Türkiye'de Penetrasyon Testi Standartları: 7 Maddeli Kurumsal Rehber

Penetrasyon testi, sözleşmede yazan "siber güvenlik denetimi" maddesinin teknik karşılığıdır. Kurumun sistemlerine yetkilendirilmiş bir saldırgan gibi giriş denenir, gerçek saldırganın hangi yollarla içeri girebileceği belgelenir, açıklar düzeltilmek üzere raporlanır. Türkiye'de pentest pazarı son beş yılda hızla olgunlaştı; ama hangi standardın hangi sektör için zorunlu olduğu, doğru tedarikçinin nasıl seçileceği, raporun ne içermesi gerektiği konularında pratik bilgi hâlâ dağınık.

Bu yazı, Türkiye'de penetrasyon testi yaptıracak kurumların bilmesi gereken 7 maddelik kurumsal rehberi anlatıyor. Hukuki çerçeve, teknik standartlar, tedarikçi seçimi ve sonrasında uygulanacak süreç birlikte. Bizim siber güvenlik hizmetleri ekibimizin son 36 ayda yürüttüğü 40+ pentest projesinden çıkardığı pratik bulguları sırayla paylaşıyoruz.

1. Düzenleyici çerçeve — kim zorunlu kim değil

Türkiye'de pentest yapma yükümlülüğü tek bir kanun değil, birden çok düzenleyicinin kesişiminde tanımlanır. Sektörünüzü doğru kategoriye yerleştirmek, hem kapsamı hem bütçeyi belirler.

BDDK düzenlemesine tabi kuruluşlar (bankalar, ödeme/elektronik para kuruluşları): BDDK Bilgi Sistemleri Yönetmeliği md.31 + Bağımsız Denetim Tebliği gereği yılda en az bir kez dış pentest zorunlu. Test ekibinin BDDK onaylı denetim firmasından olması veya en az ISO 27001 sertifikalı bağımsız uzman olması istenir. Rapor 3 yıl saklanır, BDDK denetiminde sunulur.

EPDK düzenlemesine tabi enerji kuruluşları: 2024 tarihli EPDK Bilgi Güvenliği Yönetmeliği elektrik dağıtım, üretim ve doğal gaz şirketleri için yıllık pentest + SCADA/OT ortamlarına özel test gerektirir. SCADA testleri özel uzmanlık ister; standart IT pentest ekibi yetmez.

KVKK kapsamında özel nitelikli kişisel veri işleyen kuruluşlar (sağlık, hukuk, biyometrik sistem işleten kurumlar): KVKK md.12 "veri güvenliği için her türlü teknik tedbir" ifadesi, KVKK Kurulu mütalaalarında düzenli pentest olarak yorumlanır. Açık zorunluluk yok, ama denetim sırasında "yıllık pentest yaptınız mı?" sorusuna "hayır" cevabı idari yaptırım riskini ciddi artırır.

TS 13638 (Bilgi güvenliği — sızma testi metodolojisi): Türk Standartları Enstitüsü tarafından yayınlanan, devlet kurumları ihalelerinde sıklıkla atıf yapılan standart. A/B/C seviye sızma testi tanımı içerir — A en kapsamlı (10+ iş günü), C en hafif (1-3 iş günü). Kamu ihalelerine giriyorsanız bu seviyeleri öğrenmeniz gerekir.

Düzenlemeye tabi olmayan kurumlar: Zorunluluk yok ama fiili baskı var. Siber sigorta poliçeleri yıllık pentest şart koşar, büyük kurumsal müşteriler tedarikçi soru formlarında "son pentest tarihi" sorar, yatırımcı due diligence süreçlerinde de standart hâle geldi.

2. Standart seçimi — PTES, OWASP, NIST hangisi?

Üç temel pentest standardı vardır; ihaleye girerken veya tedarikçi seçerken doğru çerçeveyi belirtmek kapsamı net kılan ilk adımdır.

