Web Site Koruma ve Güvenlik
Web site koruma ve güvenlik; internet ortamında yayın yapan web uygulamalarını yetkisiz erişim, veri ihlali, DDoS saldırısı, zararlı kod enjeksiyonu ve içerik tahrifi gibi tehditlere karşı korumak amacıyla uygulanan teknik katmanlar, protokoller ve hukuki yükümlülükler bütünüdür. Türkiye hukuku açısından 5651 Sayılı Kanun, KVKK m.12, 7545 Sayılı Siber Güvenlik Kanunu ve TCK m.243-244 doğrudan uygulama alanı bulur. Bir güvenlik ihlalinin ardından dijital delillerin kriminalistik yöntemlerle korunması, hem tazminat davalarında hem ceza yargılamasında belirleyici rol oynar.
Web site güvenliği artık yalnızca bir yazılım meselesi değildir. Kişisel veri ihlali, içerik tahrifi ya da DDoS saldırısı yaşayan her işletme hem hukuki hem teknik hem de kriminalistik bir süreçle yüz yüze gelir. Bu sürecin doğru yönetilmesi, mahkeme delilinin geçerliliğini ve tazminat taleplerinin karşılanmasını doğrudan etkiler.
Türkiye’de web site güvenliği yalnızca teknik bir ihtiyaç olmanın ötesinde yasal bir zorunluluktur. KVKK m.12 uyarınca veri sorumluları kişisel verileri korumak için gerekli teknik tedbirleri almakla yükümlüdür; bu yükümlülüğü yerine getirmeyen sorumluya 1.000.000 TL’ye kadar idari para cezası uygulanabilir. 2025 yılında yürürlüğe giren 7545 Sayılı Siber Güvenlik Kanunu ise kritik altyapı işleticilerine bağlayıcı güvenlik standartları getirmiştir.
Web Site Güvenliğinin Hukuki Çerçevesi (Türkiye)
Rakip siteler yalnızca teknik güvenlik önlemlerini ele alır; ancak bir web site güvenlik ihlalinin Türkiye hukukundaki yaptırımlarını ve sorumluluklarını açıklamaz. Aşağıdaki tablo bu boşluğu doldurmaktadır.
| Yasal Düzenleme | Kapsam | Web Güvenliği Yükümlülüğü / Yaptırım |
|---|---|---|
| 5651 Sayılı Kanun | Yer sağlayıcı ve içerik sağlayıcı sorumlulukları | Trafik logları 1-2 yıl saklanmalı; hukuka aykırı içerik bildirimden itibaren 24-48 saat içinde kaldırılmalı |
| KVKK m.12 | Kişisel veri güvenliği teknik tedbirler | Veri ihlalinde 72 saat içinde KVKK bildirimi; ihlalde 100.000-1.000.000 TL idari para cezası |
| 7545 Siber Güvenlik Kanunu (2025) | Kritik altyapı ve kamu kurumları siber güvenlik zorunlulukları | BTK denetimi; standart dışı sistemler için kapatma ve cezai yaptırım |
| TCK m.243 | Bilişim sistemine yetkisiz erişim | 1 yıla kadar hapis; sistem içeriği değiştirilmişse 6 ay – 2 yıl hapis |
| TCK m.244 | Sistemi engelleme, bozma, veri yok etme | 1-5 yıl hapis; banka/kamu sistemi olması halinde 3-7 yıl hapis |
| TCK m.245A | Yasadışı cihaz/yazılım üretimi | 1-3 yıl hapis; saldırı aracı barındıran web sunucusu için sorumluluk |
| CMK m.134 | Dijital delil el koyma | Web sunucusu loglarına savcılık kararıyla el konulabilir; adli kopya zorunlu |
| HMK m.199-202 | Hukuk davasında dijital delil | Web log ve ekran görüntüleri hash ve zaman damgasıyla belgelenirse delil sayılır |
Web Güvenliği Tehdit Katmanları: OSI Modeli Perspektifi
Web saldırıları tek bir katmanda gerçekleşmez. Berqnet ve Fortinet gibi rakip içerikler tehditleri liste halinde sıralar; ancak hangi saldırının hangi OSI katmanında gerçekleştiğini ve bu katmana özgü koruma mekanizmasını açıklamaz. Bu bilgi, doğru güvenlik çözümünün seçiminde kritik öneme sahiptir.
