Siber İstihbarat Hizmeti
Siber istihbarat; bir kuruma veya bireye zarar verme olasılığı olan dijital tehditlerin önceden tespit edilmesi, analiz edilmesi ve eyleme dönüştürülebilir rapor olarak sunulması faaliyetidir. OSINT (açık kaynak istihbaratı), HUMINT (insan istihbaratı), teknik istihbarat, dark web ve deep web izleme kaynaklarından derlenen veriler; saldırı niyeti, tehdit aktörü profili ve savunmasız noktalar hakkında proaktif uyarı üretir. Siber istihbarat; bilgi güvenliğinin ötesinde hukuki süreçlerde dijital iz takibi, fail tespiti ve mahkemeye sunulabilir adli analiz bağlamında da kullanılır.
Konvansiyonel güvenlik önlemleri — güvenlik duvarı, antivirüs, DLP — yalnızca başlamış bir saldırıya tepki verebilen reaktif araçlardır. Siber istihbarat ise bundan farklı olarak tehdidi gerçekleşmeden önce tespit eder. Saldırgan henüz hareket hazırlığındayken; kullandığı araçlar, hedef seçim kriterleri ve saldırı vektörleri analiz edilerek savunma stratejisi önceden yapılandırılır. Bu proaktif yaklaşım, kurumsal güvenlik maliyetini düşürürken itibar kaybı ve veri sızıntısı riskini köklü biçimde azaltır.
Rakip bürolarda “tehditler hakkında bilgi toplamak” düzeyinde kalan siber istihbarat tanımının çok ötesinde; gerçek anlamda siber istihbarat hizmeti CTI döngüsü (planlama → toplama → işleme → analiz → yaygılaştırma → geri besleme), IOC/TTP/TTX takibi, tehdit aktörü profili çıkarma ve hukuki delil kalitesinde raporlama disiplinlerini bütünleşik biçimde yönetmeyi gerektirir.
Siber İstihbaratın Hukuki ve Kurumsal Çerçevesi
Türkiye’de siber istihbarat ve siber suçlarla ilgili hukuki zemin birden fazla kanunla düzenlenmiştir. Özellikle 2025 yılında yürürlüğe giren 7545 Sayılı Siber Güvenlik Kanunu bu alanı kapsamlı biçimde çerçevelemektedir.
| Yasal Düzenleme | Madde / Kapsam | Pratik Sonuç |
|---|---|---|
| 7545 Sayılı Siber Güvenlik Kanunu (2025) | Tüm maddeler | Kamu, kritik altyapı ve özel sektör için siber güvenlik yükümlülükleri; USOM koordinasyonu |
| Türk Ceza Kanunu | TCK Md. 243 | Bilişim sistemine yetkisiz giriş: 1 yıla kadar hapis veya adli para cezası |
| Türk Ceza Kanunu | TCK Md. 244 | Sistemi engelleme, veri yok etme/değiştirme: 1–5 yıl hapis (banka/kamu: artırımlı) |
| Türk Ceza Kanunu | TCK Md. 245 | Banka/kredi kartı kötüye kullanımı: 3–6 yıl hapis + 5.000 güne kadar adli para cezası |
| Türk Ceza Kanunu | TCK Md. 245/A | Yasak cihaz/program üretimi ve bulundurma: 1–3 yıl hapis + adli para cezası |
| Türk Ceza Kanunu | TCK Md. 135–138 | Kişisel verilerin kaydedilmesi, ifşası ve yok edilmemesi |
| 5651 Sayılı Kanun | Md. 2, 8, 9 | İnternet içerik ve erişim kayıtları; içerik kaldırma ve erişim engeli |
| 6698 Sayılı KVKK | Md. 12, 18 | Kişisel veri güvenliği ihlali bildirimi; idari para cezaları |
| CMK | Md. 134–138 | Dijital sistemlerde arama, el koyma ve iletişim denetimi |
Siber İstihbarat Türleri: Stratejik, Operasyonel, Taktik ve Teknik
Rakip sitelerde tek bir tanımla geçiştirilen istihbarat sınıflandırması, farklı karar vericilere farklı bilgi üretir. Bu ayrımın anlaşılması doğru hizmet seçiminin temelidir.