PTES (Penetration Testing Execution Standard): Endüstri-bağımsız genel pentest metodolojisi. Yedi aşamadan oluşur: pre-engagement, intelligence gathering, threat modeling, vulnerability analysis, exploitation, post-exploitation, reporting. Hem ağ hem uygulama testleri için. Çoğu Türk pentest firması varsayılan olarak PTES'i kullanır.

OWASP (Open Web Application Security Project): Web uygulaması odaklı. OWASP Top 10 (en yaygın 10 web açığı kategorisi) + OWASP Testing Guide (300+ test senaryosu) + OWASP ASVS (Application Security Verification Standard, 14 başlık × seviye 1/2/3). Web/API testleri için PTES'ten daha derindir.

NIST SP 800-115 (Technical Guide to Information Security Testing): ABD federal standardı; daha çok büyük ağlar, kurumsal altyapı için. Türkiye'de daha az talep edilir ama uluslararası müşteri portföyü olan kurumlar için faydalı.

Pratik kombinasyon: Kurumsal müşterilerimize önerimiz PTES çerçeve + OWASP içerik testleri ikilisi. Web/API kısımları OWASP ASVS Level 2'ye göre, ağ/altyapı PTES'e göre test edilir. Bu yaklaşım hem genişlik hem derinlik sağlar.

Sözleşmede hangi standardın kullanılacağı yazılı olmalıdır. "İyi pratiklere göre yapılacaktır" cümlesi yetersizdir — denetimde "iyi pratik" kim tarafından tanımlandı sorusuna cevap vermek zordur.

3. Black box vs gray box vs white box — hangisi ne zaman

Üç test tipi farklı amaca hizmet eder; doğru tipi seçmek, doğru sonuca götürür.

Black box: Test ekibine sıfır önbilgi verilir. Sadece hedef URL/IP listesi. Dış saldırgan simülasyonu — gerçekçi ama yüzeysel. Açık tarama 2-3 iş günü içinde tamamlanır; bulguların büyük kısmı keşif aşamasında bulunur, derin mimari açıklar atlanır.

Gray box: Standart kullanıcı hesabı yetkisi verilir, mimari özet sunulur, ama kod erişimi yok. En yaygın B2B seçim. İçeriden + dışarıdan birleşik tehdit modeli — gerçek saldırganın sızdırıldığı kullanıcı kimlik bilgisiyle ne yapabileceğini test eder. 5-10 iş günü.

White box: Kaynak kod + mimari diyagram + admin hesabı verilir. Derinlemesine inceleme — bulunan açık sayısı black box'a göre 3-5 kat daha fazla. 10-20 iş günü. KVKK denetim hazırlığı, kritik altyapı ilk pentest'i, M&A teknik due diligence için en uygun.

Pratik seçim kuralı:

Red team simülasyon hizmetimiz, klasik pentest'ten farklı olarak belirli bir hedefe (örn. müşteri verisini sızdırmak) odaklanır; sosyal mühendislik dahil tüm yolları kullanır. Klasik pentest açık bulur, Red team savunma kapasitenizi test eder. İkisi farklı amaca hizmet eder, birbirinin yerine geçmez.

4. Kapsam tanımı — pre-engagement faz

Pentest projesinin en sık tartışılan kısmı kapsam tanımıdır. Yetersiz kapsam → test kapsam dışı kaldığı için kritik açık görülmez; aşırı kapsam → test gereksiz uzar, fiyat şişer.

Asgari kapsam tanım belgesi şu altı başlığı içermelidir:

1. Test edilecek varlıklar: URL/IP listesi, API endpoint'leri, mobil uygulama versiyonları. Wildcard ("*.example.com") yerine net liste.
2. Test edilmeyecek varlıklar (exclusions): Üçüncü parti SaaS'lar (Google Workspace, Microsoft 365), prod CRM, yedek sunucular. Yanlışlıkla test edilirse iş süreklilik etkisi olabilir.
3. Test pencereleri: Saat aralığı (örn. 02:00-06:00 mesai dışı) + hafta günleri. Üretim trafiğine etkiyi minimize etmek için.
4. Test edilmeyecek payload'lar: Denial of Service (DoS), kullanıcı verisi indirme, fiziksel saldırı simülasyonu. Sözleşmede açıkça yasaklı.
5. Acil durum protokolü: Test sırasında prod kesinti olursa kim aranır, hangi hat üzerinden, test durdurma kriterleri.
6. İletişim kanalları: Günlük status raporları, kritik bulgu acil bildirim hattı (genelde 4 saat içinde).

