Güneydoğu Belediyeleri için Kritik Altyapı Güvenliği

Belediye güvenliği 3 katman: 1) E-belediye web ve mobil portalları (vatandaş ile temas), 2) İç operasyonel sistemler (CBS, personel, muhasebe), 3) OT/SCADA sistemleri (su arıtma, trafik ışıkları, atık yönetimi). Her katmanın farklı tehdit profili var.

E-belediye katmanı klasik web güvenliği — OWASP Top 10, KVKK uyum. OT katmanı ise Stuxnet sonrası paradigmada — air-gapped olmadığı için IT-OT segmentasyonu kritik. Saldırgan IT'den OT'ye atlayarak şehir altyapısına erişebilir.

Borç sorgulama, vergi ödeme, vatandaşlık işlemleri — tamamı TCKN + ödeme + kişisel veri. KVKK yüksek risk. Tipik açıklar: zayıf oturum yönetimi, eksik 2FA, brute-force koruması yok, eski yazılım sürümü.

Minimum standart: TLS 1.3, HTTP security headers A+, oturum token'ı 15 dk, 2FA (SMS + TOTP option), rate limit (giriş 5/dk), audit log (her finansal işlem loglanmış). Cloudflare veya Akamai seviyesinde WAF. KVKK VERBİS kaydı.

Belediye çalışanlarının kullandığı iç sistemler — CBS (coğrafi bilgi), personel yönetimi, fatura, muhasebe. Çok sayıda legacy sistem, Windows XP hâlâ dolaşımda, paylaşımlı admin hesapları.

Sertleştirme öncelikleri: AD (Active Directory) düzgün konfigüre, her kullanıcıya unique hesap, MFA Office 365 hesaplarında, endpoint protection (EDR) tüm makinelerde, patch management (WSUS veya SCCM), segmented network (finans departmanı farklı VLAN'da).

Su arıtma kontrolü, trafik ışıkları, atık toplama rotaları — bu sistemler hack'lenirse şehir etkilenir. Purdue model referansla IT-OT segmentasyonu: Level 0-1 (sensor, PLC) ↔ Level 2-3 (SCADA, HMI) ↔ Level 4 (corporate IT). Her seviye arası DMZ ve unidirectional gateway (veri dışarı akar, içeri akmaz).

Assset envanter kritik — belediyenin hangi PLC'si hangi firmada, hangi versiyonda? Çoğu belediye bu envantere sahip değil. İlk proje fazı her zaman envanter + risk analizi.

Diyarbakır Büyükşehir, çevre ilçeler ile ortak altyapı kullanıyor (su dağıtım ağı, trafik sistemi). Bölgesel güvenlik konsorsiyumu mantıklı — ortak SOC, paylaşılan tehdit istihbaratı, ortak pentest bütçesi.

VefaSec olarak bölgesel belediyeler için ortak güvenlik programı yapısı geliştirdik: yılda 2 pentest (her belediye için paylaşılan bütçe), ortak SOC-as-a-Service, yıllık bölgesel siber güvenlik tatbikatı, ortak tehdit istihbaratı paylaşımı. %30-40 maliyet avantajı, daha yüksek olgunluk.