| İstihbarat Türü | Odak Noktası | Hedef Kitle | Çıktı Örneği |
|---|---|---|---|
| Stratejik İstihbarat | Tehdit aktörlerinin niyet, motivasyon ve uzun vadeli hedefleri | Üst yönetim, CISO, yönetim kurulu | Sektöre özgü tehdit aktörü profil raporu |
| Operasyonel İstihbarat | Planlanan ya da devam eden saldırıların TTP (Taktik, Teknik ve Prosedür) detayları | SOC ekibi, olay müdahale ekibi | Yakın vadeli saldırı senaryosu ve MITRE ATT&CK eşlemesi |
| Taktik İstihbarat | Saldırganların kullandığı metodoloji, araçlar ve altyapı | Güvenlik analistleri, mavi takım | Kullanılan C2 sunucusu, zararlı yazılım ailesi, IP aralığı |
| Teknik İstihbarat | IOC (Indicator of Compromise) — IP, domain, hash, URL, imza | Güvenlik araçları, SIEM, firewall kuralları | Bloklanacak IP/domain listesi, YARA kuralı, Sigma kuralı |
İstihbarat Kaynakları: OSINT, HUMINT ve Teknik İstihbarat
Siber istihbarat tek bir kaynaktan beslenmez. Güvenilir analiz için birden fazla istihbarat kaynağının çapraz doğrulaması zorunludur.
| Kaynak Türü | Açılımı | Kapsadığı Alan | Kriminalistik Kullanımı |
|---|---|---|---|
| OSINT | Open Source Intelligence — Açık Kaynak İstihbaratı | Sosyal medya, haber kaynakları, WHOIS, Shodan, Censys, pasif DNS | Fail dijital ayak izi tespiti; domain/IP geçmişi; sosyal mühendislik profili |
| HUMINT | Human Intelligence — İnsan İstihbaratı | Yeraltı forum kayıtları, tehdit aktörü iletişimi, sızdırılmış veri satış duyuruları | Saldırı planlaması erken tespiti; içeriden tehdit analizi |
| TECHINT | Technical Intelligence — Teknik İstihbarat | Zararlı yazılım analizi (malware sandbox), ağ trafiği imzaları, C2 altyapısı | Zararlı yazılım atıfı; tehdit aktörü altyapı haritalama |
| SIGINT | Signals Intelligence — Sinyal İstihbaratı | Ağ trafiği analizi, iletişim metadata’sı, şifreli kanal tespiti | Yetkisiz ağ iletişimi tespiti; anomali bazlı tehdit tespiti |
| Dark Web / Deep Web | İndekslenmeyen ve Tor tabanlı ağ kaynakları | Yeraltı pazar yerleri, sızdırılmış veri, saldırı hizmeti satışları | Kurum verilerinin karanlık ağda varlık kontrolü; kimlik bilgisi ifşası tespiti |
CTI Döngüsü: Siber Tehdit İstihbaratının 6 Aşaması
Siber istihbarat; veri toplamaktan ibaret değil, ham verinin eyleme dönüştürülmesi disiplinidir. Rakip sitelerin hiçbirinde yer almayan CTI döngüsü, profesyonel istihbarat sürecinin bel kemiğini oluşturur.
-
Planlama ve YönlendirmeKurumun hangi varlıklarının korunması gerektiği, hangi tehdit aktörlerinin önceliklendirildiği ve hangi sorulara yanıt arandığı belirlenir. Hatalı soru tanımı tüm istihbarat sürecini işlevsiz kılar.
-
ToplamaOSINT, HUMINT, TECHINT ve dark web kaynaklarından veri derlenir. Ham veri kalabalık, çelişkili ve yanıltıcı parçalar içerebilir; bu nedenle kaynak güvenilirliği ve bilgi geçerliliği değerlendirmesi bu aşamada kritiktir.
-
İşlemeHam veri normalize edilir, tekrar edenler ayıklanır ve analiz edilebilir formata dönüştürülür. IOC’ler (IP, domain, hash, URL) yapılandırılmış veri tabanına aktarılır; MITRE ATT&CK çerçevesiyle eşlenir.
-
Analizİşlenmiş veri yorumlanır: Saldırgan kim? Neyi hedefliyor? Hangi TTP’leri kullanıyor? Atıf (attribution) analizi yapılır; saldırı senaryoları olasılıksal olarak değerlendirilir.
-
YaygılaştırmaAnaliz sonuçları hedef kitleye uygun formatta raporlanır: Üst yönetim için yönetici özeti, SOC için teknik IOC beslemesi, hukuki süreç için adli analiz raporu.
