Siber güvenlik istatistikleri:
Metodoloji ve kaynaklar

Bu sayfanın amacı

Bu sayfada, Siber Güvenlik İstatistikleri verilerinin nasıl toplandığı, işlendiği ve yorumlandığı ile veri kaynakları şeffaf bir şekilde açıklanır. Ana Siber Güvenlik İstatistikleri sayfasında özetlenmiş bulgular ve NordVPN araştırma içgörüleri sunulur.

Veri kaynakları ve atıf

Kaynak keşfi, Google Custom Search API (GCS) aracılığıyla, aşağıdakiler için yapılandırılmış birden fazla Özel Arama Motoru (CSE) kullanılarak gerçekleştirilir:

  • medya kuruluşları: 44 ana akım ve teknoloji medya kaynağı (ör. BBC, CNN, The New York Times, WSJ, FT, Reuters, Bloomberg, TechCrunch, Wired, Ars Technica, Time, Forbes).

  • yetkili/kaynak siteler: 25 sektör ve uzman kaynağı (ör. CISA, KrebsOnSecurity, The Hacker News, Dark Reading, BleepingComputer, SecurityWeek, Infosecurity Magazine).

  • yerel haberler: APAC, EMEA ve Amerika'da 100'den fazla bölgesel ve ulusal yayın organı (ör. Channel NewsAsia, CSA.gov.sg, Zaobao; HK01, unwire.hk; Japan Times, NISC, JPCERT, ITMedia).

  • kısıtlamasız/genel.

Sorgular, terimleri kategoriye göre gruplandıran, düzenli olarak güncellenen bir anahtar kelime listesinden alınan anahtar kelimelere dayanır.

Tüm kayıtlar açık atıf içerir:

  • Orijinal makale bağlantısı

  • Medya kuruluşu (URL'den çıkarılan alan adı)

  • Yayın tarihi ve toplama tarihi

İstatistikler ve olayların bir araya getirilmesi için birçok kaynaktan gelen bilgileri sentezliyoruz; her istatistik, bağlantılarla birlikte saklanan makale düzeyindeki kanıtlardan elde edilir.

İçerik alma ve toplama sıklığı

Aşağıdakileri kullanarak, keşfedilen bağlantılardan tam metin içeriğini alır:

  • Birincil: NewsPlease

  • Yedek: Güçlendirilmiş istek oturumu ve trafilatura çıkarma ile doğrudan HTML indirme.

Geçici hataları azaltmak için zaman aşımı, yeniden deneme, TLS yedekleme ve referer başlıkları kullanılır.

Yayın tarihi ve başlık, mevcut olduğunda çıkarıcıdan alınır; tarih ayrıştırma işlemi yalnızca tarih olarak normalleştirilir.

Günlük çalıştırmalar, son 1 günlük içeriği sorgular.

Özellik çıkarma

Çıkarılan alanlar şunları içerir:

  • Medya kuruluşu (URL'den)

  • İlk paragraf (ilk 3-5 cümle)

  • Anahtar kelime özellikleri: metindeki toplam sayı, başlıkta bulunma durumu, ana anahtar kelimeyi içeren cümleler ve tutulan listedeki herhangi bir anahtar kelimenin bulunma durumu

  • Kelime sayısı

LLM uygunluk değerlendirmesi

Her makale, deterministik bir ayar (sıcaklık 0) ve açık, yapılandırılmış çıktılar gerektiren kısıtlı bir komutla bir LLM tarafından değerlendirilir:

1. Makalenin siber olayla ilgili olup olmadığı

2. İlgiliyse üst düzey bir olay türü atanır:

  • Olay: Onaylanmış bir siber saldırı veya ihlal zaten gerçekleşmiştir (ör. fidye yazılımı kullanımı, veri sızıntısı, DDoS, sistemin tehlikeye girmesi).

  • Güvenlik açığı: Yazılım/donanım/sistemlerde istismar edilebilecek bir güvenlik kusurunun keşfi veya ifşası (doğrulanmış istismar yerine potansiyel risk).

