THY örneğinde sistem, engelli yolcular için yalnızca bazı standart cam kenarı koltukların ücretsiz olarak sunulduğunu belirtmekte; ancak yolcu, ihtiyacına uygun başka bir koltuğu ücretli olsa dahi seçememektedir. Bu durum, meselenin yalnızca ücretli veya ücretsiz koltuk seçimi olmadığını; asıl meselenin engelli yolcuların güvenlik sınırları içinde kendi ihtiyaçlarına uygun makul seçeneklere erişebilmesi olduğunu göstermektedir.

İlk bakışta bu durum küçük bir operasyonel tercih gibi görülebilir. Oysa engelli bireyler açısından koltuk seçimi, sıradan bir konfor tercihi değil; seyahatin güvenli, bağımsız ve öngörülebilir şekilde gerçekleştirilebilmesinin önemli bir parçasıdır.

Koltuk Seçimi Bir Konfor Unsuru mu, Erişilebilirlik Unsuru mu?

Birçok yolcu için koltuk seçimi, pencere kenarı ya da koridor tarafı gibi kişisel bir konfor tercihi anlamına gelir. Ancak engelli ve hareket kabiliyeti kısıtlı yolcular için koltuk seçimi çoğu zaman basit bir tercih değil, seyahatin güvenli, öngörülebilir ve erişilebilir şekilde gerçekleşebilmesi için temel bir ihtiyaçtır.

Çıkışlara veya koridora yakın oturabilmek, kabin içinde daha rahat hareket edebilmek, refakatçisiyle yan yana seyahat edebilmek ya da fiziksel ihtiyaçlarına uygun bir noktada bulunabilmek bazı yolcular için doğrudan erişilebilirlik meselesidir. Bu ihtiyaçların bilet alımı sırasında planlanamaması, yolcuyu havalimanındaki kontuar sürecine bağımlı hale getirmekte ve seyahat öncesinde gereksiz bir belirsizlik yaratmaktadır.

Benzer şekilde, engelli yolculara yalnızca belirli cam kenarı koltukların sunulması da tek başına yeterli bir erişilebilirlik çözümü değildir. Çünkü her engelli yolcunun ihtiyacı aynı değildir. Bazı yolcular için cam kenarı koltuk uygun olabilirken, bazıları için koridora yakın olmak, refakatçisiyle yan yana oturmak veya kabin içinde daha kolay hareket edebileceği bir noktada bulunmak çok daha önemli olabilir.

Bu nedenle engelli bir yolcunun, diğer yolcuların sahip olduğu koltuk seçimi esnekliğinden yararlanamaması veya yalnızca sistemin önceden belirlediği dar seçeneklere yönlendirilmesi, yalnızca teknik ya da operasyonel bir kısıtlama olarak görülemez.

Güvenlik Gerekçesi Nerede Başlar, Eşit Hizmet Nerede Biter?

Elbette havacılıkta güvenlik her şeyden önce gelir. Acil çıkış sıraları gibi bazı koltukların kullanımında, ulusal ve uluslararası güvenlik kuralları gereği belirli sınırlamalar getirilmesi anlaşılabilir ve gereklidir. Bu noktada amaç, hem yolcunun hem de uçuş ekibinin güvenliğini sağlamaktır.

Ancak burada tartışılması gereken konu, güvenlik gerekçesiyle belirli koltukların kısıtlanması değil; engelli yolcular açısından koltuk seçimi sürecinin ya bütünüyle kapatılması ya da yalnızca dar bir koltuk grubuyla sınırlandırılmasıdır. Acil çıkış sıraları gibi güvenlik açısından uygun olmayan koltukların seçime kapatılması anlaşılabilir. Ancak güvenlik riski taşımayan diğer koltukların da ücretli olsa dahi seçilememesi, ölçülülük ve eşit hizmet ilkeleri açısından soru işaretleri doğurmaktadır.

Günümüz rezervasyon ve biletleme sistemleri, yolcu profiline göre belirli koltukları filtreleyebilecek teknik kapasiteye sahiptir. Dolayısıyla güvenlik gereklilikleri korunarak, engelli ve hareket kabiliyeti kısıtlı yolculara uygun koltukların bilet alımı sırasında sunulması mümkündür. Daha az kısıtlayıcı teknik çözümler varken, tüm sürecin kapatılması erişilebilirlik perspektifiyle yeniden değerlendirilmelidir.

Aynı şekilde, yalnızca belirli cam kenarı koltukların sunulması yerine, güvenlik açısından sakınca taşımayan tüm uygun koltukların erişilebilir şekilde listelenmesi daha ölçülü ve kapsayıcı bir yaklaşım olacaktır.

Mevzuat Ne Söylüyor?

Türkiye’de SHGM tarafından yayımlanan SHT-33B/01 Talimatı, engelli ve hareket kabiliyeti kısıtlı yolcuların hava yolu taşımacılığı hizmetlerinden ayrımcılığa uğramadan yararlanabilmesini amaçlamaktadır. Bu düzenleme, güvenlik gereklilikleri saklı kalmak kaydıyla, engelli yolcuların seyahat süreçlerinde ilave ve ölçüsüz kısıtlamalarla karşılaşmaması gerektiğini ortaya koymaktadır.

Bunun yanında 5378 sayılı Engelliler Hakkında Kanun, erişilebilirliği yalnızca iyi niyetli bir uygulama veya kurumsal tercih olarak değil, kamu kurumları ve özel hizmet sağlayıcılar açısından yerine getirilmesi gereken bir yükümlülük olarak ele almaktadır. Hizmet süreçlerinin engelli bireyler açısından dezavantaj yaratmayacak şekilde tasarlanması, eşit hizmet anlayışının temel unsurlarından biridir.

Uluslararası düzeyde de benzer bir yaklaşım bulunmaktadır. Avrupa Birliği’nin EC 1107/2006 sayılı Tüzüğü, engelli ve hareket kabiliyeti kısıtlı yolcuların hava yolu hizmetlerinden ayrımcılığa uğramadan yararlanmasını güvence altına almaktadır. Bu düzenlemelerde güvenlik gerekçeleri elbette korunmakta; ancak güvenlik dışındaki sınırlamaların ölçülü, gerekçeli ve ayrımcılığa yol açmayacak şekilde uygulanması beklenmektedir.

Bu düzenlemelerin ortak mesajı açıktır:

Havacılık güvenliği tartışmasız şekilde korunmalı; ancak bu yapılırken engelli bireylerin hizmetlere eşit, erişilebilir ve öngörülebilir biçimde ulaşma hakkı zedelenmemelidir.

Sorun Niyet Değil, Tasarım

Bu konuya yaklaşırken, hava yolu şirketlerinin engelli yolcuları bilinçli olarak mağdur ettiği varsayımından hareket etmek doğru olmaz. Nitekim havacılık gibi yüksek regülasyona tabi bir alanda birçok uygulama; güvenlik, operasyonel planlama, kabin düzeni ve yolcu destek hizmetleriyle birlikte değerlendirilmek zorundadır.

Ancak erişilebilirlik alanındaki güncel yaklaşım, yalnızca kurumların niyetine değil, uygulamanın yolcu üzerindeki fiili sonucuna da bakmayı gerektirir. Bir sistem iyi niyetle tasarlanmış olsa bile, engelli yolcuları diğer yolculara kıyasla daha zahmetli, daha belirsiz veya daha sınırlı bir sürece yönlendiriyorsa, bu sistemin erişilebilirlik açısından yeniden değerlendirilmesi gerekir.

Çünkü erişilebilirlik, artık sonradan eklenen bir kolaylık ya da istisnai bir destek hizmeti olarak görülmemelidir. Aksine, biletleme aşamasından check-in sürecine, koltuk seçiminden uçuş sonrası hizmetlere kadar tüm yolculuk deneyiminin doğal ve ayrılmaz bir parçası olmalıdır.

Bu nedenle mesele, yalnızca mevcut uygulamanın amacı değil; bu uygulamanın engelli yolcular açısından nasıl bir sonuç doğurduğudur. Eşit hizmet anlayışı, herkesin aynı sistemden aynı kolaylıkla yararlanabilmesini gerektirir.

Çözüm Mümkün

Oysa çözüm sanıldığından daha karmaşık olmak zorunda değildir. Güvenlik gereklilikleri korunarak, engelli ve hareket kabiliyeti kısıtlı yolcuların koltuk seçimi süreci daha erişilebilir hale getirilebilir. Örneğin:

• Güvenlik nedeniyle uygun olmayan koltuklar, sistem tarafından otomatik olarak filtrelenebilir.
• Güvenlik açısından sakınca taşımayan diğer koltuklar, ücretli veya ücretsiz ayrımı korunarak engelli yolcular için de seçilebilir hale getirilebilir.
• Engelli yolcular için uygun koltuklar, bilet satın alma veya rezervasyon aşamasında erişilebilir hale getirilebilir.
• Engelli yolculara yalnızca belirli cam kenarı koltukların sunulması yerine, yolcunun hareket kabiliyeti, refakatçi ihtiyacı ve erişim kolaylığı dikkate alınarak daha geniş ve makul seçenekler sunulabilir.
• Refakatçiyle yan yana oturma ihtiyacı, sistemsel olarak desteklenebilir.
• Zorunlu kontuar check-in sürecine bağımlılık azaltılarak, dijital kanallar üzerinden de makul seçenekler sunulabilir.
• Rezervasyon ve check-in sistemleri, erişilebilirlik testleri ve engelli yolcuların gerçek kullanıcı deneyimleri doğrultusunda iyileştirilebilir.

Böylece güvenlikten taviz verilmeden, engelli yolcuların seyahatlerini önceden planlayabilmesi sağlanır; belirsizlik azaltılır ve eşit hizmet ilkesi güçlendirilmiş olur.

