Secure Future CEO’su Cem Kotanoğlu ile Fintechtime Nisan sayısı “Liderlerin Gözünden 2026’nın Siyah Kuğuları” dosya konusu için gerçekleştirdiğimiz röportaj yayında.
“Siber güvenlik, 2026 vizyonunda salt bir teknik savunma hattı olmanın çok ötesine geçerek; finans kurumlarının hayatta kalma refleksini belirleyen en stratejik operasyonel dayanıklılık testine dönüşüyor. Sentetik kimliklerin geleneksel biyometri duvarlarını zorladığı ve API ekosistemindeki tek bir zafiyetin tüm sektörel altyapıyı tehdit ettiği bu yeni çağda, asıl tehlike alarmları çaldıran büyük operasyonlardan ziyade veriyi içten içe zehirleyen sessiz manipülasyonlarda gizleniyor. Cem Kotanoğlu, güvenliği IT odalarının sınırlarından çıkarıp yönetim kurullarının ana gündemine taşıyan bu büyük dönüşümü ve sessiz ihlallere karşı geliştirilen çok katmanlı savunma mimarilerini mercek altına alıyor.”
Siber Saldırıdan Sistemik Kararmaya
Siber güvenlik uzun süre saldırıyı durdurma, duvarları güçlendirme ve içeri sızmayı engelleme mantığıyla yönetildi. Finans dünyasında da güvenlik yatırımları çoğu zaman “ne kadar iyi korunduğumuz” sorusuna yanıt vermek için kurgulandı. Ancak 2026’nın mevcut ikliminde tablo belirgin biçimde değişiyor. Artık asıl mesele saldırının yaşanıp yaşanmayacağı değil; saldırı gerçekleştiğinde sistemin ne kadar hızlı toparlanabildiği, hangi hizmetlerin ayakta kaldığı ve güvenin hangi hızla yeniden inşa edilebildiği.
Bu değişim, siber güvenliği teknik bir savunma katmanından çıkarıp doğrudan operasyonel süreklilik ve kurumsal dayanıklılık alanına taşıyor. Çünkü günümüz tehditleri yalnızca veri çalmıyor, yalnızca sistemi kilitlemiyor, yalnızca kullanıcı hesabını hedef almıyor. Aynı anda kimliği, doğrulamayı, karar motorlarını, entegrasyon katmanlarını ve güven varsayımlarını hedef alabiliyor. Böyle bir ortamda siber risk, tekil bir kurum sorunu olmaktan çıkıp ekosistemin bütününü etkileyen sistemik bir meseleye dönüşüyor.
2026’nın siyah kuğuları güvenlik cephesinde tam da burada şekilleniyor. En büyük tehdit, saldırının şiddetinden çok etkisinin yayılma biçiminde büyüyor. Bir ihlalin bulut katmanından API omurgasına, karar motorlarından kimlik doğrulama akışına kadar genişleyebilmesi; finansal sistemi yalnızca yavaşlatmakla kalmıyor, bir güven kararmasına da sürükleyebiliyor. Bu yüzden güvenlik liderleri açısından yeni dönem, saldırıyı engelleme yarışından çok, sistem ayakta kalırken neyin korunacağına karar verme dönemi.
Siyah Kuğu Nerede?
Siber güvenlik dünyasında görünmeyen riskler, çoğu zaman en çok güvendiğimiz doğrulama ve altyapı katmanlarında birikiyor.
Deepfake otorite ve sentetik kimlik manipülasyonu: Üretken yapay zeka artık yalnızca sahte kimlik üretmiyor; ses, görüntü ve davranış kalıplarını taklit ederek otoriteyi de simüle edebiliyor. Bu durum, biyometrik doğrulama ve canlılık testi gibi mekanizmaların güven sınırlarını daha sert biçimde zorluyor.
Biyometrik verilerin değer kaybı: Parmak izi, yüz tanıma ve benzeri biyometrik veriler uzun süre güçlü güven katmanları olarak kabul edildi. Ancak kitlesel veri sızıntıları ve model tabanlı taklit teknikleri, bu araçların tek başına belirleyici kanıt olma gücünü zayıflatıyor. Güvenlik mimarisi açısından asıl soru artık “hangi veri elimizde” değil, “hangi kanıt katmanlarını birlikte çalıştırıyoruz” sorusu.
Küresel bulut ve API katmanlı zincirleme çöküş: Güvenlik ihlalleri artık yalnızca tek bir şirketin sınırları içinde kalmıyor. Kritik bulut altyapıları, ortak servis katmanları ve yüksek yoğunluklu API düğümleri üzerinden daha geniş bir yayılım riski oluşuyor. Tek bir merkezde yaşanan sorun, çok sayıda finansal hizmeti aynı anda etkileyebiliyor.
