(Dilerseniz bu yazıyı aşağıda podcast formatında dinleyebilirsiniz.)
ENISA’nın Raporuna Bir Bakış
Avrupa Birliği Siber Güvenlik Ajansı ENISA, siber dünyanın nabzını tutan ve merakla beklenen 2025 tehdit raporunu yayımladı. Söz konusu raporun İngilizce versiyonuna bu linkten ulaşabilirsiniz.
Yaklaşık beş bin siber olayın incelendiği bu çalışma, son bir yıllık süreçte siber tehditlerin nasıl kabuk değiştirdiğini ortaya koymaya çalışıyor. Rapor, siber güvenliğin şirketlerin itibarını, finansal yapısını ve hukuki sorumluluklarını doğrudan etkileyen devasa bir risk ve uyum yönetimi sorunu haline geldiğini gösteriyor.
Biz de bu yazımızda, ENISA’nın yayımladığı rapordaki önemli satırbaşlarını sizlere aktarmaya çalışacağız.
Rapor, güvenlik açıklıklarının tespit edildikten çok kısa süre sonra saldırganlarca kullanıldığı ve siber saldırganların izlerini kaybettirmek için çok daha karmaşık yollar izlediği bu yeni dönemde, şirketlerin Avrupa Birliği’nin NIS2 gibi yeni yasal düzenlemelerine uyum sağlamasının bir zorunluluk haline geldiğini ifade ediyor.
Rapora göre, siber suç ekosisteminde yaşanan en dikkat çekici değişimlerin başında fidye yazılımlarının geçirdiği evrim geliyor. Bulgular, kolluk kuvvetlerinin takibinden kaçmaya çalışan siber saldırganların, daha küçük ve dağınık gruplar halinde örgütlenmeye başladığını ve siber saldırıları adeta profesyonel bir hizmet sektörüne dönüştürdüğünü ifade ediyor. Kısacası, artık saldırganlar sadece dosyalarınızı şifreleyip para istemekle yetinmeyip, şirketleri ödeme yapmaya zorlamak için çok katmanlı ve agresif baskı taktikleri kullanılıyorlar. Örneğin raporda adı geçen Fog ve Qilin gibi bazı gruplar, mağdurları sindirmek için geri sayım sayaçları, örnek veri dosyalarının yayımlanması gibi yöntemlerle şirketler üzerinde baskı oluşturuyor. Qilin’in geliştirdiği “call lawyer” özelliği ise saldırganların hukuki bir yaptırım varmış algısı oluşturmasını sağlıyor; böylece şirket yöneticileri, resmi bir cezayla karşı karşıya kalacaklarını düşünerek hızlı karar vermeye zorlanıyor. Özellikle AB’de siber olay bildirim yükümlülükleri ve GDPR kapsamındaki veri ihlali riskleri, bu baskı taktiklerini daha da etkili hâle getiriyor ve şirketlerin fidyeyi ödeme eğilimini artırıyor. Ayrıca ClickFix adı verilen yeni bir yöntemle, kullanıcılara sahte hata mesajları gösterip sorunu çözmeleri için klavyede belli tuşlara basmalarını isteyerek zararlı yazılımı kendi elleriyle bilgisayarlarına kurduruyorlar.
Saldırıların hedefindeki sektörlere bakıldığında ise kamu kurumlarının açık ara önde olduğu görülüyor. Tüm saldırıların neredeyse %40’ı kamu yönetimini hedef alırken, bunu ulaştırma ve dijital hizmet sektörleri takip ediyor. Kamu kurumlarına yönelik bu yoğun ilginin temelinde ise çoğunlukla devletler arası gerilimler, jeopolitik rekabet ve siyasi motivasyonla hareket eden hacktivist grupların faaliyetleri yer alıyor. Özellikle Rusya-Ukrayna savaşı gibi jeopolitik krizler, siber saldırıları tetikleyen en büyük unsurlardan biri. Ulaştırma sektöründe havaalanları ve lojistik ağlara yapılan saldırılar ise küresel tedarik zincirlerinin ne kadar kırılgan olduğunu somut biçimde ortaya koyuyor. Bir havaalanının sisteminin devre dışı kalması veya büyük bir lojistik şirketinin verilerinin ele geçirilmesi, sadece o şirketi değil, o zincire bağlı binlerce işletmenin faaliyetlerini sekteye uğratarak domino etkisiyle küresel ticareti de olumsuz etkiliyor.