Kişisel Bir Deneyim

Bu konuyu yalnızca teorik bir tartışma olarak gündeme getirmiyorum. Yakın zamanda AJet üzerinden bilet almak istediğimde bu sorunu bizzat deneyimledik.

Gidiş uçuşunda, sırf koltuk seçimi yapabilmek için engelli yolcu seçeneğini kullanmadan standart bilet almak zorunda kaldık. Bu durumda sistem üzerinden koltuk seçimi yapabildik.

Ancak dönüş uçuşunda engelli yolcu olarak bilet aldığımızda, sistem üzerinden check-in ve koltuk seçimi yapamadık. İşlem havalimanındaki kontuara bırakıldı. Kontuara gittiğimizde ise seçmek istediğimiz koltukların ya daha önce satılmış ya da sistem tarafından atanmış olduğunu öğrendik. Sistem bizi 30 numaralı koltuğa yerleştirmişti. Sonrasında, istediğimiz koltuklar olmasa da ön taraflara daha yakın alternatif koltuklar alabildik.

Fakat asıl mesele yalnızca hangi koltukta oturduğumuz değil. Kontuara gidene kadar yaşadığımız belirsizlik ve stres, bu sürecin engelli yolcular ve yakınları açısından ne kadar yorucu olduğunu göstermeye yetti.

Engelli yolcular için koltuk seçimi çoğu zaman bir konfor tercihi değil; seyahati planlayabilme, refakatçiyle birlikte oturabilme, hareket kolaylığı ve güven hissi açısından temel bir ihtiyaçtır. Bu nedenle böyle bir sürecin yalnızca havalimanındaki kontuara bırakılması, yolculuk başlamadan önce gereksiz bir belirsizlik ve mağduriyet yaratmaktadır.

Sonuç Olarak;

Sorun, engelli yolculara ücretsiz cam kenarı koltuk sunulup sunulmaması değildir. Sorun, engelli yolcuların güvenlik sınırları içinde, kendi ihtiyaçlarına uygun koltuğu diğer yolcularla eşit şekilde seçebilme imkânına sahip olup olmamasıdır.

Erişilebilirlik bir ayrıcalık değildir. Erişilebilirlik, herkesin hizmetlere eşit, güvenli, öngörülebilir ve insan onuruna yakışır şekilde ulaşabilmesini sağlayan temel bir haktır.

Bu nedenle Türk Hava Yolları, AJet, SHGM ve Ulaştırma ve Altyapı Bakanlığı başta olmak üzere ilgili tüm paydaşların, engelli ve hareket kabiliyeti kısıtlı yolcuların koltuk seçimi süreçlerini erişilebilirlik, ölçülülük ve eşit hizmet ilkeleri çerçevesinde yeniden değerlendirmesi önem taşımaktadır.

Beklenti, havacılık güvenliğinden taviz verilmesi değildir. Beklenti, güvenlik gereklilikleri korunurken engelli yolcuların da diğer yolcular gibi seyahatlerini önceden planlayabilmesini; yalnızca belirli koltuklara yönlendirilmeden, güvenlik açısından uygun seçenekler arasından ihtiyaçlarına göre seçim yapabilmesini sağlayacak makul, teknik ve uygulanabilir çözümlerin hayata geçirilmesidir.

Çünkü konu yalnızca bir koltuk seçimi meselesi değildir. Konu, dijitalleşen hizmetlerin gerçekten herkes için erişilebilir olup olmadığıdır. Eşitlik, çoğu zaman büyük ilke cümlelerinde değil; bir yolcunun seyahatini bağımsız ve güvenle planlayabilmesini sağlayan bu tür somut uygulamalarda kendini gösterir.

Münferit Değil, Sistemsel Bir Sorun

Bu meselenin münferit bir deneyim olmadığını görmek için, engelli yolcuların benzer konulardaki şikayetlerine bakmak yeterli. Sizleri, bu süreci bizzat yaşayan yolcuların deneyimleriyle baş başa bırakmak istiyorum:

• THY Engelli Yolcu Şikayetleri: https://www.sikayetvar.com/thy/check-in/engelli
• Ajet Engelli Yolcu Şikayetleri: https://www.sikayetvar.com/ajet/check/engelli

Kaynaklar

• SHGM SHT-33B/01 Hava Yolu ile Seyahat Eden Engelli ve Hareket Kabiliyeti Kısıtlı Yolcular Talimatı
• 5378 Sayılı Engelliler Hakkında Kanun
• Avrupa Parlamentosu ve Konseyi’nin EC 1107/2006 Sayılı Tüzüğü

Bugün birçok kurumda güvenlik riski, büyük bir saldırının ya da yüksek profilli bir ihlalin habercisi olarak değil; gündelik konuşmaların içine sinmiş küçük kabullerin toplamı olarak ortaya çıkıyor. Koridor arasında söylenen bir cümlede, toplantıda geçiştirilen bir itirazda, bir erişim talebinin sorgusuz onaylanmasında ya da “şimdilik böyle idare edelim” anlayışında güvenlik kültürünün gerçek seviyesi kendini ele veriyor. “Nasıl olsa herkes her şeye erişebiliyor”, “Ben de görebiliyorum, demek ki sorun yok”, “Daha o seviyede değiliz, ona gelene kadar…” gibi ifadeler ilk bakışta yalnızca pratiklik, hız ya da iş yapma kolaylığına işaret ediyor gibi görünebilir. Oysa gerçekte bu sözler, kurum içinde sınırların bulanıklaştığını, yetkinin amaçtan koptuğunu ve riskin olağanlaştırıldığını gösteren güçlü işaretlerdir.

Asıl tehlike de tam burada başlar. Çünkü güvenlik zafiyeti çoğu zaman bir güvenlik duvarının eksikliğinden, bir yazılım açığından ya da dışarıdan gelen sofistike bir saldırıdan önce; içeride yerleşen düşünme biçiminden beslenir. İnsanlar bir süre sonra erişimin neden verildiğini değil, erişebiliyor olmayı esas almaya başlar. Görülebilen her veri meşru, ulaşılabilen her alan doğal, paylaşılabilen her bilgi sıradan kabul edilir. Böylece güvenlik, teknik ekiplerin ya da denetim süreçlerinin konusu olan özel bir alan olmaktan çıkar; fark edilmeden önemsizleştirilen bir ayrıntıya dönüşür. Kurum açısından asıl kırılma da budur: Risk, henüz gerçekleşmemiş olsa bile normalleşmiştir.

Buradaki meseleyi yalnızca “yeni nesil çalışanların güvenlik farkındalığı düşük” diyerek açıklamak kolay ama eksik olur. Evet, iş hayatına daha hızlı, daha çevik, daha paylaşımcı bir dijital alışkanlık setiyle giren yeni kuşak çalışanlarda erişim ve paylaşımın “varsayılan” kabul edilmesi daha sık görülebilir. Ancak asıl problem bir kuşaktan çok, kurumların bu alışkanlıkları nasıl yönettiğiyle ilgilidir. Çünkü çalışan, çoğu zaman kurumsal refleksini kurumdan öğrenir.

Eğer bir organizasyonda erişim sınırları belirsizse, yetki ihtiyaçtan değil kolaylıktan veriliyorsa, test ortamları ile canlı ortamlar arasındaki disiplin silikse, dosyalar ve paneller kontrolsüz biçimde görünür durumdaysa; çalışan zamanla bunun normal olduğunu düşünmeye başlar.

Dijital çağın en büyük yanılsamalarından biri, erişimin verimlilikle eş anlamlı sanılmasıdır. Pek çok ekipte hız, koordinasyon ve iş sürekliliği adına erişim alanları geniş tutulur. “Birinin işi aksamasın”, “Ekibe sonradan katılan da hemen ilerleyebilsin”, “İzin beklemeyelim, herkes görsün” anlayışı kısa vadede pratiklik sağlar. Fakat uzun vadede bu yaklaşım, en az ayrıcalık ilkesini aşındırır; sorumluluğu dağıtır, sahipliği bulanıklaştırır ve nihayetinde “kim neden neye erişiyor?” sorusunu anlamsız hale getirir. Güvenlik tam da bu noktada görünmez hale gelir. Çünkü herkesin erişebildiği bir ortamda, erişim artık istisna değil norm haline gelir. Norm haline gelen şey ise sorgulanmaz.

Yeni nesil çalışanların bir kısmı, dijital araçlarla büyümüş olmanın getirdiği özgüvenle sistemler arasında çok hızlı hareket eder. Bulut depolama, ortak dokümanlar, anlık mesajlaşma, entegrasyon platformları ve yapay zekâ destekli araçlar onların doğal çalışma alanıdır. Bu çeviklik başlı başına olumsuz değildir; aksine doğru yönlendirildiğinde kurumlar için büyük bir avantajdır. Ancak bu çeviklik, sınır ve hassasiyet eğitimiyle desteklenmezse, “erişebiliyorsam kullanabilirim” şeklinde tehlikeli bir zihinsel kısa yola dönüşebilir. Teknik olarak mümkün olanla kurumsal olarak doğru olan arasındaki fark işte burada kaybolur.

Daha da dikkat çekici olan, güvenlik endişesi dile getirildiğinde verilen savunmacı tepkilerdir. “Daha o seviyede değiliz, ona gelene kadar…” cümlesi, aslında birçok kurumun güvenlikteki ertelenmişlik halini özetler. Bu yaklaşım, güvenliği bugünün değil yarının meselesi gibi görür. Oysa güvenlikte “henüz o seviyede olmamak”, bir rahatlama sebebi değildir; çoğu zaman kurumsal körlüğün ifadesidir. Saldırılar, veri sızıntıları ve içeriden kaynaklanan ihlaller yalnızca çok büyük, çok görünür, çok olgun kurumların başına gelmez. Tam tersine, çoğu olay güvenliği “daha sonra ele alınacak başlık” gibi gören yapılarda yaşanır. Çünkü risk, kurumsal ölçekten önce kurumsal tutumla ilgilidir.

