Kategoriler
Web Paylaşımları

Kişisel Veri İhlalini Önlemek

Kişisel Veri İhlalini önlemek için “Veri İhlali Tespit/Önleme Sistemleri”nin kullanımı size büyük yarar sağlayacaktır. Ancak bu sistemleri “tak fişi çalıştır” şeklinde kullanamazsınız. Şirketinize, süreçlerinize, risklerinize göre tasarlayıp uygulamanız gerekir.

Şirket çalışanı olarak bir çok kişisel veriye ulaşabiliyor, yani kişisel verileri işleyebiliyoruz; gerek karşımızdaki insanın kimlik kontrolünü yapmak, gerek ihtiyaç duyulan evrakları teslim almak gerekse yapacağımız işlemlerde kullanmak için. Benzer şekilde biz bir şirkete, örneğin bankaya gittiğimizde ad&soyad’dan tutun, hesap numaramıza, TC numaramıza, kimlik fotokopimize kadar bir çok bilgiyi paylaşıyoruz.

Peki bu bilgilerin paylaştığımız kurumda kaldığından emin olabilir miyiz? Güvenlik önlemlerini ilerleten, KVKK üzerinde projeler yapan, veri ihlalini önlemek için uğraş veren firmalar, “Veri İhlali Tespit/Önleme Sistemi” gibi sistemler kurguluyor ve verilerin dışarı çıkarılmasının önüne geçmek için önlemler alıyorlar. Kişisel veri ihlalini önlemek için hangi önlemleri almalısınız? Kişisel Veri İhlalini önlemek için “Veri İhlali Tespit/Önleme Sistemleri”nin kullanımı size büyük yarar sağlayacaktır. Ancak bu sistemleri “tak fişi çalıştır” şeklinde kullanamazsınız. Şirketinize, süreçlerinize, risklerinize göre tasarlayıp uygulamanız gerekir. Eğitim, yetkilendirme, vb. süreçleri doğru kurgulamanız da diğer almanız gereken önlemler arasındadır.

Kişisel Verileri Koruma Kurumunun, Kişisel veri ihlali ile ilgili eşleştirebildiğim üç karar özeti var. Gelin önce bu karar özetlerini inceleyelim; sonra da alınması gereken önlemleri listeleyip yorumlayalım.

İlgİLİ KVKK Karar Özetlerİ

  1. Banka Personelinin Kişisel Veri İhlali ve Dolandırıcılık Suçu | 26/11/2019 | 2019/352

Banka personeli, altı müşterisinin nüfus cüzdanı, bakiye, kimlik, iletişim, kredi kartı numarası, vb. kritik kişisel verilerinin bir kısmını mesnetsiz görüntülüyor bir kısmını da şahsi ePosta adresine gönderiyor. Daha sonra bu bilgilerle bir müşterinin hesabından sahte belgelerle yüksek miktarlı para çekiyor. Özetle banka personeli tarafından dolandırıcılık gerçekleştiriliyor.

Banka derhal kişinin iş akdini sonlandırıyor(kişiyi kovuyor) ve müşteri zararını karşılıyor. Daha sonra da Kurum’a Kişisel Veri İhlali’ni bildiriyor.

Kurum yaptığı incelemeler sonucunda 3 bulguyla karşılaşıyor:

  • Kurumsal ePostadan, kişisel veri ihlali yapılabilmiş,
    • Banka “Veri İhlali Tespit/Önleme Sistemi” kullanmasına rağmen, alınan tedbir, kurumsal ePostadan veri ihlalini engelleyememiş.
    • Bankanın aldığı, “kredi kartı numarası içeren ePostaların banka dışına gönderilmesi durumunda, kart sayısı belirli bir adedi geçerse, ePostanın karantinaya alınması ve gönderilmemesi” tedbiri, çalışmasına rağmen söz konusu durumda yeterli gelmemiş.
  • Sızdırılan belge ve bilgilerle yüksek miktarlı dolandırıcılık yapılabilmiş,
  • Tedbirler, müşteri bilgisi olmadan yüksek miktarlı para çekim işlemlerine ve sahte belge düzenlemeye engel teşkil etmemiş.

Kişisel Verileri Koruma Kurumu, yukarıdaki hususları dikkate alarak, bankaya, yeterli tedbir alamadığı için 70.000 TL, veri ihlalini en kısa sürede (72 saat içinde) haber vermediği için de 30.000 TL idari para cezası uygulamış. Bankanın, 100.000 TL’lik ceza dışında bir de dolandırıcılık tutarını ödediğini unutmamak gerek.

Bankacılık, hem çalışanlarının bir çoğu direk para ile işlem yaptığı hem de regülasyona (yani kanuni sıkı yaptırımlara) tabi olduğu için, kişisel veri güvenliği dahil bir çok konuda güvenlik seviyesi yüksek bir sektör. Bu nedenledir ki; bir çok şirkette çok karşılaşmadığımız bazı önlemleri alıyorlar. Bu karar özetindeki banka da “Veri İhlali Tespit/Önleme Sistemi” kullanmasına ve belirli adet üzerindeki kredi kartı paylaşımına izin vermemesine rağmen, kişisel veri ihlalinin ve sonrasında dolandırıcılığın önüne geçememiş.

  1. Sözleşme Örneklerinde Şirket Adresi Yerine Çalışanın Ev Adresi | 02/08/2018

Sözleşme Örnekleri, ePosta ile şirket çalışanlarına iletilirken, sözleşmede şirket adresi yerine bir çalışanın ev adresi yazılıyor. Ve bu şekilde tüm çalışanlarla ilgili kişinin ev adresi (kişisel veri) paylaşılmış oluyor. Kurul da veri güvenliğinin sağlanmaması nedeniyle idari yaptırım uyglanmasına karar veriyor.

