Ransomware (Fidye Yazılımı) Şirket Rehberi 2026
Ransomware saldırısında saldırgan, kurumun dosyalarını şifreleyerek anahtar karşılığında fidye talep eder. Modern varyantlar veri sızdırma (double extortion) ve DDoS tehdidi (triple extortion) ile baskıyı artırır. Bu rehber olay müdahale sürecini, hukuki yükümlülükleri ve KVKK bildirim zorunluluğunu inceler.
Olay Müdahale Aşamaları
Tespit → izole etme → kanıt koruma → iletişim yönetimi → analiz → restorasyon → sonrası gözden geçirme şeklinde ilerleyen akış kritik önem taşır. Erken saatlerde alınan kararlar zararı belirleyicidir.
Fidye Ödeme Hukuki Değerlendirmesi
MASAK mevzuatı ve yaptırım listeleri bakımından fidye ödenmesi ciddi uyum riskleri taşır. Ödeme alıcılarının LYN (OFAC) listesinde yer alması halinde ek idari ve cezai sorumluluk doğabilir.
KVKK Bildirim Zorunluluğu
Kişisel veri ihlali oluşması halinde veri sorumlusu 72 saat içinde KVKK’ya bildirim yapmakla yükümlüdür (KVKK m.12/5). İlgili kişilerin bilgilendirilmesi de ayrı bir yükümlülüktür.
Delil Koruma
Şifrelenmiş dosyaların yedeği, fidye notu, wallet adresi, saldırgan iletişim kanalları ve log dosyaları adli bilişim raporu için saklanmalıdır. Sistemi formatlamadan önce imaj alınması önerilir.
Dava ve Tazminat
Saldırgana ulaşılamasa dahi, güvenlik yüklenicisinin sorumluluğu, siber sigorta poliçesi talepleri ve üçüncü taraf servis sağlayıcılara karşı rücu imkânları değerlendirilebilir.
Sıkça Sorulan Sorular
Fidye ödenmeli mi?
MASAK uyumu, garanti bulunmaması ve ikinci saldırı riski nedeniyle ödeme önerilmez; karar somut olaya göre verilmelidir.
KVKK bildirimi zorunlu mu?
Kişisel veriye erişim ya da şifreleme olmuşsa 72 saat içinde bildirim yükümlülüğü doğar.
Yedekten geri dönüş yeterli mi?
Yedeklemenin bütünlüğü doğrulanmalı; saldırgan yedekleri de hedef aldıysa restorasyon öncesi tarama şarttır.
Olay sonrası hukuki süreç?
USOM’a bildirim, savcılığa şikayet ve sigorta başvurusu eş zamanlı yürütülür.
Bu içerik bilgilendirme amaçlıdır ve bireysel hukuki danışmanlık yerine geçmez. Somut olayınız için bir hukuk müşavirila görüşmeniz önerilir.
Yargıtay içtihatları’nin 2023-2024 yıllarındaki içtihatlarında DDoS saldırısı ve ransomware eylemleri TCK m.244’ün farklı fıkraları çerçevesinde değerlendirilmiştir. Kamu hizmetine yönelik sistemlere zarar verilmesi halinde ağırlaştırılmış fıkra uygulanmakta, saldırganın yurt dışında bulunması Uluslararası Adli Yardım çerçevesinde ek süreç gerektirmektedir. Şirketlerin siber sigorta poliçelerine ilişkin özel hukuk davalarında Yargıtay içtihatlarıpoliçe kapsamının yorumlanmasında ticari teamül ilkesini uygulamaktadır. Yargısal kararların güncel ve tam metinleri için mevzuat.adalet.gov.tr veritabanından sorgulama yapılabilir. Burada özetlenen yaklaşımlar somut olayın koşullarına göre değişebilir. Bilişim hukuku, KVKK, siber suçlar ve dijital delil konularındaki anlatımlarımız için @bilalalyar YouTube kanalını takip edebilirsiniz.İlgili Yargısal Yaklaşımlar
Bilişim Sistemini Engelleme Suçu — Uygulamadaki Yaklaşım
Bölgenizdeki Bilişim Hukuku Danışmanlığı
Konuyla İlgili Video İçerikler
Bu içerik 17 Nisan 2026 tarihinde gözden geçirilmiştir.
Şirketler Hukuku Mevzuat Tablosu
| Kanun / Madde | Konu |
|---|---|
| 6102 TTK m.124 | Ticaret şirketleri türleri |
| 6102 TTK m.134-194 | Birleşme, bölünme ve tür değiştirme |
| 6102 TTK m.331-562 | Anonim şirket hükümleri |
| 6102 TTK m.391-392 | Yönetim kurulu kararlarının hükümsüzlüğü |
| 6102 TTK m.408-410 | Genel kurul toplantısı ve çağrı |
| 6102 TTK m.445-448 | Genel kurul kararlarının iptali ve butlanı |
| 6102 TTK m.438-444 | Özel denetim ve inceleme hakkı |
| 6102 TTK m.474-482 | Sermaye artırımı ve azaltılması |
| 6102 TTK m.553-560 | Yöneticilerin hukuki sorumluluğu |
| 6102 TTK m.531 | Haklı sebeple şirketin feshi |
| 6102 TTK m.573-644 | Limited şirket hükümleri |
| 6102 TTK m.638-640 | Limited şirkette çıkma ve çıkarılma |
| 6102 TTK m.54-63 | Haksız rekabet hükümleri |
| 6102 TTK m.396 | Yönetim kurulu üyelerinin rekabet yasağı |
| 6362 SPK | Sermaye Piyasası Kanunu (halka açık şirketler) |
| 4054 RKHK | Rekabetin Korunması Hakkında Kanun |
| 6098 TBK m.128 | Karz (ödünç) ve ticari işlemler |
İlgili Kurumlar
- Ticaret Sicili Müdürlükleri
- Sermaye Piyasası Kurulu (SPK)
- Rekabet Kurumu
- Asliye Ticaret Mahkemeleri
- Türkiye Odalar ve Borsalar Birliği (TOBB)
Şirketler Hukuku | Ticaret Hukuku | Genel Kurul Toplantısı
Resmi Kaynaklar
- Mevzuat Bilgi Sistemi (mevzuat.gov.tr)
- Yargıtay Karar Arama (karararama.yargitay.gov.tr)
- UYAP Vatandaş Portalı (uyap.gov.tr)
- İstanbul Barosu (istanbulbarosu.org.tr)
- T.C. Adalet Bakanlığı (adalet.gov.tr)
- Türkiye Barolar Birliği (barobirlik.org.tr)
Hazırlayan Hukuku
Av. Bilal ALYAR — İstanbul Barosu Sicil No: 54965
Marmara Üniversitesi Hukuk Fakültesi mezunu (2015). Aile hukuku, ceza hukuku, kripto para hukuku, bilişim hukuku, şirketler hukuku ve vergi hukuku alanlarında faaliyet göstermektedir.
Bu içerik yalnızca genel bilgilendirme amaçlıdır; somut hukuki görüş ya da avukat-müvekkil ilişkisi oluşturmaz. Her dosya kendine özgü koşullar içerdiğinden, hukuki süreçlerde ilgili mevzuat çerçevesinde bilgilendirme alınması yararlı olabilir.