Ulusal Siber Güvenlik Stratejisi ve Eylem Planında (2020-2023) Sızma Testi (Pentest); bilişim sistemlerinin veya ağın güvenlik önlemlerini atlatmanın yollarını belirleme, sisteme sızma ve bu şekilde öncelikli sistem zafiyetlerini ve açıklıklarını belirlemeye yönelik test, TSE tarafından ise; bilgisayar ve ağ güvenliğini dışarıdan veya içeriden yapılan bir saldırı ile değerlendirme yöntemi olarak tanımlanmıştır. Sızma testleri ile siber bir saldırı olmadan önce zafiyetlerin ve açıklıkların tespit edilmesi ve giderilmesi hedeflenir. Bu kapsamda sızma testi bilgi güvenliği çerçevesinde önemli bir süreci temsil etmektedir.
Bireyin veya bir kurumun sahip olduğu en temel değer bilginin kendisidir. Bilginin temel güvenlik özellikleri olan gizlilik, bütünlük ve erişebilirlik olarak (Confidentiality, Integrity, Availability) sınıflandırılabilir. İçinde bulunduğumuz teknolojik ilerlemenin bilgi güvenliğini sağlamada ve açıklıklarından faydalanmadaki etkisi nedeniyle bireyler ve kurumlar önemli tehlike altındadır. Yapay zekâ teknolojisinin de ilerlemesi ile zafiyet ve açıklıkların istismar edilmesi önemli bilgi güvenliği ihlallerinin önünü açabilecektir.
Düzenli olarak, yetkin kişi ve kuruluş tarafından yapılacak güvenlik açıklığı taraması, zafiyet taraması ve bu eylemlerin hepsini kapsayan sızma testi, proaktif bir yaklaşım ile olası tehditlerin önlenmesine önemli katkılar sunacaktır.
Bu yazımızda yasal dokümanlarda sızma testi zorunlulukları ve hangi kurum, firma ve kuruluşların sızma testi yaptırması gerektiği açıklanmaya çalışılmıştır.
Elektronik Ticaret

Elektronik Ticarette Hizmet Sağlayıcı ve Aracı Hizmet Sağlayıcılar Hakkında Yönetmelik kapsamında bulunan aracı hizmet sağlayıcı ve kendine ait elektronik ticaret ortamında faaliyet gösteren hizmet sağlayıcılar güven damgası almak istemeleri durumunda; “güven damgası” başvurusunda bulunmadan en fazla üç ay önce ve her takvim yılı içinde en az bir defa, Türk Standartları Enstitüsü tarafından onaylı A veya B sınıfı sızma testi firmalarına sızma testi yaptırarak gerekli önlemleri alır ve bu önlemleri aldığına ilişkin doğrulama testi yaptırır. (Elektronik Ticarette Güven Damgası Hakkında Tebliğ, Madde 5)
(Kaynak:https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=23634&MevzuatTur=9&MevzuatTertip=5)
Bankacılık ve Elektronik Bankacılık Hizmetleri

