Seçilmiş Güncel Gelişmeler 49

* Avrupa Birliği Siber Güvenlik Ajansı (ENISA) tarafından yayımlanan “Threat Landscape 2025” raporu, 1 Temmuz 2024 – 30 Haziran 2025 döneminde gerçekleşen 4875 siber olayın analizine dayanmaktadır[1]. Rapor, AB’nin mevcut siber tehdit ekosistemini ortaya koymakta ve güvenlik açıklarının hızla istismar edilmesi, saldırganların izlenmesindeki artan karmaşıklık ve süreklilik kazanan saldırı operasyonları ile şekillenen olgunlaşmış bir tehdit ortamını vurgulamaktadır. Raporda öne çıkan bulgulardan bazıları şu şekildedir:

Fidye yazılımları, tehdit ortamının merkezinde yer almaya devam etmektedir. Siber suç grupları, kolluk kuvvetlerinin müdahalelerine yanıt olarak faaliyetlerini merkeziyetsizleştirmiş, daha agresif şantaj yöntemleri benimsemiş ve “hizmet olarak fidye yazılımı” (RaaS) modelleri ile ekosistemi çeşitlendirip profesyonelleştirmiştir.

Devlet bağlantılı tehdit grupları; telekomünikasyon, lojistik ve imalat sektörlerini hedef alan uzun vadeli siber casusluk operasyonlarını sürdürmektedir. Bu gruplar, özellikle tedarik zinciri saldırıları ve gelişmiş zararlı yazılım çerçeveleri gibi kullanımlarla öne çıkmaktadır.

“Hacktivist” faaliyetler, toplam olayların yaklaşık %80’ini oluşturmaktadır. Çoğunlukla düşük maliyetli DDoS saldırılarına dayalı bu faaliyetler, etkileri sınırlı olsa da ideolojik motivasyonlarla düşük maliyetli araçların geniş ölçekte kullanılabildiğini göstermektedir.

Oltalama saldırıları, %60 oranla en yaygın saldırı vektörü olmaya devam etmektedir. “Hizmet olarak oltalama” (PhaaS) platformlarının yükselişi ve QR tabanlı oltalama yöntemleri, bu alandaki endüstrileşmeyi açıkça ortaya koymaktadır.

Zafiyet istismarı ise olayların %21.3’ünde başlangıç vektörü olarak öne çıkmakta olup bu durum, zamanında yama yönetiminin ve temel siber hijyen önlemlerinin kritik önemini ortaya koymaktadır.

Yapay zekâ destekli saldırılar açısından bakıldığında ise 2025 yılı itibarıyla sosyal mühendislik operasyonlarının %80’inden fazlasının, yapay zekâ araçları ile gerçekleştirildiği görülmektedir. Jailbreak edilmiş modeller, deep fake içerikler ve model zehirleme teknikleri, saldırıların etkinliğini artıran başlıca yöntemler olarak öne çıkmaktadır.

Bu çerçevede genel olarak bakıldığında söz konusu raporda, AB’deki siber tehdit ortamının tekil yüksek etkili saldırılardan ziyade; sürekli, çeşitlenen ve iç içe geçen operasyonlar aracılığıyla şekillendiği ve bu durumun hem kurumsal hem de toplumsal düzeyde siber dayanıklılığı aşındıran bir dinamik ortaya koyduğu vurgulanmaktadır.

* Hong Kong Veri Koruma Otoritesi (PCPD), CCTV sistemleri, drone’lar ve araç içi kameraların kullanımına ilişkin yeni rehberler ve bilgilendirme broşürleri yayımladı[2]. Bu kapsamda bahse konu dokümanlar ile teknolojinin etkin bir şekilde kullanılmasına yardımcı olmak ve mevzuat kapsamındaki ilgili gerekliliklere uygun olarak kişisel verilerin gizliliğinin korunmasını sağlamak amacıyla, bu araçların sorumlu bir şekilde kullanımına yönelik yol gösterilmesinin hedeflendiği belirtilmektedir.

* İsviçre Veri Koruma Otoritesi (FDPIC), çerezler ve benzer teknolojiler kullanılarak gerçekleştirilen veri işleme faaliyetlerine ilişkin Rehber’in güncellenmiş versiyonunu yayımladı[3].