Rapora göre, teknoloji ne kadar ilerlerse ilerlesin, insan faktörü hala savunmanın en zayıf halkası olmaya devam ediyor. Saldırıların yüzde altmışı, çalışanları kandırmaya yönelik oltalama (phishing) girişimleriyle başlıyor. Ancak dolandırıcılar artık çok daha yaratıcı. E-postaların yerini, restoran menülerinden otopark ödemelerine kadar hayatımızın her yerine giren QR kodlar almaya başladı. Quishing denilen bu yöntemle, güvenli görünen bir QR kod, sizi saniyeler içinde tüm şifrelerinizi çalan bir siteye yönlendirebiliyor. Ancak tehdit bununla sınırlı değil. Yapay zekânın kötüye kullanımı, saldırıların boyutunu bambaşka bir seviyeye taşıyor. Saldırganlar artık yöneticilerin sesini veya görüntüsünü taklit eden deepfake içerikler üretiyor ve çalışanları bu yolla kandırıp şirket içinden para transferi dahi yaptırabiliyor. Ayrıca mobil cihazlara, özellikle de Android telefonlara yönelik casus yazılım saldırılarındaki artış, kurumsal verilerin sadece sunucular veya dizüstü bilgisayarlar üzerinden değil, cep telefonları üzerinden de büyük risk altında olduğunu gözler önüne seriyor.
Raporun altını çizdiği bir diğer kritik başlık ise hibrit tehditler ve bilgi manipülasyonu. Günümüzde siber saldırganlar sadece sistemleri hedef almakla yetinmiyor, aynı zamanda kurumlar hakkında kasıtlı olarak yayılan yanlış bilgiler, sahte belgeler ve manipülatif içeriklerle itibar suikastı yapıyorlar. “Yabancı bilgi manipülasyonu” olarak adlandırılan bu eylemlerde, devlet destekli bazı gruplar kendilerini bağımsız aktivistler gibi göstererek siyasi karışıklık yaratmayı veya kurumları zor durumda bırakmayı hedefliyor.
Bununla birlikte, raporda vurgulanan bir diğer önemli zafiyet alanı yazılım tedarik zinciri. Yazılımcıların güvenerek kullandığı açık kaynak kod paketlerinin içine gizlenen zararlı bileşenler veya masum görünen tarayıcı eklentilerine yerleştirilen kötü amaçlı yazılımlar, saldırganlara kurumların konumlandırdığı siber güvenlik çözümlerini içeriden devre dışı bırakma fırsatı sağlıyor. Bu durum, en güçlü savunma altyapılarına sahip kurumların bile, tedarik zincirindeki tek bir zayıf halka nedeniyle ciddi bir riskle karşı karşıya kalabileceğini gösteriyor.
ENISA’nın Raporundan Yapılacak Çıkarım
ENISA’nın 2025 raporu, siber tehditlerin artık dönemsel bir risk olmaktan çıkıp iş dünyasının korkulu rüyası haline dönüştüğünü açık biçimde ortaya koyuyor. Özellikle Avrupa Birliği ile ticari ilişkileri bulunan Türk şirketleri için siber güvenlik, rekabet gücünü korumanın ve iş sürekliliğini sağlamanın ayrılmaz bir parçası hâline gelmiş durumda. Bu tablo, yalnızca teknik önlemler almayı değil; tedarik zincirinin her halkasında güvenlik kontrollerinin yapılmasını, çalışanların yapay zekâ destekli dolandırıcılık yöntemlerine karşı bilinçlendirilmesini ve kurumsal reflekslerin sürekli güncellenmesini zorunlu kılıyor.
2025 Mart ayında yürürlüğe giren yeni Siber Güvenlik Kanunu ise bu dönüşümü hukuki bir zemine oturtuyor. Kanun, kritik altyapılar dâhil olmak üzere tüm işletmelere siber tehditlere karşı gerekli teknik ve idari önlemleri alma, olaylara hızlı müdahale edebilecek bir organizasyon yapısı kurma, veri ve sistem güvenliğini sürekli izleme ve düzenleyici kurumlarla uyum içinde hareket etme yükümlülüğü getiriyor. Bu düzenlemeler ışığında, siber güvenlik artık şirkete değer katan bir yatırım değil; hukuken zorunlu bir sorumluluk ve stratejik bir yönetim alanı.
Kısacası, ENISA raporu ve yeni yasal düzenlemeler birlikte değerlendirildiğinde, siber güvenlik alanında pasif kalmak bir seçenek olmaktan çıkmış durumda. Tehditlerin çeşitlendiği, saldırganların profesyonelleştiği ve regülasyonların sıkılaştığı bu yeni dönemde ayakta kalmanın yolu; proaktif savunma, bütünsel risk yönetimi ve sürekli uyum yaklaşımını benimsemekten geçmekte.
