info@ferhatkule.av.tr
+90 212 579 79 85

Single Blog Title

This is a single blog caption

Siber Güvenlik Açıkları Şirketin Değerini Düşürür mü? Yatırımcılar Riskli Altyapıları Nasıl Tespit Edebilir?

05 Ağu 2025
0

GİRİŞ

Siber güvenlik günümüzde sadece teknik bir uzmanlık alanı değil, aynı zamanda kurumsal değerleme, yatırım riski ve hukuki sorumluluk açısından stratejik bir faktördür. Bir şirketin teknolojik altyapısında bulunan güvenlik açıkları, hem mevcut faaliyetlerini riske atar hem de yatırımcı nezdinde değer kaybına yol açar.

Yatırımcılar, bir şirketin dijital sistemlerini incelediğinde yalnızca gelir potansiyeline değil, siber güvenlik olgunluk düzeyine de dikkat eder. Özellikle veri işleme kapasitesi yüksek olan şirketlerde (örneğin fintech, e-ticaret, yazılım ve sağlık sektöründe) güvenlik zaafiyetleri, potansiyel bir yatırım caydırıcısı olarak değerlendirilir.

Bu yazıda, siber güvenlik açıklarının şirketin değerlemesine etkisi, due diligence sürecinde bu risklerin nasıl tespit edildiği, yatırımcı açısından doğurabileceği hukuki ve ticari riskler ile uygulamaya dair somut örnekler incelenecektir.

1. Siber Güvenlik Açığı Nedir?

1.1. Tanım

Siber güvenlik açığı, bir şirketin bilişim sistemlerinde kötü niyetli kullanıcılar tarafından kullanılabilecek zaaf noktalarıdır. Bu açıklar; donanımsal, yazılımsal veya kullanıcı kaynaklı olabilir.

Örnekler:

  • Güncellenmemiş yazılımlar

  • Zayıf parolalar ve erişim kontrolleri

  • Açık portlar ve güvenlik duvarı eksiklikleri

  • Yetersiz yedekleme sistemleri

  • Bilinçsiz çalışan davranışları (phishing zafiyetleri)

1.2. Hukuki Bağlamda Sorumluluk

Türkiye’de KVKK (6698 sayılı Kişisel Verilerin Korunması Kanunu) uyarınca veri sorumluları, kişisel verilerin güvenliğini sağlamakla yükümlüdür. Bu kapsamda:

  • Yetkisiz erişimi önlemek,

  • Sistem açıklarını kapatmak,

  • Düzenli denetim ve test yapmak,

zorunludur. Bu yükümlülüklerin yerine getirilmemesi, idari para cezası, cezai sorumluluk, tazminat gibi sonuçlar doğurabilir.

2. Siber Güvenlik Açıkları Şirketin Değerini Nasıl Düşürür?

2.1. Yatırımcıların Risk Algısı

Yatırımcılar için dijital altyapının güvenirliği, markanın itibarı kadar önemlidir. Şirketin geçmişte veri ihlali yaşaması veya test edilmemiş bir altyapıya sahip olması durumunda:

  • Şirket değerlemesi düşürülür

  • Yatırım miktarı azaltılır

  • Teminat veya erteleme şartı getirilir

  • Sözleşmeden tamamen vazgeçilir

2.2. Maddi Kayba Yol Açabilecek Senaryolar

  • Fidye yazılımı saldırısı → Dosyaların şifrelenmesi ve fidye talebi

  • Müşteri verilerinin sızdırılması → İtibar kaybı, müşteri kaybı, dava riski

  • İş süreçlerinin durması → Lojistik, tedarik zinciri, müşteri hizmetlerinde aksama

  • Yedeklerin çalışmaması → Geri dönüşü olmayan veri kaybı

2.3. Reputasyonel Değer Kaybı

Şirketin adının siber saldırıya uğrayan şirketler arasında geçmesi, özellikle B2C (tüketiciye doğrudan satış) yapan firmalarda kalıcı güven sorunu yaratır. Bu da değerleme sürecinde yatırımcı açısından olumsuz etki doğurur.

3. Due Diligence Sürecinde Yatırımcılar Ne İnceler?

3.1. Teknik Dokümantasyon

  • Ağ haritaları, donanım envanteri

  • Yazılım lisans belgeleri

  • Erişim kontrol sistemleri (kim, neye, nasıl erişiyor?)

  • Güncelleme takvimleri ve log kayıtları

3.2. Siber Güvenlik Politikaları

  • Yazılı siber güvenlik politikası var mı?

  • Acil durum planı hazırlanmış mı?

  • Yedekleme stratejisi yeterli mi?

  • Güncel penetrasyon testi (sızma testi) yapılmış mı?

3.3. İhlal Geçmişi

  • Daha önce veri sızıntısı yaşanmış mı?

