Kategoriler
Web Paylaşımları

Veri İhlali Olsa Dahi Risk Önlenebilir

Önlem almamıza rağmen veri sızdı. Oldu bir kere. Bu herşeyin sonu olmamalı; veri ihlali olmasına rağmen risk önlenebilir mi?

İş bulma telaşıyla LinkedIn’e, arakadaşlarımızın bizi bulma ihtimaliyle Facebook veya Instagram’a, tekrar tekrar aynı veriyi girmemek için web tarayıcımızın otomatik doldurma özelliğine bir çok verimizi kaydediyor veya bunları paylaşıyoruz. Kim bizi suçlayabilir ki? Ama bence suçlayabileceğimiz birileri var. Tamam, ben bu bilgiyi paylaştım veya çok güvenlikle saklayamadım. Ancak iznim olmadan, bu veri kullanılarak internet sitesinde, sosyal medyada, banka işlemlerinde, vb. işlem yapılmasının önüne geçilemez mi? Veya güvenerek paylaştığım site, banka, vb. bu verileri sızdırdı, konu benden de kaynaklanmadı.

Özetle, önlem almamıza rağmen veri sızdı. Oldu bir kere. Bu herşeyin sonu olmamalı; sızan verilere rağmen kritik işlemlerin bizim adımıza yapılmasının önüne geçilemez mi? Tasarladığımız yeni uygulama ve sistemlere kimlik doğrulama adımları ekleyerek, bazı kritik verilerin güncellenmesine doğrulama veya benzer ek kontroller getirerek sızan verinin kullanımını önlemek mümkün.

Kişisel Verileri Koruma Kurumunun, Kişisel veri sızıntısı ile ilgili eşleştirebildiğim karar özetini aşağıda paylaşıyorum. Önce bu karar özetini inceleyelim; sonra da alınması gereken önlemleri listeleyip yorumlayalım.

İlgİLİ KVKK Karar Özetlerİ

  1. Banka Personelinin Kişisel Veri İhlali ve Dolandırıcılık Suçu | 26/11/2019 | 2019/352

Banka personeli, altı müşterisinin nüfus cüzdanı, bakiye, kimlik, iletişim, kredi kartı numarası, vb. kritik kişisel verilerinin bir kısmını mesnetsiz görüntülüyor bir kısmını da şahsi ePosta adresine gönderiyor. Daha sonra bu bilgilerle bir müşterinin hesabından sahte belgelerle yüksek miktarlı para çekiyor. Özetle banka personeli tarafından dolandırıcılık gerçekleştiriliyor.

Banka derhal kişinin iş akdini sonlandırıyor(kişiyi kovuyor) ve müşteri zararını karşılıyor. Daha sonra da Kurum’a Kişisel Veri İhlali’ni bildiriyor.

Kurum yaptığı incelemeler sonucunda 3 bulguyla karşılaşıyor:

  • Kurumsal ePostadan, kişisel veri ihlali yapılabilmiş,
    • Banka “Veri İhlali Tespit/Önleme Sistemi” kullanmasına rağmen, alınan tedbir, kurumsal ePostadan veri ihlalini engelleyememiş.
    • Bankanın aldığı, “kredi kartı numarası içeren ePostaların banka dışına gönderilmesi durumunda, kart sayısı belirli bir adedi geçerse, ePostanın karantinaya alınması ve gönderilmemesi” tedbiri, çalışmasına rağmen söz konusu durumda yeterli gelmemiş.
  • Sızdırılan belge ve bilgilerle yüksek miktarlı dolandırıcılık yapılabilmiş,
  • Tedbirler, müşteri bilgisi olmadan yüksek miktarlı para çekim işlemlerine ve sahte belge düzenlemeye engel teşkil etmemiş.

Kişisel Verileri Koruma Kurumu, yukarıdaki hususları dikkate alarak, bankaya, yeterli tedbir alamadığı için 70.000 TL, veri ihlalini en kısa sürede (72 saat içinde) haber vermediği için de 30.000 TL idari para cezası uygulamış. Bankanın, 100.000 TL’lik ceza dışında bir de dolandırıcılık tutarını ödediğini unutmamak gerek.

