Otel Sektöründe Siber Güvenlik Tehditleri: Kapsamlı Rehber 2026

Otelcilik sektörü, siber saldırganlar için benzersiz bir hedef kombinasyonu sunuyor: büyük miktarda kişisel ve finansal veri, 7/24 çevrimiçi olma zorunluluğu, geniş çalışan ve tedarikçi ağı, ve misafirlerin güven eşiğinin görece yüksek olması. IBM'in 2024 Veri İhlali Maliyet Raporu'na göre otelcilik sektörü, ortalama veri ihlali maliyeti bakımından finans ve sağlık sektörünün hemen ardından 3. sırada yer alıyor. Tek bir veri ihlalinin sektöre ortalama maliyeti 3,4 milyon doları aşmış durumda.

Bu rakamların ötesinde, bir otel siber saldırısının etkileri çok daha derin: misafir güveninin sarsılması, marka itibarının zarar görmesi, KVKK cezaları ve rezervasyon kayıpları. Türkiye'de faaliyet gösteren oteller, hem yerel mevzuata hem de uluslararası güvenlik standartlarına uymak zorunda; bu da tehdit yönetimini karmaşık ama kritik bir alan haline getiriyor.

Saldırganların otelleri tercih etmesinin 5 temel nedeni var:

1. Yoğun kişisel veri akışı: Her rezervasyon, konaklama ve check-in işlemi kişisel veri üretiyor. Ad-soyad, kimlik numarası, kredi kartı bilgisi, seyahat alışkanlıkları ve oda tercihleri — tümü karanlık web'de satışa sunulabiliyor.

2. Ödeme sistemlerinin yaygınlığı: Otel bünyesinde restoran, spa, vale, oda servisi gibi pek çok ödeme noktası var. Her biri POS sistemi üzerinden kart bilgisi işliyor.

3. Personel devir hızı: Otel sektörünün yıllık çalışan devir oranı yüzde 70-80'i buluyor. Sık değişen personel, sistematik güvenlik eğitimini zorlaştırıyor ve sosyal mühendislik saldırılarına kapı aralıyor.

4. Misafir Wi-Fi ağları: Misafirlere sağlanan açık veya yarı açık Wi-Fi ağları, hem misafirleri hem de ortak ağa bağlı iç sistemleri riske atıyor.

5. Marka değeri ve görünürlük: Tanınan bir otel markası, sahte site kuran saldırganlar için hazır bir kalabalık demek. Meşhur bir otel adı taşıyan sahte rezervasyon sitesi, aynı adı bilmeyen bir markanın sahte sitesinden çok daha fazla kurban topluyor.

Otel markalarına yönelik en yaygın ve en az anlaşılan tehdit budur. Saldırganlar, otelinizin logosunu, tasarımını ve içeriğini kopyalayarak misafirlerinizden gerçek para topluyor. Sahte otel sitesi nedir kapsamlı rehberimizde bu saldırıların anatomisi ayrıntıyla incelenmiştir.

Sahte site saldırıları 3 farklı biçimde gerçekleşebilir: typosquatting (yazım hatası içeren domain), tam kopya site (logo ve içerik çalınarak), yapay zeka destekli dinamik kopyalama (gerçek zamanlı içerik yansıtma). Türkiye'deki 500'den fazla otel markasının analiz edildiği araştırmamıza göre, bu markalar adına kayıtlı 1.200'den fazla şüpheli domain tespit edilmiştir.

Otel domain güvenliği ve typosquatting içeriğimizde bu risklere karşı alınabilecek pratik önlemleri bulabilirsiniz.

Phishing; sahte rezervasyon bildirimleri, tedarikçi fatura dolandırıcılığı ve çalışan hesabı çalma gibi onlarca farklı biçimde görünüyor. 2025 yılında APWG verilerine göre konaklama sektörü, phishing hedefleri arasında üst sıralarda yer almaktadır.

Spear-phishing (hedefe özel oltalama) özellikle tehlikelidir. Saldırgan, LinkedIn veya sosyal medyadan otel yöneticisinin adını ve departman bilgisini öğrenerek muhasebe çalışanına "Yöneticimiz X Bey'in talebiyle acil ödeme gerekiyor" içerikli kişiselleştirilmiş bir e-posta gönderiyor. Bu tür saldırılar genel phishing'e kıyasla 3 kat daha yüksek başarı oranına sahip.

Çalışanlarınızı bu tehdide karşı korumak için phishing e-posta tespiti rehberimizi detaylı incelemenizi öneririz.

POS sistemlerine yönelik saldırılar otelcilik sektöründe önemli bir tehdit olmaya devam ediyor. Saldırganlar iki yöntem kullanıyor:

POS kötü amaçlı yazılımı (malware): Fiziksel POS terminaline ya da POS yazılımının çalıştığı bilgisayara yerleştirilen zararlı yazılım, kart verilerini çalıyor. 2024 yılında birden fazla 5 yıldızlı otel zinciri bu saldırıdan etkilendi.

