e-Safe Zirveleri

Siber uzay var oldukça, siber güvenlikte var olacaktır. e-Safe Ulusal Güvenlik Etkinlikleri olarak, Siber Güvenlik ve Kişisel Verileri Koruma Sektörlerinin paydaşları olan; üreticiler, satıcılar, kamu, üniversite ve STK’ları bir araya getirerek sektörün sağlıklı gelişmesine katkıda bulunmaya çalışıyoruz. Bu bağlamda e-Safe, yerel sorunlara odaklanmış bir Ulusal Güvenlik Etkinlikleri platformudur.

Veri ihlaline neden olan unsurlar ve alınabilecek önlemler


Veri ihlaline neden olan unsurlar ve alınabilecek önlemler

5’inci e-Safe Kişisel Verileri Koruma Zirvesi, bu yıl ‘’Dijital Çağda Kişisel Verilerin Korunması’’ teması ile 17 Mayıs 2022 tarihinde Kişisel Verileri Koruma Kurumu (KVKK) binasında gerçekleştirildi. Zirve’de Türkiye’nin yakın gelecekte sürekli gündemine girecek olan kişisel verilerin korunmasıyla ilgili yapılması gerekenler, alanında uzman 17 konuşmacı tarafından değerlendirildi.

Kişisel Verileri Koruma Kanunu’nun 12’nci ve 5’inci maddesine göre; işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildirmesi gerektiğini söyleyen Avukat Halil Murat Berberer, sözlerine şöyle devam etti:

“Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulu’nun 24.01.2019 tarih ve 2019/10 sayılı kararı; bir veri sorumlusunun veri ihlali yaşadığında kendi kendini Kurul’a ihbar etmesi anlamına da gelen, ‘Ben bir veri ihlali yaşadım. Bu şu sebeplerle meydana geldi. Formumu doldurdum. Bana verilen süre içerisinde size bildirimimi yapıyorum. Gelip benim hakkımda bir inceleme yapın. İncelemeyi yaptıktan sonra eğer bir cezayı hak ediyorsam onu düzenleyin. Ben veri ihlali yaşattığım ilgili kişiye de durumu anlattım. Bu bir kişilik hakkı olduğundan ilgili kişide bana dava açabilir’ şeklinde veri ihlal bildirimi yapması gerektiğini belirtir.”

Veri ihlaline neden olan unsurlar

Veri ihlaline neden olan unsurlardan birisinin insan faktörü olduğunu belirten Berberer, insan kaynaklı ihlallere şu şekilde örnek verdi:

“İşten ayrılan bilgi işlem çalışanı tarafından bulunduğu departman itibariyle yetkilerini kötüye kullanarak işten ayrılmadan önce verilerin kopyalanması, veri sorumlusunun bir çalışanının site yönetiminde kullanılan bir yazılım programında kendisine ait kullanıcı adı ve şifresini yetkisiz üçüncü kişilerle paylaşması sonucu kat maliklerine ve bağımsız bölüm kullanıcılarına ait kişisel verilerin ele geçirilmesi, banka personelinin yapmış olduğu Kredi Kayıt Bürosu (KKB) sorguları neticesinde ulaştığı kişisel verileri kendi iletişim yolları (telefon, elektronik haberleşme programı vs.) aracılığı ile üçüncü kişilere iletmesi, şirketin bazı mağazalarından alışveriş yapan kart sahibi olmayan günlük kart müşterilerinin e-arşiv faturalarının yanlış adreslere gönderilmesi.”

Veri ihlaline neden olan bir diğer unsurun siber saldırılar olduğunu dile getiren Berberer, siber saldırı kaynaklı ihlallerden de şu şekilde bahsetti:

“Yönetim yazılımında meydana gelen bir açık nedeniyle siber saldırı düzenlenmesi ve tüm sunuculardaki verilerin imha edilmesi, siber saldırganlar tarafından veri sorumlusuna ait veri tabanı sistemine bir siber saldırı gerçekleştirilerek, veri tabanı içerisindeki verilerin silinmesi, söz konusu verilerin saldırganlarca ele geçirilmesi ve sonrasında fidye talep edilmesi, veri sorumlusu sistemlerinde yetkili bir kullanıcıya ait e-posta erişim şifresinin ele geçirilmesi, saldırganın e-posta şifresini elde ettikten sonra portal uygulamasına giriş yaparak diğer uygulamalara erişim sağlaması, saldırganın kullanıcı yetkilerine bağlı olarak bilgilere erişmesi ve verileri sızdırması, veri sorumlusunun fidye yazılımı ve ayrıca hizmet dışı bırakma (DoS-DDoS) saldırılarına maruz kalması, siber saldırganlarca yapılan fidye yazılımı saldırısı sonucu veri sorumlularına ait sunucu, kişisel bilgisayarlar, ERP sistemlerine erişimin engellenmesi.”

Veri ihlaline karşı alınması gereken önlemler

Veri ihlaline karşı alınması gereken önlemlere de değinen Berberer, bu önlemleri şu şekilde sıraladı:
“Sistem açıklıkları belirlenmeli, sistem açıklıkları belirlenirken referanslı bir soru listesi üzerinden ilerlenmeli, teknik ve idari tedbirlere ilişkin bir risk analizi gerçekleştirilmeli, KVKK ölçütlerini sorgulayan bir sızma testi sonuç raporu alınmalı, bu açıklıkları kapatmaya yönelik maliyet etkin bir program oluşturulmalı.”

VİDEO: 422
BAŞLIK: Veri İhlaline Neden Olan Unsurlar ve Alınabilecek Önlemler
KONUŞMACI: Halil Murat Berberer – Avukat
ETKİNLİK: 5. e-Safe Kişisel Verileri Koruma Zirvesi
TARİH: 17 Mayıs 2022, Salı
YER: Kişisel Verileri Koruma Kurumu – Ankara