2025 yılı, siber risklerin artık yalnızca bilgi işlem departmanlarının gündeminde olmadığını açık biçimde gösterdi. Fidye yazılımları, tedarik zinciri saldırıları, bulut altyapı kesintileri ve yapay zekâ destekli siber operasyonlar; üretimden perakendeye, finanstan telekomünikasyona kadar pek çok sektörde doğrudan operasyonel ve ekonomik sonuçlar yarattı.
Tokio Marine HCC International tarafından yayımlanan Top 10 Cyber Incidents 2025 raporu, bu dönüşümün en çarpıcı örneklerini bir araya getiriyor. Bu yazıda, raporda yer alan 10 büyük siber olayı ele alıyor ve siber risklerin neden artık sistemik bir başlık olarak değerlendirilmesi gerektiğini somut örnekler üzerinden inceliyoruz.
Marks & Spencer: Perakendede Fidye Yazılımı Etkisi
22 Nisan 2025’te Marks & Spencer’a yönelik fidye yazılımı saldırısı, Birleşik Krallık’ın en büyük perakendecilerinden birinin dijital operasyonlarını haftalarca durma noktasına getirdi. Saldırı sonrası şirket, çevrimiçi giyim ve ev ürünleri siparişlerini hem web sitesi hem de mobil uygulama üzerinden bilinçli olarak askıya aldı; mağaza içi dijital sistemlerde, özellikle temassız ödeme ve sipariş karşılama süreçlerinde ciddi kesintiler yaşandı.
Alınan önlemler, lojistik ve tedarik zinciri üzerinde zincirleme etkilere yol açtı; teslimatlar gecikti ve müşteri hizmetleri süreçleri aksadı. Marks & Spencer daha sonra saldırganların bazı müşteri verilerine eriştiğini, ad, iletişim bilgileri, doğum tarihi ve sipariş geçmişinin etkilendiğini açıkladı. Şirket, finansal veriler ve parola bilgilerinin ihlal edilmediğini özellikle vurguladı. Operasyonların tam olarak normale dönmesi haftalar aldı. Online teslimatlar ancak 10 Haziran 2025’ten itibaren kademeli olarak yeniden başlatılabildi. Şirket, olayın finansal etkisini yaklaşık 300 milyon sterlinlik operasyonel kâr kaybı olarak raporladı.
Bu saldırı, aynı dönemde Co-op ve Harrods gibi diğer büyük perakendecilerin de siber olaylar yaşamasıyla birlikte değerlendirildiğinde, perakende sektörünün geniş ölçekli ve potansiyel olarak koordineli saldırılara ne kadar açık hale geldiğini çarpıcı biçimde ortaya koydu.
Jaguar Land Rover: Üretim Durduğunda Siber Riskin Maliyeti
31 Ağustos 2025’te Jaguar Land Rover’ın üretim ve IT sistemlerinde tespit edilen siber saldırı, şirketin küresel operasyonlarını doğrudan etkileyen nadir vakalardan biri oldu. Saldırı sonrası, güvenlik amacıyla üretim ağları ve kurumsal IT sistemleri devre dışı bırakıldı. Bu karar, Birleşik Krallık, Slovakya, Çin ve Hindistan’daki üretim tesislerinde araç üretiminin haftalarca durmasına yol açtı.
Rapora göre saldırı, üretim hatlarını yöneten planlama, tedarik ve kalite kontrol sistemleriyle doğrudan ilişkiliydi. Dijital sistemlerin kapatılması, yalnızca montaj hatlarını değil; parça tedarikinden sevkiyata kadar uzanan tüm üretim zincirini etkiledi. Bazı tesislerde üretim kademeli olarak yeniden başlatılsa da, tam kapasiteye dönüş haftalar aldı.
Cyber Monitoring Center tarafından yapılan değerlendirmeye göre, üretim kaybı, geciken teslimatlar ve iptal edilen siparişler dahil edildiğinde olayın toplam ekonomik etkisi yaklaşık 1,9 milyar sterlin olarak hesaplandı. Bu rakam, vakayı Birleşik Krallık tarihindeki en maliyetli siber saldırı konumuna taşıdı.
Jaguar Land Rover vakası, siber risklerin artık yalnızca veri gizliliği veya müşteri bilgileriyle sınırlı olmadığını açık biçimde gösterdi. Dijital sistemlere bağımlı hale gelen üretim altyapılarında yaşanan bir siber olay, doğrudan fiziksel üretim kaybına, dolayısıyla reel ekonomik zarara dönüşebiliyor. Bu durum, özellikle otomotiv gibi yüksek otomasyonlu sektörlerde siber güvenliğin operasyonel süreklilik açısından kritik bir unsur haline geldiğini ortaya koydu.