Banka, bilgi sistemleri aracılığıyla sunduğu hizmetlerin tasarımı, geliştirilmesi, uygulanması veya yürütülmesinde görevi bulunmayan bağımsız ekiplere yılda en az bir defa sızma testi yaptırır. [Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik, Madde-18, (7)]
(Kaynak:https://www.resmigazete.gov.tr/eskiler/2020/03/20200315-10.htm)
24 Temmuz 2012 tarihli Bilgi Sistemlerine İlişkin Sızma Testleri Genelgesine göre Sızma testleri, temel sızma testleri ile bu testler sonrası uygulanacak detaylı sızma testlerinden oluşur. Sızma testleri kapsamında gerçekleştirilecek testler asgari olarak aşağıdaki başlıkları kapsar:
- İletişim Altyapısı ve Aktif Cihazlar
- DNS Servisleri
- Etki Alanı ve Kullanıcı Bilgisayarları
- E-posta Servisleri
- Veritabanı Sistemleri
- Web Uygulamaları
- Mobil Uygulamalar
- Kablosuz Ağ Sistemleri
- ATM Sistemleri
- Dağıtık Servis Dışı Bırakma Testleri
- Sosyal Mühendislik Testleri
04 Aralık 2013 tarihinde Bilgi Alışverişi, Takas ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ yayınlanmıştır. Risk Merkezi, bilgi alışverişi, takas ve mahsuplaşma kuruluşları, bilgi sistemleri denetimini yapmaya yetkili kuruluşlar, bağımsız denetim kuruluşları ve dış hizmet sağlayıcı kuruluşlar bu tebliğ hükümlerine tabidir. Bu tebliğe göre söz konusu kuruluşlar sızma testini yılda en az bir defa yaptırmak zorundadır. [(Tebliğ Madde-5, (5)]
Finansal Kiralama, Faktoring ve Finansman Şirketlerinin Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ 6 Nisan 2019’da yayınlanmıştır ve finansal kiralama, faktoring ve finansman şirketlerini kapsamaktadır. Tebliğde “Şirket, dışarıdan gelecek bir siber saldırıya karşı gerekli önlemleri alır ve 2 yılda bir sızma testi yaptırır.” hükmü bulunmaktadır.
Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ 27 Haziran 2014 tarihinde yayınlanmış ve ödeme hizmeti sağlamak ve gerçekleştirmek için Kanun kapsamında yetkilendirilmiş tüzel kişileri ve kanun kapsamında elektronik para ihraç etme yetkisi verilen tüzel kişileri kapsamaktadır. Kapsamdaki kuruluşlar, bilgi sistemleri aracılığıyla sunduğu hizmetlerin tasarımı, geliştirilmesi, uygulanması veya yürütülmesinde görevi bulunmayan bağımsız ekiplere yılda en az bir defa sızma testi yaptırmakla yükümlü tutulmuşlardır.
Enerji Piyasası Düzenleme Kurumu

16 Temmuz 2023 tarihli ve 32250 sayılı Resmi Gazetede yayımlanan Enerji Piyasası Düzenleme Kurulunun 13/07/2023 Tarihli ve 11956 Sayılı Kararı Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemleri İçin Güvenlik Analiz Ve Test Usul ve Esasları belirlemiştir. Sızma testi kavramı yerine Güvenlik analiz ve testleri kavramı kullanılmıştır.
Bu kapsamda; ilgili karara göre işletmeye yeni başlayacak olan kuruluşlar faaliyete geçtikten sonra on sekiz ay içerisinde, güvenlik analiz ve testleri yaptırırlar ve tüm kuruluşlar testleri en geç üç yılda bir tekrarlar.
Güvenlik analiz ve testlerini yapacak firma/kuruluş ve personelinde aranacak yetkinlikler bölümünde (Madde-13);
-Ağ güvenliği konusunda uluslararası kabul görmüş kuruluşlardan alınmış Comptia Security+, GSEC, CND (EC-Council), SSCP, CISSP, CNSS vb. sertifikalardan en az birine sahip olmak,
– CEH (EC-Council), OSCP, ICS/SCADA Cybersecurity (EC-Council), en az Sertifikalı Sızma Testi Uzmanı seviyesinde olmak üzere TSE Ağ ve Sistem Altyapısı Sızma Testi Uzmanı, GPEN’den en az ikisine sahip olmak, kriterleri konulmuştur.
Kişisel Verileri Koruma

Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) yayınına göre (KVKK Yayını, ISBN : 978-975-19-6834-0, Ocak 2018, Ankara) güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi, bu sistemlerden gelen uyarılar üzerine harekete geçilmesi, bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılması gerekmektedir.
Yine söz konusu rehberde veri sorumlusu tarafından alınabilecek teknik tedbirler olarak “sızma testi” ifade edilmiştir.
Sermaye Piyasa Kurulu

