Bilişim Evreni Sızma testine kim yapmalı? Sızma teslerini kime yaptırmalıyız? Sızma testi için TSE onayı şart mı? gibi sorularla karşı karşıyaysanız sektörün gerçeklerinden biraz bahsetmemiz gerekiyor. Çünkü onca güvenlik önlemine rağmen kamu kurumlarından özel sektöre kadar birçok ihlalin yaşanması bir sorunun varlığını da ortaya koyuyor.
Sızma Testi Nedir?
Siber güvenlikte sızma testleri, kurumların bilgi sistemlerindeki zafiyetleri tespit etmek ve olası saldırılara karşı önlem almak amacıyla yetkin uzmanlar tarafından gerçekleştirilmelidir. Sızma testini kimlere yaptırmalıyım sorusu son zamanların en çok sorulan sorularından birisi ve özel şirketler için bu testleri yapacak kişilerin, siber güvenlik konusunda derin teknik ve yönetsel bilgi ve tecrübeye ayrıca etik kurallara uygun çalışma disiplinine sahip olması yeterlidir. Bununla beraber belirli sertifiakalar test yetkinlik düzeyini belirlemektedir.
Sızma Testi Yaptırmak Zorunlu Mu?
Sızma testi yaptırmak belirli sektörlerde kanuni olarak zounlu tutulmuştur. Bu sektörleri kısaca yazmak gerekirse;
BTK denetimine tabi kuruluşlar, ISO/IEC 27001 sertifikası ile birlikte yılda en az bir kez sızma testi yaptırmak ve zayıflıkları düzeltmek zorundadır.
BDDK, bankalar ve finansal kuruluşlar için yılda en az bir kere kapsamlı sızma testi zorunlu kılar.
SPK, sermaye piyasası kurumlarının da aynı şekilde sızma testi yaptırmasını şart koşar; test sonuçlarının SPK’ya raporlanması mecburidir.
PCI DSS standardı gereği, ödeme kartı verisi işleyen kurumlar yılda en az bir kere test yaptırmalıdır. Ayrıca BDDK ve SPK’nın ilgili Tebliğleri bunu zorunlu kılar.
EPDK, 16 Temmuz 2023 tarihli Yönetmeliğiyle, kritik enerji altyapıları için düzenli “güvenlik analiz ve testleri” (sızma testleri dahil) yapılmasını şart koşar.
Telekom operatörlerine yönelik “Şebeke ve Bilgi Güvenliği Yönetmeliği” ile hem şebeke hem de bilgi sistemlerinde sızma testleri uygulanmalıdır.
Devlet kurumlarında ISO 27001 tabanlı bilgi güvenliği altyapıları ve sızma testleri, Cumhurbaşkanlığı Genelgesi (24.07.2020) ile şart koşulmuştur.
Ulaştırma ve Altyapı Bakanlığı‘na bağlı KamuNet üyesi kurumlar, düzenli pentestler yapmak zorundadır.
6698 sayılı Kişisel Verilerin Korunması Kanunu, kritik veri işleyen kuruluşlarda veri güvenliği için sızma testlerini zorunlu tutar.
29 Haziran 2022’de yayımlanan yönetmelik, kamu ihalelerinde “Sızma Testi Yetki Belgesi” gerektirir.
Hatırlatmak gerekir ki, sızma testi belirli regülasyonlar çerçevesinde belirli süreler aralığında yapılması zorunlu olsada, düzenli ve sürekli olarak siber güvenlik testleri yapılmalı ve önlemleri sürekli aktif bir şekilde alınmalıdır. Bu konu bazı kurum ve kuruluşlar tarafından yanlış anlaşılmakta ve senede bir kez yapılarak güvenlik önlemlerinin alındığı düşünülmektedir. Güvenlik önlemleri 7/24 aktif olarak çalışması ve bunların kontrolünün yapılması gerekir. Bu sebeple çeşitli güvenlik testleri her zaman yapılmalıdır.
Sızma Testi İçin Sertifika Zorunlu Mu?
Sızma testi alanında geçerli ve saygın sertifikalar arasında OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker), GIAC sertifikaları (GPEN, GWAPT) ve LPT (Licensed Penetration Tester) öne çıkmaktadır. Ayrıca ülkemizde TSE’nin Sızma Testi Uzmanı Sertifikası bulunmaktadır.
Bu sertifikaların yanında Türkiye’de belirli sektörlerde zorunlu kılınmış olması ve nitelikli bilgi güvenliği/siber güvenliği uzmanı kriterlerine haiz olunması şartı aranması sebebiyle Bilgi Sistemleri Denetim Lisansı da ön plana çıkmaktadır.