* Fransa Veri Koruma Otoritesi (CNIL), Fransız kullanıcıların kişisel verilerin kullanımı ve çevrim içi reklamlara rıza verme konusundaki algılarının incelendiği anketin ilk bulgularını yayımladı[4]. Üç bölümden oluşacağı belirtilen serinin ilk çalışmasında, hedefli reklamcılık olmadan sunulan hizmetlere erişim karşılığında kullanıcıların ödeme yapmaya ne ölçüde istekli oldukları ele alınmaktadır.

15 yaş ve üzeri 2.082 katılımcıdan oluşan temsili bir örneklem üzerinde gerçekleştirilen çevrim içi anketin bulguları, ücretli abonelik modellerinin giderek yaygınlaştığını ancak birçok hizmet bakımından hâlen kullanıcıların çoğu için tercih edilen seçenek olmadığını göstermektedir. Örneğin; araştırmaya göre katılımcıların yarısından fazlası (%56), isteğe bağlı video platformlarına aylık ortalama 20 avro karşılığında abone olduklarını belirtirken; bu oran ses hizmetlerinde %27’ye ve video oyunlarında ise %18’e düşmektedir.

Buna karşılık, sağlık ve fitness uygulamaları, üretken yapay zekâ, çevrim içi haberler ve sosyal medya gibi diğer hizmetlerde abonelik oranı %10’un altında olmakla birlikte katılımcıların %24 ila %33’ü, bu tür hizmetler için ödeme yaptıklarını ya da yapmaya istekli olduklarını ifade etmiştir. Diğer bir deyişle, mevcut durumda hizmetin ücretsiz olması nedeniyle ödeme yapmayan önemli bir kesim, hedefli reklam içermeyen bir sürüm için ücret ödemeye hazır olduğunu belirtmiştir.

Diğer yandan anket, kişisel verilerin korunmasına daha fazla önem veren ve bu amaçla ücretli hizmetlere yönelmeye açık bir kullanıcı kitlesinin varlığına da işaret etmekte olup bu kapsamda veri koruma, dijital hizmetlerin seçiminde belirleyici bir unsur olarak öne çıkmaktadır. Katılımcıların %64’ü, tarayıcı ayarlarını değiştirerek veya gizli gezinme seçeneklerini kullanarak çevrim içi gizliliklerini korumaya özen gösterdiğini belirtirken; bu oran 15-34 yaş grubunda %71’e yükselmektedir. Diğer taraftan, katılımcıların %51’i, dijital bir hizmet seçerken kişisel verilerin korunmasını en önemli üç kriter arasında saymakta ve %21’i ise bu hususu birinci sıraya koymaktadır. Bu oran, fiyata (%26) veya hizmet kalitesine (%19) öncelik verenlerle karşılaştırılabilir düzeydedir.

CNIL’e göre bu sonuçlar, Fransız halkının kişisel verilerin korunmasına verdiği önemin arttığını ve kullanıcıların gizlilik tercihlerini özgürce belirleyebilecekleri alternatiflerin geliştirilmesinin önem taşıdığını ortaya koymaktadır.

* Danimarka Veri Koruma Otoritesi (Datatilsynet), okullar ve kreşler/gündüz bakım evleri hakkındaki tematik sayfasının, pratik içerikler ve okullarda veri korumasına ilişkin kapsamlı bir bakış sunan “Sıkça Sorulan Sorular” bölümüyle genişletildiğini ve güncellendiğini duyurdu[5].

* İspanya Veri Koruma Otoritesi (AEPD), çocukların korunması ile kişisel verilerin korunması arasındaki ilişkinin ele alındığı bir içerik yayımladı[6]. Otorite, çocukların korunması ile veri korumanın birbirine zıt değil, temelde birbiriyle bağlantılı olduğunu belirterek, bu iki alanın bir arada ve çocuğun üstün yararı gözetilerek ele alınması gerektiğinin altını çizdi.

* Fransa Veri Koruma Otoritesi (CNIL), sadakat programları aracılığıyla toplanan veriler açısından veri taşınabilirliği hakkının değerlendirildiği bir içerik yayımladı[7].

* Avrupa Veri Koruma Kurulu (EDPB), Koordineli Uygulama Çerçevesi (Coordinated Enforcement Framework) kapsamında 2026 yılının konusunun AB Genel Veri Koruma Tüzüğü (GDPR) kapsamındaki şeffaflık ve bilgilendirme yükümlülüklerine uyum olarak belirlendiğini duyurdu[8].

