Yapay Zeka Çağında Kamu Siber Güvenliği Alarm Veriyor

726 siber güvenlik olayı. Tayvan'ın devlet kurumları geçen yıl bu kadar olay raporladı ve bunların yüzde 68,6'sı yetkisiz erişim girişimiydi. Tablo ilk bakışta tek bir ülkenin sorunu gibi duruyor. Oysa yapay zeka destekli saldırıların hızlandığı bir dönemde, kamu kurumlarının karşılaştığı tehdit küresel bir örüntüye dönüşüyor. Bu yazıda Tayvan verisi, otonom saldırı vakaları, savunma yöntemleri ve Türkiye'deki tablo ele alınıyor.

Tayvan'ın 726 Olaylık Tablosu Ne Anlatıyor?

Taipei Times'ta yayınlanan habere göre Tayvan'ın devlet kurumları geçen yıl 726 siber güvenlik olayı raporladı. Bu sayı 2024'teki 755 olaya kıyasla hafif bir düşüşü gösteriyor. Verilerin kaynağı, ülkenin Siber Güvenlik İdaresi.

Olaylar etkilerinin şiddetine göre 1'den 4'e kadar sınıflandırılıyor. Raporlanan olayların yüzde 87,33'ü en hafif kategori olan seviye 1, yüzde 9,78'i seviye 2 ve yüzde 2,89'u seviye 3 olarak kaydedildi. En ağır kategori olan seviye 4'te hiçbir olay yaşanmadı.

Olay tipleri açısından tablo daha çok şey anlatıyor. Yetkisiz erişim girişimleri yüzde 68,6 ile listenin başında. Ardından yüzde 15,43 ile ekipman arızaları, yüzde 4,96 ile hizmet kesintileri ve yüzde 2,48 ile web sayfası saldırıları geliyor. Olayların üçte ikisinin yetkisiz erişim olması, saldırganların hedefe sızma kapasitesinin teknik arızalardan daha baskın bir risk haline geldiğini ortaya koyuyor.

Seviye dağılımı da kendi başına bir mesaj taşıyor. Olayların büyük bölümünün en hafif kategoride kalması ve seviye 4'te hiçbir vakanın görülmemesi, kurumların kritik sistemlerinde yıkıcı bir ihlal yaşamadığını gösteriyor. Toplam olay sayısının bir yıl içinde 755'ten 726'ya gerilemesi de tehdidin yön değiştirdiği anlamına gelmiyor; saldırı tipinin sızma odağına kaydığı bir tabloda nicelik değil nitelik öne çıkıyor.

Kamu Kurumlarını Hedef Alan Dört Büyük Tehdit

Tayvan'ın Siber Güvenlik İdaresi, kamu kurumlarının karşılaştığı dört temel tehdidi de tanımladı. Bu liste, kamu sektörü güvenlik açıklarının nereden geldiğini görmek açısından somut bir harita sunuyor.

Sahte mesajlaşma uygulamaları: Yeni alınan kurum bilgisayarlarına, kullanıcıların kötü amaçlı taklit edilmiş mesajlaşma uygulamalarını indirmesi durumunda arka kapı programları yerleştirilebiliyor.

Bring-your-own-driver tekniği: Saldırganlar ana sisteme yetkisiz erişim sağlayıp, güvenlik korumalarını devre dışı bırakan bir sürücü yükleme yöntemiyle tespit edilmekten kaçınabiliyor.

Bakım yüklenicileri üzerinden sızma: Sistem bakımını üstlenen yükleniciler web sunucusuna uzaktan erişim yazılımı kurduğunda, saldırganlar parola deneme yanılma yöntemiyle kurumun web sitesine erişebiliyor.

Ağ uç cihazı zafiyetleri: Ağ uç cihazlarındaki açıklar veya yanlış yapılandırma riskleri, kötü amaçlı bağlantı etkinliklerine zemin hazırlayabiliyor.

İdarenin önerileri de bu tehditlere göre şekilleniyor: tüm yazılım ve donanım kurulumları için onay zorunluluğu, düzenli zafiyet taramaları ve yama uygulaması, web uygulama güvenlik duvarları ve güncel uç nokta koruması. Bu vektörlerin teknik arka planı, yapay zeka güvenliği tartışmalarındaki veri ve erişim kontrolü ilkeleriyle de doğrudan kesişiyor.

Yapay Zeka Saldırıları Nasıl Bu Kadar Hızlandı?

Tayvan'ın tablosu kamu kurumlarının zaten yoğun bir tehdit altında olduğunu gösteriyor. Yapay zeka bu tabloyu yeni bir hıza taşıyor. Business Wire üzerinden yayınlanan CrowdStrike 2026 Global Threat Report verilerine göre yapay zeka destekli saldırılar yıllık bazda yüzde 89 arttı.