-
Geri BeslemeRaporun etkinliği ve soruların yanıtlanıp yanıtlanmadığı değerlendirilir. Döngü sürekli yenilenir; tehdit ortamı değiştikçe istihbarat süreci de güncellenir.
Siber İstihbaratın Kriminalistik Boyutu: Dijital İz Takibi ve Fail Tespiti
Aslan Kriminal’in siber istihbarat yaklaşımı, kurumsal güvenlik danışmanlığının ötesinde hukuki süreçlerde kullanılabilir dijital adli analizi de kapsar. Saldırganın kimliğini, kullandığı altyapıyı ve eylem sırasını mahkemede geçerli biçimde ortaya koymak, teknik istihbarat ile adli bilişimin kesişim noktasında gerçekleşir.
| Kriminalistik Kullanım | Uygulanan Teknik | Hukuki Çıktı |
|---|---|---|
| Siber Saldırı Kaynağı Tespiti | IP log analizi, CGNAT eşleştirme, VPN/proxy zinciri çözme, BGP rotası analizi | Fail tespitine katkıda bulunan teknik mütalaa |
| Zararlı Yazılım Atfı | Malware sandbox analizi, kod benzerlik analizi, C2 altyapısı haritalama, dil ve derleme ortamı tespiti | Saldırı grubuna atıf raporu; TCK 244 kapsamında suç kanıtı |
| Veri Sızıntısı Tespiti ve Delillendirmesi | Dark web tarama, sızdırılan verinin özgünlük analizi, exfiltration izinin log’da tespiti | KVKK ihlali bildirim belgesi; tazminat davasında delil paketi |
| Sosyal Mühendislik ve Kimlik Avı Analizi | Phishing domain WHOIS geçmişi, e-posta başlık analizi, sahte sayfa bağlantı ağı tespiti | TCK 157–158 dolandırıcılık suçlamasında dijital delil |
| İçeriden Tehdit Analizi | UEBA davranış analizi, DLP log korelasyonu, USB ve bulut transfer kayıtları | İş akdi ihlali veya ticari sır çalınması davalarında delil paketi |
Siber İstihbarat Hizmetinin Uygulama Alanları
Kurumsal Tehdit İzleme ve Dark Web Tarama
Kurumun marka adı, alan adı, çalışan e-posta uzantısı ve kritik sistem IP aralıklarının dark web ve yeraltı forum pazarlarında izlenmesi; sızdırılmış kimlik bilgisi, satışa çıkarılan erişim yetkisi veya planlanan saldırı duyurularının erken tespitini sağlar. Bu proaktif izleme, bir ihlal gerçekleşmeden önce müdahale penceresini açar.
Siber Suç Soruşturması Desteği
TCK 243–245 kapsamındaki bilişim suçlarında; saldırganın kullandığı altyapının haritalanması, IP atıf analizi, zararlı yazılım kaynak analizi ve dijital iz takibi hem savcılık soruşturmasına hem de savunma stratejisine teknik katkı sağlar. Adli bilişim delili ile siber istihbarat bulgusu birlikte sunulduğunda hukuki ağırlık önemli ölçüde artar.
Rakip ve Hedefli Saldırı İstihbaratı
Belirli bir kuruma, sektöre veya bireye yönelik hazırlık aşamasındaki saldırıların tespiti; tehdit aktörünün hedef seçim kriterlerinin ve kullandığı ilk erişim vektörlerinin önceden bilinmesiyle mümkündür. Bu bilgi, savunma önceliklerini gerçek tehdit profiline göre yapılandırmayı sağlar.
Kimlik ve İtibar Koruma
Sosyal medya hesabı ele geçirilmesi, kimlik taklidi (impersonation), sahte profil ve deepfake içerik kullanımı giderek yaygınlaşmaktadır. Dijital kimlik izleme ve itibar analizi hizmeti; sahte hesapların ve içeriklerin erken tespitini, delillendirmesini ve ilgili platformlara kaldırma başvurusunu kapsar.
Olay Sonrası Kök Neden Analizi
Bir siber saldırı yaşandıktan sonra; saldırının hangi vektörden başladığı, ne kadar süre fark edilmeden devam ettiği, hangi verilerin etkilendiği ve saldırganın kullandığı kalıcılık mekanizmaları (persistence) adli bilişim ve siber istihbarat ortak analiziyle belirlenir. Bu kök neden raporu hem KVKK bildirim yükümlülüğünü hem de sigorta hasar sürecini destekler.
