Kişisel Verileri Azaltmak Güvenlik Sağlıyor
Kişisel Verileri Koruma Kanunu’nun (KVKK) işaret ettiği idari tedbirler
doğrultusunda kişisel verileri dijital (sayısal-sanal) ortamda mümkün
olduğunca azaltmak kişilere güvenlik sağlıyor. KVKK kapsamında kişisel verilerin
hukuka aykırı şekilde işlenmesi ve erişilmesi de ciddi cezalara neden oluyor.
Kişisel verileri korumakla yükümlü olan şirketlerin KVKK’nın işaret ettiği
idari tedbirlere dikkat etmesi gerektiği belirtiliyor.
Büyük ya da
küçük tüm şirketlere saldırı düzenleyen siber saldırganların (hacker) ana
odaklarında kişisel verilerin yer aldığı belirtilirken, böylesi durumlarda
kişisel verileri ellerinde tutan şirketlerin uymaları gereken sorumluluklar ve
almaları gereken tedbirler daha da önem kazanıyor. KVKK kapsamında şirketlerin
alması gereken idari tedbirler, karşılaşılabilecek tüm kötü durumlara karşı
önemli bir güvenlik kalkanı oluşturuyor.
Konuya
ilişkin faaliyetler yürüten; KVKK’ya uyum danışmanlığı ve siber danışmanlık
yapan Siberasist firmasının Genel Müdürü Serap Günal, kişisel verileri hukuka
aykırı şekilde işlememek ve güvenli şekilde korunmasını sağlamak isteyen
şirketlerin uyması gereken 10 idari tedbirin olduğunu belirtiyor. Alınan her tedbirin şirketleri daha çok güvende
tuttuğunu ifade eden Günal, şirketlerin siber güvenliklerini güçlü halde
tutmalarının, potansiyel siber tehditlere ve sonrasında gerçekleşecek tüm
kayıplara karşı önemli destek sağladığını ifade ediyor.
Organizasyon
yapıları içerisinde çalışanlarının eğitimlerinden, tehditler karşısında
alacakları reaksiyonlara kadar tüm prosedürlerin ve uygulamaların bilinmesi şirketlerin
sadece gününü değil geleceklerini de kurtarmalarına yardımcı oluyor. KVKK ile
birlikte birçok şirketin teknik tedbirleri alma çabasının yanında idari olarak
da kendilerini ve sahip oldukları kişisel verileri koruma altına almasının
gerekli bir adım olduğu ifade ediliyor.
Şirket
yönetimlerinin yeni süreçte dikkate alması gereken tedbirler, şirket analizinin
belirli başlıklar içerisinde değerlendirilmesinin önemini öne çıkarıyor.
Bunlar; Mevcut risk ve tehditlerin belirlenmesi, Çalışanların eğitilmesi ve
farkındalık çalışmaları, Kişisel veri güvenliği politikalarının ve
prosedürlerinin belirlenmesi, Kişisel verilerin mümkün olduğunca azaltılması ve
Veri işleyenler ile ilişkilerin yönetimi.
Şirketlerin
uyması gereken 10 idari tedbir şöyle
sıralanıyor:
1. Kişisel
veri işleme envanteri hazırlanması
2. Kurumsal
politikaların belirlenmesi (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha
vb.)
3.
Sözleşmelerin hazırlanması (Veri Sorumlusu-Veri İşleyen arasında)
4. Gizlilik
taahhütnamelerinin hazırlanması
5. Kurum içi
periyodik veya rastgele denetimlerin gerçekleşmesi
6. Risk
analizlerinin yapılması
7. İş
sözleşmesinin ve disiplin yönetmeliğinin kanuna uygun olarak hazırlanması
8. Kurumsal
iletişim süreçlerinin bulunması (Kriz yönetimi, kurul ve ilgili kişiyi
bilgilendirme süreçleri vb.)
9. Eğitim ve
farkındalık faaliyetlerinin hazırlanması
10. Veri
Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) bildirimlerin gerçekleştirilmesi.
Veri Güvenliği Uluslararası ve
Stratejik
Dijital
dönüşüm sürecinde, geleneksel idari yapılar şekil değiştirirken, mevcut hukuk
kuralları kişi, kurum ve kuruluşları, şirketleri bu yeni etkileşime ayak
uydurmaya zorluyor. Devletler tarafından uluslararası ve stratejik bir konu
olarak değerlendirilen ‘veri güvenliği’ KVKK gibi kişisel verilerin korunmasına
yönelik kanunlar, bazı cezai yaptırımlar içeriyor. Siber güvenlik hukuku
uygulamaları, Adli bilişim değerlendirme süreçleri; Kişisel Verileri Koruma
Kanunu kapsamındaki işlem ve uygulamalar olarak görülüyor; Veri Sorumluları
Sicil Bilgi Sistemi’ne (VERBİS) de konu oluşturuyor.