| OSI Katmanı | Saldırı Türü | Koruma Mekanizması | Kriminalistik Delil Kaynağı |
|---|---|---|---|
| L3 — Ağ Katmanı | Volumetrik DDoS, IP spoofing, ICMP flood | BGP blackholing, CDN scrubbing, anycast dağıtımı | NetFlow/IPFIX akış kayıtları |
| L4 — Taşıma Katmanı | SYN flood, UDP flood, TCP state exhaustion | SYN cookie, rate limiting, stateful firewall | TCP oturum logları, güvenlik duvarı kayıtları |
| L6 — Sunum Katmanı | SSL/TLS açıklarından yararlanma (BEAST, POODLE, Heartbleed) | TLS 1.3 zorunluluğu, sertifika yönetimi, HSTS | SSL handshake kayıtları, sertifika zaman damgası |
| L7 — Uygulama Katmanı | SQL injection, XSS, CSRF, path traversal, API abuse | WAF (OWASP Core Rule Set), input validation, CSP header | WAF access log, uygulama hata logu, HTTP istek kaydı |
WAF, DDoS Koruması ve SSL/TLS: Teknik Karşılaştırma
Web site güvenliğinin üç temel teknik bileşeni sıklıkla birbirine karıştırılır. Aşağıdaki tablo, bu üç bileşeni karşılaştırmalı olarak ele almaktadır.
| Bileşen | Çalışma Katmanı | Koruduğu Tehdit | Güncel Standart | Yetersizliği |
|---|---|---|---|---|
| WAF (Web Application Firewall) | OSI L7 (Uygulama) | SQL injection, XSS, CSRF, OWASP Top 10 | OWASP CRS v4.x, PCI DSS 4.0 | Şifreli trafik içindeki saldırıları tek başına engelleyemez |
| DDoS Koruması | OSI L3-L4-L7 | Volumetrik saldırı, SYN flood, HTTP flood, DNS amplification | BGP flowspec, anycast scrubbing, >10 Tbps kapasite | Uygulamaya özgü saldırıları tespit edemez (WAF gerekir) |
| SSL/TLS Şifreleme | OSI L6 (Sunum) | İletim sırasında veri dinleme (man-in-the-middle) | TLS 1.3 (zorunlu); TLS 1.0-1.1 devre dışı bırakılmalı | Sunucu tarafındaki zafiyetleri engellemez |
| CDN (İçerik Dağıtım Ağı) | OSI L3-L7 | Kaynak IP gizleme, trafik dağıtımı, DDoS absorpsiyon | Anycast, edge caching, TLS offloading | Kaynak sunucu IP’si sızdırılırsa koruma devre dışı kalır |
| HSTS + CSP Header | OSI L7 | Protokol düşürme saldırısı, clickjacking, inline script injection | HSTS max-age ≥31536000; CSP strict-dynamic | Sunucu yapılandırma hatası varsa etkisiz |
SSL/TLS Sürüm Güvenlik Durumu (2025)
| Protokol Sürümü | Güvenlik Durumu | Gerekçe |
|---|---|---|
| TLS 1.3 | Zorunlu / Güvenli | Forward secrecy, 0-RTT, eski şifre paketleri kaldırıldı |
| TLS 1.2 | Kabul Edilebilir (geçiş dönemi) | GCM ve SHA-256 ile yapılandırılmışsa uyumlu; eski cipher suite’ler devre dışı bırakılmalı |
| TLS 1.1 | Kullanım Dışı — Yasaklı | POODLE saldırısına açık; PCI DSS 4.0 uyumsuz |
| TLS 1.0 | Kullanım Dışı — Yasaklı | BEAST saldırısına açık; PCI DSS 3.2.1 itibarıyla yasaklı |
| SSL 3.0 ve altı | Kritik Güvenlik Açığı | POODLE, DROWN; kesinlikle devre dışı bırakılmalı |
Siber Saldırı Sonrası Kriminalistik İnceleme Protokolü
Rakip içeriklerin hiçbirinin ele almadığı en kritik boyut budur: Web site saldırısının ardından kriminalistik dijital delil koruma ve adli inceleme süreci nasıl yürütülür? Bu sürecin doğru işletilmemesi hem ceza hem tazminat davasını temelden zayıflatır.
