Veri Gizliliği ve Siber Güvenlik

Veri Gizliliği ve Siber Güvenlik

Türk Telekom olarak, müşteri veri gizliliğini ve siber güvenliğini en yüksek standartlarla yöneterek, Genel Veri Koruma Tüzüğü (GDPR), Türkiye’deki Kişisel Verilerin Korunması Kanunu (KVKK) ve diğer ulusal ve uluslararası mevzuatlara tam uyum sağlıyoruz. Kişisel verileri koruma altına alan şirketimiz, sınıflandırma sistemleri, şifreleme teknolojileri, erişim kontrol mekanizmaları, veri sızıntısını önleme çözümleri ve siber güvenlik olay yönetimi prosedürlerini titizlikle uygulamaktadır.

Şirketimizin bilgi güvenliği politikalarını, ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikası kapsamında şekillendirmiş olup, sabit ve mobil ağları kapsayacak şekilde uygulamaktayız. Mobil ve genişbant ağları için PCI DSS (Payment Card Industry Data Security Standard) sertifikamız ile, özellikle ödeme işlemlerinin güvenliğini sağlamak amacıyla bu standartlara uyum gösteriyoruz. Tüm verileri, aktarım sırasında ve beklemede olduğu süreçlerde ileri düzey şifreleme tekniklerini kullanarak koruyoruz.

Kişisel verilerin gizliliğini korumak için yetkilendirilmiş personel dışındaki erişimlere karşı sıkı erişim kontrolleri uyguluyor, verinin şirket dışına kontrolsüz bir şekilde çıkarılmasına veya sızdırılmasına karşı otomatik güvenlik önlemleri devreye alıyoruz. Bilgi Güvenliği İç Denetim çalışmalarını her yıl düzenli olarak yürütüyor ve tespit edilen aksiyonların uygulanması sağlıyoruz. Sızma testleri, kaynak kod analizi (Yazılım Geliştirme Yaşam Döngüsü – SDLC kapsamında) ve zafiyet değerlendirmelerini periyodik olarak gerçekleştiriyoruz. Kritik sistem envanteri üzerinde yaptığımız sızma testlerini, bulgu takibi ve raporlamaları her ayın başında üst düzey yöneticilerle paylaşıyoruz. Tüm süreçleri, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği Rehberi’ne uyumlu şekilde yürütüyoruz.

Siber Güvenlik Önlemleri

Türk Telekom olarak, çok katmanlı bir siber güvenlik stratejisi benimseyerek sistemlerin güvenliğini en üst düzeye taşıyoruz. Uzaktan çalışma süreçlerinin güvenliğini sağlamak amacıyla Sanal Özel Ağlar (VPN), Çok Faktörlü Kimlik Doğrulama (MFA) ve periyodik güvenlik denetimleri uyguluyoruz.

Zero Trust (Sıfır Güven) yaklaşımımız ile sistemlerde yetkilendirme ve erişim süreçlerini en ince ayrıntısına kadar planladık ve yetkisiz erişimi önlemek amacıyla kimlik doğrulama süreçlerini güçlendirdik. Tüm uzak masaüstü çözümleri ISO 27001 güvenlik standartlarıyla uyumlu hale getiriyor ve yetkisiz erişime karşı sıkı güvenlik önlemleriyle koruyoruz.

Son kullanıcı cihazlarında gelişmiş güvenlik önlemleri uyguluyoruz. Veri Sızıntısı Önleme (DLP) ajanları sayesinde, şirket politikalarımıza uygun olarak hassas içeriğe sahip verilerin yetkisiz şekilde şirket dışına çıkarılmasını engelliyoruz. Bu ajanlar, yalnızca şirket ağı içinde değil, ev ağı gibi dış ağlarda da aktif olarak çalışmaktadır. Kernel seviyesinde çalışan DLP ajanları, cihazdan dışarı çıkarılmak istenen hassas verileri tespit ederek sızmayı önlemektedir.

Türk Telekom olarak, yapay zeka destekli sistemler aracılığıyla potansiyel tehditleri önceden tespit edip müdahale etme stratejisini benimsiyoruz. Telekom altyapısı üzerinden her ay binlerce oltalama (phishing), DDoS (Dağıtık Hizmet Engelleme) ve zararlı yazılım saldırısı tespit etmekte olup, 2024 yılı itibarıyla kritik atak kategorisinde değerlendirilen 1 Gbps üzerindeki saldırılara karşı etkin koruma sağlamaktayız. Kurumsal müşterilerin tüm güvenlik ihtiyaçlarına yönelik geniş hizmet portföyümüz kapsamında; Yönetilebilir EDR (Uç Nokta Tehdit Algılama ve Yanıtlama) ve XDR (Genişletilmiş Tehdit Algılama ve Yanıtlama) hizmetleri, olay müdahale, dijital adli bilişim, siber güvenlik olgunluk değerlendirme denetimleri, iş gücü analizleri, MDR (Yönetilebilir Tehdit Algılama ve Yanıtlama) servisleri, SOAR (Güvenlik Orkestrasyonu, Otomasyonu ve Yanıtlama), CTI (Siber Tehdit İstihbaratı), IR (Olay Yanıtı) ve ASM (Saldırı Yüzeyi Yönetimi) gibi kapsamlı çözümleri sunuyoruz. Antivirüs çözümleri ve kullanılmayan güvenlik kurallarının temizlenmesi gibi güvenlik kontrollerini ise düzenli olarak yapıyoruz.