Bir organizasyonda güvenliğin ötelenmesi, çoğunlukla bilinçli bir ihmal olarak değil, önceliklendirme bahanesiyle gerçekleşir. Ürün yetişmelidir, müşteri beklentisi karşılanmalıdır, operasyon durmamalıdır, ekip yavaşlamamalıdır. Bu gerekçelerin her biri iş dünyasında anlaşılabilir görünür. Fakat güvenlik sürekli olarak hızın arkasına itilirse, kurum aslında kendi geleceğini rehin bırakır. Kısa vadeli çeviklik uğruna uzun vadeli güven kaybedilir. Üstelik güvenlik kaybının bedeli yalnızca teknik değildir; itibar, hukuki yükümlülük, müşteri güveni ve iç denetim kabiliyeti de bu kaybın parçasıdır.

Burada yöneticilere düşen sorumluluk, sadece eğitim düzenlemek ya da farkındalık afişleri hazırlamak değildir. Çünkü güvenlik kültürü, posterlerle değil davranış mimarisiyle kurulur. Çalışana “veriyi koru” demek yetmez; o veriye neden eriştiğini, neden o kadar geniş erişim verilmediğini, neden bazı bilgilerin görünmemesi gerektiğini, neden kolay olanın her zaman doğru olmadığını anlatmak gerekir. Daha önemlisi, yönetim kendi refleksleriyle örnek olmak zorundadır. Üst düzey yöneticiler, proje baskısı altında güvenlik kontrollerini by-pass ediyor; istisnaları kalıcı hale getiriyor; “şimdilik açalım” diyerek yetkileri genişletiyor ve sonra bunu toplamıyorsa, çalışanlardan disiplin beklemek gerçekçi değildir.

Güvenlik farkındalığının düşük olduğu yapılarda bir başka sorun da sorumluluğun anonimleşmesidir. Herkesin eriştiği, herkesin paylaştığı, herkesin bildiği ortamlarda aslında kimse gerçekten sahiplik üstlenmez. Çünkü sınırlar silikleştiğinde hesap verebilirlik de zayıflar. Oysa güvenliğin temel taşlarından biri teknik kontrolden önce yönetişimdir. Kimin neye, ne amaçla, ne kadar süreyle eriştiği; bu erişimin kim tarafından onaylandığı; ne zaman gözden geçirildiği; ayrılan çalışanlardan nasıl geri alındığı gibi sorular cevapsız kalıyorsa, kurum farkındalık eğitimi verse bile yapısal zafiyet üretmeye devam eder.

Bu nedenle meseleyi yalnızca çalışan profili üzerinden okumak yetersiz kalır. Sorun, çoğu zaman yeni nesil çalışanların güvenliği önemsememesinden çok, kurumların güvenliği görünür, anlaşılır ve uygulanabilir hale getirememesidir. İnsanlar çoğu kez kendilerine öğretilen normlara göre davranır.

Kurum, erişim genişliğini profesyonellik; sınırsız paylaşımı iş birliği; kontrolsüz görünürlüğü şeffaflık sanarsa, çalışan da güvenliği ayrıntı veya engel gibi görmeye başlar. Güvenliğin dili, organizasyonun dili tarafından şekillenir.

Bugün ihtiyaç duyulan şey, korku temelli bir güvenlik dili değil; olgunluk temelli bir güvenlik kültürüdür. Çalışanlara yalnızca tehditleri anlatmak, buna karşılık hangi davranışın neden gerekli olduğunu açık biçimde ortaya koymamak, kalıcı bir dönüşüm sağlamaz. Bunun yerine kurumlar şu soruyu sormalıdır: Biz çalışanlarımızı gerçekten güvenli çalışmaya mı alıştırıyoruz, yoksa yalnızca hızlı çalışmaya mı zorluyoruz? Çünkü hızlı çalışan ama sınır bilmeyen ekipler, kısa vadede etkileyici görünse de uzun vadede kurumsal riski katlar.

Özellikle yeni kuşak çalışanlarla çalışan kurumların yapması gereken şey, bu kuşağın dijital yatkınlığını bastırmak değil, onu güvenlik ilkeleriyle uyumlu hale getirmektir. Yani merakı cezalandırmak değil, meraka sınır öğretmek; çevikliği engellemek değil, çevikliği kontrollü hale getirmek; iş birliğini azaltmak değil, iş birliğini yetki ve sorumlulukla dengelemektir. Aksi halde kurum içinde fark edilmeyen ama sürekli genişleyen bir gri alan oluşur. Ve güvenlik olayları çoğu zaman tam da bu gri alandan doğar.

Sonuç olarak, “nasıl olsa herkes her şeye erişebiliyor” cümlesi bir rahatlık ifadesi değil, bir alarm cümlesidir. “Daha o seviyede değiliz” sözü ise gerçekçi bir tespit değil, kurumsal erteleme refleksidir. Güvenlik, kurum belirli bir büyüklüğe geldiğinde ya da belirli bir tehditle karşılaştığında gündeme alınacak lüks bir başlık değildir. Güvenlik, tam da sıradan günlerde, sıradan kararların içinde, sıradan cümlelerin arasında inşa edilir ya da kaybedilir. Bu yüzden asıl mesele, yeni nesil çalışanların güvenlik farkındalığının neden düşük olduğu değil; kurumların neden bu düşüklüğü üreten kültürü hâlâ normal kabul ettiğidir.

Tam Olarak Ne Oldu?

Olayın merkezinde, Mayıs 2025’ten bu yana CISA’nın geçici başkanı olan Madhu Gottumukkala bulunuyor. Ağustos 2025’in başlarında Gottumukkala, gizli olmasa da “Yalnızca Resmi Kullanım İçin” olarak işaretlenmiş hassas ihale belgelerini, herkesin erişebildiği halka açık ChatGPT sürümüne yükledi. Olayı daha da dikkat çekici kılan ise, bu aracın diğer İç Güvenlik Bakanlığı (DHS) personeline yasak olduğu bir dönemde, Gottumukkala’nın bunu kullanmak için kurumun Bilgi İşlem Direktöründen “özel izin” almış olmasıydı.

Sistem Güvenlik İhlalini Nasıl Tespit Etti?

Bu hassas verilerin halka açık bir platforma yüklendiği gözden kaçmadı. Yapılan yüklemeler, federal ağlardan dışarıya veri sızmasını önlemek için tasarlanmış siber güvenlik sensörleri tarafından defalarca işaretlendi. Sadece ilk hafta içinde çok sayıda uyarı tetiklendi. Bu durum iki önemli gerçeği ortaya koyuyor: Birincisi, CISA’nın savunma mekanizmaları doğru bir şekilde çalışıyordu. İkincisi ise en gelişmiş sistemlerin bile insan hatası karşısında risk oluşturabileceği gerçeğidir. Bu uyarılar üzerine üst düzey DHS yetkilileri, ulusal güvenliğe yönelik olası zararı değerlendirmek amacıyla derhal bir iç soruşturma başlattı ve Gottumukkala’nın da dahil olduğu bir dizi üst düzey toplantı düzenledi.

Halka Açık Yapay Zekaya Veri Yüklemek Neden Bu Kadar Tehlikeli?

Bu olayın neden basit bir dikkatsizlikten çok daha fazlası olduğunu anlamak kritik önem taşıyor. Halka açık ChatGPT gibi araçlar, kullanıcıların girdiği verileri doğrudan OpenAI şirketi ile paylaşır. Bu veriler, yapay zeka modellerini daha da geliştirmek ve eğitmek için kullanılır. Bu durum, yüklenen hassas verilerin, CISA’nın her gün mücadele ettiği Rusya ve Çin gibi devlet destekli bilgisayar korsanları da dahil olmak üzere düşmanların erişebileceği modellere dahil olma riskini beraberinde getirir. İşte bu yüzden hükümetler ve büyük şirketler, verileri federal ağlar gibi kapalı sistemlerde saklayan DHSChat benzeri dahili ve güvenli yapay zeka araçlarını geliştirmeyi ve kullanmayı tercih etmektedir.

Sonuçlar ve Resmi Tepkiler

Olayın ortaya çıkmasının ardından İç Güvenlik Bakanlığı (DHS) politikaları gereği bir süreç başlattı. Bu politikalar, bu tür sızıntıların kapsamlı bir şekilde araştırılmasını, nedenlerinin değerlendirilmesini ve personele yeniden eğitim verilmesinden güvenlik izninin iptaline kadar uzanabilecek çeşitli önlemlerin alınmasını gerektirir.

Gottumukkala’nın, diğer personele yasak olan bir aracı kullanmak için özel izin alması ve ardından bu izni hassas verileri yüklemek için kullanması, kurum içinde sert bir tepkiyle karşılandı. İsmi verilmeyen bir yetkilinin olaya tepkisi, kurum içindeki gerilimi özetler nitelikteydi:

“CISA’yı kendisine ChatGPT erişimi vermeye zorladı ve sonra bu erişimi kötüye kullandı.”

Resmi tarafta ise CISA sözcüsü Marci McCarthy, Gottumukkala’nın ChatGPT’yi “DHS kontrolleri altında” ve “kısa süreli ve sınırlı” bir istisna kapsamında kullandığını ve araca en son “Temmuz 2025 ortasında” eriştiğini belirtti. Ancak bu resmi açıklama, siber güvenlik sensörlerinin sızıntıları Ağustos ayının başlarında tespit ettiği gerçeğiyle çelişiyor. Bu durum, olayın zamanlaması ve şeffaflığı konusunda soru işaretlerini beraberinde getiriyor?

