklanan veri sızıntılarında, hangi çalışanın hangi dosyaya ne zaman eriştiği, bu veriyi kime gönderdiği veya hangi harici ortama aktardığı görülemiyorsa, olayın nasıl gerçekleştiğini kanıtlarıyla ortaya koyamazsınız. Üstelik KVKK mevzuatı kapsamında da sızıntıya ilişkin bu tür bilgilerin kayıt altına alınması ve gerektiğinde sunulabilir olması önemlidir.

Bu noktada önerim şu: Kurumunuzda DLP (veri sızıntısı önleme) ve DCAP (veri sınıflandırma ve erişim yönetimi) gibi önleyici çözümler bulunmuyorsa, bunları devreye almayı düşünmenin tam zamanıdır. Bu sistemler hem veri sızıntısı riskini önemli ölçüde azaltır hem de kullanıcıların gerçekleştirdiği faaliyetlerin kayıtlarını tutar. Böylece küçük bir sıra dışı eylemde bile kayıtlara bakarak olayın asıl nedenini öğrenebilir, bu tür eylemlerin tekrarlanmasını ve olası bir veri sızıntısının ciddi bir krize dönüşmesini engelleyebilirsiniz.

Derinlemesine teknik inceleme hızlı yapılabilecek bir süreç değildir; olmamalı da. Bu nedenle ilk 72 saat içinde bu süreç ancak başlatılabilir. Ancak burada asla unutmamanız gereken bir şey var: Bu süreçte atılan her adım kayıt altına alınmalıdır. Aksi takdirde ne müşterilerinize ne iş ortaklarınıza ne de regülatörlere aldığınız aksiyonları ispatlayabilirsiniz.

4. KVKK Bildirim Sürecini Geciktirmeyin

Türkiye’de kişisel veri ihlali söz konusuysa, veri sorumlusu ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kişisel Verileri Koruma Kurulu’na bildirim yapmakla yükümlüdür. 

KVKK Veri İhlali Bildirim Formu

Ayrıca, ihlalden etkilenen ilgili kişiler belirlendikten sonra bu kişilere de makul olan en kısa süre içinde bildirim yapılması gerekir. 

7545 sayılı Siber Güvenlik Kanunu ve ilgili ikincil mevzuat çerçevesinde, kritik altyapılar ve regüle sektörler bakımından paralel olay bildirim yükümlülükleri de devreye girer.

5. Kamuoyu ve Müşterilerle İletişimi Kontrollü Yönetin

Veri sızıntısı yalnızca teknik bir sorunu değildir; aynı zamanda bir güven krizidir. Müşteriler, çalışanlar ve iş ortakları şu sorunun yanıtını arar: “Benim verim etkilendi mi ve şimdi ne yapmalıyım?”

Bu nedenle açıklamalar geç, belirsiz veya savunmacı olmamalıdır. Şirket; ne olduğunu, hangi veri kategorilerinin etkilenmiş olabileceğini, hangi önlemlerin alındığını ve ilgili kişilerin hangi adımları atabileceğini sade ve dürüst bir dille anlatmalıdır.

İlk açıklamada kesinleşmemiş detaylar abartılmamalı, ancak olay da küçümsenmemelidir. “Hiçbir risk yok” demek, teknik inceleme tamamlanmadan önce tehlikeli bir ifadedir. Bunun yerine doğrulanmış bilgiler paylaşılmalı ve yeni bulgular ortaya çıktıkça güncelleme yapılacağı belirtilmelidir.

PR ekibi bu süreçte pasif kalmamalıdır. Medyada çıkan haberler, sosyal medya paylaşımları, forumlardaki veri satış iddiaları ve müşteri şikâyetleri yakından takip edilmelidir. Sessizlik, çoğu zaman boşluğu spekülasyonların doldurmasına neden olur.

Yanlış veya hatalı yönetilen iletişim süreci krizi daha da büyütebilir; daha büyük itibar ve müşteri kaybına yol açabilir.

Güney Kore’nin perakende devi Coupang’daki veri ihlalinin nasıl bir PR krizine dönüştüğünü daha yakından incelemek için buraya tıklayın.  

6. Hukuki ve Finansal Riskleri Erken Değerlendirin

2026 yılı için KVKK kapsamında veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde uygulanabilecek idari para cezasının üst sınırı 17.092.242 TL olarak belirlenmiştir.

Ayrıca KVKK’nın 15. maddesi kapsamında Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık bulunması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir. Kişisel verilere ilişkin suçlarda ise 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140. maddeleri gündeme gelebilir; TCK’nın 140. maddesi kapsamında tüzel kişiler hakkında güvenlik tedbirleri uygulanabileceği düzenlenmiştir.

Bunların yanı sıra veri sızıntıları; ilgili kişilerin tazminat taleplerine ve müşteri / iş ortaklarıyla sözleşmesel uyuşmazlıklara yol açabilir.

Bu nedenle hukuk birimi, kriz yönetimi sürecine en başından dahil edilmelidir. Olayın tespiti, bildirim zamanı, iletişim metinleri, müşteri bilgilendirmeleri ve resmi kurumlarla yapılacak yazışmalar hukuki bakış açısından mutlaka değerlendirilmelidir.

Son Söz

Veri sızıntısıyla karşılaştığınızda ne yapacağınızı biliyor olmanız en büyük avantajdır. Bu tür siber olayların gerçekleşmesini %100 garantiyle engelleyebilecek ne bir çözüm ne de bir yöntem vardır. Ancak elinizde detaylı bir olay müdahale planı bulunması ve doğru hazırlıkların önceden yapılmış olması, sızıntıyı yönetilebilir ve sınırlandırılabilir hale getirir; tekrar yaşanma ihtimalini de önemli ölçüde azaltır. 

 

BLOG LİSTESİNE DÖN
Letter Bültenimize abone olun! Sektör trendlerini takip edin, veri sızıntıları ve siber olaylara karşı nasıl önlem alacağınızı öğrenin.
FileAuditor
DLP
Risk Monitor
TimeInformer
İletişim
Hakkımızda
Müşterilerimiz
İş Ortağımız Olun
İş Ortağı Girişi
Kaynaklar
Blog
Etkinlikler
SearchInform ürünleri aşağıdaki kuruluşlar tarafından tanınmaktadır
Gartner The Radicati Group
Bizi takip edin:
© 2026 SearchInform LTD – Tüm hakları saklıdır.
Kullanım Şartları
Lisans
Gizlilik ve Çerezler
Çerez ayarları