Siber güvenlik risklerini belirlemek ve yönetmek için proaktif bir yaklaşım benimsiyor, Siber Güvenlik Komitesinin düzenli gerçekleştirdiği toplantılar ile yeni mevzuatlar, tehdit istihbaratı çalışmaları ve zero-day zafiyetleri değerlendiriyoruz. Siber güvenlik sistemlerinde ve teknik altyapıda güvenlik sıkılaştırmaları yaparak gerekli önlemleri alıyor, yama yönetimi süreçlerini hızlandırıyoruz.

Şirketimizde Bilgi Güvenliği Olay Yönetimi, Bilgi Güvenliği Olay Takip Prosedürü doğrultusunda SOME (Siber Olaylara Müdahale Ekibi) tarafından yönetilmektedir. Tespit edilen tüm olaylar Olay Müdahale Formu aracılığıyla takip edilmekte, veri ihlallerini önlemek ve tespit etmek için en güncel teknolojiler kullanılmaktadır. Tespit edilen ihlal olaylarını, Türk Telekom Bilgi Güvenliği Politikaları ve Prosedürleri kapsamında değerlendiriyor, gerektiğinde Etik Komitesi ve Ulusal Siber Olaylara Müdahale Merkezi (USOM) ile paylaşıyoruz.

Diğer yandan ISO 27001 ve PCI DSS standartları gereği, çalışanlarımıza düzenli olarak bilgi güvenliği farkındalık eğitimleri veriyoruz. Bu eğitimleri, iç denetimlerimizin bir parçası olarak düzenli periyotlarla gerçekleştiriyor ve tüm çalışanlarımızın güncel siber tehditlere karşı bilinçlenmesi sağlıyoruz. Bunun yanı sıra, üçüncü taraf iş ortakları ve tedarikçileri de güvenlik farkındalık programlarına dahil ediyor, şirket dışı riskleri de minimum seviyeye indiriyoruz. 2024 yılı itibarıyla siber olay müdahale ekiplerimiz, toplam 14.792 olaya yanıt vererek tehditlerdeki %11’lik artışa karşı etkili çözümler üretmiştir. 7/24 hizmet veren Siber Güvenlik Merkezi, organizasyonların güvenlik mimarilerini güçlendirmeye kesintisiz olarak devam etmektedir.

Müşteri Gizliliği

Türk Telekom olarak, dijital ekosistemde siber güvenliği en önemli önceliklerden biri olarak konumlandırıyoruz. 5.000’den fazla kuruma, 50’yi aşkın ürün ve hizmet sunarak geniş bir siber güvenlik portföyü ile müşteri deneyimini en yüksek süreklilik ve verimlilikle destekliyoruz. Müşteri Merkezli Hizmet (Customer Service Center - CSC) modelimiz sayesinde dijitalleşme, operasyonel analitik ve WiFi operasyonları gibi alanlarda da kesintisiz hizmet sunuyoruz.

Şirketimiz, hedefli reklamcılık sistemlerinde de müşteri gizliliğini korumak için özel önlemler uygulamaktadır. Müşteri MSISDN bilgileri reklam veren taraflarla kesinlikle paylaşmamakta, bunun yerine Unique ID ile müşteri kimlikleri anonim hale getirmekteyiz. Böylelikle reklam verenler yalnızca Unique ID üzerinden hedefleme yapabilmektedir. Reklam kategorilerini titizlikle değerlendiriyor, riskli görülen kategorilerde reklam çıkılmasını engelliyoruz. Reklamları yalnızca dijital veri işleme izni veren müşterilere gösteriyoruz.

Uluslararası Akreditasyon

IDC (International Data Corporation) raporlarına göre son dört yıldır pazar lideri konumunu koruyan şirketimiz, CREST (Council of Registered Ethical Security Testers) kapsamında üç farklı kategoride akredite edilen ilk ve tek Türk şirketi olma ünvanına sahiptir. Ayrıca, 2024 yılında FIRST (Forum of Incident Response Teams) üyeliğini kazanan şirketimiz, TRCERT (Türk Bilgisayar Acil Durum Müdahale Ekibi) ve TSE (Türk Standartları Enstitüsü) tarafından akredite edilen tek servis sağlayıcı olarak faaliyet göstermektedir.