* Avrupa Komisyonu ile Avrupa Veri Koruma Kurulu (EDPB), Dijital Pazarlar Tüzüğü (DMA) ve Genel Veri Koruma Tüzüğü (GDPR) arasındaki etkileşime ilişkin taslak Rehber’in kamuoyu görüşüne açıldığını ve Rehber’e yönelik geri bildirimlerin 04.12.2025 tarihine kadar iletilebileceğini duyurdu[9].

* Avrupa Parlamentosu, AB Yapay Zekâ Tüzüğü ile AB dijital mevzuat çerçevesi arasındaki etkileşimin ele alındığı bir çalışma yayımladı[10]. AB Yapay Zekâ Tüzüğü’nün, Genel Veri Koruma Tüzüğü (GDPR), Veri Tüzüğü ve Siber Dayanıklılık Tüzüğü gibi diğer önemli düzenlemelerle ilişkisinin incelendiği çalışmada; her bir düzenlemenin kendi alanında iyi tasarlanmış olduğu belirtilmekle birlikte, bu düzenlemelerin birlikte uygulanmasının önemli ölçüde düzenleyici karmaşıklığa yol açtığı ortaya konulmaktadır. Bunun yanı sıra, düzenlemeler arasındaki uyumun güçlendirilmesi, uygulamadaki belirsizliklerin giderilmesi ve AB’nin yapay zekâ ekosisteminin rekabetçiliğini koruyacak bütüncül bir dijital çerçevenin oluşturulmasına yönelik öneriler sunulmaktadır.

* Hollanda Veri Koruma Otoritesi (AP), kuruluşların AB Yapay Zekâ Tüzüğü kapsamındaki yükümlülüklerini yerine getirmelerine destek olmak amacıyla “Yapay Zekâ Okuryazarlığını Geliştirme” başlıklı rehberi yayımladı[11]. Otorite’nin bu konudaki ilk rehberi olan “Yapay Zekâ Okuryazarlığına Başlayın” çalışmasının[12] devamı niteliğindeki yeni rehberde; yapay zekâ sistemlerinin etkilerinin değerlendirilmesi, risklerin yönetilmesi ve çalışanların teknik, etik ve sosyal boyutlarda bilgi düzeylerinin güçlendirilmesine yönelik pratik örnekler sunulmaktadır.

* OECD, yapay zekâ sistemlerinin eğitimi kapsamında kullanılan veri toplama mekanizmalarının incelendiği, bu mekanizmaların çeşitliliğinin yapay zekâ geliştiricileri, ilgili kişiler ve diğer hak sahipleri üzerindeki etkilerinin değerlendirildiği; ayrıca gizlilik, veri yönetişimi ve sorumlu yapay zekâ geliştirme konularındaki politika tartışmalarına katkı sağlamayı amaçlayan bir taksonomi önerisini içeren bir çalışma yayımladı[13].

* Avrupa Komisyonu, sağlık hizmetlerinde yapay zekânın güvenli ve etkili kullanımını geliştirmek amacıyla bir uzman topluluğu oluşturulmasını içeren COMPASS-AI isimli yeni bir girişim başlatıldığını ve söz konusu girişimin, yapay zekânın klinik ortamlara sorumlu ve etkili bir şekilde entegre edilmesini teşvik etmek için çalışacağını duyurdu[14].

* Avrupa Komisyonu Ortak Araştırma Merkezi (JRC), yapay zekânın bilimsel araştırmalardaki rolünün ele alındığı bir çalışma yayımladı[15].

* Avrupa Komisyonu, AB Yapay Zekâ Tüzüğü’nün uygulanmasını desteklemek üzere Yapay Zekâ Tüzüğü Hizmet Masası ile Tek Bilgi Platformu’nun hayata geçirildiğini duyurdu[16].

* Avrupa Veri Koruma Denetçisi (EDPS), hızla değişen dijital çağda veri korumasını güçlendiren, güncellenmiş Üretken Yapay Zekâ Rehberi’ni yayımladı[17]. Söz konusu Rehber’in yeni versiyonu ile AB kurumları, organları, ofisleri ve ajanslarının üretken yapay zekâdan yararlanırken kişisel verilerin korunmasına ilişkin yükümlülüklerini daha etkin bir şekilde yerine getirmelerinin amaçlandığı belirtilmektedir.