AWS, Azure ve Cloudflare: Bulut Yoğunlaşmasının Bedeli
Ekim ve Kasım 2025’te Amazon Web Services (AWS), Microsoft Azure ve Cloudflare’da yaşanan kesintiler, modern dijital altyapının ne kadar yoğunlaşmış ve kırılgan hale geldiğini çarpıcı biçimde ortaya koydu. Her biri farklı teknik nedenlerle başlayan bu kesintiler, çok kısa sürede küresel ölçekte binlerce dijital hizmeti etkileyen zincirleme arızalara dönüştü.
AWS tarafında yaşanan olayda, tek bir DNS çözümleme hatası şirketin 80’den fazla servisinde erişim sorununa yol açtı. Bu durum, yalnızca AWS üzerinde çalışan uygulamaları değil; e-ticaret siteleri, ödeme sistemleri, medya platformları ve kurumsal iş uygulamaları gibi çok sayıda müşteri odaklı hizmeti eş zamanlı olarak devre dışı bıraktı. Birçok SaaS sağlayıcısı, kendi altyapıları sağlam olmasına rağmen, yalnızca AWS bağımlılığı nedeniyle hizmet veremez hale geldi.
Microsoft Azure’da yaşanan kesinti ise bir yapılandırma hatasından kaynaklandı ve özellikle kimlik doğrulama (authentication) servislerini etkiledi. Azure Active Directory ile entegre çalışan uygulamalarda küresel çapta erişim sorunları yaşandı; kullanıcılar uygulamalara giriş yapamadı, bazı kurumsal sistemlerde iş süreçleri tamamen durdu. Bu olay, kimlik altyapılarının bulut ortamlarında ne kadar kritik bir merkezî rol üstlendiğini bir kez daha gösterdi.
Cloudflare’daki kesinti ise DNS ve trafik yönlendirme katmanında meydana geldi. Sonuç olarak, Cloudflare altyapısını kullanan binlerce web sitesi ve API servisi aynı anda erişilemez hale geldi. Kesinti süresi teknik olarak sınırlı olsa da, yüksek trafikli platformlarda ciddi performans kayıpları ve müşteri şikâyetleri yaşandı.
Bu üç olay birlikte değerlendirildiğinde, küresel dijital altyapının büyük ölçüde az sayıda büyük bulut ve ağ sağlayıcısına bağımlı hale geldiği net biçimde görülüyor. Bu sağlayıcılarda yaşanan tek bir teknik sorun, herhangi bir siber saldırı olmaksızın bile, aynı anda binlerce dijital hizmetin durmasına ve milyarlarca dolarlık ekonomik faaliyetin aksamasına yol açabiliyor.
Salesforce / Drift: OAuth Üzerinden Gelen Risk
Ağustos 2025’te Drift uygulamasıyla ilişkili OAuth erişim yetkilerinin ele geçirilmesi, saldırganların Salesforce müşteri ortamlarına doğrudan erişmesine imkân tanıyan kritik bir güvenlik açığını ortaya çıkardı. Bu erişim, Salesforce’un kendi çekirdek altyapısı ihlal edilmeden gerçekleşti; saldırganlar, tamamen yetkilendirilmiş görünen üçüncü taraf entegrasyonları kullanarak sistemlere sızdı.
Rapora göre ele geçirilen OAuth erişim yetkileri sayesinde saldırganlar, Drift–Salesforce entegrasyonunu kullanan yüzlerce kurumun CRM ortamlarına giriş yaptı. Bu erişim sonucunda milyonlarca kullanıcıya ait iletişim bilgileri, müşteri hesap kayıtları, satış etkileşimleri ve destek geçmişi gibi veriler dışarı sızdırıldı. Bazı vakalarda saldırganların, bu verileri hedefli kimlik avı ve sosyal mühendislik kampanyaları için kullandığı da raporda yer aldı.
Bu olayın dikkat çekici yönlerinden biri, Salesforce’un çekirdek sistemlerinde herhangi bir güvenlik ihlali yaşanmamış olmasıydı. Risk, ana platformdan değil; platform ekosisteminin bir parçası olan üçüncü taraf entegrasyonlardan kaynaklandı. Yetkilendirme mekanizması teknik olarak doğru çalışıyor gibi görünse de, OAuth erişim yetkilerinin kapsamının genişliği ve sürekli geçerliliği, saldırganlara fark edilmeden hareket etme imkânı tanıdı.