Bu Olaydan Çıkarmamız Gereken Dersler Nelerdir?

Eğer siber güvenlikten sorumlu en üst düzey yetkili bile bu hatayı yapabiliyorsa, hepimizin çok daha dikkatli olması gerekir. İşte bu olaydan çıkarmanız gereken pratik dersler:

• Asla kişisel bilgilerinizi (TC kimlik numarası, adres), finansal verilerinizi (kredi kartı bilgileri) veya şirketinize / kurumunuza ait hassas bilgileri (müşteri listeleri, finansal raporlar, stratejik planlar, proje dokümanları) halka açık yapay zeka araçlarına girmeyin. Bir belgenin üzerinde “Kurum kullanımına mahsus” gibi bir ibare olmasa bile, özel kalması gereken her türlü veri bu kapsama girer.
• Kullandığınız her aracın gizlilik politikasını ve kullanım koşullarını gözden geçirin. Verilerinizi nasıl işlediklerini, kimlerle paylaştıklarını ve eğitim amacıyla kullanıp kullanmadıklarını mutlaka öğrenin.
• Eğer şirketiniz veya kurumunuz size güvenli, dahili bir yapay zeka aracı sunuyorsa, halka açık platformlar yerine daima onu kullanın. Bu sistemler, verilerinizi korumak için tasarlanmıştır.
• İnternette herhangi bir yere bir metin yapıştırmadan önce bir an durup düşünün. İçeriğin hassasiyetini tekrar gözden geçirme alışkanlığı edinin. Bu basit kontrol, sizi büyük bir güvenlik ihlalinden koruyabilir.

Sonuç: Yapay Zeka Çağında Tetikte Olmak

CISA’da yaşanan bu olay, yapay zeka gibi güçlü teknolojileri kullanırken veri güvenliği ve gizliliği konusunda ne kadar bilinçli ve dikkatli olmamız gerektiğini gösteren çarpıcı bir örnektir. Teknoloji ne kadar gelişirse gelişsin, en zayıf halka genellikle insandır. Dijital dünyada attığınız her adımda verilerinizin sorumluluğunu üstlenmek, kendinizi ve kurumunuzu korumanın ilk ve en önemli adımıdır.

Kaynak Haber: https://cybersecuritynews.com/cisa-chief-chatgpt/

11 Eylül 2025’te Türk Telekom Evde İnternet taahhüdümü yeniledim. Paket adı klasik: “100 Mbit’e kadar.” Zaten yıllardır aynı hatta bu paketle ~90’lı Mbit’leri gördüğüm için, “aynı hizmete devam” diye düşündüm. Meğer ben “aynı hizmete devam” değil, “aynı masala devam” satın almışım.

Altyapı: “110+ basarım.” Hizmet: “75 yeter.”

Bir gün modeme bakıyorum: Hat resmen diyor ki “Ben aslında daha fazlasını kaldırıyorum.”
Ama bana gelen hız ısrarla ~75 Mbit civarında.

Ekranın söylediği şey kabaca şuydu:

• Mevcut hız (senkron): ~76.8 Mbps
• Maksimum/attainable (hat kapasitesi): ~117.8 Mbps

Yani hat kapasitesi “100’lük ayakkabıyı giyerim” diyor, ama sistem “Sen terlikle koş” diyor.

Doğal olarak arıza kaydı açtım. Kayıtta açıkça belirttim:
“Hat 110+ destekliyor görünüyor ama ben 75 alıyorum. Paket 100’e kadar. Bu tutarsız.”

Arıza Kaydı #1: “Haklısınız, düzelttik.” (Spoiler: Düzelmemiş)

İlk geri dönüş hızlı ve moral vericiydi: “Haklısınız, düzelttik.”
Birkaç gün bekledim. Tekrar kontrol ettim.
Sonuç: Hat yine 110+, hız yine 75.

Demek ki “düzelttik” kelimesi bizim tarafta “çözdük”, onların tarafında “kapatıp açtık” gibi bir şeye denk geliyor.

Arıza Kaydı #2: “Altyapı çalışması yaptık… hız düştü.”

Tekrar kayıt açtım.

• İlk müşteri temsilcisi: “Haklısınız, ilgileneceğiz.”
• Sonra ikinci müşteri temsilcisi:
  “Bölgede altyapı çalışması yapıldı. Bu çalışma hızları düşürdü. Artık bu bölgeye maksimum ~75 Mbit verilecek.”

Bu cümleye ayrı bir parantez açmak lazım:
Normalde altyapı çalışması = iyileştirme.
Burada altyapı çalışması = “Artık daha az vereceğiz.”

Ben de dedim ki:
“Madem maksimum 75 olacak, o zaman paketimi 75’e düşürün, ben niye 100’lük para ödeyeyim?”
Temsilci “tamam” dedi, “düşürelim” dedi.

Paket düşürme derken: İptal SMS’i + iptal iptali SMS’i

Sonrasında telefonuma bir SMS geldi: “İnternet paketiniz iptal edilecektir.”
Ben “paket düşürme dedik, iptal ne alaka?” diyerek tekrar aradım.

Daha müşteri temsilcisine bile bağlanamadan iptalin iptali ile alakalı ikinci bir SMS geldi: “Hizmetiniz isteğiniz doğrultusunda devam edecek.”
Üçüncü müşteri temsilcisi de bunu teyit ederek “iptal yok, hizmetiniz devam ediyor” dedi.

Bu esnada ben “Altyapı çalışmaları hizmeti iyileştirir, siz kötüleştirmişsiniz” dedim; temsilci de hak verdi.

Yani resmi olarak “hız düşürdük” cümlesi kurulmasa bile, pratikte herkes aynı gerçeği konuşuyordu.

Sonra dördüncü temsilci: “50’ye düşürelim.”

Bu sabah dördüncü temsilci aradı ve dedi ki:
“Hızınızı 50 Mbit’e kadar olan paketle değiştireceğiz.”

Ben: “75’e düşürme konuşuldu ve tamam dendi.”
MT: “75 diye bir paket yok. Ya 50 ya 100 olur.”

Bu noktada tablo şuydu:

• Hat 110+ kaldırıyor görünüyor.
• Paket 100’e kadar.
• Hizmet 75 veriyor.
• Çözüm: Ya 100 parası ödeyip 75 kullan, ya da 50’ye düş.

Ve üstüne bonus: Aynı konuyu her seferinde sıfırdan anlatma maratonu. “Müşteri deneyimi” dersi gibi; tek farkı, sınavı ben oluyorum.

Plot Twist: Tekrar aradılar… “Size özel 75 taahhüt yapalım.”

Tam bu yazıyı kafamda netleştirirken yeniden aradılar.

Hani az önce “75 paket yok” denmişti ya…
Bu kez dediler ki:
“50 veya 100 dışında, size özel yeni bir taahhütle 75 Mbit hız tanımlayabiliriz. 75 olarak verelim.”

Yani özetle:

• Dün: “75 diye paket yok.”
• Bugün: “Size özel 75 icat ettik.”

Bu, insanın aklına şu basit soruyu getiriyor:
Madem 75’i tanımlayabiliyorsunuz, neden baştan beri net ve şeffaf konuşmadınız?

Bu kadar agresif mizah yeter biraz ciddileşelim

Şakası bir yana, burada “100 Mbit’e kadar” ifadesine sığınıp konuyu kapatmanın doğru olmadığını düşünüyorum. Evet, “e kadar” ibaresi 100’ü her koşulda garanti etmek anlamına gelmiyor; internet hizmetinde anlık dalgalanmalar, yoğunluk saatleri ve farklı dış etkenler olabilir. Ama benim yaşadığım durum, birkaç saatlik düşüşten çok daha farklı: hızım günlerdir ~75 Mbit civarına yapışmış görünüyor ve modem tarafında görünen hat kapasitesi (110+ Mbit) ile fiilen aldığım hız arasında belirgin bir uyumsuzluk var. Bu daha çok profil/kısıtlama/operatör ayarı ihtimalini akla getiriyor.

Bu noktada asıl mesele benim için “100’ü görmedim” değil; ödediğim paket ile aldığım hizmetin tutarlılığı. Eğer gerçekten bu bölgede “maksimum 75” gibi bir politika uygulanıyorsa, bunun şeffaf şekilde söylenmesi/bildirilmesi, paket/ücret dengesinin buna göre otomatik olarak düzenlenmesi ve en önemlisi bunun tek bir temsilcinin telefonda söylediği cümlelerle değil, yazılı ve tutarlı bir açıklamayla ortaya konması gerekir. Aksi halde kullanıcı olarak bende oluşan algı şu oluyor: “Altyapı kaldırıyor ama bir yerden bilinçli şekilde kısılıyor; ben de ya 100’lük parayı ödeyip daha düşük hızla yetineceğim ya da daha da düşük bir pakete razı olacağım.”

Üstelik süreç içinde çelişkili bilgi akışı yaşadım. Bir tarafta “75’lik paket yok, sadece 50 veya 100 var” denirken, daha sonra “size özel 75 Mbit’lik yeni bir taahhüt yapabiliriz” teklifi geldi. Bu teklif, pratikte 75’in teknik olarak tanımlanabildiğini gösteriyor. Dolayısıyla benim açımdan soru daha net hale geliyor: Madem 75’i tanımlayabiliyorsunuz, neden baştan beri bu konu net, şeffaf ve tek bir çizgide yönetilmedi? Neden aynı meseleyi farklı temsilcilere tekrar tekrar anlatmak zorunda bırakıldım?