Sessiz sızıntılar ve karar manipülasyonu: En tehlikeli senaryolardan biri, saldırının hemen görünür hale gelmemesi. Sistem çalışıyor gibi görünürken verinin, model çıktılarının ya da karar akışlarının içeriden bozulması, aylar sonra fark edilen çok daha derin bir güven krizine yol açabiliyor.
Sistemi Sarsan Görünür Saldırıların Ötesinde Asıl Yıkımı Güveni İçten Aşındıran Sessiz İhlaller Yaratıyor!
Secure Future CEO’su Cem Kotanoğlu
Güvenlik stratejinizi en çok ne şekillendiriyor: saldırıyı engellemek mi, yoksa saldırı anında iş sürekliliğini korumak mı?
Biz Secure Future tarafında güvenliği artık sadece koruma perspektifiyle ele almıyoruz. Bizim için asıl odak operasyonel dayanıklılık.
Çünkü bugün hiçbir kurum “saldırı olmayacak” varsayımıyla yaşayamaz.
Önemli olan, saldırı gerçekleştiğinde sistemlerin ne kadar ayakta kalabildiği ve hizmetin ne kadar sürdürülebildiğidir. Bu noktada kimlik güvenliği ilk savunma hattını oluşturuyor. Ama tek başına yeterli değil; işin devamlılığını sağlayan taraf operasyonel süreklilik. Toparlanma hızı ise müşteriye ve pazara verdiğiniz güveni belirleyen kritik faktör haline geliyor.
Bizim bakış açımız şu: güvenlik artık bir IT konusu değil, doğrudan işin devam etmesini sağlayan bir disiplin.
Bugün en büyük risk nerede birikiyor: kimliklerde mi, API’lerde mi, yoksa Bulut düzleminde mi?
Bugün en büyük kırılganlığın kimlik katmanında başladığını görüyoruz.
Çünkü artık sadece kullanıcılar değil; servisler, API’ler ve makineler de birer kimlik haline geldi. Bu kimliklerin nasıl doğrulandığı ve hangi yetkilerle hareket ettiği çoğu zaman yeterince kontrol edilemiyor. Ancak risk burada kalmıyor; asıl büyüme noktası API ve bulut katmanında ortaya çıkıyor. Çünkü modern sistemlerde tüm iş akışı bu katmanlar üzerinden ilerliyor. Yanlış yapılandırılmış bir yetki ya da kontrolsüz bir API, tüm güvenlik mimarisini bypass edebiliyor. Bu yüzden bugün mesele sadece kullanıcıyı korumak değil, tüm dijital kimlik ekosistemini yönetebilmek. Risk artık tek bir noktada değil, kimlikten başlayıp API ve bulut üzerinde genişleyen bir yapı.
Deepfake ve sentetik kimlik saldırılarının arttığı bir dünyada, biyometrik doğrulama hâlâ güvenilir mi?
Biyometrik doğrulamayı hâlâ değerli görüyoruz, ama artık tek başına yeterli bir güven katmanı olarak değerlendirmiyoruz.
Çünkü deepfake ve sentetik kimlik saldırıları, biyometrik sistemleri yanıltabilecek gerçek bir risk haline geldi; ENISA ve NIST de özellikle sunum saldırıları, injection ve sahte yüz/kimlik senaryolarına dikkat çekiyor. Bu yüzden bugün biyometriyi “nihai doğrulama” değil, çok katmanlı kimlik güveninin bir parçası olarak görmek gerekiyor.
Canlılık kontrolü, cihaz güveni, belge doğrulama ve davranış analizi gibi ek katmanlar olmadan biyometrinin taşıdığı güven zayıflıyor. Türkiye’deki yaklaşım da biyometriyi tek başına bırakmıyor; süreci ek kontroller ve risk bazlı doğrulamalarla destekliyor.
Bizim bakış açımız şu: biyometri güçlüdür, ama onu gerçekten güvenilir yapan şey etrafındaki doğrulama mimarisidir.
Kısacası, deepfake çağında soru biyometrinin çalışıp çalışmadığı değil, hangi ek kontrollerle güvenilir kaldığıdır.
Kritik bir bulut ya da API ihlalinin finansal sistemi zincirleme etkilemesi durumunda, kurumlar gerçekten aynı dayanıklılık seviyesinde mi?
Bu soruya net biçimde hayır diye cevap veriyoruz. Çünkü aynı sektörde faaliyet gösteren kurumlar benzer çerçevelerde ilerlese de, aynı operasyonel olgunluk ve hazırlık seviyesinde değiller.
Bugün risk tek bir kurumun güvenliğinden çok, bağlı olduğu bulut, servis ve API ekosisteminin ne kadar dayanıklı olduğu ile ilgili.
