Siber Güvenlik ve Veri Gizliliği

Entegre Bilgi Teknolojileri Risk Yönetimi Yapısı

Ziraat Bankası’nda bilgi güvenliğine dair nihai yükümlülük Yönetim Kurulu’nda olup, Grup Başkanlığı seviyesinde İç Sistemler Grup Başkanlığı tarafından yürütülmektedir.

Bilgi güvenliğine ilişkin Bankacılık Kanunu, Esas Sözleşme ve ilgili diğer mevzuat hükümlerine uyumu sağlayacak, Yönetim Kurulu tarafından kurgulanan politika ve stratejileri kapsamında projeleri koordine edilmesi ve yönetilmesi süreçleri Bilgi Güvenliği Komitesi tarafından gerçekleştirilmektedir.

Banka, Bilgi Teknolojileri (BT) Riskini kurumsal risk yapısının ve operasyonel faaliyetlerinin kritik bir unsuru olarak değerlendirmektedir. Bu kapsamda; Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği Rehberi, BDDK Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik ile diğer yasal düzenleme ve iyi uygulamalar incelenerek risk yönetimi etkin bir şekilde gerçekleştirilmektedir. Bu süreçlerin Banka’nın stratejileri ile uyumlu yürütülmesi, planlamaların yapılması ve ilgili aksiyonların yönetilmesi Bilgi Güvenliği Komitesi sorumluluğundadır.

Oluşturulmuş stratejiler ve politikalar ile bütünleşmiş bir BT Risk Yönetimi yapısı inşa edilmiştir. Banka, bu yönetişim yapısını kendisinin teknoloji firması ile bütünleşik bir yapıda yöneterek iş sürekliliği ve veri bütünlüğünü tehdit edebilecek operasyonel risklerin etkisini minimize etmektedir.

Banka, uluslararası standartlardan faydalanarak risk ölçüm parametrelerini ve parabol risk göstergelerini oluşturmuştur. Belirlenmiş eşik değer üzerinde kalan riskleri proaktif ve sürekli olarak takip edebileceği sistemsel geliştirmeler ve önyüzler kurgulayarak, kök neden takibi, uygulanan kontrol faaliyetlerin takibi, bu faaliyetlere dair konsolide raporların alınmasını mümkün kılmaktadır.

Banka, üretilen bilginin işlenmesi, saklanması, iletilmesi, korunması ve sürekliliğin sağlanması amacıyla kendisi için değere sahip tüm varlıkları “bilgi varlıkları” olarak nitelendirmektedir. 2020 yılında yayımlanan “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetler Hakkında Yönetmelik” doğrultusunda bilgi varlıklarının hepsi gizlilik, bütünlük ve erişilebilirlik kriterlerine göre sınıflandırılmaktadır. Her varlığın sahibi, muhafızı ve konumu gibi nitelikleri kayıt altına alınmaktadır. Aynı zamanda bu varlıkların kullanımına dair kural setleri kurgulanmakta ve gerektiği durumlarda fiziksel aktarımı ve imhası için prosedürler uygulanmaktadır.

Ziraat Bankası, risk yönetim sürecinde sınıflandırılan bilgi varlıklarını güvenlik değerlerine göre analiz etmekte ve bu varlıkların kritikliğine göre güvenlik kontrolleri belirlemektedir. Atanan güvenlik kontrolleri, testler ile analiz edilerek, test sonuçları ışığında iyileştirici faktörler atanarak sonuçların belirlenmiş eşik seviyesini altına getirilmesi amaçlanmaktadır.

Ziraat Finans Grubu çatısı altında tüm yurt dışı iştirak ve şubelerin risk kültürünü standardize etmek ve risk kültüründe tek bir sistem kurgulamak için gerekli projeler devam etmektedir. Grup çatısı altında yer alanların çalışanların işe başlama, işten ayrılma veya görev değişikliği durumlarında bilgi güvenliği yükümlülükleri bulunmaktadır. Kimlik Yönetimi Uygulaması ile otomatize edilen sistemler aracılığıyla erişim yetkileri atanmakta, en az yetki prensibi ve görevler ayrılığı ilkesi odağında Kimlik Yönetimi Politikası oluşturulmaktadır.