* Hollanda Veri Koruma Otoritesi (AP) ile Hollanda Tüketiciler ve Piyasalar Otoritesi (ACM), yapay zekâ tabanlı sohbet botları hakkında bir görüş dokümanı yayımladı[18]. Bu kapsamda, hizmetlerinde sohbet botu kullanan kuruluşların bireylere her zaman bir temsilciyle görüşme seçeneği sunması gerektiği, bir sohbet botunun ne zaman kullanıldığını açıkça belirtmeleri ve sohbet botunun yanlış, kaçamak veya yanıltıcı bilgi vermediğinden emin olmaları gerektiği belirtildi. Diğer yandan sohbet botlarının, büyük miktarda veri kullanılarak eğitilen bir tür üretken yapay zekâ olduğuna dikkat çekilerek sohbet botu kullanımının ortaya çıkarabileceği bilgi güvenliği ve gizlilik risklerine dikkat çekildi.

* Veri sorumlularının 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 16’ncı maddesi uyarınca Sicile kayıt ve bildirim yükümlülüğünün yerine getirilmesi hususunda faydalanmaları amacıyla Kurumumuz tarafından hazırlanan, “Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Kılavuzu”[19] ile “Sorularla VERBİS”[20] dokümanları, VERBİS ekranlarında veri sorumlularının sisteme kayıt ve bildirim süreçlerini kolaylaştırmak amacıyla yapılan değişiklikler göz önünde bulundurularak güncellendi.

* Uluslararası Standardizasyon Teşkilatı (ISO), “ISO/IEC 27701 Kişisel Veri Yönetim Sistemi” standardının güncellendiğini duyurdu[21]. Söz konusu ISO/IEC 27701:2025 standardı; kuruluşların hesap verebilirliklerini göstermelerine, kişisel verilere ilişkin riskleri yönetmelerine ve gizliliğe yönelik uygulamalarını sürekli olarak iyileştirmelerine yardımcı olmayı amaçlayan uluslararası bir çerçeve sunmaktadır.

* Birleşmiş Milletler’in (BM) siber suçlarla mücadeleye yönelik ilk küresel sözleşmesi, 65 ülke tarafından Vietnam’ın başkenti Hanoi’de imzalandı[22]. Beş yıllık müzakerelerin ardından Aralık 2024’te BM Genel Kurulu tarafından kabul edilen “Siber Suçlara Karşı Birleşmiş Milletler Sözleşmesi”, çevrim içi işlenen çeşitli suçların soruşturulması ve kovuşturulması için ilk evrensel çerçeveyi oluşturmakta ve uluslararası iş birliğini güçlendirmeyi amaçlamaktadır.

* İtalya’da, AB Yapay Zekâ Tüzüğü’nü tamamlayan ulusal Yapay Zekâ Yasası 10 Ekim 2025 tarihinde yürürlüğe girdi[23]. Böylece İtalya, yapay zekâya ilişkin özel ve kapsamlı bir ulusal çerçeve oluşturan ilk AB üyesi ülke oldu.

* Ohio’da, yapay zekâya kişilik verilmesini ve yapay zekâ evliliklerini yasaklayan bir yasa tasarısı sunuldu[24]. Tasarı, yapay zekâyı “duygu ve bilinç sahibi olmayan varlıklar” olarak tanımlamakta ve bu sistemlerin mülkiyet edinmesini, banka hesabı yönetmesini veya şirket yöneticisi olarak görev yapmasını yasaklamaktadır. Bunun yanı sıra, söz konusu tasarı bir insan ile yapay zekâ veya iki yapay zekâ sistemi arasındaki evliliği hukuken imkânsız kılmaktadır. Düzenlemenin, yakın zamanda “robot düğünleri” yaşanacağı endişesine dayanmadığı; ancak yapay zekânın bir eşe tanınan yasal yetkilere (örneğin, vekâlet yetkisi kullanma veya başkası adına mali ve tıbbi kararlar verme gibi) sahip olmasını engellemeyi amaçladığı ifade edilmektedir. Tasarı ayrıca, yapay zekânın neden olduğu zararların sorumluluğunu doğrudan geliştiricilere veya kullanıcı konumundaki kişilere yüklemektedir.