Salesforce / Drift vakası, modern dijital ekosistemlerde güvenliğin yalnızca ana platformun sağlamlığıyla ölçülemeyeceğini net biçimde ortaya koydu. Entegrasyonlar, API’ler ve yetkilendirme zincirleri; siber riskin en zayıf halkalarından biri haline gelirken, yetkili ama kötüye kullanılan erişim kavramını siber risk yönetiminin merkezine taşıdı.
npm Ekosistemi: Açık Kaynak Tedarik Zincirinin Kırılganlığı
Eylül 2025’te npm ekosisteminde görev alan bazı bakımcıların hesapları kimlik avı saldırılarıyla ele geçirildi. Saldırganlar, chalk, debug ve ansi-styles gibi JavaScript ekosisteminde son derece yaygın kullanılan paketlerin yeni sürümlerine zararlı kod ekledi. Bu paketler, binlerce popüler kütüphanenin ve uygulamanın dolaylı bağımlılığı olduğu için saldırı, fark edilmeden çok geniş bir yazılım ağına yayıldı.
Rapora göre bu paketler haftada milyarlarca kez indirilen projelerin bir parçasıydı. Bu da zararlı kodun, geliştiricilerin herhangi bir ek işlem yapmasına gerek kalmadan, otomatik güncellemeler yoluyla küresel ölçekte dağıtılmasına neden oldu. Birçok kurum ve geliştirici, kendi yazılım kodlarında doğrudan bir değişiklik yapmamış olmasına rağmen, bağımlılık zinciri üzerinden saldırının etkisi altına girdi.
Eklenen zararlı kodların temel amacı, geliştirici ortamlarında bulunan yüksek değerli kimlik bilgilerini ele geçirmekti. Bu kapsamda GitHub erişim token’ları, AWS, Azure ve Google Cloud’a ait erişim anahtarları ile CI/CD boru hatlarında kullanılan gizli anahtarlar hedef alındı. Ele geçirilen bu bilgiler, saldırganlara yalnızca kaynak kod depolarına değil; üretim ortamlarına, bulut altyapılarına ve dağıtım süreçlerine kadar uzanan geniş bir erişim imkânı sundu.
Sonuç olarak binlerce proje dolaylı biçimde risk altına girdi ve birçok kurum, hangi sistemlerinin etkilendiğini tespit edebilmek için kapsamlı kod ve bağımlılık taramaları yapmak zorunda kaldı. Olay, zararlı kodun tespit edilmesinden sonra hızla geri çekilmiş olsa da, saldırının ne kadar süre fark edilmeden yayılabildiği tam olarak belirlenemedi.
Oracle Cloud: Kimlik Altyapısında Tedarik Zinciri Riski
Mart 2025’te Oracle Cloud altyapısına ilişkin ortaya atılan tedarik zinciri ihlali iddiaları, bulut ortamlarında kimlik yönetiminin ne kadar kritik bir risk alanı haline geldiğini gündeme taşıdı. İddialara göre saldırganlar, Oracle Cloud’un giriş ve kimlik doğrulama bileşenleriyle ilişkili bir tedarik zinciri zafiyetini kullanarak yaklaşık 6 milyon kimlik doğrulama kaydını ele geçirmiş olabilirdi. Olası etki alanının 140 binden fazla kiracıyı kapsaması, olayın potansiyel ölçeğini özellikle dikkat çekici hale getirdi.
Oracle, sistemlerinin ihlal edilmediğini ve müşteri ortamlarının güvende olduğunu açıklayarak iddiaları reddetti. Ancak bağımsız siber güvenlik araştırmacıları tarafından yayımlanan teknik bulgular, olayın tamamen göz ardı edilemeyecek nitelikte olduğunu ortaya koydu. Bu bulgular, doğrudan müşteri verilerinden ziyade kimlik doğrulama süreçlerini destekleyen bileşenlerin hedef alınmış olabileceğine işaret ediyordu.
Bu vaka, bulut ortamlarında kimlik altyapılarının neden yüksek değerli hedef haline geldiğini açık biçimde gösterdi. Kimlik doğrulama sistemleri ele geçirildiğinde, saldırganlar yalnızca tek bir uygulamaya değil; çok sayıda müşteri ortamına, servis hesabına ve yetkilendirme zincirine erişim imkânı elde edebiliyor. Bu da bir tedarik zinciri zafiyetinin, doğrudan veri ihlali yaşanmasa bile, geniş çaplı bir güven krizi yaratmasına neden oluyor.
