Tüm dünyayı etkisi altına alan koronavirüs salgını nedeniyle insanlar uzun zamandır evlerinden çalışıyor. Kişiler bu süreçte internet üzerinden sosyalleşti, alışveriş yaptı ve dış dünyayla etkileşime girdi. Şirketler ise bu dönemde uzaktan çalışmaya ve sağlık önlemlerine yoğunlaştı. 2020’nin başında gündeme gelen Kişisel Verilerin Korunması Kanunu’na (KVKK) ilişkin şirketlerin Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt süresi 30 Haziran’a uzatılmıştı. Mazars Denge Bilgi Teknolojileri Denetim, Güvenlik ve Danışmanlık Partner’ı Ateş Sünbül, sürenin uzatılmasının şirketleri biraz rahatlattığını fakat geri sayımın başladığını söyledi.
VERBİS NEDİR?Veri Sorumluları Sicil Bilgi Sistemi, kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemi. Bu sistemle, veri sorumlularının kimler olduğunun açıklanması ve kişisel verilerin korunması hakkının daha etkin şekilde kullanılması hedefleniyor. Yıllık çalışan sayısı 50’den fazla veya yıllık mali bilanço toplamı 25 milyon liranın üzerinde olan işletmelerin kayıt hükümlülüklerini yerine getirmemeleri halinde 1 milyon liraya kadar idari para cezası öngörülüyor.
SALDIRILARIN YÜZDE 71’İNDE ANA HEDEF FİNANSAL KAZANÇ ELDE ETMEKPandemi nedeniyle karantina sürecinde hackerların iş başında olduğunu belirten Sünbül, dijital etkileşimin artmasıyla birlikte saldırılara daha da açık bir duruma gelindiğini vurguladı. Verizon Siber Güvenlik’in 2019 yılında yayınladığı raporu hatırlatan Sünbül, 65 farklı ülkede 41 bin 686 güvenlik olayı, 2 bin 13 veri sızması gerçekleşti. KOBİ’ler siber saldırıların yüzde 43’üne maruz kaldı. Saldırganların yüzde 69’unun şirket dışından olduğu tespit edildi. Saldırıların yüzde 52’si hacking yöntemi, yüzde 33’ü sosyal mühendislik ve yüzde 28’i zararlı yazılımla yapılmış. Saldırıların yüzde 71’inde ise ana hedef finansal kazanç elde etmek. Bu süreçte şirketler çalışanların etkin çalışması için sistemlerini dış ağlara direkt veya kontrollü şekilde açma kararları aldı. Bu da hassas ve gizli bilgileri korumak artık daha da önemli bir hale geldi” uyarısında bulundu.
Rapora göre sızdırılan bilgilerde üçüncü sırayı kişisel verilerin aldığını söyleyen Sünbül, saldırganların kişisel verileri gündemlerinde tuttuğunu dile getirdi. Sünbül, 2016 yılında yayınlanan KVKK kanununa göre veri ifşası yaşandığında veya kişisel veri sahibi veri sorumlusuna sorular sorduğunda doğru yanıtları vermekle ve verileri korumakla mükellef olunduğunu ifade etti.
EVDEYKEN YAPILAN ÜÇ AKTİVİTE: İNTERNETTEN ALIŞVERİŞ, UZAKTAN ÇALIŞMA VE WEB YAYINLARINA KATILMAKŞirketlerin internetten alışveriş ve uzaktan sipariş verme taleplerini karşılamak için yeni uygulama ve yöntemleri hayata geçirdiğini söyleyen Ateş Sünbül, “Alışverişlerimizi veya kayıtlarımızı yaparken KVKK hükümlerine uygunluğuna dikkat ediyor muyuz? Örneğin açık rızayı ele alalım. Alışveriş sitelerinin açık rıza içeriklerini incelediğimizde kişisel bilgilerimizi pazarlama amaçlı kullanabileceklerini ve hatta bazıları yurt dışı sistemlerde tuttuklarını biliniyor. Son kullanıcı olarak biz buna rıza vermedik diyelim alışveriş yapabilecek miyiz? Pek çok durumda yanıt ‘hayır’ oluyor. Açık rıza usullerine baktığımızda bu aykırı bir durum. Şirketler hızlıca çıkardıkları ürünlerde buna pek dikkat etmeyebilir ama en sonunda veri sızması yaşadıklarında etkilenen yine biz olacağız” dedi.
Uzaktan çalışmak için kişilere mobil cihaz ve bilgisayar verildiğini aktaran Sünbül, “Böyle olunca şirket içinden erişemediğimiz sitelere bu bilgisayar ve mobil cihazlarla ulaşıyoruz. Yine Verizon’un raporuna göre sosyal mühendislik ve zararlı yazılımlarla yapılan saldırıların oranı yüzde 61. Bu tip saldırıların gerçekleştiği alan kontrolsüz internet erişimi ve zararlı yazılıma yönlendiren e-postalardır. Şirketimizi ve kişisel verilerimizi korumak için hepimizin çok dikkatli olması gerekiyor. Şirketlerimize düşen görevde yeni güvenlik ortamına adapte edilmiş şekilde güvenlik farkındalık eğitimlerini tekrarlamalarıdır” diye konuştu.
CANLI YAYINLARA DİKKATSosyalleşmek ve gelişmelerden haberdar olmak için pek çok kişinin canlı yayınlara katıldığını söyleyen Sünbül, “Yayın sırasında kaç açık rıza verdiğimize dikkat etmiyoruz. Kişisel bilgilerimizi tam olarak ne şekilde kullanılacağımız yazmıyor. Bununla birlikte KVKK hükümlerini her zaman dikkate alındığını söylemek mümkün değildir. Altyapısal olarak bu yayınları gerçekleştirildiği uygulamalar için şirketler hiç güvenlik testi yaptı mı? Pek çoğu yurt dışından saklanan bilgilere kimler erişiyor? Bunları sorgulamak hepimizin görevidir” ifadelerini kullandı.
KVKK’ya uyumlu olmak için yapılması gerekenleri sıralayan Sünbül, öncelikle kanunun her maddesi üstünden geçerek eksikleri tamamlamakla başlamak gerekiyor. Öncelik sırasına koyacak olursak;
"Açık rıza ve aydınlatma yükümlülüğü eksikliklerini süratle tamamlamak
Verbis başvuru ve veri envanteri hazırlama süreçlerini başlatmak
Veri sızmalarını anında tespit edecek denetim izi(Log) ve alarm yapılarını konumlandırmak
Kişisel verilere erişimi minimuma indirmek
Kişisel veri paylaşımlarını çok mecbur olmadıkça yapmamak
Şirketin tamamının bilinçlendirilmesi ve süreç dokümanlarıyla akışların desteklenmesi ve kontrol edilmesi
Güvenlik zafiyetlerinin tespiti, sızma ve iç/dış güvenlik taramalarının yapılması
Güvenlik kültürünün şirkete yayılması
Kredi kartı kullanan şirketlerin seviyesine uygun olarak PCI DSS uyumluluklarını yerine getirmesi
ISO 27001 ve benzeri standartları benimsemiş şirketlerin söz konusu en iyi uygulama standartlarını tam anlamıyla işletim ve yaygınlaştırmaya alması."
