Verilerimiz çalınmaya devam ediyor: Şirketler gerekli önlemleri almak zorunda
Dijital veri ihlalleri devam ediyor. Çalınan verilerimiz bizlere yabancı ülkelerden mesaj ve arama şeklinde geri dönüyor. VBT Yazılım Genel Müdürü Tayfun Yurdagül 12punto'ya konuştu.
12punto
Ercan KÜÇÜK - 12punto.com.tr
Dijital verilerimiz çalınmaya devam ediyor. Sadece Kasım ayı içerisinde bildirilene göre 3 kez veri ihlali yaşandı, on binlerce kişinin verileri çalındı. Sızdırılan veriler içinde kişisel veri kategorilerinin kimlik, özlük, hukuki işlem, işlem güvenliği, sendika üyeliği gibi bilgiler yer alıyor. Dijital veri ihlalini VBT Yazılım Genel Müdürü Tayfun Yurdagül ile konuştuk.
Kişisel Verileri Koruma Kurulu, internet sitesinde yaşanılan veri ihlallerini yayınlıyor. Son bilgilere göre sadece Kasım ayında 3 şirket tarafından veri ihlali bildirimi yapıldı, on binlerce kişinin verileri çalındı. Çalınan veriler vatandaşa hiç tanımadığı kişi ve kuruluşlardan hatta Endonezya, Malezya gibi yabancı ülkelerden mesaj, arama olarak dönüyor. Peki veri ihlali yaşanması önlenemez mi? Verileri çalınan vatandaşlar neler yapmalı? Merak edilen konuları VBT Yazılım Genel Müdürü Tayfun Yurdagül ile konuştuk.
Yurdagül'ün sorularımıza verdiği cevaplar ve vatandaşlara tavsiyeleri şu şekilde:
ŞİRKETLER TEKNOLOJİK ÖNLEMLER ALMALI
Dijital verilerimizin hemen her gün çalındığı haberleri okuyoruz. KVKK’nın internet sitesinde de son 1 ayda 3 kez veri ihlali bildirimi yapılmış. Bu veriler nasıl çalınıyor?
"Dijital verilerin günümüzde ne kadar değerli olduğu konusunda artık herkesin aynı bilince sahip olduğunu düşünüyorum. Verilerin çalınma yöntemlerine gelince bir çok şekilde veriler çalınabilir. Kurum içerisindeki iyi yönetilmeyen yetki mekanizmaları yüzünden çalışanlar aracılığı ile, son dönemde her yerde duyduğumuz artarak çoğalan siber saldırılar ile, yine sosyal mühendislik dediğimiz yöntemler ve geleneksel fiziksel çalınma yolu ile verilerimiz çalınabilinir."
-Şirketler ne tür tedbirler almalı?
"Bu konuda tabiki güvenlik yazılımları dünyası çalışmalarını yıllardır yapmaktadır ve devamlı yeni yöntemler ve yazılımlar ile sektörü desteklemektedir. Güvenlik duvarları ve Antivirüs yazılımları ile başlayan süreçte veri kaybı önleme (DLP) yazılımları, uç nokta tehdit algılama (EDR) yazılımları, uygulama yazılımı güvenlik tarama yöntemleri gibi çözümleri doğru bir şekilde firmanızda yapılandırarak ve devamlı güvenlik açığı taramalarınızı yaptırarak teknolojik olarak önlemlerinizi almak durumundasınız. Bununla birlikte daha önce bahsettiğim kurum içi çalışanların eğitilmesi ve farkındalık çalışmalarının yapılması diğer sosyal mühendislik ile veri çalınmaları için önem arz etmektedir."
VERİSİNİ ÇALDIRAN FİRMALARA YAPTIRIM
-Veri çaldıran firmalara yaptırım uygulanıyor mu?
"6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanmıştır. Bu kanun ile ilgili olarak kurulan Kişisel Verileri Koruma Kurumu konu ile ilgili olarak ceza ve yaptırımlar uygulama yetkisine sahiptir. Eğer çaldırdığınız veri müşteri veya çalışanlarınıza ait kişisel veri içeriyorsa yaptırım uygulanmaktadır.
Kişisel verinin tanımı yine aynı kanun maddesi içerisinde detaylı olarak tanımlanmıştır. Ayrıca çalınan veri yine müşterilerinizin ticari bilgileri ise sözleşmeniz kapsamında yaptırıma maruz kalabilir, verinin önemine göre yüksek tazminatlar ile karşı karşıya kalabilirsiniz."
-Verilerimizin internet sitelerinde satışa sunulduğu ortaya çıktı. Bu siteler engellenemez mi?
"Bir site tabiki engellenebilinir. Savcılıklar aracılığı ile başvurunuza müteakip gerekli görüldüğü takdirde BTK(Bilgi Teknolojileri Kurumu) üzerinden siteye erişim ile ilgili olarak bir tedbir aldırabilirsiniz. Ancak veri internette bir siteye düştüğünde bunun kaç farklı noktada kopyasının olduğu konusunda bir fikrimiz olmayacaktır. Dolayısıyla engellemek teorik olarak yapılabilir olsa da bazı süreçlerde pratik karşılığı malesef sağlıklı olmayabiliyor."
ÇALINAN VERİLER YURT DIŞINA
-Verileri çalınan vatandaş ne yapmalı?
"Kişisel Verileri Koruma Kurumunun internet sayfası olan https://ihlalbildirim.kvkk.gov.tr/ adresinden bir ihbar oluşturması gerekmektedir. Ayrıca verilerin hukuka aykırı ele geçirildiği ve işlendiği gerekçesi ile hukuki olarakta ilgili makamlarda bizzat kendisi şikayetini iletip süreci ilerletebilir."
-Telefonlarımıza sürekli şirketlerden hatta yabancılardan aramalar mesajlar hatta görüntülü arama çağrıları geliyor. Numaralarımız bunların eline nasıl geçiyor?
"Muhtemelen ilk soruda cevapladığımız veri çalınma yollarından biri ile daha önce bilgilerimizi paylaştığımız herhangi bir ortamdan çalınan bilgiler ilgisiz kişilerin eline geçmiştir. Malesef çalınan kişisel verilerimiz aracılığı ile bu çağrıları almaktayız."
-Buna karşı ne yapılmalı?
"Öncelikle kişisel olarak kendi cihazımızda bu numaralar engellenmeli ve ilgili resmi kuruluşlara mutlaka şikayet bildirimleri yapılmalıdır."
-Sizin eklemek istedikleriniz var mı?
"Kişisel Verilerin Korunması Kanunu ve dijitalleşmenin çok hızlı ilerlemesi ile farklı bir boyut kazanan veri güvenliği konuları ölçekten bağımsız tüm şirketlere önemli sorumluluklar getiriyor. Yalnızca KVKK ile sınırlı kalmayan veri güvenliği, ticari bilgi ve sırlar konuları ile birlikte şirket çalışanlarını ve süreçlerini de kapsıyor. Bu yüzden işletme içinde veya dışında dijitalleşme yaygınlaştıkça veri güvenliği riski de artıyor. Dolayısı ile her kurum kendi sistemlerindeki mevcut risk ve tehditlerin belirlenmesi ve ilgili önlemlerin alınması konusunda mutlaka yatırımlar yapmalı ve buna uygun çözümleri kullanmalıdır."