-
Sistem İzolasyonu ve Anlık Durum TespitiSaldırıya uğrayan sistem şüpheli bağlantılardan kesilir; ancak kapatılmaz. RAM içeriği (volatile memory) ve aktif ağ bağlantıları anlık olarak görüntülenerek kayıt altına alınır. Kapatma, bellekteki geçici delilleri kalıcı olarak siler.
-
Adli Kopya ve Hash DoğrulamaWrite-blocker (Tableau T35es veya muadili) ile disk ve log dosyalarının adli kopyası alınır. MD5 + SHA-256 çift hash değerleri hesaplanarak zaman damgası (RFC 3161) ile belgelenir. Bu adım, delilin bütünlüğünü mahkemede ispat eder.
-
Log Analizi ve Saldırı İzi TespitiWAF access logları, Apache/Nginx error logları, işletim sistemi auth logları ve güvenlik duvarı kayıtları analiz edilir. Saldırganın ilk erişim zamanı, kullandığı IP adresleri, payload içeriği ve eriştiği dosyalar tespit edilir. Log manipülasyonu varsa, timestamp tutarsızlıkları ve silinmiş satırlar forensic araçlarla (Autopsy, FTK) gün yüzüne çıkarılır.
-
Saldırı Atfı (Attribution) ve IOC ÇıkarımıSaldırıda kullanılan IP adresleri, user-agent string’leri, saldırı desenleri ve zararlı yazılım imzaları karşılaştırmalı olarak değerlendirilir. Tor çıkış düğümleri, VPN aralıkları ve botnet altyapısı tespit edilirse WHOIS, ASN ve abuse kayıtlarına başvurulur.
-
Etki Tespiti ve KVKK DeğerlendirmesiSaldırının kapsamı belirlenir: hangi veriler erişildi, hangi dosyalar değiştirildi, veri dışarı çıkarıldı mı? Kişisel veri ihlali tespit edilirse KVKK m.12 kapsamında 72 saatlik bildirim yükümlülüğü değerlendirilir.
-
Bilirkişi Raporunun HazırlanmasıTüm bulgular; kriminalistik metodoloji, hash değerleri, log örnekleri, zaman çizelgesi ve hukuki nitelendirmeyle birlikte mahkemeye sunulabilir formatta belgelenir. Rapor HMK m.293 (uzman mütalaası) kapsamında dosyaya eklenebilir.
OWASP Top 10 ve Türkiye Hukuku: Kriminalistik Boyut
OWASP (Open Web Application Security Project) yayımladığı “Top 10” listesiyle web uygulamalarının en kritik güvenlik açıklarını periyodik olarak belgelemektedir. Bu açıkların her biri, Türk hukukunda karşılığı bulunan suç ve sorumluluk boyutları taşır.