Öte yandan, son yıllarda, veri kurtarma giderek daha
önemli bir sektör haline geliken, 2012’den bu yana veri kayıplarında yüzde 400
artış olduğuna dikkat çekiliyor. Yalnızca son birkaç yılda, veri kurtarma
hizmetine duyulan ihtiyacın dünya çapında yüzde 23’ün üzerinde arttığı belirtiliyor.
Siber Saldırganlar
7/24 Çalışıyor!
Analizler,
Kaspersky DDoS Protection tarafından 2018’in dördüncü çeyreğinde engellenen
saldırı sayısının 2019’un dördüncü çeyreğinde tespit edilen saldırıların sadece
yüzde 56’sına denk geldiğini ortaya koydu. Botnet aktivitelerine daha detaylı
bakıldığında saldırıların yüzde 28’inin hafta sonu gerçekleştiği, Pazar günü
yapılan saldırıların yüzde 2,5 oranında arttığı tespit edildi. Sonuçlar Kaspersky Q4 2019
DDoS saldırı raporundan derlendi.
Raporda,
2019 yılında Pazar günleri botnet aktivitesindeki yükselme eğilimi dikkat
çekiyor. Pazar günü saldırıları diğer günlerin gerisinde kalsa da, yıl boyunca
benzer sıklıkta devam etmesi dikkat çekici. Dördüncü çeyrekte Perşembe günü
DDoS saldırıları için en az tercih edilen gün. Analizler genellikle en çok ve
en az tercih edilen günler arasındaki farkın yüzde 2,5 civarında olduğunu
gösteriyor. Daha önceki çeyrekte bu fark yüzde 7’ye kadar çıkıyordu.
Kaspersky
DDoS Protection tarafından
tespit edilen DDoS
saldırıları 2018’in aynı dönemine göre yükselmiş olmakla birlikte, 2019’un
üçüncü çeyreğindeki saldırıların dördüncü çeyreğin yüzde 92’sine eşit olduğu gözlendi. Kaspersky DDoS Koruma
Ekibi İş Geliştirme Müdürü Alexey Kiselev, saldırılarda genel
olarak bir artış görüldüğünü belirtiyor.
Siber Suçlular
Karanlık İşlere Bulaşmış
Siber
suçlular, karanlık işler için arama motoru açmış. ABD Federal Polisi FBI, kişisel
verileri satmak için kullanılan bir web sitesine el koyarak kapatmış. Siber
güvenlik kuruluşu ESET’in edindiği bilgiye göre, sözkonusu web sitesi, yasadışı
olarak elde edilen kişisel bilgilere erişmek isteyen suçlular için bir arama
motoru işlevi görüyordu. Sitede 12 milyardan fazla verinin bulunduğu
paylaşılırken, konuyla ilgili 2 kişinin tutuklandığı duyuruldu.
Söz
konusu operasyon, FBI’in yanı sıra İngiltere, Kuzey İrlanda, Hollanda ve
Almanya'daki kolluk kuvvetlerinin işbirliğiyle gerçekleştirildi. Web sitesini
yönettiğinden şüphelenilen iki kişinin Hollanda ve Kuzey İrlanda'da
tutuklandığı açıklandı.
Çeşitli
yollarla çalınan kişisel verileri satmak için kullanılan WeLeakInfo.com alan
adına el konulurken, web sitesi, isteyen herkesin başkalarının kişisel
bilgilerine ulaşmasına ve erişmesine izin veren bir ödeme planı sunuyordu.
Farklı
bir olayda ise üç milyar çalıntı veya sızdırılmış çevrimiçi kimlik bilgisi
bulunan LeakedSource.com iki
yıl önce basılmıştı.
Mayıs 2019’da, sitenin yöneticisi çalıntı bilgi kaçakçılığı suçunu
kabul etti.
Finansal Odaklı
Kimlik Avı Saldırıları
Finansal
odaklı kimlik avı saldırıları tatil sezonunda yüzde 9,5 artarak, tatil korkusuna
yol açıyor. Süper
fırsatlara ulaşmak isteyen kullanıcıların zaafından faydalanmayı amaçlayan
siber saldırganlar (korsanlar) Kara Cuma, Siber Pazartesi, Yılbaşı derken sürüp
giden alışveriş çılgınlığı sayesinde oldukça sevindi. Kaspersky araştırmacıları
2019’un son çeyreğinde spam ve dolandırıcılık aktivitelerinde de benzer şekilde
artış yaşandığını tespit etti...
Kaspersky
Güvenlik Analisti Tatyana Sidorina,
tatil sezonunda
insanların alışveriş konusunda anlık kararlara ve aceleye yatkın olduklarını
dile getirerek, İyi bir fırsat yakaladığında kaçırılmaması gerektiğini düşünen
tüketicilerin yaşadığı baskı ve dikkat dağınıklığının, siber suçlular için de
fırsat anlamına geldiğini söylüyor. Konuya dair detaylı rapor Securelist.com adresinde yer
alıyor.
Yorumlar
Yorum Gönder