Bankacılık, hem çalışanlarının bir çoğu direk para ile işlem yaptığı hem de regülasyona (yani kanuni sıkı yaptırımlara) tabi olduğu için, kişisel veri güvenliği dahil bir çok konuda güvenlik seviyesi yüksek bir sektör. Bu nedenledir ki; bir çok şirkette çok karşılaşmadığımız bazı önlemleri alıyorlar. Bu karar özetindeki banka da “Veri İhlali Tespit/Önleme Sistemi” kullanmasına ve belirli adet üzerindeki kredi kartı paylaşımına izin vermemesine rağmen, kişisel veri ihlalinin ve sonrasında dolandırıcılığın önüne geçememiş.

KVKK Uyumu Yolunda Önlemler | Verİ Sızsa Dahİ Krİtİk İşlemler Önlenebİlİr

  1. Veri sızıntısı olsa dahi, sızdırılan verinin kullanılarak, işlem yapılması önlenmelidir. Banka örneğine dönersek, verinin sızdırılması ayrı, sızdırılan veri ile dolandırıcılık işleminin yapılması ayrı ele alınmalıdır. Alınacak önlemlerle veri sızdırılsa dahi bu veri kullanılarak işlem yapılmasının önüne geçilmeliydi.
    1. Bireysel kredi kartı numaranızı sızdırdınız. İlk aklınıza ne gelir? Hemen bankaya bildireyim, işlem yapılmasın. Peki sızdırdığım verinin içinde ad&soyad’ım var mıydı? Bu bilgi de sızdıysa, internet üzerinden alışverişe izin vermiş miydim? Verdiysem bile kartı kullanmak için doğrulama kodu(CVC, CID, vb.) olmadan işlem yapılamaz(en azından internette), bu veri var mıydı? Hadi o da vardı diyelim, üst limit’im neydi? Dikkat ederseniz bu süreçte ne çok kontrol var. İşte işletmeler de süreçlerini ve verilerini bu bakımlardan sınıflandırmalı ve kritik süreçlere benzer kontrolleri eklemeliler.
    2. Internet kafede veya toplu kullanılan bir bilgisayarda ePostanızı, sosyal medya hesabınızı açık bıraktınız. Hesaba giriş yapan kişi neler yapabilir? Artık bir çok ePosta sağlayıcı ve web sitesi şifreniz, iletişim bilgileriniz, vb. kritik verilerinizi değiştirmek istediğinizde şifrenizi tekrar soruyor, dikkat ettiniz mi? Veya farklı lokasyon, cihaz, web tarayıcısı, vb. ile giriş yaptıysanız bu size sms veya ePosta ile bildiriliyor ve haberiniz yoksa bu web tarayıcıdan çıkış (log out) yapmanız sağlanabiliyor.
    3. Banka şifrenizi/parolanızı biri gördü, hesabınıza girip işlem yapabilir mi? Artık çoğu bankada yapamaz; çünkü onaylı cep telefonunuza tek kullanımlık şifre (OTP – One Time Password), artık çoğu banka tarafından aktif kullanılıyor. İnternetten alış verişlerde bile bu sistem artık çok yaygın. Hatta bankalarda, kullandığınız cep telefonunu değiştirirseniz, aynı telefon numarasını kullansanız dahi, farklı cep telefonunu tanımlamak için “kişinin siz olduğunu belirleyen” ek işlemler gerekiyor.
    4. Sizin adınıza işlem de yapıldı; bu işlem tutarı çok yüksek olabilir mi? Örneğin son 1 yıldır tek kalemde gerçekleştirdiğiniz en büyük harcamanın 2 katı? Veya bir günde yaptığınız işlem sayısının 3 katı?

Tüm bu kontroller, alınan önlemlere rağmen bir veri sızıntısı olması durumunda oluşacak kaybı yakalamak veya sınırlandırmak için alınan önlemler. Şirketinizdeki süreçler bu gözle değerlendirilmeli, hem çalışanların iş yapış şekilleri, rolleri, prosedürleri bu doğrultuda değiştirilmeli hem de kullanılan uygulama ve sistemler benzer kontrollerle daha güvenli hale getirilmeli.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.