Bu yeni “75’e geçelim” önerisini tamamen reddetmek ya da hemen kabul etmek yerine, ben bunu şartları netleştirilmesi gereken bir çözüm önerisi olarak görüyorum. Eğer bu öneri gerçekten “ödediğim ücret ile aldığım hızın uyumlanması” anlamına geliyorsa mantıklı olabilir; ama bunun için bazı şeylerin açıkça yazılması gerekiyor:

• 75’e geçişle birlikte ücretin ne olacağının sözlü değil yazılı bildirilmesi,
• yeni bir taahhüt oluşuyorsa bunun cayma/ceza şartlarının nasıl düzenleneceği,
• hızın gerçekten “profil olarak” 75’e sabitlenip sabitlenmeyeceği,
• ve en önemlisi, 11 Eylül 2025’ten bu yana yaşadığım bu uyumsuzluk için geriye dönük bir düzeltme/indirim yapılıp yapılmayacağının yazılı bildirimi.

Çünkü benim derdim “bir şekilde susup devam etmek” değil; bu hizmeti bir sözleşme kapsamında alıyorsam, karşılığını da tutarlı şekilde almak. Burada teknik bir problem varsa bunun teknik gerekçesiyle açıklanmasını; ticari bir karar varsa bunun ticari karşılığının (paket/fiyat uyumunun) adil biçimde uygulanmasını bekliyorum.

Bu yüzden, konuyu “e kadar işte” diyerek geçiştirmek yerine, ölçülebilir verilerle konuşmayı daha doğru buluyorum. Kablolu bağlantıyla, tek cihazla, farklı saatlerde yapılan hız ölçümleri; modem değerleri; açılan arıza kayıtları ve verilen yanıtlar… Bunların hepsi bir araya geldiğinde mesele kişisel bir algı olmaktan çıkıyor, somut bir hizmet uyuşmazlığına dönüşüyor. Ben de tam olarak bunun peşindeyim: netlik, tutarlılık ve adil bir çözüm.

Otomasyon Riski Altında Olan Roller

Teknolojinin hızla gelişmesiyle bazı pozisyonlar yüksek otomasyon riski altında:

1. Tier 1 SOC Analistleri: Yapay zekâ ve otomatik güvenlik araçları, rutin uyarı inceleme ve basit yönlendirme süreçlerini insanlardan daha hızlı ve etkili yönetiyor.
2. Güvenlik Raporu Yazanlar: GenAI, güvenlik loglarını özetleyerek ayrıntılı raporları hızla oluşturabiliyor ve teknik olmayan kişilere de uygun hale getirebiliyor.
3. Manuel Zafiyet Tarayıcıları: Otomatik tarayıcılar, rutin işlemleri 7/24 gerçekleştirebiliyor ve insan kaynaklı gecikmeleri ortadan kaldırıyor.
4. Uyumluluk Kontrolü Denetçileri: Modern GRC araçları, regülasyon uyumluluğunu otomatik olarak izleyip raporlama süreçlerini basitleştiriyor.
5. Temel IAM ve IT Talep Yanıtlayıcıları: Yapay zekâ destekli IAM sistemleri, parola sıfırlama ve erişim izinleri gibi temel süreçleri hızlıca devralıyor.

Bu rollerden birindeyseniz, paniğe kapılmadan yeni yetkinliklere yönelmekte fayda var. Bu araçları kullanmak yerine onları geliştirin, sorgulayın ve işinize entegre edin; stratejik düşünme becerilerinizi artırın.

Hızla Evrimleşen Roller

Bazı pozisyonlar ise yok olmuyor, aksine evrimleşiyor / gelişiyor:

1. Bulut Güvenlik Mühendisleri → Bulut Güvenlik Mimarları: Yeni nesil mühendislerin YZ entegrasyonu, otomasyon ve ölçeklendirme gibi yeteneklere sahip olması gerekecek.
2. GRC Uzmanları → YZ Odaklı GRC Stratejistleri: Gelecekte GRC uzmanları, yapay zekânın belirsiz risklerini yönetecek, YZ tedarik zincirlerini değerlendirecek ve etik uyum süreçlerini yönlendirecek.
3. Kırmızı Takım Uzmanları → Adversarial YZ Test Uzmanları: Yapay zekâ sistemlerine yönelik yeni saldırı simülasyonlarını geliştirecek ve uygulayacak uzmanlar önem kazanıyor.

Önümüzdeki 5 Yıl İçinde Öne Çıkacak Yeni Roller

Siber güvenlik, yapay zekâ, etik ve gizlilik alanlarının birleştiği noktalarda yeni roller oluşuyor:

1. YZ Güvenlik Danışmanları: Yapay zekâ modellerinin güvenliğini sağlayıp, veri sızıntısı ve zararlı müdahalelere karşı koruma geliştirecekler.
2. GenAI Gizlilik Mühendisleri: Yapay zekâ uygulamalarında veri gizliliği ve regülasyon uyumluluğunu sağlayacaklar.
3. Otonom Olay Müdahale Uzmanları: Yapay zekâ destekli güvenlik araçlarını yönetip denetleyecekler.
4. Kuantum Hazırlık Mimarları: Kuantum bilgisayarların yaratacağı güvenlik risklerini öngörüp, kuantum sonrası kriptografiye geçiş süreçlerini yönetecekler.

Geleceğe Yönelik Yetkinlik ve Sertifika Önerileri

Teknolojik dönüşüm sürecinde başarılı olmak için makine öğrenimi konusunda uzman olmanız gerekmiyor ancak stratejik yetkinlikler kazanmanız kritik önem taşıyor:

• Artan Değer: Bulut güvenliği, YZ risk yönetimi, yapay zekâ destekli güvenlik testleri ve yönetişim alanındaki eğitimlere yönelin.
• Azalan Değer: Sadece araç kullanımına odaklı SIEM veya eski nesil firewall sertifikaları yerine stratejik düşünmeyi destekleyen eğitimleri tercih edin.

Bugünden Yapmanız Gerekenler

• Mevcut pozisyonunuzdaki rutin ve tekrarlı işleri belirleyin ve otomasyona devredin.
• Yakın beceri alanlarından (YZ güvenliği, bulut güvenliği, gizlilik mühendisliği gibi) birini seçip uzmanlaşmaya başlayın.
• Öğrenme sürecinizi belgeleyin ve sosyal medya ya da bloglar üzerinden paylaşarak sektörünüzle etkileşiminizi artırın.
• Farklı disiplinlerden profesyonellerle iletişim kurarak bilgi ve tecrübe paylaşımını güçlendirin.

Siber güvenlikte kariyerinizi geleceğe hazırlamak için bugünden harekete geçin ve dönüşümün liderlerinden olun.

Kısaltmalar ve Terimlerin Açıklamaları

• SOC (Security Operations Center): Güvenlik operasyon merkezi; siber güvenlik olaylarını izleyip yöneten ekip.
• GenAI (Generative Artificial Intelligence): Üretken Yapay Zekâ; metin, görüntü ve diğer içerik türlerini otomatik üreten yapay zekâ teknolojisi.
• GRC (Governance, Risk, Compliance): Yönetişim, Risk ve Uyumluluk; kurumların kurallara, standartlara ve politikalara uygunluğunu denetleyen süreçler.
• IAM (Identity and Access Management): Kimlik ve Erişim Yönetimi; kullanıcıların erişim izinlerini yöneten güvenlik sistemleri.
• SIEM (Security Information and Event Management): Güvenlik Bilgileri ve Olay Yönetimi; güvenlik loglarını toplayıp analiz eden sistem.
• Agentic AI: Otonom görevleri yerine getirebilen yapay zekâ sistemleri.

Umarım faydalı bir analiz olmuştur. Kolaylıklar dilerim.

Gizli Kalan Finansal Tuzak: Minimum Yükleme ve Paket Ücretleri

Birçok telekomünikasyon şirketi, hat sahiplerinin hesaplarına para yükleyebilmesi için belirli bir minimum tutar belirliyor. Örneğin, minimum yükleme miktarı 170 TL olan bir operatör düşünelim. Bu operatörde en düşük paket ücretinin ise 120 TL olduğunu varsayalım. İlk yükleme yaptığınızda paket ücreti düşüldüğünde hesabınızda 50 TL kalıyor. Bu 50 TL, herhangi bir pakete yetmediği için hesabınızda kullanılmadan bekliyor.

Bir sonraki ay tekrar minimum yükleme olan 170 TL’yi yatırdığınızda toplam bakiyeniz 220 TL oluyor. 120 TL’lik paket ücreti çekildiğinde ise 100 TL’niz rehin kalıyor. Bu döngü her ay tekrarlandığında, bakiyeniz giderek artan bir şekilde kullanılmadan hesabınızda kalıyor. Yüzbinlerce abonenin aynı durumu yaşadığını düşündüğümüzde, bu sistem operatörler için milyonlarca liralık bir atıl fon yaratıyor.

Telekom Şirketleri Bu Paraları Nasıl Kullanıyor?

Operatörler, müşterilerin hesaplarında kalan bu kullanılmayan bakiyeleri çeşitli şekillerde değerlendirebilir. Bankalarda faiz geliri elde edebilir, finansal hareketlerinde likidite avantajı sağlayabilir ya da yatırım fonları aracılığıyla değerlendirebilirler. Ancak, bu durum tüketicilerin kendi paralarına tam anlamıyla erişememesi anlamına geliyor ve büyük ölçekli bir müşteri grubunun finansal haklarının zedelenmesine yol açıyor.

Bu Duruma Son Vermek İçin Ne Yapılmalı?

Bu sorunun en temel çözümü, telekomünikasyon şirketlerinin minimum yükleme tutarlarını en düşük paket ücretine denk getirmesi olacaktır. Örneğin, eğer en düşük paket ücreti 120 TL ise, minimum yükleme tutarı da 120 TL olarak belirlenmelidir. Böylece kullanıcılar gereğinden fazla para yüklemek zorunda kalmaz ve hesaplarında kullanılmayan bakiye birikmez.