E-skimming (Magecart): Otel rezervasyon sayfasına enjekte edilen JavaScript kodu, misafirin tarayıcısında kredi kartı bilgisini anlık olarak çalıyor. Bu saldırı türü, sunucu taraflı güvenlik önlemlerine rağmen gerçekleşebilir çünkü saldırı misafirin tarayıcısında yaşanır.

POS güvenliğini artırmak için; düzenli terminal yazılım güncellemeleri, ağ segmentasyonu (POS ağı ile misafir ağını ayırın), PCI-DSS uyumluluğu ve kart verisi tokenizasyonu temel önlemlerdir.

Fidye yazılımı saldırıları otelcilik sektöründe 2023-2025 arasında yüzde 40 oranında artış gösterdi. Saldırganlar genellikle PMS (Property Management System), rezervasyon sistemi veya finans yazılımını şifreliyor; ardından erişimi geri vermek için ciddi miktarda fidye talep ediyor.

Bir ransomware saldırısının ortalama maliyeti (fidye + sistem kurtarma + gelir kaybı + itibar hasarı) küçük ve orta ölçekli oteller için 150.000 ile 500.000 dolar arasında seyrediyor. Ödeme yapılsa bile şifre çözme garantisi yok — araştırmalar fidye ödeyenlerin yüzde 40'ının verilerini tam olarak geri alamadığını gösteriyor.

Ransomware'e karşı en etkili savunma; offline yedek sistemi (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 offsite), network segmentasyonu ve düzenli sızma testleridir.

Modern oteller onlarca IoT cihazı kullanıyor: akıllı kilitler, enerji yönetim sistemleri, dijital menüler, oda kontrolcüleri ve güvenlik kameraları. Bu cihazlar güçlü bir siber güvenlik alt yapısı olmadan ciddi riskler barındırıyor.

2024'te Avrupalı bir otel zincirinde gerçekleşen bir vakada, bakım sözleşmesi kapsamında erişim sağlanan bir asansör kontrol sistemi üzerinden ana otomasyona sızıldı ve yüzlerce oda kilidi uzaktan kontrol edilebilir hale geldi. Fiziksel güvenliği doğrudan etkileyen bu tür ihlaller, IoT cihazlarının ağ segmentasyonu olmadan merkezi sistemlerle aynı ağda bulundurulmasının ne denli riskli olduğunu ortaya koydu.

IoT güvenliği için minimum gereksinimler: varsayılan parolaların değiştirilmesi, cihazların ayrı bir IoT ağ segmentinde bulunması, otomatik firmware güncellemeleri ve cihaz erişim loglarının tutulması.

Türkiye'de oteller siber güvenlik alanında birden fazla yasal mevzuata tabidir.

KVKK (Kişisel Verilerin Korunması Kanunu): 6698 sayılı Kanun kapsamında otel işletmeleri, misafir verilerini toplayabilmek için açık rıza almak, teknik güvenlik önlemleri almak ve ihlal durumunda 72 saat içinde KVKK Kurulu'na bildirmek zorundadır. 2024 yılında veri ihlali bildirimi yapmayan bir otel zinciri 1,2 milyon TL idari para cezasıyla karşılaştı.

5651 Sayılı Kanun: Otel bünyesinden yürütülen siber faaliyetler (örneğin misafir Wi-Fi üzerinden gerçekleştirilen yasadışı içerik erişimi) ile sahte site şikayetleri bu kanun kapsamında değerlendiriliyor.

PCI-DSS (Payment Card Industry Data Security Standard): Kredi kartı işleyen her otel bu standardı uygulamak zorundadır. Uyumsuzluk halinde kart şirketleri yüklü para cezası uygulayabilir ya da kart kabul yetkisini iptal edebilir.

TCK m.243-244 (Bilişim Suçları): Sisteme izinsiz erişim ve veri tahribi. Oteller bu madde kapsamında hem mağdur hem de — yetersiz güvenlik önlemi alındıysa — sorumlu taraf olabilir.

TCK m.158 (Nitelikli Dolandırıcılık): Sahte otel sitesi üzerinden para toplayan kişiler bu madde kapsamında yargılanır. Marka sahibi otel ise tazminat davası açabilir.

KVKK m.12 (Teknik Güvenlik): Uygun teknik ve idari önlemleri almayan veri sorumluları KVKK Kurulu tarafından idari para cezasına çarptırılabilir. Ceza tavanı 2026 itibarıyla güncel para birimi üzerinden güncelleniyor; güncel rakamlar için KVKK resmi sitesini inceleyin.

NIST Siber Güvenlik Çerçevesi'nin "Tanımla-Koru-Tespit Et-Yanıtla-Kurtar" modelini otelcilik sektörüne uyarlayan 5 katmanlı koruma stratejisi:

Katman 1 — Marka ve Domain Koruma: Sahte domain izleme, Sertifika Şeffaflık Logları takibi, UDRP ve takedown mekanizmaları. Bu katman; sahte rezervasyon sitelerini, marka taklitçiliğini ve domain ele geçirmeyi kapsar. Detaylar için otel web sitesi güvenlik kontrol listesi içeriğimize bakabilirsiniz.

