TR·EN

Bizimle Çalışın →

// VAKA ÇALIŞMALARI · KANIT ODAKLI

Gerçek projelerde ölçülebilir sonuçlar.

Müşterilerimizin gizliliğini korumak için detayları anonimleştiriyoruz. Aşağıdaki 5 vaka, Kritera Teknoloji ekibinin son dönemde tamamladığı temsili projelerden seçilmiştir. Her vaka için sektör · ölçek · sonuç üçlüsünü kanıt odaklı sunuyoruz.

Vaka 01 — Özel Bankada AI Chatbot Güvenlik Denetimi

Sektör: Finans (özel banka)
Ölçek: kurumsal ölçekli mevduat tabanı, LLM tabanlı canlı destek
Süre: kısa sprint
Kapsam: Prompt enjeksiyonu, çıktı doğrulama, RAG güvenliği, KVKK uyum

Bulgu: Müşteri hizmetleri chatbot’una OWASP LLM Top 10 çerçevesinde sızma testi uygulandı. Kapsamlı bulgu seti tespit edildi — bunların önemli bir bölümü, finansal vaat manipülasyonuna yol açabilecek prompt enjeksiyon zafiyetiydi. Embedding vektör veritabanında PII içerebilecek kayıt parçaları tespit edildi ve redaksiyon uygulandı.

Sonuç: Tüm yüksek-kritik bulgular düzeltildi. Sistem prompt katmanlama mimarisi kuruldu. KVKK aydınlatma metni güncellendi. 4 aylık monitoring sonrası tekrar test yapıldı — sıfır kritik bulgu. Bankanın yıllık denetiminde “yapay zekâ yönetişimi” başlığında tamamen uyumlu notu alındı.

Vaka 02 — Kamu Sağlık Kurumunda Sızma Testi

Sektör: Kamu sağlık
Ölçek: çok lokasyonlu hastane ağı, geniş personel tabanı, kritik hasta verisi
Süre: kısa sprint
Kapsam: Web + ağ + sistem + veritabanı sızma testi, TS 13638 uyumlu raporlama

Bulgu: Hastane bilgi sistemi (HBS) ve laboratuvar entegrasyonu üzerinden yapılan testte Çok sayıda yüksek/kritik bulgu tespit edildi. Bir kısmı yetkisiz hasta dosyası erişimine, diğer bir kısmı ise idari ağ üzerinden klinik ağa lateral hareket riskine yol açıyordu.

Sonuç: TS 13638 uyumlu 64 sayfalık rapor teslim edildi. Kritik bulgular için önceliklendirilmiş, yüksek için önceliklendirilmiş düzeltme takvimi kuruldu. sonraki retest’te tüm yüksek/kritik bulguların kapatıldığı doğrulandı. Kurum, KVKK denetimine hazır hale geldi.

Vaka 03 — Enerji Sektöründe Ortak Kriterler (EAL3+) Danışmanlığı

Sektör: Enerji / kritik altyapı
Ölçek: kritik altyapı firmware’i, geniş abone tabanı
Süre: 14 ay
Kapsam: ISO/IEC 15408 Common Criteria EAL3+ sertifikasyon danışmanlığı

Bulgu: Akıllı sayaç firmware’i için EAL3+ sertifikasyonu hedeflendi. Mevcut güvenlik mimarisinde 18 boşluk tespit edildi: secure boot zinciri eksik, firmware imzalama yok, fiziksel saldırı koruması zayıf.

Sonuç: Tüm boşluklar kapatıldı. ST (Security Target) ve PP (Protection Profile) dokümanları hazırlandı. Bağımsız değerlendirme laboratuvarı (CC ITSEF) ile koordineli sertifikasyon sürecinin sonunda EAL3+ sertifikası alındı. Müşteri, EPDK uyum sürecinde tek sertifikalı yerli üretici oldu.

Vaka 04 — E-Ticaret Platformunda RAG Mimarisi

Sektör: E-ticaret / perakende
Ölçek: büyük ölçekli ürün kataloğu, yüksek hacimli kullanıcı tabanı
Süre: POC → üretim geçişi
Kapsam: RAG mimarisi tasarımı, vektör veritabanı, güvenli AI yönetişimi

Bulgu: Müşteri, geniş ürün kataloğunda doğal dil arama deneyimi istiyordu. POC öncesi yapılan değerlendirmede mevcut full-text search’ün dönüşüm oranını sınırladığı tespit edildi.

Sonuç: 8. haftada POC tamamlandı (10K ürün ile), 16. haftada üretime geçildi. OpenAI embedding + Qdrant vektör veritabanı + özel re-ranking katmanı. KVKK uyumlu loglama, prompt enjeksiyon koruması, maliyet anomali tespiti. Dönüşüm oranında ölçülebilir iyileşme, oturum süresinde kayda değer artış. Aktif kullanıcı başına AI maliyeti müşteri ile birlikte belirlenen sınırın altında tutuldu.

Vaka 05 — Savunma Tedarikçisinde Siber Güvenlik Eğitimi

Sektör: Savunma sanayi tedarikçisi
Ölçek: Kurumsal ölçekli mühendislik ekibi, kritik kontrol sistemi geliştirme
Süre: 6 ay (modüler eğitim programı)
Kapsam: Secure coding, threat modeling, IoT güvenliği, kırmızı-takım simülasyonu

Bulgu: Müşteri, tüm yazılım ekibinin “secure by design” bilinciyle çalışmasını hedefliyordu. İlk değerlendirmede ekibin önemli bir kısmında temel OWASP Top 10 farkındalığında eksiklik tespit edildi.

Sonuç: Kritera Akademi üzerinden modüler 6 aylık eğitim programı: OWASP Top 10, threat modeling (STRIDE), secure coding örnekleri, kırmızı-takım canlı saldırı simülasyonu (CTF). 240 mühekibin büyük çoğunluğu programı tamamladı. Sertifika sonrası ölçümde OWASP farkındalığı ve secure code review başarısında belirgin iyileşme kaydedildi.

Sizin Vakanız Hangisi Olabilir?

Her organizasyonun siber güvenlik veya AI yolculuğu benzersizdir. Ücretsiz ön görüşmede sizin ihtiyacınızı ve önceliğinizi netleştiriyoruz.

Bizimle Çalışın →
Hizmetler