Avrupa’da DORA’nın kritik teknoloji sağlayıcıları için özel gözetim modeli kurması da bunun bir göstergesi; hedef, finans sektörünü ICT kesintilerine karşı daha dirençli hale getirmek. FSB de finans kurumlarının kritik üçüncü taraf bağımlılıklarını izleyip yönetmesi gerektiğini, aksi halde sistem genelinde kırılganlık oluşabileceğini vurguluyor. Yani bugün güçlü olmak, sadece içeriyi korumak değil; dış bağımlılıkları Ortak kurallar olabilir, ama henüz ortak dayanıklılık seviyesi yok.
Bu yüzden asıl soru artık “kurum güvenli mi?” değil, “ekosistem birlikte ne kadar ayakta kalabiliyor?”
Bugün kurumların güvenlik mimarisi, görünmeyen veri manipülasyonlarını ve bozulmuş karar çıktılarını gerçekten erken fark edebiliyor mu? Saldırının hemen fark edilmediği ve verinin sessizce manipüle edildiği bir senaryoda, mevcut güvenlik mimarileri bunu zamanında yakalayabilir mi?
Birçok yapı hâlâ saldırıyı “erişim oldu mu, zararlı çalıştı mı, veri çıktı mı?” gibi klasik göstergeler üzerinden okumaya çalışıyor.
Oysa verinin fark edilmeden bozulduğu ya da model çıktılarının sessizce yönlendirildiği senaryolarda, sorun çoğu zaman geç fark ediliyor.
NIST de bu nedenle veri zehirleme, çıktı güvenilirliği ve yapay zekâya bağlı bütünlük risklerini ayrı bir başlık olarak ele alıyor.
OWASP da görünmeyen manipülasyonların artık sadece teknik hata değil, doğrudan iş kararlarını etkileyen güvenlik riski haline geldiğini vurguluyor. Bu yüzden güvenliğin odağı sadece saldırıyı durdurmak değil, verinin ve üretilen sonucun güvenilir kalıp kalmadığını da izlemek olmalı.
Sistem çalışıyor görünüyorsa bu tek başına yeterli değil; önemli olan doğru, temiz ve güvenilir çalışıyor olması.
Kısacası, sessiz bozulmayı (slient data corruption) yakalamak için klasik güvenlik yaklaşımının ötesine geçmek artık bir tercih değil, zorunluluk.
Bugün siber güvenlik bir IT meselesi olarak mı kalmalı, yoksa kurumun üst yönetim ajandasında yer alan stratejik bir dayanıklılık konusu mu olmalı?
Siber güvenliğin artık sadece IT ekiplerinin yönettiği bir konu olarak görülemeyeceğini düşünüyoruz. Çünkü bugün yaşanan bir siber olay yalnızca sistemleri değil, operasyonu, itibarı, müşteri güvenini ve gelir akışını da doğrudan etkiliyor.
Bu nedenle siber güvenlik artık teknik bir savunma alanından çok, kurumsal dayanıklılık ve iş sürekliliği başlığı haline geldi.
Dünya Ekonomik Forumu da son dönemde siber riskleri yalnızca teknik tehditler olarak değil; yapay zekâ, tedarik zinciri bağımlılığı ve liderlik hazırlığıyla birlikte değerlendiriyor. Yani konu sadece hangi güvenlik ürününü kullandığınız değil, kriz anında kurumun ne kadar hızlı, doğru ve koordineli karar alabildiği.
Bugün güçlü kurumlar sadece saldırıyı engelleyenler değil, saldırı anında işi sürdürebilenler olacak. Bizim bakış açımız şu: siber güvenlik teknik ekiplerin yürüttüğü bir alan olabilir, ama sahipliği mutlaka üst yönetimde olmalı.
Çünkü artık güvenlik, doğrudan işin devam edip etmeyeceğini belirleyen stratejik bir konu.
Günümüzde sizi daha fazla düşündüren risk hangisi: büyük ve görünür bir saldırı mı, yoksa fark edilmeden ilerleyen ve güveni içeriden aşındıran sessiz ihlaller mi?
Bugün bizi daha fazla düşündüren riskin sessiz ihlaller olduğunu düşünüyoruz. Çünkü büyük saldırılar görünürdür; alarm üretir, kriz masasını toplar ve kurumu hızlı reaksiyona zorlar. Sessiz ihlaller ise çoğu zaman sistem çalışıyor görünürken içeriden güveni aşındırır.
Veri bütünlüğünü bozabilir, karar kalitesini düşürebilir ve etki alanını fark edilmeden büyütebilir. Asıl tehlike de burada başlar; kurum sorunu geç fark ettiğinde hasar sadece teknik değil, operasyonel ve itibari hale gelir.
Bugün en kritik konu saldırının büyük olması değil, ne kadar geç anlaşıldığıdır. Görünür saldırılar sistemi sarsar, sessiz ihlaller ise sistemi içten zamanla zayıflatır. Bu yüzden yeni dönemde asıl farkı yaratan şey, sessiz bozulmayı ne kadar erken görebildiğinizdir.