  • Tehdit istihbaratı: Tehdit aktörleri, araçlar, TTP'ler ve kampanyalar hakkında raporlama; belirli bir mağdur olayına değil, “kim/nasıl” sorusuna odaklanır.

  • Düzenleyici-Yasal: Siber güvenlik yükümlülüklerini etkileyen yasalar, yönetmelikler, yaptırım eylemleri, mahkeme kararları veya önemli politika değişiklikleri.

Makale türü ve sınıflandırma

İlgili makaleler, yapılandırılmış sınıflandırma istemleri aracılığıyla kategorize edilir (birincil: saldırı durumu, olay türü, düzenleyici/yasal; ikincil: etki ölçütleri/sınıfı, teknik özellikler, sektörler, coğrafya, boyut, yaklaşık hasar).

Olay kümeleme (makaleden olaya toplama)

Amaç: Aynı temel olayı tanımlayan makaleleri tek bir "olay" altında gruplandırmak.

Yöntem:

  • Bağlam sağlamak için veri tabanından mevcut olayları alın (başlıklar, etkilenen bilinen kuruluşlar, tehdit aktörleri, bağlantılar).

  • Her aday makale için (Makale Türü = Tek Olay olduğunda), LLM makale ayrıntılarını mevcut olay gruplarıyla karşılaştırır ve şunlardan birini yapar:

1. Yüksek güvenilirlikli bir eşleşme olduğunda mevcut bir olay kimliği atar veya

2. Aksi takdirde yeni bir olay oluşturur.

  • İstemler yüksek hassasiyeti vurgular: yalnızca yüksek güven olduğunda mevcut bir olaya bağlanır. Etkilenen kuruluş(lar) ve tehdit aktörü sinyalleri güçlü göstergeler olarak değerlendirilir.

Olaylar toplu alanları korur: ilk/son görülme tarihleri, makale sayısı, etkilenen kuruluşlar, tehdit aktörleri, başlıklar, bağlantılar.

Doğruluk ve kalite güvencesi

Determinizm ve kısıtlamalar:

  • Determinizmi en üst düzeye çıkarmak ve halüsinasyonları azaltmak için LLM sıcaklığı 0 olarak ayarlandı.

  • Kısıtlı komutlar açık alanlar ve JSON çıktıları gerektirir; ayrıştırma şemayı zorunlu kılar.

  • İçerik olmayan makaleler (başlık/metin eksik olanlar) erken aşamada reddedilir.

LLM tarafından yönetilen, şema doğrulamalı metrikler:

  • Tüm metrik alanları, katı, belgelenmiş yönergeler ve JSON şemaları uyarınca deterministik LLM çalışmaları (sıcaklık 0) tarafından üretilir; yalnızca şema uyumlu çıktılar sayılır ve sapmayı kalibre etmek ve önlemek için periyodik insan kalite güvencesi uygulanır.

Hassas filtreleme için olay/makale sınıflandırması:

  • Olay türü ve makale odağı sınıflandırması, konu dışı, düşük sinyalli veya derleme tarzı içeriği filtreleyen katı bir alaka düzeyi kontrol noktası görevi görür. Tekil olay raporlamasına odaklanmak, gürültüyü azaltır ve veri kümesinin hassasiyetini ve doğruluğunu ölçülebilir şekilde artırır.

Çok kaynaklı doğrulama:

  • Olay kümeleme, önceden depolanan olay bağlamına başvurur; uyumsuzluklar yanlış birleştirme olasılığını azaltır.

  • Toplamalar, manuel doğrulama için olay başına kaynak bağlantıların listesini içerir.

İnsan denetimli:

  • Yüksek etkili veya belirsiz vakalar, editöryal inceleme ve doğruluk kontrolü için işaretlenebilir.

  • Düzenli kalite güvencesi incelemeleri: Örnek olarak seçilen makaleler ve etkinlikler, hassas bir incelemeyle aylık olarak denetlenir; herhangi bir sapma, istem/model veya anahtar kelime ayarlamalarını tetikler.