* TÜBİTAK, yapay zekâ teknolojilerinin sorumlu, etik ve güvenilir kullanımını temin etmek amacıyla hazırlanan “Destek Süreçlerinde Üretken Yapay Zekânın Sorumlu ve Güvenilir Kullanımı Rehberi”ni yayımladı[25]. Bahse konu Rehber’de; proje başvurularının hazırlanmasında üretken yapay zekânın rolü, kullanımın şeffaf bir şekilde beyan edilmesi zorunluluğu ve gizli verilerin korunmasına yönelik kurallar açıklanmaktadır. Diğer yandan, değerlendirme süreçlerinin gizliliğini ve tarafsızlığını korumak amacıyla değerlendiriciler için geçerli olan kısıtlamalar da detaylandırılmaktadır.

* Eğitimde yapay zekânın etik, kapsayıcı ve insan odaklı kullanımına rehberlik etmesi amacıyla, ülkemizde Millî Eğitim Bakanlığı tarafından hazırlanan “Yapay Zekâ Etiği Tavsiyeleri” kitapçığı kamuoyu ile paylaşıldı[26].

* 30.10.2025 tarih ve 33062 mükerrer sayılı Resmî Gazete’de yayımlanan “2026 Yılı Cumhurbaşkanlığı Yıllık Programı”nda, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun, AB Genel Veri Koruma Tüzüğü (GDPR) ile uyumlaştırılmasına yönelik yürütülen çalışmaların 2026 yılında tamamlanacağı belirtildi[27].

* Ekim ayı, dünya genelinde “Siber Güvenlik Farkındalık Ayı” olarak kabul edilmekte olup, siber güvenlik bilincinin artırılmasına ve farkındalığın güçlendirilmesine yönelik çalışmaların yoğunlaştığı bir dönemdir. Bu kapsamda Kurumumuz, bireylerin ve kuruluşların dijital ortamlarda karşı karşıya kaldıkları riskleri daha iyi anlamalarını ve gerekli önlemleri almalarını teşvik etmek amacıyla Ekim ayı boyunca çeşitli bilgilendirici paylaşımlar gerçekleştirmiştir. Bu paylaşımlarda; oltalama saldırılarında riski azaltmaya yönelik alınabilecek tedbirler, kuruluşların siber güvenlik kapasitelerini güçlendirmelerine yönelik tavsiyeler, bireyler tarafından dikkate alınabilecek önlemler ve QR kodlar üzerinden gerçekleştirilen “quishing” gibi güncel siber tehditler ele alınmıştır. Söz konusu içeriklere Kurumumuzun sosyal medya hesapları üzerinden ulaşılabilmektedir.

[1] https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025, 01.10.2025.

[2] https://www.pcpd.org.hk/english/news_events/media_statements/press_20251027.html, 27.10.2025

[3] https://www.edoeb.admin.ch/en/cookie-guidelines-updated-version, 07.10.2025.

[4] https://www.cnil.fr/en/are-we-ready-pay-online-services-without-targeted-advertising, 29.10.2025.

[5] https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2025/okt/-opdateret-temaside-om-skoler-og-daginstitutioner, 23.10.2025.

[6] https://www.aepd.es/en/press-and-communication/blog/keeping-the-balance-between-fundamental-rights-case-of-children-protection, 01.10.2025.

[7] https://www.cnil.fr/fr/programmes-de-fidelite-la-cnil-precise-lapplication-du-droit-la-portabilite-des-donnees, 14.10.2025.

[8] https://www.edpb.europa.eu/news/news/2025/coordinated-enforcement-framework-edpb-selects-topic-2026_en, 14.10.2025.

[9] https://digital-markets-act.ec.europa.eu/public-consultation-joint-guidelines-interplay-between-dma-and-gdpr-2025-10-09_en, 09.10.2025.

[10] https://www.europarl.europa.eu/thinktank/en/document/ECTI%5FSTU%282025%29778575, 30.10.2025.

[11] https://www.autoriteitpersoonsgegevens.nl/en/current/building-ai-literacy, 23.10.2025.

[12] https://www.autoriteitpersoonsgegevens.nl/en/documents/get-started-with-ai-literacy, 30.01.2025.