Bu belge pentest başlamadan önce her iki tarafça imzalanmalı. Sonradan değişiklik olursa change request süreci işletilir; sözlü mutabakat geçerli değildir.

5. Rapor formatı — kanıt zinciri ve tekrar üretilebilirlik

İyi bir pentest raporunun ortak özelliği, bulguların tekrar üretilebilir olmasıdır. "X URL'sinde SQL injection var" cümlesi yeterli değil; geliştirici aynı isteği yapıp aynı sonucu görebilmelidir.

Standart bir pentest raporunun beş ana bölümü:

Bölüm 1 — Yönetici özeti (1-2 sayfa). Teknik olmayan dilde: kaç bulgu var, kaçı critical/high/medium/low, risk skoru özet grafik, iş etkisi yorumu. Üst yönetim okur, karar verir.

Bölüm 2 — Kapsam ve metodoloji. Hangi sistemler test edildi, hangi standart kullanıldı (PTES + OWASP Level 2 vb.), hangi araçlar (Burp Suite, Nmap, Metasploit, özel scriptler), test pencereleri. Tekrar denetlenebilirlik için.

Bölüm 3 — Bulgular tablosu (CVSS 3.1 skoru sıralı). Her bulgu için: ID + başlık + risk seviyesi + etkilenen varlık + CVSS skoru. Toplam bir bakışta tüm bulguları gösterir.

Bölüm 4 — Her bulgu için detay sayfa:

• Açıklama (1 paragraf, teknik dilde)
• Etki: Bu açık istismar edilirse ne olabilir? Veri sızıntısı? Hesap ele geçirme? Sistem erişimi?
• Reproduce adımları: Tam URL + HTTP method + headers + payload + beklenen yanıt
• PoC (Proof of Concept): Ekran görüntüsü, HTTP trafiği (Burp export), video kaydı
• Önerilen düzeltme: Spesifik. "Input validation yapın" değil — "Şu fonksiyonda şu kütüphaneyi şu şekilde kullanın".
• Referanslar: OWASP/CWE/CVE numarası

Bölüm 5 — Yeniden test sonuçları. Düzeltmeden sonra yapılan re-test sonucu. Hangi bulgular kapandı, hangileri kısmen kapandı, hangileri açık kaldı. Pentest tedarikçisi 30 gün içinde ücretsiz yeniden test sağlamalı.

Bu yapıya uymayan rapor, olay müdahale ekibimizin ileride bir ihlal sonrası referans olarak kullanması zorlaşır. Rapor kalitesi, ihlal sonrası kovuşturmanın hızını doğrudan etkiler.

6. Tedarikçi seçim kriterleri — 7 madde

Pentest tedarikçisi seçerken bakmanız gereken 7 somut kriter:

1. Ekip sertifikaları: OSCP (Offensive Security Certified Professional) minimum, OSCE/OSEP/OSWE üst seviye, eMAPT mobil uzmanlığı, GIAC sertifikaları. Test edecek mühendisin CV'si istenir — proje yöneticisinin sertifikası yeterli değil.
2. Sektörel deneyim: Bankacılık testi yapan firma SCADA için her zaman uygun değil. Tedarikçinin son 12 ayda sizin sektörünüzde kaç test yaptığını sorun.
3. Metodoloji belgelendirmesi: Yazılı pentest metodolojisi var mı? PTES'e mi OWASP'a mı dayalı? Yıllar içinde güncellenmiş mi?
4. Araç inventarisi: Burp Suite Professional + Nessus + Metasploit Framework + Cobalt Strike (red team için) + özel scriptler — açıklı bir araç listesi olmalı.
5. Insurance + NDA: Profesyonel sorumluluk sigortası (asgari 1M TL teminat) + sıkı NDA + test sırasında oluşacak veri ihlali için sorumluluk maddesi.
6. Re-test politikası: 30 gün içinde ücretsiz mi? 60? Yeniden test scope'unu kim belirler?
7. Referans testleri: Son 3 müşterinin doğrulanabilir referansı; mümkünse pentest raporu (anonimleştirilmiş) örneği.