Bilgi Güvenliği Farkındalık Programı

Ziraat Finans Grubu, Bilgi Güvenliği konusunda yüksek bilinç ve farkındalık oluşturmak için tüm çalışanlarına kapsamlı bir “Bilgi Güvenliği Farkındalık Programı” oluşturmuştur. Program kapsamında her ay düzenli olarak Bilgi Güvenliği konusunda bültenler ve çalışanların bilgi güvenliği riski konusunda farkındalığını test edecek anketler hazırlamaktadır. Bir taraftan da sosyal mühendislik metoduyla yaklaşılarak, oltalama (phishing) saldırılarından kaçınma kültürü oluşturmak için iç tatbikatlar gerçekleştirilmektedir. 2025 yılında 16 adet oltalama testi gerçekleştirilmiştir. Tatbikat sonuçları doğrultusunda gerekli eğitim atamaları gerçekleştirilerek çalışanların farkındalık düzeyi artırılmaktadır.

İşe yeni başlayan çalışanlara ise oryantasyon eğitimlerine yüz yüze olacak formatta bilgi güvenliği eğitimleri verilmekte ve tüm çalışanlara yıl boyu atanan eğitimler ile çalışanların farkındalıkları ve birikimleri en üst seviyeye çıkarılmaktadır.

2025 yılında banka bünyesine katılan 975 çalışana oryantasyon süresince yüz yüze, banka genelinde ise 27.920 çalışana uzaktan eğitim verilmiştir.

Değer Üretimini Destekleyen Güvenlik Teknolojileri

Ziraat Bankası, çalışanlarının yanında değer zincirindeki diğer taraflar için de bilgi güvenliği artırıcı çalışmalar gerçekleşmektedir. Bu taraflar, müşteriler, hizmet alınan tedarikçiler, iş ortakları ve diğer üçüncü taraflar olarak sıralanmaktadır. İnsan faktörünün neden olduğu riskin farkında olan Ziraat Bankası, siber tehdit kaynakları tarafından sık sık gerçekleştirilen oltalama, kötü amaçlı yazılım, kimlik hırsızlığı, sosyal mühendislik gibi yöntemlere karşı paydaşlarını düzenli olarak bilgilendirmektedir. Bu çalışmalar kapsamında, tedarikçi kaynaklı riskler “3. Parti Risk Yüzeyi Hizmeti” aracılığıyla elde edilen veriler doğrultusunda izlenmekte, ihtiyaca yönelik bilgilendirmeler yinelenmektedir. Bu sayede hem paydaş güveni hem de operasyonel süreklilik sağlamayı hedeflemektedir. 

Ziraat Finans Grubu, potansiyel siber tehdit aktörlerini karşı her zaman hazırlıklı olmak için, haftanın yedi günü ve kesintisiz olarak işleyen Siber Güvenlik Merkezi yapılanmasını kurmuştur. Bu yapılanma, banka sistemleri ve alarm mekanizmalarını analiz ederek zafiyet taraması yapmakta ve siber tehditlere karşı istihbarat toplayarak müdahale etmektedir.

Network ve istemci güvenlik ürün ve cihazları (DDOS, IPS, EDR/EPP sistemleri, NAC ve WAF sistemleri, Firewall, E-posta Güvenlik Ürünleri), veri sızıntılarını engellemeye yönelik DLP sistemleri ve Web/DNS güvenliği sistemleri, tüm güvenlik loglarını izleyip alarm oluşturulabilen Güvenlik Bilgileri ve Olay Yönetimi sistemleri (SIEM), kullanılan uygulamaların güvenliğini sağlamak üzere yazılım kodları inceleme sistemleri, sızma testi sistemleri, zafiyet yönetimi sistemleri sürekli olarak devrede olup kesintisiz bir şekilde faaliyetlerini sürdürmektedir. Çalışanların ağ cihazlarındaki trafik yoğunluğu sürekli olarak izlenerek, internet erişimlerinde Proxy aracılığıyla kullanıcı profillerine göre erişim kural setleri kurgulanmaktadır. Rol bazında atanan yetkilendirmeler görevler ayrılığı ilkesi nezdinde oluşturulmakta, sistemler üzerinde oluşan log kayıtları ise SIEM sistemine aktarılmaktadır. Belirlenen yetki şemasına göre aykırı işlemlerde alarmlar kurulmakta ve gelişmiş sitemler aracılığıyla hızlı aksiyonlar alınabilmektedir.