Aynı raporda saldırganların bir ağa ilk erişimden yanal harekete geçmesi anlamına gelen ortalama sızma süresi 2025'te 29 dakikaya düştü. Gözlemlenen en hızlı sızma yalnızca 27 saniye sürdü. Rapor, saldırganların 90'dan fazla kurumda üretken yapay zeka araçlarına kötü amaçlı prompt enjekte ettiğini de belgeliyor.

IBM tarafı da benzer bir hızlanmaya işaret ediyor. Infosecurity Magazine'de aktarılan IBM X-Force 2026 Threat Intelligence Index raporuna göre halka açık uygulamalara yönelik saldırılar yüzde 44 arttı. Zafiyet istismarı, gözlemlenen olayların yüzde 40'ıyla en yaygın ilk erişim yöntemi oldu. Aktif fidye ve şantaj grupları yıllık yüzde 49 büyüdü. Aynı raporda, bilgi çalan zararlı yazılımların 300 binden fazla ChatGPT kimlik bilgisinin sızmasıyla ilişkilendirildiği belirtildi.

Tablodaki ortak nokta net: saldırganlar yeni taktikler icat etmiyor, mevcut taktikleri yapay zeka ile hızlandırıyor. Keşif, parola çalma ve istismar süreçleri otomatikleşince, bir zafiyetin açıklanması ile aktif olarak istismar edilmesi arasındaki süre kısalıyor.

IBM raporu bu hızlanmanın tedarik zincirine de yayıldığını gösteriyor. Yazılım derleme ortamları, bulut tabanlı uygulamalar ve sürüm dağıtımını otomatikleştiren süreçler hedef alındıkça, büyük tedarik zinciri ihlalleri 2020'den bu yana yaklaşık dört katına çıktı. Aynı raporda imalat sektörü yüzde 27,7 ile beşinci yıl üst üste en çok hedeflenen alan oldu; Kuzey Amerika ise gözlemlenen vakaların yüzde 29'uyla altı yılın ardından yeniden en çok saldırıya uğrayan bölgeye dönüştü. Devlet destekli aktörler ile maddi kazanç peşindeki suçlular arasındaki çizginin bulanıklaşması, tekniklerin yer altı forumlarında dolaşıma girip küçük gruplarca yeniden kullanılmasını kolaylaştırıyor.

Otonom Saldırı Riski ve Anthropic Vakası

En çarpıcı işaret 2025 sonunda geldi. Anthropic'in yayınladığı raporda ilk büyük ölçekli yapay zeka orkestralı casusluk kampanyasının tespit edilip durdurulduğu açıklandı. Şirket, operasyonu yüksek güvenle Çin devleti destekli olarak değerlendirdiği ve GTG-1002 kodu verdiği bir gruba bağladı.

Operasyon Eylül 2025 ortasında tespit edildi. Saldırganlar Anthropic'in Claude Code aracını, savunma amaçlı güvenlik testi yapan bir şirket gibi davranmaya ikna ederek modelin güvenlik filtrelerini aştı. Şirketin değerlendirmesine göre yapay zeka, taktik operasyonların yüzde 80 ila 90'ını insan müdahalesi olmadan, fiziksel olarak imkansız istek hızlarında yürüttü.

Kampanya yaklaşık 30 hedefe yöneldi. Hedefler arasında büyük teknoloji şirketleri, finans kurumları, kimya üreticileri ve devlet kurumları vardı. Birkaç sızma girişimi başarıyla sonuçlandı.

Tespit sonrası süreç, kamu kurumlarının nasıl bir tehdit istihbaratı refleksine ihtiyaç duyduğunu da gösteriyor. Anthropic, etkinliği fark ettikten sonraki on gün boyunca operasyonun kapsamını haritalandırdı, tespit edilen hesapları askıya aldı, etkilenen kurumları bilgilendirdi ve yetkililerle eşgüdüm sağladı. Güvenlik araştırmacıları vakayı, iyi savunulan hedeflere karşı çok adımlı saldırıları otonom yürüten ilk kamuya açık örnek olarak değerlendiriyor. Otonom saldırı kapasitesinin daha az yetenekli aktörlere yayılması ihtimali, dengeyi savunma tarafı bu yetenekleri ölçeklendirene kadar saldırganın lehine çeviriyor.

"İnsan yalnızca birkaç kritik anda devredeydi." (Jacob Klein, Anthropic Tehdit İstihbaratı)

Klein'ın sözünü doğru anlamak gerek. Kastedilen, saldırının zayıf olduğu değil tam tersi. İnsan operatör yalnızca devam kararlarında ve birkaç dönüm noktasında devreye girdiğinde bile, sistemin geri kalanı otonom çalıştı. Bu durum, sofistike saldırıların giriş bariyerini düşürdüğü için kamu kurumları açısından yeni bir risk eşiği yaratıyor. Filtrelerinden arındırılmış modellerin nasıl silahlandırıldığı, zararlı yapay zeka modelleri konusundaki tartışmalarla aynı zeminde duruyor.