Sızma Testi Firması İçin TSE Onayı Zorunlu Mu
Özel sektör için herhangi bir belge veya onay zorunluluğu yoktur, sızma testi yapan kişi yada şirketlerin niteliği önemlidir. Kısaca, kamu ve bazı regüle sektörler dışında TSE onayı zorunlu değildir. Ancak kamu projeleri ve bazı regüle sektörlerde fiilen zorunluluk haline gelmiştir. Örneğin, Kamu kurumlarına sızma testi hizmeti verecek firmalar, genellikle TSE Sızma Testi Hizmet Yeterlilik Belgesi’ne sahip olmalıdır.
Buna karşın finans sektöründe SPK lisansı veya CISA belgeleri zorunludur. Ayrıca finans kuruluşarında da TSE onaylı sızma testi firmaları/kişilerinin testleri geçersizdir.
Bunlarla birlikte zorunlu sızma testleri dışında yapılan sızma testleri içinde herhangi bir zorunluluk yoktur. Kanunen belirtilen sızma testi dışında, alternatif sızma testleri ya da diğer güvenlik testleri, kanundan ve zorunluluktan bağımsız olarak yaptırabilir.
Türkiye’de Öne Çıkan Sızma Testi Sertifikası
Türkiye’de finans sektöründe bilgi sistemleri denetimini gerçekleştirebilmek için Sermaye Piyasası Lisansı (SPL) kapsamında CISA ile aynı statüye haiz olan Bilgi Sistemleri Denetim Lisansı zorunludur. Sermaye Piyasası Kanunu ve ilgili düzenlemelere göre, sermaye piyasasında faaliyet gösteren kuruluşların bilgi sistemleri denetimleri yalnızca bu lisansa (ve CISA) sahip kişiler tarafından yapılabilmektedir. Bu lisansı alabilmek için adayların belirli akademik ve mesleki kriterleri karşılaması, bilgi sistemlerine dair tecrübe sahibi olması ve SPL tarafından düzenlenen kapsamlı içeriğe sahip sınavları başarıyla tamamlaması gerekmektedir. Tecrübenin eksikliği durumunda CEH ve benzeri diğer sertifikalar yetkinlik açısından tamamlayıcı olmaktadır. Bu kriterlerin diğer sertifikalara sahip olunması için şart olmaması nedeniyle değerli kılmaktadır. Bununla birlikte güvenlik alanında teknik tecrübe sahibi olan veya geçerliliği olan (CEH ve benzeri) diğer sertifikalardan en az birine sahip olunması sızma testinin doğru ve etkili yapılması için tavsiye edilmektedir.
Sonuç
SPK lisansı, özellikle büyük banka ve finans kuruluşlarına sızma testi yapabilmek için olmazsa olmaz bir nitelik haline gelmiştir. Bu lisansa sahip olabilmek için yalnızca sınavdan geçmek yeterli değildir; adayların bilişim sektöründe belirli yıllar aktif olarak çalışmış olmaları, güçlü bir tecrübe birikimine sahip bulunmaları ve en az lisans seviyesinde (tercihen bilgisayar mühendisliği, yazılım mühendisliği vb.) bir üniversite mezunu olmaları gerekmektedir. Bu da SPK lisansını sıradan bir sertifikadan ayırır ve kurumsal ölçekte hizmet verecek uzmanları daha yüksek bir barajla sınar.
Buna karşın, TSE tarafından verilen “Sızma Testi Uzmanı” belgesinde lise mezunu olmak yeterlidir. Ne yazık ki bu durum, oldukça teknik, çok katmanlı bilgi birikimi ve mühendislik altyapısı gerektiren sızma testi gibi karmaşık bir alanda, yetkinlik düzeyi tartışmalı kişilerin sertifika sahibi olmasına kapı aralamaktadır. Bilgisayar mühendisliği ya da benzeri bir akademik temelden yoksun kişilerin karmaşık saldırı vektörlerini anlaması, yorumlaması ve etkili çözümler üretmesi pek olası değildir. Ülkemizde tehditlerin artması ve dijital altyapının her geçen gün daha fazla hedef haline gelmesi göz önüne alındığında, bu gibi düşük eşikli sertifikasyon sistemleri yerine, daha nitelikli ve derinlikli değerlendirme mekanizmalarına ihtiyaç olduğu açıktır.
Şahsi bir yorum yapmak gerekirse, sürekli aynı metadolojileri uygulayan ve ucuz işçi çalıştıran büyük işletmeler yerine geçmişi tecüreblere dayanan mühendisleri tercih etmek her zaman daha avnatjlıdır. Bunu avukatlık mesleği gibi düşünebilirsiniz, her avukatın metadolojisi, olaylara yaklaşımı, tecrübesi ve detaylandırması farklıdır.