Yapay Zekâ Destekli APT Saldırısı: Yeni Bir Dönem
Eylül 2025’te Çin bağlantılı, devlet destekli bir APT grubunun Claude AI kullanarak yürüttüğü siber casusluk kampanyası tespit edildi. Bu operasyon, siber saldırıların planlanma ve yürütülme biçiminde kritik bir eşiğin aşıldığını gösterdi. Rapora göre saldırı yaşam döngüsünün yaklaşık %80–90’ı insan müdahalesi olmadan, yapay zekâ tarafından otonom biçimde yönetildi.
Claude AI, saldırının keşif aşamasında hedef organizasyonların dijital ayak izlerini analiz etti; açık kaynak istihbaratı, ağ yapılarını ve potansiyel zafiyetleri otomatik olarak değerlendirdi. Ardından uygun istismar yöntemlerini belirledi, saldırı adımlarını dinamik biçimde uyarladı ve tespit riskini azaltacak şekilde saldırı rotalarını değiştirdi. Bu süreçte yapay zekâ, yalnızca önceden tanımlanmış komutları uygulamakla kalmadı; saldırının gidişatına göre karar veren bir operatör gibi hareket etti.
Kampanya kapsamında teknoloji şirketleri, finansal kurumlar ve kamuya bağlı organizasyonlar dahil olmak üzere yaklaşık 30 küresel kuruluş hedef alındı. Bazı vakalarda saldırganların kurum içi ağlara sızmayı başardığı, hassas kurumsal verilerin dışarı aktarıldığı ve uzun süreli gözetleme faaliyetlerinin yürütüldüğü raporda yer aldı. Saldırının büyük ölçüde otonom olması, tespit ve müdahale süreçlerini ciddi biçimde zorlaştırdı.
Yapay zeka destekli APT kampanyası, 2025’in belki de en kritik siber kırılma noktalarından biri olarak öne çıktı. Saldırıların ölçeği, hızı ve uyarlanabilirliği artık insan kapasitesinin ötesine geçerken, siber risk yönetimi ve sigorta perspektifinin de bu yeni tehdit modeline göre yeniden şekillenmesi gerektiği açık hale geldi.
SK Telecom: Sessiz Sızmanın Bedeli
Nisan 2025’te SK Telecom’da tespit edilen siber ihlal, saldırganların şirket sistemlerinde yaklaşık iki yıl boyunca fark edilmeden kalabildiğini ortaya koydu. İncelemelere göre yetkisiz erişim, 2022 yılının ortalarından itibaren devam etmiş ve bu süre boyunca kritik abone verilerine erişilmiş olabileceği belirlendi.
İhlalin etkisi son derece genişti. Yaklaşık 27 milyon abonenin USIM bilgileri ve kimlik doğrulama verileri risk altına girdi. Bu veriler, SIM kopyalama (SIM swap), kimlik hırsızlığı ve hedefli dolandırıcılık gibi yüksek etkili siber suçlar için kritik öneme sahipti. Olayın ortaya çıkmasıyla birlikte, yalnızca teknik bir güvenlik sorunu değil; doğrudan ulusal ölçekte bir tüketici güvenliği meselesi gündeme geldi.
Güney Koreli düzenleyici kurumlar, ihlalin açıklanmasının ardından SK Telecom hakkında kapsamlı incelemeler başlattı ve şirket üzerinde idari yaptırımlar uyguladı. Bununla birlikte, potansiyel riskleri azaltmak amacıyla ülke çapında bir USIM değişim programı devreye alındı. Milyonlarca abonenin SIM kartlarının değiştirilmesi, telekomünikasyon sektöründe nadiren görülen ölçekte bir operasyonel müdahale olarak kayda geçti.
Bu olay, telekomünikasyon gibi kritik altyapı sektörlerinde erken tespit, sürekli izleme ve anomali analizi yaklaşımlarının neden hayati olduğunu bir kez daha ortaya koydu. Aynı zamanda 2025’te siber risklerin, regülasyon ve kamu otoriteleri nezdinde artık “olere edilebilir bir aksaklık değil, sistemik bir tehdit olarak ele alındığını da net biçimde gösterdi.
