Geçtiğimiz hafta, Türkiye’nin gururu, siber güvenlik imkanları gelişmiş Yemeksepeti dahi; geniş kapsamlı siber saldırıya uğradı ve kullanıcıların ad soyad, doğum tarihi, telefon numaraları, açık adresleri ve e-posta adresleri; siber saldırganlarca ele geçirildi. Hesap şifreleri ise, kriptografik algoritmalar ile maskelenmiş şekilde ele geçirildi. Peki bu saldırı detaylarını, kullanıcılar olarak birinci ağızdan neden, nasıl hemen öğrendik? Saldırıya karşı önlem alınması zorunlu muydu? Ne yapmak gerekir?Kişisel Verilerin Korunması Kanunu, 1995 tarihli AB direktifinden (yerine 2018’de Avrupa Genel Veri Koruma Tüzüğü GDPR yürürlüğe konulmuştur) alıntılanarak hazırlanmıştır ve bu kanun ile kanuna ek düzenlenen yönetmelik, tebliğ ve Kişisel Verilerin Korunması Kurulu kararları; KVK Mevzuatını oluşturur. KVK Mevzuatında; verilere hukuka aykırı erişimleri engellemek için şirketlerin gerekli teknik ve idari tedbirleri alması zorunluluğu yazar. Ancak bu demek değildir ki her şirket birinci kalitede pahalı ekipmanlarla siber güvenlik önlemleri almak zorunda olsun. Kişisel Verileri Koruma Kurumu, bir açıklamasında aynen şu ifadeyi kullanmıştır; “Veri güvenliğine ilişkin alınacak önlemlerin her bir veri sorumlusunun yapısına, faaliyetlerine ve tabi olduğu risklere uygun olması gerekmektedir. Bu nedenle, veri güvenliğine ilişkin tek bir model öngörülememektedir. Uygun önlemlerin belirlenmesinde şirketin büyüklüğü veya cirosunun yanı sıra veri sorumlusunun yaptığı işin ve korunan kişisel verinin niteliği de önemlidir.” Sonuç olarak, tek bir antivirüs aboneliğinin yeterli olduğu şirketler de, milyon dolarlık ekipman ve yazılımların yetersiz kaldığı şirketler de vardır. Tedbir örneklerine Kurumun yayınladığı iyi uygulama örneklerinden bakabilirsiniz. Bu yüzden, hangi durumlarda hukuka uygun veri işlenebileceğinin analizinin yapılıp ona göre önlemlerin alınması gerekir. Özel nitelikli kişisel verilerde ise bazı asgari kriterler belirlenmiştir ve şirketlerin o önlemleri alması zorunlu kılınmıştır (kriptografik koruma önlemleri, kayıtların loglanması gibi).
Siber saldırıya uğrayan veri sorumlusu; kimlerin hangi tür verilerinin ne zaman ele geçirildiğini, bunun için hangi tedbir ve önlemlerin alındığını, ilgili kişilerin kime nasıl ulaşacağını; ilgili veri sahipleri ve Kuruma, ihlalöğrenildiğinden itibaren 72 saat içinde tespit edip bildirmek zorundadır. Yemeksepeti de bu gereklilikleri yerine getirmiş ve kullanıcılarını e-posta ile detaylıca bildirmiştir. Bu kural AB mevzuatında da bu şekilde yer almakta olup, ABD’de ise belli sektörler hariç bildirim zorunluluğu yoktur. Bildirim sonucunda yapılan incelemede eğer gerekli teknik tedbirlerin alındığı tespit edilirse bir cezai işlem uygulanmıyor.
Gelelim gerçeklere. Bugün çoğu şirket siber saldırıya uğrasa bile (sayılar inanılmaz boyutta) bunu kanuna uygun şekilde bildirmiyor. Zira çoğu zaman tespit de edemiyor. Kanunda ise, önlem almamak, tespit yapacak düzene sahip olmamak, tespit yapıp da bildirmemek; bunların hepsi birer milyon liraya varan idari para cezaları ve hukuki diğer yaptırımlara tabi. Dışarıdan öğrenildiğinde, ihbar edildiğinde ise; asıl büyük sorunlar başlıyor.
Yemeksepeti’nin siber güvenlik önlemlerinin çok gelişmiş olduğundan şüphe edemiyoruz. Bugün, ABD ve Çin devlet daireleri, Microsoft Exchange e-posta verileri, Tesla otomobil fabrikasının canlı güvenlik kameraları dahil; en güvenli sistemler bile siber saldırıya maruz kalabiliyor. Bu yüzden gerekli tedbirleri alıp bildirim koşullarını sağladığınızda, kanunlar yönünden rahatsınız. Zira bu konuda saldırıya uğrayan şirketin koşulsuz-şartsız sorumlu olması da zaten beklenemezdi.
Saygılarımla.
SİZİN DÜŞÜNCELERİNİZ?