Ziraat Bankası, 2025 yılında açıklık ve zafiyetlerin daha efektif yönetimi için, Aktif Dizin (Active Directory) altyapısının güvenlik ürünleri ile entegrasyon çalışmaları yürütülmekte ve bu kapsamda Breach and Attack Simulation (BAS) ürünü modüllerinin güncellemesi için çalışmalar sürdürülmektedir. Bu yeni teknolojilere ek olarak, 2025 yılı itibarıyla MISP (Merkezi İstihbarat Platformu) teknolojisi faaliyetlerine başlamıştır. MSIP sayesinde siber istihbaratların tek bir elden yönetimi sağlanmaktadır. Yurt dışı iştirak ve şubelerde ise SIEM sistemlerinin merkezi olarak tek bir platform aracılığıyla yönetimine yönelik entegrasyon çalışmaları devam etmektedir.

Bilgi Güvenliğinde Yasal Uyum ve Güvence Mekanizmaları

Bilgi güvenliği etkileyen ulusal ve uluslararası kanunlar, mevzuatlar, düzenleyici otoritelerin kararları ve talimatları ışığında, Banka tanımlamış olduğu her bir bilgi varlığı üzerindeki riski uluslararası standartlara uygun bir çerçevede değerlendirmektedir. Bu kapsamda, her bir risk yasal gereklilikleri temel alan ve denetlenebilir şekilde oluşturulmuş bir yasal altyapıda değerlendirilmektedir. Ziraat Finans Grubu, mevzuata uyum kütüphanesi oluştururken ulusal ve küresel çapta kabul görmüş standartlar ve modelleri baz almıştır. Bunların bir kısmı aşağıdaki gibi sıralanmıştır:

Ziraat Bankası ve tüm iştiraklerinin bilgi güvenliği politikaları ve politikayı destekleyici nitelikteki yasal dokümanları, düzenleyici ve denetleyici otoritelerin oluşturmuş olduğu regülasyonlara uyum kapsamında hazırlanmaktadır. Aynı zamanda, dijital dönüşüm, teknoloji ilerlemeler ve iş yapış sürecindeki gelişmeler doğrultusunda mezkûr düzenlemeler gözden geçirilmektedir.

Banka kişisel verilerin güvenli bir şekilde saklanması ve hukuka aykırı bir şekilde işlenmesini engellemek ve hukuka uygun bir şekilde imha edilmesi için gerekli prosedürleri uygulamakta ve tedbirleri almaktadır. Kişisel Verilerin Korunması Uygulama Esas ve Usulleri mevzuatında amir hüküm olarak yer alan aydınlatma yükümlülüğü çerçevesinde, gerekli bilgilendirmeler yapılırken, Banka’nın müşteriyle teması olan her kanaldan açık rızaların alınmasına ekstra hassasiyet gösterilmektedir. Bütün bunlara dair farkındalığı artırmak amacıyla, sınıf içi ve uzaktan olmak üzere kişisel verilen korunması kapsamında çalışanlara zorunlu eğitimler verilmektedir.

BDDK’nin Bilgi Sistemlerine İlişkin Sızma Testleri Genelgesi doğrultusunda, Ziraat Finans Grubu bünyesinde icrai görevi bulunmayan bağımsız firmalara yılda en az bir defa sızma testi uygulanmaktadır. Testlerin sonuçlarına göre iyileştirilecek alanlar tespit edilmekte, bulgular Yönetim Kurulu’na sunulmakta ve gerekli aksiyon planları kurgulanmaktadır.