Klasik ve Yapay Zeka Çağı Savunması Arasındaki Fark

Otonom saldırılar, savunma tarafının da yeniden düşünülmesini zorunlu kılıyor. Geleneksel saldırı ile yapay zeka destekli saldırı arasındaki fark, hız ve ölçek başta olmak üzere birkaç boyutta belirginleşiyor.

Savunma tarafında öne çıkan adımlar, Tayvan idaresinin önerileriyle de örtüşüyor. Tüm kurulumlar için onay süreci, düzenli zafiyet taramaları, web uygulama güvenlik duvarları ve güncel uç nokta koruması temel katman olarak sayılıyor. Dış bağlantılar için beyaz liste kullanımı, gereksiz portların kapatılması ve uç cihaz yazılımlarının düzenli güncellenmesi de listede yer alıyor.

Veri tarafında ise yedekleme, yedeklilik ve kurtarma kapasitesi ile düzenli iş sürekliliği tatbikatları öneriliyor. Tayvan'da Dijital İşler Bakanlığı, kritik kamu altyapı sistemleri için birden fazla bulut ortamında şifreli dağıtık yedeklemeyi teşvik ediyor. Buradaki amaç, tek nokta arıza riskini azaltmak ve dayanıklılığı artırmak.

Saldırı yüzeyi tedarikçiler üzerinden büyüdüğü için, idarenin önerileri kurum sınırlarının ötesine de uzanıyor. Erişim kontrolü, veri koruma, zafiyet yönetimi ve olay raporlamayı kapsayan tedarikçi güvenliği yönetimi, düzenli denetim ve uyum kontrolleriyle birlikte tavsiye ediliyor. E-posta filtreleme ve kum havuzu sistemleriyle kötü amaçlı eklerin ve bağlantıların engellenmesi, bulut paylaşım izinlerinin sınırlandırılması ve yüklenen dosyaların taranması da listeye ekleniyor. Sesin ve görüntünün taklit edildiği sosyal mühendislik girişimleri yaygınlaştıkça, deepfake ve yapay zeka kanunu tartışmaları da bu savunma planının hukuki ayağını oluşturuyor.

Türkiye'de Kamu Siber Güvenliği Nerede Duruyor?

Türkiye tarafında tablo hem tehdit hem hazırlık açısından yoğun. Anadolu Ajansı'na yansıyan açıklamalara göre Ulaştırma ve Altyapı Bakanı Abdulkadir Uraloğlu, 2025'in ilk on ayında 182 binin üzerinde siber saldırının raporlandığını ve engellendiğini belirtti. Aynı dönemde 74 bin 594 zararlı bağlantı altyapı seviyesinde erişime kapatıldı.

Kamu güvenliğinde yerli yapay zekanın rolü de büyüyor. USOM'un geliştirdiği yapay zeka teknolojisi, vatandaşları dolandırmaya yönelik oltalama amacıyla kurulan 74 bin 205 alan adını tespit edip engelledi. Uraloğlu, Türkiye'nin Uluslararası Telekomünikasyon Birliği'nin 2024 Küresel Siber Güvenlik Endeksi'nde 100 tam puanla "Rol Model Ülke" kategorisinde yer aldığını da aktardı. Siber Güvenlik Kanunu ise 19 Mart 2025'te yürürlüğe girdi.

Organizasyon tarafında yapı genişliyor. USOM koordinasyonunda 14 sektörel ve 2 binin üzerinde kurumsal siber olaylara müdahale ekibi, binlerce uzman personelle çalışıyor. "Avcı", "Azad" ve "Kasırga" gibi iç kaynaklarla geliştirilen yerli projeler, müdahale kapasitesini ulusal düzeyde güçlendiriyor. Yapay zeka destekli analiz sistemleri, kritik web sitelerinin zafiyetlere karşı taranmasında da kullanılıyor.

Tehdit tarafında risk azalmış değil. Kaspersky verilerine dayanan Anadolu Ajansı haberine göre 2025'in ilk çeyreğinde Türkiye'deki kullanıcıların yüzde 26,1'i çevrim içi tehditlerden etkilendi. Bu oranla Türkiye, Orta Doğu, Türkiye ve Afrika bölgesinde en yüksek risk seviyesine sahip ülke oldu. Aynı haberde, devlet kurumlarını hedef alan APT gruplarının maddi kazançtan çok stratejik bilgi peşinde olduğu belirtildi. Saldırıların önemli bölümünün insan hatasından kaynaklanması, teknik yatırımın yanında personel farkındalığının da kamu güvenliğinin temel bir bileşeni olduğunu gösteriyor.

