Kişisel Verileri Azaltmak Güvenlik Sağlıyor

Kişisel Verileri Koruma Kanunu’nun (KVKK) işaret ettiği idari tedbirler doğrultusunda kişisel verileri dijital (sayısal-sanal) ortamda mümkün olduğunca azaltmak kişilere güvenlik sağlıyor. KVKK kapsamında kişisel verilerin hukuka aykırı şekilde işlenmesi ve erişilmesi de ciddi cezalara neden oluyor. Kişisel verileri korumakla yükümlü olan şirketlerin KVKK’nın işaret ettiği idari tedbirlere dikkat etmesi gerektiği belirtiliyor.

Büyük ya da küçük tüm şirketlere saldırı düzenleyen siber saldırganların (hacker) ana odaklarında kişisel verilerin yer aldığı belirtilirken, böylesi durumlarda kişisel verileri ellerinde tutan şirketlerin uymaları gereken sorumluluklar ve almaları gereken tedbirler daha da önem kazanıyor. KVKK kapsamında şirketlerin alması gereken idari tedbirler, karşılaşılabilecek tüm kötü durumlara karşı önemli bir güvenlik kalkanı oluşturuyor.

Konuya ilişkin faaliyetler yürüten; KVKK’ya uyum danışmanlığı ve siber danışmanlık yapan Siberasist firmasının Genel Müdürü Serap Günal, kişisel verileri hukuka aykırı şekilde işlememek ve güvenli şekilde korunmasını sağlamak isteyen şirketlerin uyması gereken 10 idari tedbirin olduğunu belirtiyor. Alınan her tedbirin şirketleri daha çok güvende tuttuğunu ifade eden Günal, şirketlerin siber güvenliklerini güçlü halde tutmalarının, potansiyel siber tehditlere ve sonrasında gerçekleşecek tüm kayıplara karşı önemli destek sağladığını ifade ediyor.

Organizasyon yapıları içerisinde çalışanlarının eğitimlerinden, tehditler karşısında alacakları reaksiyonlara kadar tüm prosedürlerin ve uygulamaların bilinmesi şirketlerin sadece gününü değil geleceklerini de kurtarmalarına yardımcı oluyor. KVKK ile birlikte birçok şirketin teknik tedbirleri alma çabasının yanında idari olarak da kendilerini ve sahip oldukları kişisel verileri koruma altına almasının gerekli bir adım olduğu ifade ediliyor.

Şirket yönetimlerinin yeni süreçte dikkate alması gereken tedbirler, şirket analizinin belirli başlıklar içerisinde değerlendirilmesinin önemini öne çıkarıyor. Bunlar; Mevcut risk ve tehditlerin belirlenmesi, Çalışanların eğitilmesi ve farkındalık çalışmaları, Kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi, Kişisel verilerin mümkün olduğunca azaltılması ve Veri işleyenler ile ilişkilerin yönetimi.

Şirketlerin uyması gereken 10 idari tedbir şöyle sıralanıyor:

1. Kişisel veri işleme envanteri hazırlanması

2. Kurumsal politikaların belirlenmesi (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)

3. Sözleşmelerin hazırlanması (Veri Sorumlusu-Veri İşleyen arasında)

4. Gizlilik taahhütnamelerinin hazırlanması

5. Kurum içi periyodik veya rastgele denetimlerin gerçekleşmesi

6. Risk analizlerinin yapılması

7. İş sözleşmesinin ve disiplin yönetmeliğinin kanuna uygun olarak hazırlanması

8. Kurumsal iletişim süreçlerinin bulunması (Kriz yönetimi, kurul ve ilgili kişiyi bilgilendirme süreçleri vb.)

9. Eğitim ve farkındalık faaliyetlerinin hazırlanması

10. Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) bildirimlerin gerçekleştirilmesi.

Veri Güvenliği Uluslararası ve Stratejik

Dijital dönüşüm sürecinde, geleneksel idari yapılar şekil değiştirirken, mevcut hukuk kuralları kişi, kurum ve kuruluşları, şirketleri bu yeni etkileşime ayak uydurmaya zorluyor. Devletler tarafından uluslararası ve stratejik bir konu olarak değerlendirilen ‘veri güvenliği’ KVKK gibi kişisel verilerin korunmasına yönelik kanunlar, bazı cezai yaptırımlar içeriyor. Siber güvenlik hukuku uygulamaları, Adli bilişim değerlendirme süreçleri; Kişisel Verileri Koruma Kanunu kapsamındaki işlem ve uygulamalar olarak görülüyor; Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) de konu oluşturuyor.