Yedi kriterin tamamına yeşil cevap veren firma azdır; en az 5 yeşil + 2 sarı bayrak ile çalışılabilir. Sarı bayraklı alanların projeniz için kritik olup olmadığını siz değerlendirin.

7. Pentest sonrası — düzeltme döngüsü ve SLA

Pentest raporu bir başlangıçtır, bitiş değildir. Asıl mühendislik işi düzeltme aşamasındadır. Endüstri standardı düzeltme SLA'ları:

Mitigation ≠ fix. Mitigation kısa vadeli risk azaltma (WAF kuralı, IP block, geçici özelliği kapatma); fix kalıcı kod/konfigürasyon düzeltmesidir. Critical bulgu için ikisi de gerekli.

Düzeltme sürecinde iç süreç dosyalama kritik. Her bulgu için bir ticket açın, sorumlu kişi atayın, deadline koyun, fix doğrulamasını kim yapacak belirleyin. Bizim önerimiz: pentest tedarikçisi düzeltme planı için 30 dakikalık ücretsiz teknik danışma sunmalı; geliştirici ekibinizin "şunu nasıl kodla düzeltiriz" sorusuna cevap için.

Yeniden test (re-test), 30 gün içinde aynı tedarikçiden ücretsiz alınır. Re-test raporu orijinal raporun ekidir; "kapanan bulgular" + "açık kalan bulgular" + "yeni keşfedilen bulgular" (re-test sırasında bazen yeni açıklar bulunur) üç sütun.

Düzeltme tamamlandıktan sonra SOC ekibimiz tarafından monitoring sinyalleri kurulur — kapatılan açığa yeniden saldırı girişimi olursa hemen tespit edilir. Bu, pentest döngüsünü sürekli güvenlik operasyonuna bağlayan halka olur.

Karar matrisi: hangi sıklıkla pentest yaptırmalı

Pentest sıklığı sektöre, regülasyona ve risk profiline göre değişir:

Pentest yaptırma kararı bütçe değil risk sorusudur. Bir kritik ihlalin ortalama maliyeti (KVKK cezası + müşteri kaybı + itibar zararı), yıllık pentest maliyetinin 20-50 katıdır. Bu hesap yapıldığında, pentest "lüks" değil "düşük maliyetli sigorta"dır. Hesabı kendi kurumunuz için yapın, üst yönetiminize bu çerçevede sunun — kabul edilme oranı belirgin biçimde artar.

Sonraki adım

Kurumunuz için pentest planlıyorsanız — ya yıllık rutin için, ya regülasyon zorunluluğu için, ya yeni ürün lansmanı öncesi — yukarıdaki 7 maddeyi kendi senaryonuza göre değerlendirin. Hangi standardın uygun olduğu, hangi tipin (black/gray/white) öncelik kazandığı, hangi tedarikçi kriterinin sizin için kritik olduğu — bu sorular ucundan ucuna ekiple birlikte cevaplanır.

İletişim sayfamız üzerinden pentest ön görüşmesi talep edebilirsiniz; ücretsiz 45 dakikalık görüşmede kapsam taslağı + bütçe aralığı + standart önerisi paylaşıyoruz. Görüşme sonunda pentest yapıp yapmama, hangi tedarikçiyle yapma kararını siz alırsınız; bizim önerimiz sadece bir referans noktasıdır.

Bu yazının sıradaki devamı için planlanan başlıklar blog sayfamızda duyurulacak: "Red Team simülasyonu pratik rehberi" ve "SOC kurulumu — 90 günlük yol haritası". Sizin için öncelikli bir konu varsa, ön görüşmede belirtmeniz halinde ilgili teknik materyalleri paylaşabiliriz.