1.Amaç ve Kapsam
Bu prosedür, Trinkex’in karşılaşabileceği olası kriz durumlarında (siber saldırılar, sistem arızaları, likidite krizleri vb.) faaliyetlerini kesintisiz sürdürebilmesi ve müşteri varlıklarının korunmasını sağlamak amacıyla oluşturulmuştur.
Bu prosedür aşağıdaki düzenlemelere dayanılarak hazırlanmıştır:
• Sermaye Piyasası Kurulu (SPK) Kripto Varlık Hizmet Sağlayıcıların Kuruluş ve Faaliyet Esasları Hakkında Tebliğ (III-35/B.1)
• Mali Suçları Araştırma Kurulu (MASAK) Yönetmelikleri
• Bilgi Güvenliği Yönetim Sistemi (ISO 27001) Standartları
• Elektronik Haberleşme Güvenliği ve Kişisel Verilerin Korunmasına İlişkin Mevzuat
3. Risk Senaryoları ve Kurtarma Stratejileri
Trinkex’in işleyişini etkileyebilecek temel risk senaryoları ve bu durumlara karşı alınacak önlemler şunlardır:
o DDoS (Dağıtılmış Hizmet Engelleme) Saldırıları: Sistemi aşırı yükleyerek hizmet kesintisine neden olur.
o Fidye Yazılımları (Ransomware): Verileri şifreleyerek fidye talep eden kötü amaçlı yazılımlar.
o Kimlik Avı (Phishing) Saldırıları: Sahte e-postalar veya web siteleri yoluyla yetkisiz erişim sağlama girişimleri.
o Yetkisiz API Erişimleri: Güvenlik açıklarından yararlanarak sistemlere sızma teşebbüsleri.
o Veritabanı Çökmesi: Müşteri bilgileri veya işlem kayıtlarının kaybolmasına neden olabilir.
o Akıllı Kontrat Hataları: DeFi platformlarında hatalı kod kullanımı sonucu güvenlik açıkları oluşabilir.
o Donanım Arızaları: Sunucu veya ağ ekipmanlarının arızalanması sonucu hizmet kesintileri yaşanabilir.
o Likidite Krizleri: Büyük çekim taleplerine veya piyasa dalgalanmalarına karşı yetersiz rezerv bulundurulması.
o Hatalı Fiyatlandırma: Yanlış fiyatlandırma algoritmaları nedeniyle oluşabilecek zararlar.
o Kötü Niyetli İşlem-Emir Girişi (Front-Running): İçeriden bilgi sızdırarak veya önceden işlem yaparak avantaj sağlama girişimleri.
o Yanlış İşlemler: Yetkisiz veya yanlış hesaplara kripto varlık transfer edilmesi.
o İç Tehditler: Çalışanların kasıtlı veya bilinçsiz hatalarla sistem güvenliğini tehlikeye atması.
o Erişim Kontrol Eksiklikleri: Yetkilendirme hataları nedeniyle güvenlik ihlallerinin yaşanması.
Doğal Afetler ve Fiziksel Riskler:
o Deprem, Yangın, Sel: Veri merkezlerini veya sunucuları etkileyerek sistemin çökmesine neden olabilir.
o Elektrik Kesintileri: Uzun süreli kesintiler yedekleme sistemleri olmadan büyük zararlar doğurabilir.
o Fiziksel Güvenlik İhlalleri: Yetkisiz kişilerin veri merkezlerine veya şirket sistemlerine erişim sağlaması.
4.Tehdit Tespiti ve Değerlendirme
• Güvenlik olaylarını tespit eden izleme sistemleri (SIEM, IDS/IPS vb.) tehdit algıladığında, olay acil durum ekibine bildirilir.
• Tehdidin türü (siber saldırı, kötü amaçlı yazılım, yetkisiz erişim vb.) analiz edilir.
• Etkilenen sistemlerin kapsamı ve olası yayılma alanları belirlenir.
5. Acil Durum Protokolünün Devreye Alınması
• Yetkili kişiler, sistem ve cüzdanların izole edilmesi için onay sürecini başlatır.
• İzolasyon süreci, önceden tanımlanmış Acil Durum Planı çerçevesinde yürütülür.
• Ağ Bağlantılarının Kesilmesi: Tehdit altındaki sistemlerin dış dünyayla bağlantısı kesilir. (Örn: internet erişimi devre dışı bırakılır.)
• Segmentasyon:
Etkilenen cüzdan veya sistem, diğer kritik sistemlerden fiziksel ve mantıksal olarak ayrılır.
• Kullanıcı ve API Erişimlerinin Durdurulması:
Yetkisiz erişimlerin önüne geçmek için sistemdeki kullanıcı erişimleri ve API anahtarları geçici olarak devre dışı bırakılır.
7.Koruma ve Kurtarma Faaliyetleri
Trinkex platformunun işleyişini etkileyebilecek temel risk senaryoları, oluşan riskin büyüklüğü ,kapsamı, etki derecesi değerlendirilerek gerekiyorsa aşağıdaki önlemler alınır;
Sıcak cüzdanlarda bulunan kripto varlıkların ivedilikle soğuk cüzdanlara çekilmesi sağlanır. Bu sürecin yürütülmesi sırasında aşağıdaki unsurlara dikkat edilir;
• İşlem, sadece yetkili kişiler tarafından gerçekleştirilir ve çok faktörlü kimlik doğrulama (MFA) kullanılır.