  1. Kişisel Verinin Hatayla Paylaşımı ve Kötü Amaçla Kullanımı | 02/08/2018

Karar özetimizde iki ayrı olay var:

  1. Kişisel veri barındıran belgenin, aynı isme sahip bir başkasıyla paylaşılması (Kurul Kararı: Sistemsel açık, gerekli teknik ve idari tedbir alınmamış, idari yaptırım uygulanmalı),
  2. Şirket çalışanının kendisine yetki tanımlayarak, yetkisi olmayan kişinin verisini kendi menfaati için kullanması (Kurul Kararı: Gerekli teknik ve idari tedbir alınmamış, idari işlem).

KVKK Uyumu Yolunda Önlemler | KİŞİSEL vERİ Sızıntısını Önlemek

  1. Kişisel verilerin paylaşımını kontrol eden “Veri İhlali Tespit/Önleme Sistemleri” gibi yazılımlar kullanılmalı. Ancak yazının başında belirttiğim gibi bunlar “tak fişi çalıştır” şeklinde kurup kullanabileceğiniz sistemler değildir. Bu programların şirkette nasıl kullanılacağı, detaylı çalışmalarla belirlenebilir.
    • En başta bir analiz çalışması yapılması gerekir. En kritik süreçlerim hangileri? Hangi süreçlerde kimler kişisel veriye ulaşıyor? Hangi kişisel verilere ulaşılması daha kritik?
    • Daha sonra alınacak önlemler tasarlanmalı ve tasarlanan önlemler uygulandığında veri ihlali olabilir mi simüle edilmeli. Kişisel verilerin sınırlı sayıda çekilebilmesi veya çekilirse mesaj/uyarı oluşturması ve bu uyarının başka birimlerce sorgulanması. ePosta, dosya paylaşımı, depolama birimleri, vb. paylaşım araçlarında koşacak kişisel veri yakalama algoritmalarının tasarlanması ve yakalama sonrasında uygulanacak prosedürlerin belirlenmesi. Kritik verilerin aynı tablolarda tutulmaması ve farklı tablolardaki kritik veriler bağlanarak yapılan sorguların mesaj üretmesi.
    • Tasarlanan önlemler uygulama içinde uyarlanmalı, koşturulmalı, izlenmeli. Tasarımı yapılan önlemlerin bazıları elektronik ortamda oluşturulmalı, bazıları prosedürlere yansıtılarak çalışan iş yapış şekillerine eklenmelidir. Karşılaşılan her bir durum için alınması geeken aksiyonlar da belirlenmeli, takip edilmeli ve eğitimlere eklenmelidir.
    • Gerek mevcut durumların takibi, gerekse şirket süreçlerindeki değişimler sonrasında yeni senaryoların oluşturulması için insan kaynağı belirlenmeli. Kullanılacak insan kaynağının rol tanımları, bu doğrultuda güncellenmelidir.
    • İç Denetim ve mümkünse dış denetim kontrollerine veri ihlali kontrolleri de konulmalıdır.
  2. Kişisel Veriye yapılan ulaşımlar kontrol edilmeli, mesnetsiz ulaşımlar için, mümkünse akıllı algoritmalar geliştirilmelidir. Örneğin, gişeye gelen, çağrı merkezini arayan kişiler için veri sorgulama yapılabilmesi, veri sorgulama sonrasında kullanıcıya yapılan işlemle ilgili ePosta, SMS gönderilmesi, Günlük/saatlik belirli sayıya ulaşan veri ulaşımlarının uyarı oluşturması ve incelenmesi, kişisel veri ulaşımında kullanıcı ePostası veya SMS’i ile doğrulama yapılması(OTP), vb.
  3. Yetki tanımlarının doğru şekilde kurgulanması ve olabildiğince sınırlandırılması, kişinin kendisine yetki tanımlayamaması, yapılan yetki değişikliklerinin onaya tabi olması, loglanması ve belirli durumlarda uyarı oluşturması da alınabilecek diğer önlemlerdendir.
  4. Veri ihlali olsa dahi, sızdırılan verinin kullanılarak, işlem yapılması önlenmelidir. Bu konuyu “Veri İhlali Olsa Dahi Risk Önlenebilir” adlı makalemde daha detaylı inceliyorum. Aşağıdaki linkten ulaşabilirsiz.
  1. En başta iletişim verisi olmak üzere, kişisel veriler güncel tutulmalıdır. Sistemlerde tuttuğumuz ve işlediğimiz verinin kalitesi, miktarından çok daha önemlidir. Verileri temizlemek, veri kalitesini ölçmek ve güncelliğini korumak, küçük-büyük her işletmenin yapması gereken en önemli işlemler arasındadır. Daha açık olmak adına:
    1. Günümüzde telefon numarası, ePosta, Adres, vb. bilgilerin yanında mutlaka bu bilginin doğrulanıp doğrulanmadığı ve ne zaman, hangi yolla doğrulandığı tutulmalıdır. 6 ay önce alınmış ve doğrulanmış bir telefon numarası, 5 yıl önce alınmış ve doğrulanmamış bir telefon numarasından çok daha kaliteli bir veridir.
    2. İşlemlerin bazıları doğrulama yapılmamış bilgiler için gerçekleştirilmemelidir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.