İzlenebilirlik:

  • Her istatistik, denetlenebilirlik için veri tabanında yer alan makalelere ve bağlantılara kadar izlenebilir.

Sınırlamalar

Kapsam limitleri:

  • GCS tabanlı keşif, anahtar kelimelere ve CSE yapılandırmasına bağlıdır; özellikle yapılandırılan dillerin dışında veya ücretli içeriklerde tüm olaylar yakalanmaz.

  • Bazı siteler otomatik alımı engeller; bu tür makaleler kısmen veya tamamen eksik olabilir.

LLM'ye özgü riskler:

  • Deterministik ayarlara ve yapılandırılmış komutlara rağmen, özellikle seyrek veya belirsiz metinlerde yanlış sınıflandırma meydana gelebilir.

  • Olay kümeleme, aynı olayı birden fazla olaya bölebilir veya uç durumlarda benzer ancak farklı olayları birleştirebilir.

İstatistikler nasıl hesaplanır?

Makale düzeyindeki alanlar, doğrudan çıkarma ve LLM çıktılarından (kayıt başına depolanır) elde edilir.

Olay düzeyindeki metrikler, bileşen makaleleri event_id'ye göre toplar:

  • makale sayıları, ilk/son görülme tarihleri

  • etkilenen kuruluşların ve tehdit aktörlerinin tekilleştirilmiş listesi

  • temsilî başlıklar ve kanonik bağlantı listeleri

Rapor istatistikleri bu depolanan tablolardan alınır; her rakam, olay satırlarına ve temel makale kayıtlarına kadar izlenebilir.

Verilerin kapsamı

Siber güvenlik içeriğimizde atıfta bulunulan istatistikler ve içgörüler aşağıdakilerin bir kombinasyonundan elde edilmiştir:

  • Herkese açık siber güvenlik olayı raporları

  • Doğrulanmış siber olayların medyada yer alması

  • Sektör raporları ve anketleri

  • Hükûmet ve düzenleyici kurumların açıklamaları

Veriler, küresel olarak meydana gelen tüm siber olayların tamamını değil, kamuya açık olarak gözlemlenebilen ve rapor edilen faaliyetleri yansıtır. Birçok siber olay hiçbir zaman açıklanmaz, rapor edilmez ve medyada yer almaz.

Veri kaynakları ve keşif

Kaynak türleri

Siber güvenlikle ilgili makaleler ve raporlar, aşağıdakiler de dâhil olmak üzere birden fazla kaynak kategorisinden toplanır:

  • Ana akım ve teknoloji medyası.
    Örnekler arasında büyük uluslararası haber kuruluşları ve teknoloji yayınları yer alır.

  • Yetkili ve uzman siber güvenlik kaynakları.
    Devlet kurumları, siber güvenlik araştırma kuruluşları ve köklü sektör yayınları dâhil.

  • Bölgesel ve yerel haber kaynakları.
    Kuzey Amerika, Avrupa, Asya-Pasifik ve diğer bölgelerdeki siber güvenlik olaylarını kapsar.

  • Sektör ve araştırma raporları.
    Yıllık ihlal raporları, tehdit ortamı raporları, anketler ve ekonomik analizler dâhil.

Her kaynak, yayın tarihi, yayın organı ve orijinal URL korunarak makale veya rapor düzeyinde belirtilir.

Keşif süreci

İçerik keşfi, sürekli güncellenen bir siber güvenlik anahtar kelime listesine dayalı otomatik arama sorguları kullanılarak gerçekleştirilir. Anahtar kelimeler konuya göre gruplandırılır (örneğin: veri ihlalleri, fidye yazılımı, kimlik avı, güvenlik açıkları, düzenleme).

Yeni yayınlanan içerikleri yakalamak için günlük aramalar yapılır. Her çalıştırma yalnızca son materyalleri sorgulayarak veri kümesinin güncel raporlamayı yansıtmasını sağlar.