• İşlem süreci kayıt altına alınarak loglanır.
• Çekilecek varlık miktarı ve hedef adresler yönetim kurulundan en az iki üye tarafından onaylanır.
• Sıcak cüzdandan çekilecek varlıklar, belirlenen soğuk cüzdan adreslerine yönlendirilir.
• Soğuk cüzdan, çevrimdışı bir ortamda bulunduğundan işlem, manuel olarak imzalanır.
• İşlem, yetkilendirilmiş personel tarafından fiziksel donanım cüzdanları (Ledger, Trezor vb.) veya güvenli imzalama cihazları kullanılarak onaylanır.
• Transfer edilen varlıkların, doğru soğuk cüzdana ulaştığı doğrulanır.
• İşlem hash'leri ve detayları kayıt altına alınarak saklanır.
• Sıcak cüzdanların bakiyesi düzenli olarak kontrol edilerek minimum seviyeye çekilir.
• Olası siber saldırı senaryolarına karşı çoklu imza (multi-signature) mekanizması kullanılır.
• Soğuk cüzdanda saklanan varlıkların yedekleri güvenli bir ortamda muhafaza edilir.
Tehdit altındaki veya olaydan etkilenen sistem ve cüzdanlar diğer sistemlerden izole edilir.
Bir sistem veya cüzdanın tehdit altında olduğu veya bir güvenlik ihlali yaşandığı tespit edildiğinde, olayın yayılmasını önlemek ve sistemin bütünlüğünü korumak için izolasyon süreci aşağıdaki adımlarla gerçekleştirilir:
Müşteri Varlıklarının Transferi: Trinkex’in faaliyetlerine devam edememesi durumunda, müşterilere ait kripto varlıklar güvenli şekilde soğuk cüzdanlara transfer edilir.
8. Tehdit Analizi ve Zayıflık Tespiti
• Olayın kaynağı belirlenir ve tehdidin yayılma riski değerlendirilir.
• Sistem Günlükleri (Logs) ve olay verileri incelenerek saldırının veya ihlalin nasıl gerçekleştiği belirlenir.
• Etkilenen varlıkların ve kullanıcıların durumu analiz edilir.
• Olayın nedenleri ve etkilediği sistemler analiz edilerek, sistemsel zayıflıklar değerlendirilir.
9. Sistemin Güvenli Hale Getirilmesi ve Yeniden Devreye Alma
• Tehdit ortadan kaldırıldıktan sonra, sistemlerin güvenliği sağlanarak normal operasyon sürecine geçilir.
• İzolasyon sırasında oluşan veri kayıpları ve güvenlik açıkları giderilir.
• Sistemler yedeklerden geri yüklenerek veya güvenli bir şekilde yeniden başlatılarak operasyonel hale getirilir.
• Güvenlik Açıklarının Giderilmesi:
o Yazılım güncellemeleri ve güvenlik yamaları uygulanır.
o Çok faktörlü kimlik doğrulama (MFA) ve erişim kontrolleri sıkılaştırılır.
o İç tehdit veya yetkisiz erişim girişimleri tespit edilirse, sorumlu kişiler belirlenerek gerekli hukuki işlemler başlatılır.
• Sistemin Güvenli Hale Getirilmesi:
o Etkilenen sistemler detaylı güvenlik taramalarından geçirilir.
o Sistemlerin yeniden güvenli hale getirildiğine dair testler yapılarak normal operasyona geçilir.
10. Risk Yönetimi ve Raporlama
• Kurtarma planının uygulamaya konulması durumunda, risk yönetim birimi, planın iş akış prosedürlerine uygun şekilde yürütülüp yürütülmediğini değerlendirir.
• Risk yönetim birimi, karşılaşılan tehlike, bunun nasıl giderildiği ve ne gibi önlemler alındığı, karşılaşılan durumun müşteri varlıkları ve Trinkex’e olası mali etkisine ilişkin bir değerlendirme raporu hazırlar ve yönetim kuruluna sunar.
• Hazırlanan raporun bir örneği derhal SPK’ya iletilir.
11. Yönetim Kurulu Onayı ve Sorumluların Atanması
• Kurtarma planı ve buna ilişkin iş akış prosedürleri Trinkex yönetim kurulu tarafından onaylanır.
• Kurtarma planının uygulanmasından Genel Müdür ve Bilgi Güvenliği Sorumlusu sorumludur.
• Bu kişilere ait unvan, e-posta adresi, telefon ve faks numaraları dahil olmak üzere tüm iletişim bilgileri, SPK ve belirlenen diğer kuruluşlara bildirilir.
12.Müşteri Bilgilendirme Yükümlülüğü
• Trinkex, kurtarma planlarının nasıl uygulanacağı ve buna ilişkin iş akış prosedürleri hakkında müşterilerine internet sayfasında bilgilendirme yapar.
• Kurtarma planının yeterliliği yıllık olarak veya yönetim kurulu tarafından gerekli görülmesi halinde yıl periyodu beklenmeksizin gözden geçirilir.
• Yeni tehdit ve teknolojilere uyumlu hale getirilerek kurtarma planı düzenli olarak güncellenir.
Bu prosedür, yönetim kurulu onayı ile yürürlüğe girer ve ilgili tüm çalışanlar tarafından uygulanması zorunludur.