Sermaye Piyasası Kurulunun Bilgi Sistemleri Yönetimi Tebliğine (VII-128.9) göre; kurum, kuruluş ve ortaklıkların bilgi sistemleri, bilgi güvenliği gereklerinin yerine getirilmesi hususunda herhangi bir görevi bulunmayan ve sızma testi konusunda ulusal veya uluslararası belgeye sahip gerçek veya tüzel kişiler tarafından en az yılda bir kez sızma testine tabi tutulur.
Ayrıca ilgili tebliğin Ek-1’i Bilgi Sistemleri Sızma Testleri Usul ve Esaslarını belirlemektedir. Buna göre; sızma testleri kapsamında gerçekleştirilecek testler asgari olarak aşağıdaki başlıkları kapsaması gerekmektedir:
- İletişim Altyapısı ve Aktif Cihazlar
- DNS Servisleri
- Etki Alanı ve Kullanıcı Bilgisayarları
- E-posta Servisleri
- Veri Tabanı Sistemleri
- Web Uygulamaları
- Mobil Uygulamalar
- Kablosuz Ağ Sistemleri
- Dağıtık Servis Dışı Bırakma Testleri
- Sosyal Mühendislik Testleri
Gelir İdaresi Başkanlığı

19 Kasım 2019’da yayınlanan e-Belge Özel Entegratörleri Bilgi Sistemleri Denetim Kılavuzu, GİB’den izin alan / alacak olan Özel Entegratör kuruluşlarını kapsamaktadır. Bu kılavuza göre sızma testi; kılavuzda tanımlanan varlıkları ve bilgi sistemlerinin genelini kapsayacak şekilde yaptırılır. Sızma testleri yılda en az bir kez olmak üzere tekrarlanır. Sızma testinde varsa tespit edilen açıklara ilişkin alınan tedbirleri, bir takvime bağlanmış eylem planı biçiminde özel entegratör tarafından kayıt altına alınır. Özel entegratör aşağıdaki liste kapsamda sızma testi yaptırır:
· Ağ ve İletişim Altyapısı Testleri
· İşletim Sistemi ve Platform Testleri
· Uygulama Testleri
· Veri Tabanı Testleri
· Web uygulamaları testleri
· Mobil uygulama testleri
Ulaştırma ve Altyapı Bakanlığı

21 Haziran 2017 tarihinde KamuNet Ağına Bağlanma ve KamuNet Ağının Denetimine İlişkin Usul ve Esaslar Hakkında Tebliğ yayınlanmıştır. Bu tebliğde yer aldığı üzere KamuNet’e dâhil edilecek ve dâhil olan kamu kurumlarının, KamuNet’in bağlı olduğu sistemler üzerinde sızma/penetrasyon testleri gerçekleştirerek tespit edilen açıklıkların giderilmesi için çalışmalar yapması gerekmektedir.
(Kaynak: https://www.resmigazete.gov.tr/eskiler/2017/06/20170621-15.htm)
ISO/IEC 27001

Ayrıca ISO/IEC 27001 sertifikasına sahip olma zorunluluğu bulunan kuruluşların standardın EK-A güvenlik kontrolleri bölümünde A.12.6.1 Teknik Açıklıkların Yönetimi kapsamında düzenli olarak sızma testi yaptırmaları veya bu kontrol gereğince kendi kaynakları ile düzenli olarak teknik açıklıkları tespit etmesi gereklidir.
Sızma testlerinin düzenli olarak yapılması, kuruluşların hassas bilgilerini korumak için büyük önem taşır. Mevzuatlara bakıldığında, özellikle enerji ve finans sektörlerindeki kuruluşların bu konuda daha dikkatli olmaları gerektiği vurgulanmaktadır. Yasal bir zorunluluk olmamasına rağmen, sızma testleri yaptırmak, kuruluşların güvenlik açıklarını tespit edip, uygun önlemleri alarak sistemlerini daha güvenli hale getirmeleri için önemli bir fırsattır.