Öte yandan, son yıllarda, veri kurtarma giderek daha önemli bir sektör haline geliken, 2012’den bu yana veri kayıplarında yüzde 400 artış olduğuna dikkat çekiliyor. Yalnızca son birkaç yılda, veri kurtarma hizmetine duyulan ihtiyacın dünya çapında yüzde 23’ün üzerinde arttığı belirtiliyor.

Siber Saldırganlar 7/24 Çalışıyor!

Analizler, Kaspersky DDoS Protection tarafından 2018’in dördüncü çeyreğinde engellenen saldırı sayısının 2019’un dördüncü çeyreğinde tespit edilen saldırıların sadece yüzde 56’sına denk geldiğini ortaya koydu. Botnet aktivitelerine daha detaylı bakıldığında saldırıların yüzde 28’inin hafta sonu gerçekleştiği, Pazar günü yapılan saldırıların yüzde 2,5 oranında arttığı tespit edildi. Sonuçlar Kaspersky Q4 2019 DDoS saldırı raporundan derlendi.

Raporda, 2019 yılında Pazar günleri botnet aktivitesindeki yükselme eğilimi dikkat çekiyor. Pazar günü saldırıları diğer günlerin gerisinde kalsa da, yıl boyunca benzer sıklıkta devam etmesi dikkat çekici. Dördüncü çeyrekte Perşembe günü DDoS saldırıları için en az tercih edilen gün. Analizler genellikle en çok ve en az tercih edilen günler arasındaki farkın yüzde 2,5 civarında olduğunu gösteriyor. Daha önceki çeyrekte bu fark yüzde 7’ye kadar çıkıyordu.

Kaspersky DDoS Protection tarafından tespit edilen DDoS saldırıları 2018’in aynı dönemine göre yükselmiş olmakla birlikte, 2019’un üçüncü çeyreğindeki saldırıların dördüncü çeyreğin yüzde 92’sine eşit olduğu gözlendi. Kaspersky DDoS Koruma Ekibi İş Geliştirme Müdürü Alexey Kiselev, saldırılarda genel olarak bir artış görüldüğünü belirtiyor.

Siber Suçlular Karanlık İşlere Bulaşmış

Siber suçlular, karanlık işler için arama motoru açmış. ABD Federal Polisi FBI, kişisel verileri satmak için kullanılan bir web sitesine el koyarak kapatmış. Siber güvenlik kuruluşu ESET’in edindiği bilgiye göre, sözkonusu web sitesi, yasadışı olarak elde edilen kişisel bilgilere erişmek isteyen suçlular için bir arama motoru işlevi görüyordu. Sitede 12 milyardan fazla verinin bulunduğu paylaşılırken, konuyla ilgili 2 kişinin tutuklandığı duyuruldu.

Söz konusu operasyon, FBI’in yanı sıra İngiltere, Kuzey İrlanda, Hollanda ve Almanya'daki kolluk kuvvetlerinin işbirliğiyle gerçekleştirildi. Web sitesini yönettiğinden şüphelenilen iki kişinin Hollanda ve Kuzey İrlanda'da tutuklandığı açıklandı.

Çeşitli yollarla çalınan kişisel verileri satmak için kullanılan WeLeakInfo.com alan adına el konulurken, web sitesi, isteyen herkesin başkalarının kişisel bilgilerine ulaşmasına ve erişmesine izin veren bir ödeme planı sunuyordu.

Farklı bir olayda ise üç milyar çalıntı veya sızdırılmış çevrimiçi kimlik bilgisi bulunan LeakedSource.com iki yıl önce basılmıştı. Mayıs 2019’da, sitenin yöneticisi çalıntı bilgi kaçakçılığı suçunu kabul etti.

Finansal Odaklı Kimlik Avı Saldırıları

Finansal odaklı kimlik avı saldırıları tatil sezonunda yüzde 9,5 artarak, tatil korkusuna yol açıyor. Süper fırsatlara ulaşmak isteyen kullanıcıların zaafından faydalanmayı amaçlayan siber saldırganlar (korsanlar) Kara Cuma, Siber Pazartesi, Yılbaşı derken sürüp giden alışveriş çılgınlığı sayesinde oldukça sevindi. Kaspersky araştırmacıları 2019’un son çeyreğinde spam ve dolandırıcılık aktivitelerinde de benzer şekilde artış yaşandığını tespit etti...

Kaspersky Güvenlik Analisti Tatyana Sidorina, 

tatil sezonunda insanların alışveriş konusunda anlık kararlara ve aceleye yatkın olduklarını dile getirerek, İyi bir fırsat yakaladığında kaçırılmaması gerektiğini düşünen tüketicilerin yaşadığı baskı ve dikkat dağınıklığının, siber suçlular için de fırsat anlamına geldiğini söylüyor. Konuya dair detaylı rapor Securelist.com adresinde yer alıyor.