İçerik toplama ve işleme

Makale alma

Bir kaynak bulunduğunda, otomatik çıkarma araçları kullanılarak makalenin tam metni alınır. Birincil çıkarma işleminin başarısız olduğu durumlarda, sağlam kapsama sağlamak için yedek yöntemler kullanılır.

Tekilleştirme

Çift sayımı önlemek için:

  • Aynı URL'ler yalnızca bir kez işlenir

  • Yeniden yayınlanan veya dağıtılan içerikler, makale düzeyinde tekilleştirilir

  • Etkinlik düzeyinde toplama (aşağıda açıklanmıştır), yayın organları arasındaki yinelemeyi daha da azaltır

Alaka düzeyine göre filtreleme ve sınıflandırma

Siber güvenlik alaka düzeyi değerlendirmesi

Her makale, siber güvenlik istatistikleriyle ilgili olup olmadığının belirlenmesi için değerlendirilir. Makaleler bir siber güvenlik olayını, tehdidini, güvenlik açığını veya düzenleyici eylemi anlamlı bir şekilde tanımlamalı veya analiz etmelidir.

Olay türü sınıflandırması

İlgili makaleler, aşağıdakiler de dâhil olmak üzere üst düzey kategorilere ayrılır:

  • Olay: Gerçekleşmiş olduğu doğrulanmış bir siber saldırı veya ihlal

  • Güvenlik açığı: İstismar edilebilecek bir güvenlik zafiyetinin ifşa edilmesi

  • Tehdit istihbaratı: Tehdit aktörleri, araçları, kampanyaları veya teknikleri hakkında raporlama

  • Düzenleyici / yasal: Siber güvenlikle ilgili yasalar, yaptırım eylemleri, politika değişiklikleri veya yasal işlemler

Bu sınıflandırma, “olaylar”, “ihlaller” veya “saldırılar” ile ilgili istatistiklerin güvenlik açığı açıklamaları veya genel yorumlarla karıştırılmamasını sağlar.

Olay kümeleme (makaleden olaya toplama)

Aynı siber olay hakkında genellikle birden fazla makale yayınlanır. Fazla sayımı önlemek için:

  • Aynı olayı anlatan makaleler tek bir olay altında gruplandırılır

  • Olaylara sabit dâhili tanımlayıcılar atanır

  • Makaleler, yalnızca aynı olayı tanımladıklarına dair güven yüksek olduğunda mevcut olaylara bağlanır

Kümeleme için kullanılan göstergeler arasında etkilenen kuruluşlar, tehdit aktörleri, zaman çizelgeleri ve olay açıklamaları yer alır.

Olay düzeyindeki kayıtlar şunları içerir:

  • İlk ve son görünüm tarihleri

  • İlgili makale sayısı

  • Etkilenen kuruluşlar

  • Atıfta bulunulan tehdit aktörleri

  • Doğrulama için kaynak bağlantılar

Otomatik analiz ve kalite kontrollerinin kullanımı

Otomatik sınıflandırma

Sınıflandırma, çıkarma ve toplama için yapılandırılmış, deterministik dil modeli analizi kullanılır. Tüm otomatik çıktılar, tutarlılığı sağlamak için önceden tanımlanmış şemaları takip eder.

Modeller, değişkenlik ve halüsinasyon riskini azaltmak için deterministik ayarlarla çalışır.

Kalite güvencesi

Doğruluğu korumak için:

  • Şema doğrulaması, yalnızca uygun şekilde yapılandırılmış çıktıların sayılmasını sağlar

  • Sınıflandırma sapmasını tespit etmek için hassas bir inceleme de dâhil olmak üzere düzenli aylık örnekleme ve inceleme prosedürleri gerçekleştirilir. Bu inceleme, sınıflandırmadaki kaymaları belirler ve bu da modeli bilgilendirir ve modelde ayarlamalar yapılmasını gerektirir.