  • BT sistemlerine dış müdahale olmuş mu?

  • İhlal varsa KVKK’ya bildirim yapılmış mı?

4. Örnek Olaylar

4.1. Örnek Olay 1: Yatırım Sürecinde Ortaya Çıkan Güvenlik Açığı

Olay: İstanbul merkezli bir SaaS (yazılım hizmeti) şirketi, yatırım almak üzere due diligence sürecine girdi. Ancak yatırımcının teknik denetim ekibi, sunucularda root erişim parolalarının tüm ekip tarafından paylaşıldığını tespit etti. Ayrıca sistem log’ları silinmişti.

Sonuç: Yatırımcı şirket, veri ihlali riskinin yüksek olması nedeniyle değerlemeyi %20 düşürdü ve ek güvenlik taahhütleri alınmadan süreci ilerletmeyeceğini bildirdi.

4.2. Örnek Olay 2: Ransomware Saldırısı ve Yatırım İptali

Olay: E-ticaret şirketi, veri yedeklemesini lokal NAS sistemleriyle yapıyordu. Fidye yazılımı saldırısına uğradı ve yedekleri de şifrelendi. Veriler geri getirilemedi. Bu durum yatırım öncesi ortaya çıktı.

Sonuç: Sözleşme feshedildi. Şirket, müşteri verilerini kaybettiği için hem KVKK cezası aldı hem de iade talepleriyle uğraştı. Yatırımcı şirket başka bir platforma yöneldi.

5. Yatırımcı Ne Yapmalı?

5.1. Teknik Due Diligence Uzmanlarıyla Çalışmalı

Yatırımcı şirketler, sadece hukukçularla değil; siber güvenlik ve BT uzmanlarından oluşan teknik ekiple hedef şirketin altyapısını incelemelidir.

5.2. Sözleşmelere Güvence Maddeleri Koymalı

  • “Şirket, yatırım tarihi itibariyle bilinen tüm siber açıklarını beyan etmiştir.”

  • “Yatırım sonrası tespit edilecek ihlallerde sorumluluk satıcıya aittir.”

  • “Veri sızıntısı kaynaklı dava, ceza veya tazminat giderlerinden yatırımcı sorumlu değildir.”

5.3. Yatırım Öncesi Güvenlik Taahhütleri Alınmalı

Yatırımcı, belirli bir tarihe kadar aşağıdaki adımların atılmasını şart koşabilir:

  • Sızma testi yapılması

  • Log sisteminin yapılandırılması

  • Erişim yetkilerinin sınırlandırılması

  • KVKK prosedürlerinin güncellenmesi

6. Şirketler Ne Yapmalı?

6.1. Güvenlik Olgunluk Seviyesini Artırmalı

  • ISO 27001 gibi uluslararası bilgi güvenliği yönetim sistemlerine geçiş yapılmalı

  • Düzenli penetrasyon testleriyle zayıf noktalar tespit edilip giderilmeli

  • Güncellemeler ve yedekleme otomatik hale getirilmeli

6.2. Personel Farkındalığı Artırılmalı

  • Phishing ve sosyal mühendislik saldırılarına karşı eğitim verilmeli

  • Şüpheli dosya ve bağlantılara karşı iç iletişim rehberi oluşturulmalı

7. Uluslararası Yatırımcıların Beklentisi

Özellikle Avrupa ve ABD merkezli yatırım fonları, ESG kriterleri doğrultusunda veri güvenliği ve etik dijital altyapı konusunda yüksek beklenti içindedir. Riskli altyapıya sahip şirketler:

  • Fonlarca kara listeye alınabilir,

  • Şeffaflık ve sorumluluk eksikliği nedeniyle yatırım süreci durdurulabilir.

SONUÇ

Siber güvenlik açıkları, modern dünyada yalnızca teknik bir zafiyet değil; doğrudan yatırım değerini etkileyen, hukuki ve finansal sonuçlar doğuran yapısal bir risktir. Bir şirketin veri altyapısında güvenlik zaafiyeti bulunması, sadece ceza değil, yatırımcının güvenini kaybetmesi, değerlemenin düşmesi, hatta yatırımın tamamen iptal edilmesi gibi sonuçlara yol açabilir.

Bu nedenle yatırımcılar, hedef şirketin siber güvenlik politikalarını teknik ve hukuki boyutlarıyla detaylıca analiz etmeli; şirketler ise hem kendi varlıklarını hem de yatırım alabilirliklerini korumak adına bu alandaki olgunluk seviyesini sürekli geliştirmelidir.

Hukuk Fakültesi Öğrencisi Gamze Akbulut

, , , , , , , , , , , , , ,

About Post Author

Leave a Reply

Open chat
Avukata İhtiyacım var
Powered by Joinchat
Merhaba
Hukuki Sorunuz nedir ?
Call Now Button