Özellikle BTK, tüketici dernekleri ve diğer düzenleyici kurumlar, bu konuda operatörler üzerinde baskı kurarak daha adil bir ücretlendirme sisteminin oluşturulmasını sağlamalıdır. Ayrıca, kullanıcıların bilinçlendirilmesi ve şeffaf fiyat politikalarının uygulanması da büyük önem taşımaktadır.

Sonuç Olarak; Tüketicinin Faydası Gözetilmeli

Telekom şirketleri, kullanıcılarını ekonomik olarak zor durumda bırakacak uygulamalardan kaçınmalı ve müşteri odaklı bir hizmet anlayışı benimsemelidir. Tüketiciler ise farkındalıklarını artırarak, bu tür gizli maliyetlere karşı seslerini yükseltmeli ve hakkını aramalıdır. Eğer bu konuda düzenlemeler getirilmezse, her ay milyonlarca liranın gereksiz yere beklediği bu sistem devam edecek ve tüketiciler finansal açıdan zarar görmeye devam edecektir.

Siz de bu konuda bir farkındalık yaratmak için düşüncelerinizi paylaşabilir ve bu uygulamaların değişmesi adına sesinizi duyurabilirsiniz!

Görselin yüksek çözünürlüklü PDF hali için: https://drive.google.com/file/d/1jV6f8uiS6j83LiRfIdP0kZ2h1KkJCzqk/view

Görselin yüksek çözünürlüklü PDF hali için: 
https://drive.google.com/file/d/1rOIekrDzqQRZimjMvzPg3IU4FdufB-02/view

Görev ve Yetkiler

Siber Güvenlik Başkanlığı, ülkemizin siber uzaydaki güvenliğinde geniş bir sorumluluk yelpazesine sahip olacaktır. Görev ve yetkileri şu şekilde özetlenebilir:

1. Politika ve Strateji Geliştirme: Siber güvenlik hedeflerini belirleyerek eylem planları oluşturur ve bu planların uygulanmasını takip eder. Bu kapsamda, kurumlar arası koordinasyon sağlamak, öncelikli tehdit alanlarını tespit etmek ve bu tehditlere yönelik somut çözümler üretmek gibi stratejik adımlar atar. Ayrıca, ulusal ve uluslararası ölçekte siber politikaların geliştirilmesine katkıda bulunur ve standartların belirlenmesinde aktif rol oynar.
2. Farkındalık ve Eğitim: Toplum genelinde siber güvenlik bilincini artırmaya yönelik kapsamlı eğitimler, seminerler ve farkındalık çalışmalarını organize eder. Bu eğitimler, hem bireyler hem de kurumlar için özel olarak tasarlanmış programlar içerir. Okullarda ve üniversitelerde siber güvenlik bilinci oluşturacak ders ve etkinlikler düzenlerken, şirketler ve kamu kurumları için ileri düzey farkındalık seminerleri düzenler. Ayrıca, toplumu bilgilendirmek için dijital platformlarda bilinçlendirme kampanyaları yürüterek gençlerden yaşlılara kadar geniş bir kesime ulaşılmasını sağlar.
3. Yerli ve Millî Teknoloji Geliştirme: Yerli ürünlerin geliştirilmesini teşvik eder ve bu ürünlerin uluslararası pazarda rekabetçi hale gelmesi için girişimcileri destekler. Bu amaca yönelik olarak teknoparklar, kuluçka merkezleri ve start-up ekosistemleriyle yakın işbirliği yapar. Yerli yazılım ve donanımların geliştirilmesi için Ar-Ge merkezlerine destek verirken, finansal ve teknik destek programları oluşturarak girişimcilerin yeni teknolojiler üretmesine olanak tanır. Ayrıca, bu ürünlerin uluslararası pazarlara açılması için pazar analizi, uluslararası tanıtım ve çağdaş ihracat stratejileri geliştirir. Bununla birlikte, ulusal yazılım standartlarının oluşturulmasına öncülük ederek hem iç piyasanın hem de uluslararası arenanın ihtiyaçlarına cevap veren ürünlerin ortaya çıkmasını sağlar.
4. Kriz ve Acil Durum Yönetimi: Siber tehditler için kapsamlı kriz yönetim planları hazırlar, bu planların uygulanabilirliğini sağlamak için periyodik olarak günceller ve test eder. Gerektiğinde, ulusal düzeyde ortak operasyon merkezleri kurarak, tehditlerin daha etkin bir şekilde kontrol altına alınmasını sağlar. Kriz anlarında hızlı yanıt verebilmek için gerçek zamanlı analiz sistemleri geliştirir ve siber tatbikatları yaygın bir şekilde uygular. Ayrıca, uluslararası kriz senaryolarına uygun şekilde müdahale stratejileri geliştirerek, global tehditlere karşı koordinasyon sağlar. Yüksek ihtimalle USOM (Ulusal Siber Olaylara Müdahale Merkezi) bu kapsamda değerlendirilerek Başkanlık bünyesine geçebilir.
5. Ar-Ge ve Teknoloji Transferi: Gerekli teknolojilerin araştırılması ve geliştirilmesi için kapsamlı Ar-Ge çalışmaları yürütür ve teknoloji transferi faaliyetlerinde bulunur. Yerli ve uluslararası Ar-Ge merkezleriyle işbirlikleri kurarak bilgi paylaşımı ve yenilikçi teknolojilerin hızlıca benimsenmesini sağlar. Başkanlık, kritik alanlardaki teknolojik eksiklikleri tespit ederek bu alanlarda Ar-Ge yatırımlarını teşvik eder. Bunun yanı sıra, araştırmaların ticarileştirilmesi için girişimcilere finansal ve danışmanlık desteği sunar. Uluslararası Ar-Ge ortaklıkları kurarak hem bilgi birikimini artırmayı hem de global ölçekte rekabet avantajı sağlamayı hedefler. Ayrıca, üniversitelerle yapılan ortak projeler yoluyla genç yeteneklerin sektöre kazandırılmasını destekler ve bu sayede sürdürülebilir bir teknoloji ekosistemi oluşturur. Burada da TÜBİTAK gibi kurumlar ile ortak çalışmalar yürütecektir.
6. Ulusal ve Uluslararası İşbirlikleri: Kamu, özel sektör ve üniversitelerle işbirliğini teşvik eder ve uluslararası etkinliklere katılımı destekler. Başkanlık, global işbirliklerini artırarak Türkiye’nin uluslararası arenada siber güvenlik alanında lider bir konuma gelmesini hedefler. Bu kapsamda, uluslararası kuruluşlarla ortak projeler geliştirir, bilgi ve deneyim paylaşımı yoluyla küresel standartlara uyum sağlar. Ayrıca, uluslararası siber tatbikatlara katılımı artırarak Türkiye’nin kriz anlarında global koordinasyon yeteneğini güçlendirmeyi amaçlar. Yerel işbirliklerini uluslararası düzeye taşıyacak programlar oluşturarak, Türk teknoloji ürünlerinin dünya pazarında tanınmasını teşvik eder.
7. Çalışma Gruplarının Oluşturulması: Başkanlık, bakanlıklar, kamu kurumları, özel sektör temsilcileri ve uzmanların katılımıyla görev alanına giren konular hakkında çalışma grupları oluşturabilir. Bu gruplar, siber tehditlerin daha etkin bir şekilde ele alınması için ortak çözümler geliştirir. Ayrıca, bu çalışma grupları farklı uzmanlık alanlarından kişileri bir araya getirerek multidisipliner bir yaklaşımla sorunların analiz edilmesini sağlar. Grup çalışmaları sırasında ortaya çıkan öneriler ve çözümler, ulusal düzeyde uygulanabilir politikalar ve stratejiler oluşturmak için bir temel teşkil eder. Başkanlık, bu grupların etkinliğini artırmak için düzenli toplantılar, raporlama süreçleri ve dijital platformlar üzerinden sürekli iletişim mekanizmaları kurar. Burada da Kurumsal SOME (Siber Olaylara Müdahale Ekipleri) ile ortak çalışmalar düzenlenecektir.
8. Düzenleme (Uyum) Görevi: Görev ve sorumluluk alanındaki konularda idari düzenlemeler yapabilir. Mevzuat uyumunu sağlamak için rehberler ve raporlar hazırlar. Bu düzenlemeler, ulusal ve uluslararası standartlara uygunluk gözetilerek hazırlanır ve farklı sektörlerin ihtiyaçlarına özel çözümler sunar. Aynı zamanda, siber tehditlere karşı caydırıcı politikaların geliştirilmesine rehberlik eder. Başkanlık, hazırladığı düzenlemelerin uygulanabilirliğini de izleyerek geri bildirim mekanizmaları kurar ve gerektiğinde bu düzenlemeleri günceller. Bu sayede, dinamik bir düzenleyici rol üter ve siber güvenlik ekosisteminin gelişimini destekler.
9. Yetki Devri: Başkan ve diğer yöneticiler, yetkilerinin bir kısmını alt kademelere devredebilir. Ancak yetki devri, yetki devreden kişinin sorumluluğunu ortadan kaldırmaz. Bu durum, hiyerarşik yapının devamını ve hesap verebilirliği temin eder. Yetki devri sırasında, devredilen yetkilerin kapsamı ve sınırları açık bir şekilde tanımlanır ve yazılı hale getirilir. Böylece, yetki kullanan alt kademelerin sorumluluk alanları netleşir ve yönetim sürecinde etkinlik sağlanır. Ayrıca, devredilen yetkilerin etkili bir şekilde kullanımı için eğitim ve rehberlik sağlanarak yönetim süreçlerinin iyileştirilmesi hedeflenir.
10. Kadro İhdası: Başkanlık için gerekli kadrolar oluşturularak ilgili mevzuata eklenmiştir. Bu kadrolar, uzmanlık alanlarına göre şekillendirilir ve çalışma etkinliğini artıracak yapıda tasarlanır. Her pozisyon, siber güvenlikteki spesifik gereksinimleri karşılamak üzere detaylı yetkinlik tanımlarıyla donatılır ve personelin mesleki gelişimini desteklemek için eğitim programlarıyla güçlendirilir. Ayrıca, yeni kadroların seçiminde çoklu değerlendirme kriterleri kullanılarak en uygun adayların istihdam edilmesi hedeflenir. Bu yaklaşım, hem organizasyonel verimliliği hem de kurumun yenilikçi kapasitesini artırmayı sağlar.