Kering Group: Lüks Markalarda Veri İhlali
Haziran 2025’te Kering Group bünyesindeki bazı markalara ait iç sistemlere yetkisiz erişim sağlandığı ortaya çıktı. Olaydan Gucci, Balenciaga ve Alexander McQueen dahil olmak üzere grubun önde gelen lüks markalarının müşterileri etkilendi. Yapılan açıklamalara göre yaklaşık 7,4 milyon kişiye ait ad, e-posta, telefon, adres ve alışveriş geçmişi gibi müşeri verileri açığa çıktı.
Kering, olayda kredi kartı bilgileri, banka verileri veya resmi kimlik numaralarının etkilenmediğini vurguladı. Ancak sızdırılan verilerin niteliği, saldırının etkisini küçültmedi. Lüks tüketim sektöründe müşteri verisi yalnızca iletişim bilgisi değil; yüksek gelir profilleri, harcama alışkanlıkları ve marka sadakati gibi son derece değerli içgörüler barındırıyor. Bu da söz konusu verileri hedefli dolandırıcılık, kimlik avı ve sosyal mühendislik saldırıları için cazip hale getiriyor.
Raporda, saldırının kısa süreli bir yetkisiz erişim sonucunda gerçekleştiği ve olayın fark edilmesinin ardından sistemlerin hızla izole edildiği belirtiliyor. Buna rağmen, milyonlarca müşteriyi kapsayan veri ifşası, Kering açısından önemli bir itibar ve güven yönetimi sınavına dönüştü. Etkilenen müşterilerin bilgilendirilmesi, düzenleyici kurumlara yapılan bildirimler ve kriz iletişimi süreci, olayın teknik boyutundan daha fazla öne çıktı.
Asahi Group: Lojistik Durduğunda Risk Görünür Oldu
29 Ekim 2025’te Japonya’nın en büyük içecek üreticilerinden biri olan Asahi Group Holdings, kapsamlı bir fidye yazılımı saldırısının hedefi oldu. Saldırı, doğrudan üretim hatlarından ziyade sipariş işleme, sevkiyat planlama ve çağrı merkezi sistemlerini etkiledi. Güvenlik önlemleri kapsamında bu sistemler devre dışı bırakılınca, şirketin Japonya genelindeki dağıtım operasyonları aniden durma noktasına geldi.
Rapora göre saldırı sonrası Asahi, perakendecilerden gelen siparişleri işleyemez hale geldi; sevkiyat planları askıya alındı ve müşteri hizmetleri kanalları geçici olarak kapatıldı. Bu durum, özellikle yüksek talebin yaşandığı bir dönemde ürünlerin mağazalara zamanında ulaştırılamamasına ve ülke çapında dağıtım gecikmelerine yol açtı. Bazı perakendeciler, belirli ürün gruplarında geçici stok sorunları yaşandığını bildirdi.
Olayın dikkat çekici yönlerinden biri, üretim tesislerinin büyük ölçüde çalışmaya devam etmesine rağmen, lojistik ve sipariş sistemlerindeki kesintinin operasyonel etkiyi büyütmesiydi. Yani fiziksel üretim kapasitesi korunmuş olsa bile, dijital sistemlere bağımlı olan sipariş ve dağıtım süreçlerinin durması, fiilen arzın aksamasına neden oldu. Bu durum, dijital altyapının üretim kadar kritik hale geldiğini açık biçimde gösterdi.
Sonuç: 2025 Olayları Bize Ne Anlattı?
Bu 10 olay birlikte okunduğunda, siber risklerin artık istisnai durumlar olmadığını net biçimde gösteriyor. 2025’te yaşananlar; küçük bir yetkilendirme açığının, tek bir yapılandırma hatasının ya da gözden kaçan bir entegrasyonun üretimi durdurabildiğini, lojistiği aksatabildiğini ve milyonlarca müşteriyi aynı anda etkileyebildiğini ortaya koydu. Siber risk, pek çok sektörde günlük operasyonun ayrılmaz bir parçası haline geldi.
2025’i farklı kılan nokta, siber olayların teknik sınırları aşarak finansal performansı, tedarik zincirlerini ve regülasyon ilişkilerini doğrudan etkilemesi oldu. Bu yıl, siber risklerin yalnızca teknoloji ekiplerinin değil, üst yönetimin, risk yönetiminin ve sigorta stratejilerinin ortak konusu haline geldiği bir dönüm noktası olarak kayda geçti.
Kaynakça
Tokio Marine HCC International. (2025). Top 10 Cyber Incidents 2025. https://www.tmhcc.com/en/news-and-articles/thought-leadership/top-10-cyber-incidents-2025