Sık Sorulan Sorular
Siber istihbarat nedir?
Siber istihbarat; bir kuruma veya bireye yönelik dijital tehditleri gerçekleşmeden önce tespit etmeyi, analiz etmeyi ve eyleme dönüştürülebilir rapor olarak sunmayı amaçlayan disiplindir. OSINT (açık kaynak), HUMINT (insan kaynakları), teknik istihbarat ve dark web izleme gibi farklı kaynaklardan beslenir. Saldırganın niyet, yetenek ve fırsatlarını önceden anlamak; kurumun savunma stratejisini gerçek tehdit profiline göre yapılandırmasını sağlar. Siber tehdit istihbaratı (CTI), daha geniş kapsamlı siber istihbaratın özelleşmiş bir alt alanıdır.
Siber polise nasıl ulaşabilirim?
Türkiye’de siber suçlar için başvurulabilecek resmi kanallar şunlardır: Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Daire Başkanlığı — 155 polis imdat hattı veya egm.gov.tr/siber adresi üzerinden başvurabilirsiniz. Jandarma sorumluluk bölgeleri için 156 hattı ya da jandarma.gov.tr/siber adresi kullanılır. Doğrudan Cumhuriyet Savcılığı‘na suç duyurusunda bulunmak da mümkündür; avukatınız aracılığıyla yapılan başvuru sürecin daha hızlı ve doğru ilerlemesini sağlar. Başvuru öncesinde dijital delilleri (ekran görüntüsü, log, URL, tarih-saat) korumaya almak önemlidir; bu deliller olmadan soruşturma başlatılması güçleşir.
Siber suç para cezası ne kadar?
Türk Ceza Kanunu’nda siber suçlar için öngörülen cezalar suçun niteliğine göre farklılaşır: TCK 243 (bilişim sistemine yetkisiz giriş): 1 yıla kadar hapis veya adli para cezası; veri değişikliğine yol açarsa 6 ay–2 yıl hapis. TCK 244 (sistemi engelleme, veri yok etme): 1–5 yıl hapis; banka veya kamu kurumuna yönelikse ceza yarı oranında artırılır; haksız çıkar sağlanmışsa 2–6 yıl hapis + 5.000 güne kadar adli para cezası. TCK 245 (banka/kredi kartı kötüye kullanımı): 3–6 yıl hapis + 5.000 güne kadar adli para cezası; sahte kart kullanımında 4–8 yıl hapis. Adli para cezası günlük 20–100 TL arasında belirlenen gün sayısı çarpımıyla hesaplanır. Cezalar; fiili ağırlık, mağdur sayısı ve kurumsal hedef olup olmadığına göre değişir.
Siber istihbarat ile adli bilişim arasındaki fark nedir?
Siber istihbarat proaktiftir: Tehdit gerçekleşmeden önce saldırgan niyetini, araçlarını ve zayıf noktaları tespit eder. Adli bilişim reaktiftir: Bir olay yaşandıktan sonra dijital izler incelenerek olayın nasıl gerçekleştiği ve failin kim olduğu belirlenir. Bir siber saldırı davasında en güçlü delil paketi, adli bilişim bulgularıyla siber istihbarat analizinin birleştirilmesiyle oluşur.
KVKK kapsamında veri ihlali bildirimi yapılmazsa ne olur?
6698 Sayılı KVKK’nın 12. maddesi uyarınca kişisel veri ihlalinin öğrenilmesinden itibaren 72 saat içinde Kişisel Verileri Koruma Kurumu’na bildirim yapılması zorunludur. Bu yükümlülüğün yerine getirilmemesi halinde KVKK 18. maddesi kapsamında 40.000 TL ile 1.000.000 TL arasında idari para cezası uygulanabilir. Siber istihbarat ve adli bilişim bulguları, ihlal bildiriminin içeriğini ve savunma pozisyonunu doğrudan şekillendirir.
Siber İstihbarat ve Dijital Adli Analiz için Aslan Kriminal
Dark web izleme, OSINT analizi, siber saldırı kök neden tespiti veya siber suç davalarında dijital iz takibi konularında mahkemeye sunulabilir kriminalistik rapor için İstanbul merkezli uzman ekibimizle iletişime geçin.