Neden Önemli?

Siber Güvenlik Başkanlığı, Türkiye’nin dijital dönüşüm sürecinde güvenliği ve sürdürülebilirliği sağlamak için stratejik bir role sahiptir.

• Ulusal Güvenlik: Kritik altyapıların korunması ve siber saldırılara karşı savunma sistemlerinin geliştirilmesi, Başkanlığın ana odak noktalarından birisi olacak. Bu kapsamda, enerji, iletişim, finans gibi kritik altyapıların siber tehditlere dayanıklılığını artıracak teknolojik çözümler ve acil durum müdahale planları geliştirilecektir. Ulusal düzeyde siber istihbarat altyapısı oluşturarak tehditlerin önceden tespit edilmesi sağlanacak ve uluslararası tehditlerle ilgili bilgi paylaşımı yapılacaktır.
• Ekonomik Gelişim: Yerli ve millî teknolojilerin teşviki, teknoloji bağımsızlığı ve uluslararası rekabet gücünü artırır. Bunun için yerli teknoloji firmalarına Ar-Ge desteği sağlarken, yurt dışından teknoloji transferini kolaylaştıran yasal düzenlemeler yapılacaktır. Aynı zamanda, yerli yazılım ve donanımların uluslararası pazarlarda tanınırlığını artırmak üzere etkin tanıtım ve sertifikasyon programları düzenlenecektir. Kamu Kurumlarının her ay bir araya geldiği Kamu – Siber Küme toplantıları bu konuda önemli bir örnek diyebiliriz.
• Toplumsal Bilinç: Başkanlık, bireylerin ve kurumların siber tehditlere karşı farkındalığını artırarak güvenli bir dijital toplum oluşturmayı hedefleyecektir. Bu amaca yönelik olarak, okullarda siber güvenlik dersleri koyar, kamu spotları ve bilgilendirme kampanyaları yürüterek genç yaşlardan itibaren bilinç oluşmasını sağlar. Ayrıca, dijital platformlarda bilgilendirici içerikler paylaşarak toplumu siber hijyen konusunda bilgilendirecek ve bilinçli internet kullanımını teşvik edecektir.

Sonuç

Siber Güvenlik Başkanlığı, Türkiye’nin siber savunma altyapısını güçlendiren ve dijital geleceğine yön veren bir lider kurum olacağı aşikar. Ulusal siber güvenlik stratejilerinin hayata geçirilmesinde oynayacağı merkezi rol, yerli teknolojilerin desteklenmesi, uluslararası işbirliklerinin geliştirilmesi ve toplumsal bilincin artırılması gibi alanlarda somut katkılar sağlayacaktır0.

Başkanlık, sadece tehditlere yanıt vermekle kalmayıp, gelecekte ortaya çıkabilecek dijital dönüşüm ihtiyaçlarına da proaktif olarak hazırlık yapacak. Bu kapsamda, yerli teknolojilerin global pazarlarla entegre olmasını sağlarken, kriz anlarında ulusal ve uluslararası düzeyde koordinasyon yürütme kapasitesini de geliştirecektir. Siber tehditlerin karmaşıklığı artarken, Başkanlığın yenilikçi yaklaşımları, Türkiye’nin siber güvenlik alanında öncü bir konuma ulaşmasında anahtar rol oynayacaktır.

Küçük bir eleştiri olarak; “Siber güvenlik” şüphesiz çok önemli bir kavram. Ancak daha geniş bir çerçeve çizebilmek adına, “Bilgi Güvenliği” (Information Security) gibi bir isim, belki de daha kapsayıcı olabilirdi. Çünkü bilgi güvenliği, yalnızca siber tehditlerle sınırlı kalmıyor; fiziksel güvenlikten insan faktörüne kadar pek çok boyutu içeriyor ve farkındalık çalışmalarında daha geniş bir alana hitap edebiliyor. Bu nedenle, böyle bir isim tercih edilseydi, kurumun görev alanını daha net ve kapsamlı bir şekilde ifade edebilirdi diye düşünüyorum.

Bu elbette benim kişisel görüşüm. Ancak isimler bazen sadece bir kelimeden ibaret olmuyor; aynı zamanda bir vizyonu yansıtıyor. Daha kapsayıcı bir adlandırma, hem kurumun misyonuna hem de topluma daha güçlü bir mesaj verebilirdi.

Son olarak, Siber Güvenlik Başkanlığı’nın etkinliği, sadece ulusal düzeyde değil, aynı zamanda Türkiye’nin uluslararası arenadaki itibari ve gücü için kritik bir dayanak noktası haline gelecek. Bu nedenle, Başkanlık, Türkiye’nin dijital geleceğini şekillendiren stratejik bir rehber ve lider kurum olarak öne çıkacaktır diye düşünüyorum.

Push Bildirim Suistimali Nasıl Gerçekleşir?

1. API Anahtarlarının Ele Geçirilmesi: Push bildirimlerini yönetmek için kullanılan API anahtarlarının saldırganlar tarafından ele geçirilmesi durumunda, sahte bildirimler gönderilebilir. Örneğin, Firebase Cloud Messaging (FCM) gibi hizmetlerde bu tür saldırılar yaygındır. API anahtarlarının ele geçirilmesi durumunda, saldırganlar istedikleri içeriği bildirim olarak gönderebilir, bu da kullanıcılar için yanıltıcı ve tehlikeli sonuçlar doğurabilir.
2. Sunucu Güvenlik Açıkları: Uygulamanın bildirim sunucularında zafiyetler varsa, saldırganlar bu açıkları kullanarak yetkisiz bildirimler gönderebilir. Yanlış yapılandırılmış sunucular buna örnek olabilir. Örneğin, bir sunucuda erişim kontrolleri yeterli düzeyde değilse, bu sunucu kötüye kullanılabilir ve çok sayıda sahte bildirim gönderilebilir.
3. Kötü Amaçlı Yazılım veya Man-in-the-Middle (MitM) Saldırıları: Zararlı yazılımlar, kullanıcı cihazındaki bildirimleri manipüle edebilir. Ayrıca, saldırganlar cihaz ve sunucu arasındaki trafiği dinleyerek sahte bildirimler enjekte edebilir. Bu tür saldırılar, genellikle zayıf şifreleme protokolleri veya güvenli olmayan ağ bağlantıları kullanılarak gerçekleştirilir.
4. Sahte Uygulamalar: Kullanıcı, güvenilir gibi görünen ancak aslında zararlı olan sahte bir uygulama yüklemiş olabilir. Bu uygulama, sahte bildirimler göndererek kullanıcıyı yanıltabilir. Sahte uygulamalar genellikle popüler uygulamaların taklit edilmiş sürümleri olarak kullanıcıların cihazlarına yüklenir.

Push Suistimalinin Riskleri

• Dolandırıcılık: Kullanıcılardan para talep eden sahte mesajlar gönderilebilir. Bu tür bildirimler genellikle aciliyet duygusu yaratmayı hedefler ve kullanıcıları hızla harekete geçmeye zorlar. Özellikle, bu tür bildirimler kullanıcıların güvenini suistimal ederek finansal zarar görmelerine neden olabilir. Sahte mesajlar genellikle gerçek bir markanın adı veya logosu kullanılarak gönderilir, böylece kullanıcıların şüphelenmesi zorlaşır.
• Kimlik Avı (Phishing): Kullanıcıların kişisel bilgilerini çalmak için sahte bağlantılar içeren bildirimler kullanılabilir. Bu bildirimler, sahte web sitelerine yönlendirerek kullanıcı bilgilerini ele geçirmeyi amaçlar. Bu tür saldırılar genellikle bankalar, ödeme hizmetleri veya sosyal medya platformları gibi popüler hizmetlerin taklit edilmesiyle yapılır. Kullanıcılar, sahte bildirimlerde bulunan bağlantılara tıklayarak bilgilerini farkında olmadan paylaşabilirler.
• Kötü Amaçlı Yazılım Dağıtımı: Zararlı yazılımları indirmek için sahte bildirimlerle kullanıcılar hedef alınabilir. Bu tür saldırılar, kullanıcıların cihazlarına zarar verebilir ve hassas bilgileri çalabilir. Kötü amaçlı yazılımlar, genellikle arka planda çalışarak kullanıcıların fark etmesini zorlaştırır ve cihazın işlevselliğini olumsuz etkiler. Ayrıca, bu yazılımlar başka saldırılar için bir “botnet” ağı oluşturmak amacıyla da kullanılabilir.
• Marka İtibarına Zarar: Uygulama adını kullanan sahte bildirimler, marka güvenilirliğini sarsabilir. Bu, kullanıcıların ilgili markaya olan güvenini kaybetmesine neden olabilir. Örneğin, kullanıcılar bir markanın adı altında dolandırıldıklarında, bu markanın doğrudan bir suçu olmasa bile, müşteri memnuniyeti ve güven duygusu zarar görür. Bu durum, markanın uzun vadeli müşteri ilişkilerini olumsuz etkileyebilir.
• Veri Gizliliği İhlalleri: Sahte bildirimlerle kullanıcıların cihazlarından veriler ele geçirilebilir. Kullanıcıların kişisel bilgilerinin yanı sıra, cihazlarındaki uygulama içeriği ve diğer hassas veriler saldırganların eline geçebilir. Bu tür ihlaller, sadece bireyler için değil, aynı zamanda veri koruma yasaları çerçevesinde şirketler için de büyük yasal ve mali sorumluluklar doğurabilir.