Ziraat Finans Grubu, kendi kurumsal ağından ya da dış ağlardan kaynaklanabilecek tehditlerden korunmak için Ağ Güvenlik Kontrol Sistemleri tesis etmektedir. Banka politikaları çerçevesinde, banka lokasyonlarında çalışan üçüncü taraf çalışanlar, danışmanlar, bağımsız denetim firmaları ve dış denetçiler gibi Banka personeli dışındaki çalışanlara verilecek cihazlar ve erişimlerde USB kullanımına ilişkin kurallar, Banka dışı dosya paylaşımı kuralları ile veri tabanı ve uygulama erişimleri, standart dışı uygulama yükleme işlemlerine yönelik kuralların oluşturulması gibi faaliyetler gerçekleştirilmektedir. Ağ kaynakları kullanımı, DLP ile izlenerek, kural ve politikalar kapsamında veri sızıntılarının önüne geçilmektedir.

Bilgi Güvenliğinde Yasal Uyum ve Güvence Mekanizmaları

Ziraat Bankası, bilgi güvenliğine ilişkin süreçlerini uluslararası standartlara uyumlu bir şekilde yürütmektedir. Banka, kullanıcılara sadece yetkilendirildikleri ağ ve ağ hizmetleri kapsamında erişim yetkisi tanıyarak, iş ihtiyacı sona erdiğinde yetkiyi kaldırmaktadır. Oluşturulan parola politikaları ile gizli/hassas bilgiler kişiye özel olarak korunmakta, paylaşımlara sadece özel kanallar aracılığı ile izin verilmektedir. Veri işleme süreçlerinde kullanılan maskeleme, engelleme, izleme ve şifreleme teknikleriyle güvenlik prosedürleri güçlendirilmektedir.

Bankaların dışarıdan temin ettikleri, verilerin gizliliği, bütünlüğü ve erişebilirliğini etkileyerek iş sürekliliğinde kesintiye sebep olabilecek hizmet alımlarına “Dış Hizmet” adı verilmektedir. Ziraat Bankası, dış hizmet adı altında tedarikçi risklerini minimize etmek için hizmet alımına yönelik şartname ve sözleşmelerde bilgi güvenliği gereksinimlerine yer vermektedir. Hizmet alınan tedarikçi firmalar gizlilik sözleşmesi kapsamında düzenli olarak değerlendirilmektedir.

Güçlü Siber Güvenlik Yapılanması

Banka’da bilgi güvenliği altyapısı en üst seviyede Yönetim Kurulu’na bağlı faaliyet sürdüren İç Sistemler Grup Başkanlığı aracılığıyla yürütülmektedir. İlgili grup başkanlığındaki yöneticilikler bilgi güvenliği kontrollerini gerçekleştirerek, aksiyon planları iş birimleri ile planlanmaktadır.

Ziraat Bankası bünyesinde, bilgi güvenliği kapsamında ihlal olaylarını hızlı, etkili ve periyodik olarak yönetmek ve gerekli aksiyonlarla karşılık verebilmek için SOME bulunmaktadır. Gerçekleşen her bilgi güvenlik olayı ve zayıflıkları merkezi izleme mekanizmaları ile kayıt altına alınmaktadır. Kayda alınan her bir olay kritiklik seviyesi ve vaka türüne göre Bilgi Güvenliği Olay Yönetim Planı çerçevesinde yönetilmektedir. Her bir olay için gerekli aksiyon planları belirlenerek en hızlı şekilde önlem alınması sağlanmaktadır.

2025 yılı içerisinde Banka sistemlerinde aylık ortalama 600.000 spam/zararlı e-posta ve 400.000 üzerinde ağ tabanlı saldırı atağı, birçok Servis Dışı Bırakma (DDOS) atağı veya sistemlere yetkisiz erişim gibi saldırılar gerçekleştirilmiştir. 2025 yılında herhangi bir veri sızıntısı olayı gerçekleşmemiştir. Bankadaki bilgi güvenlik mekanizması, BDDK Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği kapsamında her yıl düzenli olarak denetlenmektedir. Banka Veri Sorumluları Sicili Hakkında Yönetmelik çerçevesinde veri sorumlusu olarak işlemiş olduğu verileri VERBİS’e kaydetmekte ve yayımlamaktadır. Banka Veri İşleme Politikasına ait detay açıklama ve aydınlatma metnine kurumsal web sitesinden ulaşılabilmektedir.