Hazırlık (Preparation)
- Olay Müdahale Ekibi (SOME): Teknik uzmanlar, hukukçular, PR sorumluları ve üst yönetimden oluşan bir ekip kurulmalıdır.
- Olay Müdahale Planı: "Hangi saldırıda ne yapılacak?" sorusuna yanıt veren senaryolar (Playbook) hazırlanmalıdır.
- Yedekleme: Verilerin güncel ve sistemden bağımsız (off-site) yedekleri mutlaka bulunmalıdır.
Tespit ve Analiz (Identification)
- Anomali Tespiti: Log kayıtları, SIEM (Güvenlik Bilgileri ve Etkinlik Yönetimi) araçları ve IDS/IPS sistemleri incelenir.
- Kapsam Belirleme: Saldırının türü (Fidye yazılımı mı, DDoS mu, Sızıntı mı?) ve hangi sistemlerin etkilendiği netleştirilir.
Kontrol Altına Alma (Containment)
- İzolasyon: Etkilenen sunucular veya bilgisayarlar derhal ağdan ayrılır.
- Erişim Engelleme: Saldırganın kullandığı açık portlar kapatılır, şüpheli kullanıcı hesapları dondurulur.
- Yedeklerin Korunması: Saldırganın yedeklere ulaşması engellenir.
Tehdidin Ortadan Kaldırılması (Eradication)
- Zararlı Yazılım Temizliği: Virüs ve arka kapılar (backdoors) sistemden kazınır.
- Zafiyet Giderme: Saldırganın içeri sızmak için kullandığı açıklar (yama eksikliği vb.) kapatılır.
- Şifre Değişimi: Tüm kritik sistem şifreleri ve yetkili kullanıcı parolaları yenilenir.
İyileştirme ve Geri Yükleme (Recovery)
- Temiz Yedeklerden Dönme: Verilerin temiz olduğundan emin olunduktan sonra sistemler kademeli olarak ayağa kaldırılır.
- İzleme: Sistemler açıldıktan sonra, saldırganın geri dönüp dönmediği bir süre yakından takip edilir.
Ders Çıkarma (Lessons Learned)
- Kök Neden Analizi: "Bu neden oldu ve bir daha olmaması için ne yapmalıyız?" sorusu yanıtlanır.
- Raporlama: Mevzuat gereği (KVKK, USOM vb.) gerekli bildirimler yapılır.
- Plan Güncelleme: Mevcut kriz planı, yaşanan tecrübelere göre optimize edilir.
Kriz yönetimi, kriz anında değil, krizden çok önce başlar.
Gerçekten bir saldırı mı var yoksa teknik bir hata mı?
Saldırının yayılmasını durdurma aşamasıdır.
Saldırganın sistemdeki tüm izleri temizlenir.
Sistemlerin normal operasyonuna dönme sürecidir.
Kriz bittikten sonra yapılan en kritik aşamadır.
Sonuç
Kriz Anında Altın Kurallar:
- Soğukkanlı Olun: Panik, yanlış kararlara ve verinin tamamen kaybolmasına neden olabilir.
- Kritik Kanıtları Silmeyin: Sistemleri formatlamadan önce adli bilişim (forensics) için imaj alın.
- İletişimi Yönetin: Şeffaf olun. Paydaşlara ve müşterilere ne olduğu hakkında (hukuk ekibinin onayıyla) bilgi verin.
Önemli Not: Türkiye'de bir veri ihlali durumunda, ihlalin öğrenilmesinden itibaren en geç 72 saat içinde KVKK kuruluna bildirim yapılması yasal bir zorunluluktur.