| OWASP Açığı | Teknik Açıklama | TCK/KVKK Karşılığı | Forensik Delil |
|---|---|---|---|
| SQL Injection (A03) | Veritabanı sorgusuna zararlı kod enjeksiyonu ile veri çalınması | TCK m.244 (veri ihlali), KVKK m.12 ihlali | DB sorgu logları, WAF engelleme kaydı |
| XSS — Cross-Site Scripting (A03) | Kullanıcı tarayıcısına zararlı script enjeksiyonu | TCK m.243 (sisteme yetkisiz erişim aracı) | HTTP response içeriği, browser console log |
| Broken Access Control (A01) | Yetkisiz kullanıcının kısıtlı alanlara erişimi | TCK m.243 (yetkisiz erişim) | Session token kaydı, erişim logları |
| Cryptographic Failures (A02) | Zayıf şifreleme ile kişisel veri ifşası | KVKK m.12 (yetersiz teknik tedbir) | TLS yapılandırma kaydı, şifre analiz raporu |
| Security Misconfiguration (A05) | Hatalı sunucu yapılandırması; gereksiz portlar, varsayılan şifreler | KVKK m.12; TCK m.244 (ihmalden doğan sorumluluk) | Güvenlik denetim raporu, port tarama kaydı |
Hizmet Alanları
Web Sitesi Saldırısı Sonrası Adli İnceleme ve Delil Koruma
Bir web sitesine gerçekleştirilen yetkisiz erişim, içerik tahrifi (defacement), veri sızıntısı veya DDoS saldırısı sonrasında dijital delillerin kriminalistik yöntemlerle korunması ve belgelenmesi hizmetidir. Write-blocker ile alınan adli kopya, SHA-256 hash doğrulama, log analizi ve saldırı atfı (attribution) aşamalarından oluşur. Tazminat davası, sigorta başvurusu veya ceza şikayeti için mahkemeye sunulabilir bilirkişi raporu hazırlanır.
WAF Log ve Erişim Kaydı Analizi
Web Application Firewall (WAF) kayıtlarının kriminalistik analizi; saldırı tipini (SQL injection, XSS, path traversal), saldırının gerçekleştiği tam zamanı, kullanılan IP adresleri ve payload içeriğini belgeler. WAF loglarının manipüle edilip edilmediği de timestamp tutarlılık analizi ile tespit edilebilir. Bu analiz özellikle ticari itibar tazminat davalarında ve sigorta uyuşmazlıklarında belirleyici delil niteliği taşır.
KVKK Veri İhlali Kriminalistik Tespiti ve Bildirim Desteği
Web sitesi üzerinden kişisel veri ihlali gerçekleşmesi halinde; hangi verilerin etkilendiğinin tespiti, ihlal zamanının belirlenmesi ve KVKK m.12 kapsamında 72 saatlik bildirim yükümlülüğünü destekleyen teknik bulgular raporlanır. Kişisel Verileri Koruma Kurumu’na yapılacak ihlal bildirimi için gerekli teknik dokümanlar kriminalistik metodoloji ile hazırlanır.
İçerik Tahrifi (Defacement) ve Zararlı Yazılım Tespiti
Web sitesi içeriğinin yetkisiz olarak değiştirilmesi (defacement) veya zararlı yazılım (malware, web shell, cryptominer) yerleştirilmesi durumunda kriminalistik inceleme; değiştirilen dosyaların orijinal ile karşılaştırılması, web shell lokasyonunun tespiti, backdoor erişim zaman çizelgesinin çıkarılması ve TCK m.244 kapsamında suç duyurusu için gerekli teknik belgelemenin hazırlanmasını kapsar.
Web Güvenliği Uzman Mütalaası (Hukuki Süreçler İçin)
Siber güvenlik ihlali nedeniyle taraf olunan davalarda; teknik bulguların hukuki anlamda değerlendirilmesi, karşı tarafın sunduğu teknik raporun incelenmesi ve HMK m.293 kapsamında bağımsız uzman mütalaası hazırlanması hizmetidir. Sigorta şirketleri, kamu kurumları, hukuk büroları ve özel şirketler için İstanbul merkezli hizmet sunulmaktadır.
Sık Sorulan Sorular
Web site güvenliği nedir?