Yeni Nesil Teknolojiler

Bulut bilişim, yapay zeka, otomasyon ve mobilite alanlarındaki gelişmelere paralel olarak NextGen SOC (Next Generation Security Operations Center / Yeni Nesil Güvenlik Operasyon Merkezi) konseptine geçiş yapan şirketimiz, EDR, XDR, MDR, SOAR, CTI, IR, ASM ve Detection Engineering gibi ileri teknolojik güvenlik çözümleri sunmaktadır.

Yapay zeka destekli tehdit algılama sistemleri ve dijital adli bilişim laboratuvarıyla güçlendirilmiş altyapımız sayesinde, 2024 yılında toplam 2.317 adet 1 Gb ve üzeri DDoS saldırısına karşı etkin koruma sağladık. Bunun yanı sıra, yeni nesil güvenlik duvarları, web uygulama güvenlik duvarları, uzak erişim bağlantıları, ağ erişim kontrolü (Network Access Control) ve anti-DDoS altyapılarında kapasite artışı ve yenileme çalışmaları gerçekleştirdik. Aynı zamanda, atak yüzey analizlerine yönelik yatırımlar yaparak süreçleri otomatize ettik.

Siber güvenlik ve bulut bilişim alanlarında yürütülen Gelişim Üssü Programları kapsamında iki ayrı kamp düzenledik ve bu programlarla katılımcıların bilgi ve becerilerini geliştirmesini hedefledik. 2024 yılında yapılan başvurular arasından 1.350 aday içerisinden 32 finalist seçtik, bu finalistlerden 14’ünü stajyer, 2’sini ise kadrolu personel olarak istihdam ettik. Bu programlar, sektöre nitelikli insan kaynağı kazandırılmasına katkı sağlarken, katılımcıların yeniliklere uyum yetkinliklerini artırmalarına ve uygulama becerilerini geliştirmelerine olanak tanımıştır.

Pazar Lideri Türk Telekom’dan Siber Güvenlik Hizmetlerinde GenAI Dönüşümü

Siber güvenlik alanında global ve lokal akreditasyonlara sahip lider servis sağlayıcı olarak ağ, uygulama, uç nokta, veri güvenliği ve danışmanlık servislerinde 360 derece güvenlik yaklaşımı ile hizmet sunmaktayız. Yeni nesil teknolojilere yatırım yaparak ürün/servis zenginleştirme yaklaşımımız ile öğrenebilen yapay zeka teknolojilerini kullanan yeni ürünleri portföyümüze ekledik. Olay yönetimi, uç nokta olay algılama ve tespit, müdahale ve istihbarat noktasında yapay zekanın kabiliyetlerinden faydalanarak daha hızlı ve çevik hizmetler sunuyoruz.

Siber Güvenlik merkezi organizasyonumuzda hem yapay zeka hem de uzman mühendislerimizin güçlü yanlarından faydalanarak hızlı olay tespiti yapıyor, olaylara yanıt verme sürelerimizi kısaltıyoruz.

2025 yılında ilk telco SASE altyapısı ile uzaktan çalışma trendine uyumlu son kullanıcı güvenliği, kimlik/erişim yönetimi ve xOT güvenliği çözümleriyle farklı dikeylerde hizmet sunmak için çalışmalarımız başlamıştır.

Kişisel verilerin korunması, bireylerin mahremiyet haklarını güvence altına almak ve kurumsal güveni sürdürülebilir kılmak açısından kritik bir öneme sahiptir. Dijitalleşmenin yaygınlaşmasıyla birlikte veri işleme süreçlerinin daha karmaşık hale gelmesi, şirketlerin güçlü, şeffaf ve sürdürülebilir veri yönetimi politikaları oluşturmasını zorunlu kılmaktadır. Türk Telekom olarak, gerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) gerekse GDPR (General Data Protection Regulation) gibi ulusal ve uluslararası düzenlemelere tam uyum amacıyla kapsamlı bir yaklaşım benimsiyoruz.

Özellikle kayıp ve sızmalara karşı katmanlı bir güvenlik politikası uyguluyor, verilerin kontrolsüz şekilde dış hedeflere çıkarılması veya sızdırılma girişimlerine karşı etkin önlemler alıyoruz.

6698 sayılı Kanun kapsamında, müşterilerimizin temel hak ve özgürlüklerini korumayı amaçlayan önlemleri özenle hayata geçiriyoruz. Bu kapsamda, kişisel verilerin korunması mevzuatına uygun şekilde aydınlatma yükümlülüklerimizi yerine getiriyor; gerekli hallerde müşterilerimizden açık rıza talep ediyoruz. Şirket bünyesinde uygulanmak üzere hazırlanan KVKK politika ve prosedürleri, düzenli iç denetimler, personel eğitimleri ve üçüncü taraf değerlendirmeleriyle sürekli geliştiriyoruz.