  • Belirsiz veya yüksek etkili vakalar, insan incelemesi için işaretlenir

  • Toplu istatistikler, tek tek makalelere ve olaylara kadar izlenebilirliği korur

İstatistikler nasıl hesaplanır?

Makale düzeyinde ve olay düzeyinde metrikler

Bazı istatistikler şunlara dayanır:

  • Makale düzeyinde sayımlar (ör. medyada yer alma hacmi)

  • Olay düzeyinde sayılar (ör. ayrı ihlallerin veya olayların sayısı)

Uygun olduğu durumlarda, tekrarlamayı azaltmak için olay düzeyindeki metrikler tercih edilir.

Sayıların ve sıklıkların yorumlanması

“Günlük olaylar” veya “yıllık ihlaller” gibi istatistikler, toplam küresel aktiviteyi değil, bildirilen veya medyada görünen aktiviteyi temsil eder.

Tedarikçi telemetrisi, devlet şikayet sistemleri ve ekonomik tahminler, kapsam ve metodoloji farklılıkları nedeniyle genellikle önemli ölçüde daha yüksek hacimler bildirir. Bu farklılıklar ilgili yerlerde belirtilmiştir.

Sınırlamalar ve dikkat edilmesi gereken hususlar

Doğruluk ve tutarlılık sağlanmaya özen gösterilse de verilerin doğası gereği sınırlamaları vardır:

  • Tüm olaylar kamuya açıklanmaz veya bildirilmez

  • Medyada yer alma durumu bölgeye, sektöre ve olayın ölçeğine göre değişir

  • Bazı kaynaklar erişimi kısıtlar

  • Sınırdaki durumlarda sınıflandırma hataları meydana gelebilir

  • Ekonomik kayıp rakamları soruşturmalar ilerledikçe değişebilir

Bu nedenle istatistikler, kapsamlı ölçümler olarak değil, yön göstergeleri olarak yorumlanmalıdır.

Kaynak Dizini

Aşağıdaki numaralı kaynakların her biri, Siber Güvenlik İstatistikleri sayfasında kullanılan üst simge referansına karşılık gelir. Üst simgeler, bu sayfadaki ilgili kaynak girişine doğrudan bağlantı sağlar.

Kaynak 1

Statista –
Cybercrime worldwide

Kaynak 2

Identity Theft
Resource Center
(ITRC) – Weekly
Breach
Breakdown
Q3 2025

Kaynak 3

Identity Theft
Resource Center
(ITRC) – H1 2025
Data Breach Analysis

Kaynak 4

Verizon –
Data Breach
Investigations
Report (DBIR) 2025

Kaynak 5

IBM –
Cost of a Data
Breach Report 2025

Kaynak 6

South Korean
Ministry of
Science and
ICT – SK Telecom data
exfiltration
incident

Kaynak 7

Aflac – June
2025 security
incident
regulatory filing

Kaynak 8

HIPAA Journal –
Largest healthcare
data breaches of 2025

Kaynak 9

California Attorney
General – Aflac
breach report
(SB24-616010)

Kaynak 10

Iowa Attorney
General – Aflac
data breach notification

Kaynak 11

Rhode Island
Attorney General –
Data‑breach
notifications

Kaynak 12

Rhode Island
AG –
Data‑breach
notification

Kaynak 13

Aflac Newsroom –
June 2025
security incident
update

Kaynak 14

HIPAA Journal –
Aflac data
breach article

Kaynak 15

Office of the
Australian Information
Commissioner –
Statement on Qantas
cyber incident

Kaynak 16

Qantas – Information
for customers on
cyber incident

Kaynak 17

Qantas Newsroom –
Update on Qantas
cyber incident
(9 July 2025)

Kaynak 18

Michigan Attorney
General – Consumer
alert on data breaches
(TransUnion)

Kaynak 19

Maine Attorney
General – Allianz Life
cyber incident notice

Kaynak 20

California Attorney
General – Allianz data
breach report
(SB24-612078)