Katman 2 — Teknik Altyapı Güvenliği: Ağ segmentasyonu, güvenlik duvarı yapılandırması, WAF, EDR (Endpoint Detection & Response) ve düzenli sızma testleri. Bu katman; sisteme sızma girişimlerini ve ağ içi yayılımı önler.

Katman 3 — Veri Güvenliği: Kriptografi (AES-256 ile veri şifreleme), erişim kontrolü (en az yetki prensibi), PCI-DSS uyumluluğu ve düzenli veri haritası güncelleme. Bu katman; kart verisi ve kişisel veri ihlallerini önler.

Katman 4 — İnsan Faktörü: Phishing simülasyonları, departmana özel eğitimler, güçlü parola politikası ve 2FA zorunluluğu. Bu katman; sosyal mühendislik saldırılarına karşı en kritik savunma hattıdır.

Katman 5 — Olay Müdahale ve İş Sürekliliği: Olay müdahale planı, 3-2-1 yedekleme stratejisi, medya kriz planı ve sigorta. Bu katman; saldırı gerçekleştiğinde hasarı sınırlar ve operasyonel sürekliliği sağlar.

RuuSafe, otelcilik sektörüne özel tasarlanmış bir dijital güvenlik platformudur. Platform 5 katmanlı koruma modelinin özellikle 1. katmanını (marka ve domain koruma) otomatize eder:

• Gerçek zamanlı sahte domain izleme: Markanıza benzer domainler kaydedilir edilmez uyarı alırsınız.
• SSL ve Sertifika Şeffaflık Logları takibi: Markanız adına yetkisiz sertifika düzenlendiğinde anında bildirim.
• Otomatik takedown bildirimleri: Hosting abuse ve DMCA bildirimlerini platform otomatik hazırlar ve gönderir.
• Tehdit skoru raporlaması: Hangi tehditlerin acil müdahale gerektirdiğini önceliklendirir.
• Ekip paneli: IT, hukuk ve yönetim ekiplerinin aynı pano üzerinden olayları takip etmesini sağlar.

Wi-Fi güvenliği riskleri ve çalışan hesabı güvenliği konularındaki içeriklerimiz de otel güvenlik stratejinizi destekleyecektir.

Sektör ortalaması toplam BT bütçesinin yüzde 10-15'i şeklindedir. Ancak küçük oteller için yıllık 50.000-150.000 TL arasında bir bütçeyle temel 5 katmanı karşılayabilirsiniz: güvenlik yazılımı lisansları, yıllık bir sızma testi, çalışan eğitimi ve RuuSafe gibi izleme hizmeti bu bütçe içinde değerlendirilebilir.

KVKK'ya göre kişisel veriler yalnızca ilgili amaçla sınırlı ve belirli bir süre için saklanabilir. Konaklama verileri için yasal saklama süreleri farklılık gösteriyor; güncel bilgi için hukuki danışman veya KVKK resmi sitesini inceleyin.

Siber sigorta; veri ihlali bildirimi maliyetleri, yasal savunma giderleri, iş sürekliliği kaybı ve fidye ödemeleri için koruma sağlar. 2025 itibarıyla 100'den fazla odaya sahip otellerin siber sigorta yaptırması güçlü biçimde öneriliyor. Sigorta şirketleri artık poliçe öncesi teknik güvenlik değerlendirmesi de yapıyor.

Kredi kartı işleyen her işletme için evet. Uyumsuzluk halinde kart şirketleri aylık 5.000-100.000 dolar arasında ceza uygulayabiliyor. Daha ciddi ihlallerde kart kabul yetkisi tamamen askıya alınabiliyor.

Risk önceliklendirmesi için bu 3 soruyu yanıtlayın: (1) Misafir ve kart verisi ne kadar güvende? (2) Sahte domain izleme yapılıyor mu? (3) Çalışanlar phishing saldırısını tanıyabiliyor mu? Bu 3 alanda açık varsa önce bunları kapatın. Çoğu otel ihlali bu 3 zayıf noktadan birinden başlıyor.

Otelcilik sektöründe siber güvenlik artık bir BT meselesi değil, üst yönetimin stratejik gündeminde yer alması gereken bir iş sürekliliği konusudur. 5 katmanlı koruma modeli; marka itibarını, misafir güvenini, operasyonel sürekliliği ve yasal uyumu aynı anda korumanın en sistematik yolunu sunuyor.

Hemen başlayabileceğiniz 5 eylem: 1. Sahte domain izleme için RuuSafe'e kaydolun 2. Tüm kritik hesaplara 2FA ekleyin 3. Çalışanlar için bir phishing simülasyonu planlayın 4. Offline yedekleme sistemi kurun 5. KVKK uyum durum değerlendirmesi yaptırın

Daha fazlası için otel web sitesi güvenlik kontrol listesi, phishing e-posta tespiti rehberi ve domain güvenliği rehberimizi incelemenizi öneririz.