Web site güvenliği; internet ortamında yayın yapan web uygulamalarını yetkisiz erişim, veri ihlali, DDoS saldırısı, zararlı kod enjeksiyonu ve içerik tahrifi gibi tehditlere karşı korumak amacıyla uygulanan teknik ve hukuki önlemler bütünüdür. Teknik boyutuyla WAF, DDoS koruması, SSL/TLS ve erişim kontrolü katmanlarını kapsar. Hukuki boyutuyla Türkiye’de 5651 Sayılı Kanun, KVKK m.12, 7545 Sayılı Siber Güvenlik Kanunu ve TCK m.243-244 doğrudan uygulama alanı bulur.
Web siteme saldırı olduğunda ne yapmalıyım?
Öncelikle sistemi izole edin; ancak kapatmayın. RAM içeriği ve aktif bağlantılar kaybolmadan belgelenmeli, sunucu logları otomatik silinmeden yedeklenmelidir. Kişisel veri ihlali varsa KVKK kapsamında 72 saat içinde KVKK Kurumu’na bildirim zorunludur. Ceza şikayeti ya da tazminat davası yoluna gidilecekse write-blocker ile adli kopya alınmalı ve SHA-256 hash değerleri kayıt altına alınmalıdır. Bu süreçleri kendi başınıza yönetmek delil değerini ciddi ölçüde zayıflatabilir; adli bilişim bilirkişisinden destek almanız önerilir.
WAF nedir, neden geleneksel firewall yetmez?
WAF (Web Application Firewall), HTTP/HTTPS trafiğini OSI L7 uygulama katmanında analiz ederek SQL injection, XSS, CSRF ve path traversal gibi web saldırılarını engeller. Geleneksel güvenlik duvarı ise OSI L3-L4 ağ katmanında yalnızca IP adresi ve port numarası bazlı filtreleme yapar; uygulama katmanındaki zararlı istekleri göremez. Web uygulamalarını korumak için WAF şarttır; geleneksel firewall tek başına yetersizdir. Örneğin SQL injection saldırısı 443 numaralı port (HTTPS) üzerinden gelir ve firewall tarafından meşru trafik olarak geçirilir.
KVKK web güvenliği ihlalinde ne gerektirir?
KVKK m.12 uyarınca veri sorumlusu, kişisel verileri yetkisiz erişime karşı korumak için gerekli teknik ve idari tedbirleri almakla yükümlüdür. Bu tedbirler; SSL/TLS şifreleme, WAF koruması, erişim kontrolü ve güvenlik açığı tarama testlerini kapsar. Bir siber saldırı sonucunda kişisel veri ihlali gerçekleşirse veri sorumlusu, ihlali öğrenmesinden itibaren 72 saat içinde KVKK Kurumu’na bildirmek zorundadır. Bildirimi yapmayan ya da gerekli güvenlik tedbirlerini almayan veri sorumlusuna 1.000.000 TL’ye kadar idari para cezası uygulanabilir.
Web güvenliği bilirkişi raporu hangi davalarda kullanılır?
Web site güvenliği bilirkişi raporu; siber saldırı nedeniyle uğranılan maddi ve manevi tazminat davalarında, KVKK ihlali nedeniyle Kurum önündeki uyuşmazlıklarda, web sitesi içerik tahrifi nedeniyle açılan ceza davalarında (TCK m.243-244), sigorta şirketleriyle yaşanan siber risk tazminat uyuşmazlıklarında ve kamu ihalelerinde güvenlik tedbirlerinin yeterliliğinin teknik ispatlanması gereken süreçlerde kullanılır. HMK m.293 (uzman mütalaası) kapsamında mahkeme dosyasına sunulabilir.
Web Site Güvenliği Uzman Mütalaası ve siber saldırı sonrası dijital delil incelemesi için Aslan Kriminal Bilişim ile iletişime geçebilirsiniz.
Web Site Güvenliği İncelemesi ve Uzman Mütalaası
Siber saldırı sonrası kriminalistik inceleme, WAF log analizi, KVKK veri ihlali tespiti ve mahkemeye sunulabilir bilirkişi raporu için İstanbul merkezli uzman ekibimizle iletişime geçin.