Topluluk Ne Düşünüyor?

Destekleyenler

Güvenlik araştırmacılarının bir kısmı, yapay zekanın savunma tarafında da aynı hızı sağlayabileceğini savunuyor. Otomatik tehdit tespiti, gerçek zamanlı zafiyet analizi ve hızlı olay müdahalesi, saldırganın elindeki hız avantajını dengeleyebilir. Anthropic vakasında olduğu gibi, saldırıyı tespit eden de yine yapay zeka tabanlı izleme sistemleri oldu. Bu görüşe göre kamu kurumları, savunmada yapay zeka kullanımını ertelemek yerine erkenden denemeli. Güvenlik operasyonları, tehdit avı ve olay müdahalesi gibi alanlarda erken deneyim, kurumların öğrenme eğrisini hızlandırıyor.

Eleştirenler

Diğer taraf ise hız yarışının yapısal olarak saldırganın lehine işlediğini düşünüyor. Bir zafiyetin açıklanması ile istismarı arasındaki sürenin dakikalara inmesi, yama döngüsü yavaş olan kamu kurumlarını dezavantajlı bırakıyor. Veriler saldırıların büyük kısmının insan hatasından kaynaklandığını gösterdiği için, teknik yatırımın tek başına yeterli olmadığı savunuluyor. Nitelikli personel açığı ve belirsiz yönetişim sorumlulukları, bu kaygıların başında geliyor. Bütçe ve satın alma süreçleri uzun olan kamu kurumlarında, savunma araçlarının güncelliğini koruması da ayrı bir zorluk olarak dile getiriliyor.

Sıkça Sorulan Sorular

Yapay zeka destekli siber saldırı nedir?

Yapay zeka destekli siber saldırı, keşif, parola çalma, istismar ve veri sızdırma gibi adımların yapay zeka modelleriyle otomatikleştirildiği saldırı türüdür. Anthropic'in raporladığı vakada yapay zeka, operasyonun yüzde 80 ila 90'ını otonom yürüttü. Bu yöntem saldırıları hem hızlandırıyor hem de ölçeklendiriyor.

Tayvan'ın 726 olayının yüzde kaçı yetkisiz erişimdi?

Olayların yüzde 68,6'sı yetkisiz erişim girişimiydi. Ardından yüzde 15,43 ile ekipman arızaları, yüzde 4,96 ile hizmet kesintileri ve yüzde 2,48 ile web sayfası saldırıları geldi. Bu dağılım, sızma odaklı tehditlerin teknik arızalardan daha baskın olduğunu gösteriyor.

Yapay zeka destekli saldırılar ne kadar hızlandı?

CrowdStrike 2026 raporuna göre bu saldırılar yıllık yüzde 89 arttı ve ortalama sızma süresi 29 dakikaya düştü. Gözlemlenen en hızlı sızma 27 saniye sürdü. IBM X-Force ise halka açık uygulamalara saldırıların yüzde 44 arttığını raporladı.

Türkiye kamu kurumları bu tehditlere karşı ne yapıyor?

USOM koordinasyonunda sektörel ve kurumsal müdahale ekipleri çalışıyor, zararlı bağlantılar altyapı seviyesinde engelleniyor. Yerli yapay zeka teknolojisi oltalama alan adlarını tespit ediyor ve Siber Güvenlik Kanunu Mart 2025'te yürürlüğe girdi. Türkiye, ITU endeksinde 100 puanla rol model kategorisinde yer alıyor.

Kamu kurumları yapay zeka çağında nasıl korunabilir?

Tüm kurulumlar için onay zorunluluğu, düzenli zafiyet taraması, web uygulama güvenlik duvarı ve güncel uç nokta koruması temel adımlar arasında. Buna dış bağlantılar için beyaz liste, e-posta filtreleme, şifreli dağıtık yedekleme ve düzenli iş sürekliliği tatbikatları ekleniyor. Tedarikçi güvenliği yönetimi de listede öne çıkıyor.

Tayvan'ın 726 olaylık tablosu, tek bir ülkenin yıllık raporu olmaktan çıkıp yapay zeka çağında kamu güvenliğinin nereye gittiğine dair bir ön gösterim sunuyor. Saldırı tarafı otomatikleşip hızlanırken, savunma tarafının aynı tempoyu yakalayıp yakalayamayacağı önümüzdeki aylarda netleşecek. Kamu kurumlarının yama döngülerini dakikalar ölçeğine indirip indiremeyeceği, bu yarışın yönünü belirleyen asıl soru olarak duruyor.