Kaynak 21

University of
Maryland – Cyber
Security Statistics

Kaynak 22

Microsoft Digital
Defense Report 2023

Kaynak 23

WIRED – NotPetya
cyberattack article

Kaynak 24

Reuters – UnitedHealth
tech unit hack article

Kaynak 25

The Guardian – Jaguar
Land Rover hack article

Kaynak 26

NBC News –
MGM Resorts
cyberattack cost article

Kaynak 27

Delaware Department
of Technology &
Information –
eSecurityNews
(Oct 2023)

Kaynak 28

Cybersecurity
Ventures – Global
ransomware damage
cost projection

Kaynak 29

JumpCloud – Phishing
attack statistics

Kaynak 30

Hornetsecurity – Email
threats in 2024

Kaynak 31

Spearshield –
Click‑to‑credential
phishing study

Kaynak 32

APWG – Phishing
Activity Trends Reports

Kaynak 33

arXiv – Academic
password/credential
research (2025)

Kaynak 34

DeepStrike – Password
statistics 2025

Kaynak 35

NordPass – Top 200
Most Common
Passwords

Kaynak 36

Financial Times –
Supply‑chain
cybersecurity article

Kaynak 37

SecurityScorecard –
2025 Supply Chain
Cybersecurity Trends

Kaynak 38

National Technology &
Security Coalition –
2025 Software Supply
Chain Security Report

Kaynak 39

Palo Alto Networks –
State of Cloud
Native Security

Kaynak 40

IBM – Threat
Intelligence Report

Kaynak 41

Tenable –
Cloud Security
Risk Report 2025

Kaynak 42

Cybersecurity
Ventures –
Cybersecurity Cost
Report

Kaynak 43

Statista Market
Insights – Estimated
cost of cybercrime
worldwide 2018‑2029
(ResearchGate)

Kaynak 44

Statista – Cost of
cybercrime worldwide
forecast

Kaynak 45

FTC – Consumer
Sentinel Network Data
Book 2024

Kaynak 46

FBI IC3 – 2024 Internet
Crime Report

Kaynak 47

Kroll – Data Breach
Outlook 2025

Kaynak 48

IBM – Cost of a Data
Breach 2024: Financial
Industry

Kaynak 49

SailPoint – 2024
State of Identity
Security in Financial
Services

Kaynak 50

DeepStrike –
Healthcare data
breach statistics 2025

Kaynak 51

Proofpoint &
Ponemon – Healthcare
Cybersecurity Report

Kaynak 52

Check Point –
Cyber Security
Report 2025

Kaynak 53

Thales – 2024
Data Threat Report:
Critical Infrastructure
Edition

Kaynak 54

Cyfirma – Energy &
Utilities industry report

Kaynak 55

World Economic
Forum – Global
Cybersecurity Outlook
2025

Kaynak 56

DeepStrike – Cyber
attacks on small
businesses

Kaynak 57

Devolutions – State of
IT Security Report 2025

Kaynak 58

TotalAssure –
Small business
cybersecurity statistics
2025

Kaynak 59

Cisco – Cybersecurity
Readiness Index 2025

Kaynak 60

IANS Research –
Security budgets
press release (2024)

Kaynak 61

Munich Re –
Cyber insurance risks
and trends 2025

Kaynak 62

Gartner – 2025
information security
spending forecast

Kaynak 63

Forrester – 2024
Cybersecurity
Benchmarks (Global)

Kaynak 64

Ivanti – State of
Cybersecurity Report

Kaynak 65

U.S. Department of
Homeland Security –
FY 2025 Budget in Brief

Kaynak 66

U.S. Department of
Defense – CYBERCOM
Budget Justification

Kaynak 67

Google Cloud –
Cybersecurity forecast

Kaynak 68

Gartner – Generative AI
attack survey
(Sep 22 2025)

Kaynak 69

Splashtop – Top
cybersecurity trends
and predictions
for 2026

Kaynak 70

ENISA – Threat
Landscape 2024