Suistimale Karşı Alınabilecek Önlemler

Kullanıcı Tarafında Alınabilecek Önlemler

1. Resmi Kaynakları Kullanma: Uygulamaların yalnızca resmi mağazalardan (Google Play Store, App Store vb.) indirildiğinden emin olun. Resmi olmayan kaynaklardan indirilen uygulamalar zararlı yazılımlar içerebilir.
2. Uygulamaları Güncelleyin: Güvenlik açıkları genellikle eski uygulamalarda bulunur. Güncel uygulamalar daha güvenlidir. Uygulamaların otomatik güncelleme seçeneği etkinleştirilmelidir.
3. Bildirim İzinlerini Kontrol Edin: Ayarlar menüsünden hangi uygulamaların bildirim gönderebileceğini kontrol edin. Gereksiz izinlere sahip uygulamaları devre dışı bırakın.
4. Kötü Amaçlı Yazılım Taraması: Güvenilir bir mobil güvenlik yazılımı kullanarak cihazınızı düzenli olarak tarayın. Ayrıca, cihazınıza yüklediğiniz uygulamaların izinlerini ve kaynaklarını inceleyin.
5. Kullanıcı Bilinçlendirme: Kullanıcılar, sahte bildirimlerin nasıl göründüğünü anlamalı ve şüpheli durumlarda profesyonel yardım almalıdır.

Geliştiriciler ve Sistem Yöneticileri Tarafından Alınabilecek Önlemler

API Anahtarlarının Güvenliği

• API anahtarlarını şifrelenmiş bir şekilde saklayın ve düzenli olarak değiştirin.
• Anahtar erişimini yalnızca yetkili sistemlere sınırlayın. API kullanımı için ek doğrulama mekanizmaları uygulayın.
• Ayrıca, API anahtarlarının kullanımı ve erişim sıklığı analiz edilmelidir. Şüpheli kullanım durumlarında hızlı müdahale sağlanmalıdır.

Sunucu Güvenliği

• Bildirim gönderim sunucularında kimlik doğrulama mekanizmalarını etkinleştirin.
• Güvenlik açıklarını tespit etmek için düzenli penetrasyon testleri yapın. Sunucu günlükleri düzenli olarak incelenmelidir.
• Sunucuların ağ trafiği izlenerek anormal aktiviteler tespit edilmeli ve olası saldırılar için erken uyarı sistemleri geliştirilmelidir.

Anormal Trafik İzleme

• Bildirim gönderim isteklerini analiz ederek şüpheli aktiviteleri tespit edin. Şüpheli davranış tespit edildiğinde hızlı müdahale mekanizmaları oluşturulmalıdır.
• Ayrıca, anormal trafik verilerini yapay zeka destekli analiz araçlarıyla değerlendirmek daha hızlı ve etkili sonuçlar sağlayabilir.

Uçtan Uca Şifreleme

• Bildirim içeriklerini şifreleyerek gönderin. Bu, bildirimlerin üçüncü taraflarca ele geçirilmesini zorlaştırır.
• Bildirim şifreleme protokolleri düzenli olarak güncellenmeli ve en son güvenlik standartları uygulanmalıdır.

Şüpheli Bildirimler için Raporlama Mekanizması

• Kullanıcıların, şüpheli bildirimleri kolayca rapor edebileceği bir sistem oluşturun. Bu sistemler, kullanıcıların güvenlik tehditlerini hızlı bir şekilde bildirmesini sağlar.
• Kullanıcı geri bildirimlerini analiz eden bir destek ekibi kurularak, olası tehditlere karşı daha proaktif yaklaşımlar geliştirilebilir.

Güvenlik Eğitimleri

• Geliştiricilere düzenli güvenlik eğitimleri verilerek güvenli kod yazımı teşvik edilmelidir.
• Eğitimlerde, gerçek hayattan örnekler ve en iyi güvenlik uygulamaları paylaşılmalı; ayrıca uygulamalı eğitimler düzenlenmelidir.

Vakalar

Aşağıdaki ekran görüntüleri, push bildirim suistimaline dair gerçek hayattan örnekler barındırıyor. Bu örnekler, kullanıcıların sahte bildirimler yoluyla nasıl hedef alınabileceğini bizlere örnekliyor.

Örnek 1:

Bir kamu hizmet uygulamasından gönderilen sahte bildirim içeriğinde:

• “Eğer bu BTC adresine $25,000 göndermezseniz tüm veriyi paylaşacağım” mesajı mevcut.
• Bu tür mesajlar, dolandırıcılık amacı taşır ve genellikle sahte BTC adresleriyle kullanıcıları tuzağa düşürmeyi hedefler. Kullanıcılar, böyle bir durumda bildirimleri göz ardı etmeli ve durumu yetkili makamlara bildirmelidir.

Örnek 2:

Bir sigorta firmasının uygulamasından gelen sahte bildirim içeriğinde:

• Anlamsız ve uygunsuz içerikler mevcut.
• Bu, bildirim altyapısının ele geçirilmiş olabileceğini veya sunucu güvenlik açıkları olabileceğini gösterir. Bu durum, sistemlerin acilen gözden geçirilmesi gerektiğini işaret eder.

Push bildirim suistimalleri, hem kullanıcılar hem de uygulama geliştiriciler için ciddi bir tehdit oluşturmaktadır. Bu tehditler, hem bireylerin kişisel güvenliğini hem de şirketlerin itibarı ve veri güvenliğini doğrudan etkileyebilir. Özellikle mobil uygulamaların yaygınlaşmasıyla birlikte, sahte bildirimler ve kötüye kullanım girişimlerinin artması, bu konuya daha fazla dikkat edilmesini gerektiriyor.

Yukarıdaki önlemler, bu tehditlere karşı daha güvenli bir ortam sağlamak için temel adımları temsil eder. Bu adımların uygulanması, hem bireysel kullanıcıların kendilerini korumasını hem de kurumsal sistemlerin bu tür saldırılara karşı dayanıklı hale getirilmesini sağlar.

Ek olarak, düzenli güvenlik eğitimleri, farkındalık kampanyaları ve kullanıcı geri bildirimlerinin dikkatle analiz edilmesi gibi yöntemlerle, bu tehditlerin etkisi daha da azaltılabilir. Teknolojinin sürekli değişen doğası göz önüne alındığında, hem bireysel hem de kurumsal düzeyde farkındalığın artırılması, gelişmiş güvenlik çözümlerinin benimsenmesi ve sürekli izleme yöntemlerinin uygulanması gereklidir. Bu sayede, push bildirim suistimallerinin oluşturabileceği riskler en aza indirilebilir ve daha güvenli bir dijital ekosistem sağlanabilir.

Hadi başlayalım!

Sorun Tanımı

Bir senaryo düşünelim: Tesla’nın web sitesinde 2017 yılından önce yayınlanmış, “email address” (e-posta adresi) veya “contact information” (iletişim bilgisi) anahtar kelimelerini içeren ve belirli belge formatlarında (xlsx, doc, docx, odt, pdf, rtf, sxw, psw, ppt, pptx, pps ve csv) arama yapmanız gerekiyor.

Bu arama için kullanılacak gelişmiş Google sorgusu şöyle olacaktır:

site:tesla.com “email address” OR “contact information” filetype:xlsx | filetype:doc | filetype:docx | filetype:odt | filetype:pdf | filetype:rtf | filetype:sxw | filetype:psw | filetype:ppt | filetype:pptx | filetype:pps | filetype:csv before:2017

Ancak, bu tür karmaşık Google Dork’larını yazmak ve ezberlemek zor olabilir ve OSINT (Açık Kaynak İstihbaratı) araştırmalarının verimliliğini azaltabilir.

ChatGPT kullanarak işimizi kolaylaştıralım

1. Adım: ChatGPT ile Çözüm

ChatGPT’yi açarak şu şekilde bir soru sorabilirsiniz:

Tesla’nın web sitesinde 2017’den önce yayımlanmış ve ’email address’ veya ‘contact information’ içeren tüm belge türlerini de barındıran bir Google Dork sorgusu oluşturur musun? Lütfen Google Dork kurallarına dikkat et.

ChatGPT, yukarıdaki sorguyu sizin için otomatik olarak oluşturacaktır. (Resimde belirtilen “Kodu Kopyala” düğmesini kullanarak kolayca kopyalayabilirsiniz.

2. Adım: Google Araması ve Sorgu Modifikasyonu

Üstteki kodu Google arama çubuğuna yapıştırın ve sonuçları inceleyin. Gereksinimlerinize göre sorguyu daha da özelleştirebilirsiniz.

3.Adım: Sorgu Modifikasyonu Örneği:

Tesla’nın 2022’den sonra yayımlanan “annual report” (yıllık rapor) belgelerini PDF formatında bulmak için sorguyu şu şekilde değiştirebilirsiniz:

Yine kodu kopyalayıp Google’da arama yaptığınız zaman aşağıdaki sonucu alıyoruz.

Uygulamalı Farklı Bir Örnek

ChatGPT’ye şu tür sorular da sorabilirsiniz:

2019 yılında yayımlanmış Birleşik Krallık hükümetinin iklim değişikliği raporlarını PDF formatında bulmak için bir Google Dork sorgusu oluştur.

Sonuç

İlgili yazı, infosecwriteups web sitesindeki “Enhance Your Google Dorking Skills with ChatGPT” başlıklı yazının çevirisidir.

Keyifli okumalar.

Görselin yüksek çözünürlüklü PDF hali için: 
https://drive.google.com/file/d/1O1WGbWLGL0I8OHTTXwolkUbzvhxAaqzz/view