Yüzde 100 güvenlik yoktur ama ihlal durumuna hazır olmak mümkündür. Veri ihlali halinde önceden belirlenmiş kriz müdahale ekibi hızla aksiyon planı uygulamalıdır.
Bilişim alanındaki gelişmelerin faydaları kadar olumsuz etkilerini de bireysel ve toplumsal olarak tecrübe ediyoruz. Yeni ve hızla değişen bu mecraya özgü yeni suç tipleri ile karşı karşıya kalıyoruz. Bilgisayarların kolay erişilebilir oluşu ve özellikle her geçen gün artan miktarda verinin internet ortamında paylaşılması ve depolanmasının sonucu olarak bu alanda daha çok ve çeşitli yeni suç ve ihlalleri görüyoruz. Bu suç tiplerinden özellikle internet ağ altyapısı ve bilgisayar işletim sistemlerine izinsiz erişimin söz konusu edildiği veri ihlali olan “hack’lenme” (hacking), son zamanlarda sıkça haberlere de konu olmaya başladı.
Söz konusu internet ağ yapısı ve bilgisayar işletim sistemlerindeki güvenlik açıklarını kullanarak izinsiz bir şekilde bilgisayar, sunucu ve internet sitelerine üçüncü kişiler tarafından girilerek, kişisel veya önemli her türlü verinin çalınmasına, değiştirilmesine, bozulmasına veya sistemin çalışmaz hale getirilmesine hack’lenme diyoruz.
Bu tip erişim halleri, hangisinin gerçekleştirildiğine bakmaksızın birer bilişim suçunu oluşturur ve Türk Ceza Kanunu kapsamında değerlendirilmesi söz konusu olacaktır ve söz konusu suçu işleyenler bakımından ceza şikayeti sürecinin başlatılması, tespit edilmesi halinde zararın tazmini yolu için hukuki prosedürlerin takibi gerekecektir.
Ancak olayda erişilen verinin içinde aynı zamanda kişisel veriler de varsa ayrıca Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında da veri ihlalinden söz edilir. KVKK’nın düzenlemesine göre söz konusu verinin sahibi ve bu veri sorumluluğunda olan şirketler “veri sorumlusu” sıfatıyla bu tip veri ihlallerine karşı her türlü siber güvenlik önlemlerini almakla yükümlüdürler. Bu sorumluluk gereği veri ihlaline maruz kalan şirket veri sorumlusunun tamamlaması gereken bir bildirim yükümlülüğü de söz konusudur.
Veri ihlalinden uğradığı zararların haricinde söz konusu yükümlülüğünü zamanında yerine getirmeyen veri sorumlusu, ayrıca Kişisel Verileri Koruma Kurulu tarafından cezai yaptırım ile de karşı karşıya kalabilir. Bu tip hack’lenme olaylarında şirketlerin veri kaybı, mali zarar gibi olağan zararlarının haricinde ve günümüzde çok daha büyük öneme sahip olan itibarın zarar görmesi riski de dikkatle yönetilmesi gereken bir konu olarak karşımıza çıkmaktadır.
KVKK kapsamında söz konusu bildirim yükümlülüğünün yerine getirilmesi için veri sorumlusuna uygulamada 72 saat olarak uygulanan bir süre tanınmıştır. Bu tip ihlal hallerinde daha önceden görev alacakların yetki ve sorumluluklarının belirlenmemesi, kriz anında müdahale adımlarının planlanıp buna ilişkin eğitim ve uygulama çalışmalarının yapılmamış olması halinde söz konusu 72 saat içinde gereği gibi bir bildirim yapılması mümkün olamayacaktır.
Her şeyden önce bu tip hack’lenme durumu güvenlik önlemlerinin gereği gibi alınmadığının ve denetimlerin düzenli olarak yapılmadığının önemli bir göstergesidir. Unutulmamalıdır ki bilişim teknolojileri alanındaki gelişimin hızına bağlı olarak alınan güvenlik önlemleri yetersiz kalabilir ve sıklıkla test edilerek zafiyetlerin tespiti gerekir.
İHLAL TESPİTİNİ TAKİBEN BİLDİRİM 72 SAATTE YAPILMALI
Şirketlerin veri koruma uyum süreçleri bahsi geçen teknik güvenlik önlemlerinin alınmasının yanı sıra idari süreçlerine uygun hukuki uyum aşamalarının da tamamlanmasını zorunlu kılan bir dizi aksiyon gerektirir. Bu aksiyonlar arasında hukuken zorunlu bir adım olmamakla birlikte açıklanan gerekçeler ile hack’lenme halinde yapılacakların belirlendiği, tüm yetki ve sorumlulukların tanımlandığı bir “Veri İhlali Eylem Planı” hazırlanmasında büyük fayda olacaktır.
Bir hack’lenme şüphesi olduğunda eldeki veriler ile hızlıca ihlalin sabit olduğunu tespit edecek, ihlal kapsamını, zamanını, ihlale konu olan veri tiplerini ve etkilenen kişilerin kimler olduğunu belirleyecek incelemenin yapılması gerekir. İhlalin sabit olduğunun tespiti ve öğrenilmesini takiben bildirim için 72 saat işlemeye başladığından, eylem planı kapsamında görevlendirilmiş kriz ekibi ön rapor ile veri sorumlusu ve irtibat kişisini bu bilgiler ile ihlalden haberdar etmelidir. Zira incelemede elde edilecek bilgilere göre bildirim yapılmasına gerek olup olmayacağına dair karar verilmesi şirketler bakımından stratejik olarak da yönetilmesi gereken bir karardır.
İhlal halinde hukuken atılması zorunlu adımların yanında, ivedi olarak müdahale edilerek teknik adımlar ile verinin zarar görmeden korunması, kurtarılması, fidye isteniyorsa bu sürecin yönetilmesi gibi gereklilikler de gözetilmelidir. Ancak bu duruma hazırlıksız yakalanan şirketlerde panik hali ile ilk anda yanlış adımların atıldığı sıkça görülmektedir.
Bunun için de veri sorumlusu şirketlerin gerekli tüm hukuki ve teknik tedbirlerini alması ve uyum süreçlerini tamamlamasının yanı sıra, Veri İhlali Eylem Planlarını oluşturması ve buna ilişkin eğitim ve uygulama denetimlerini düzenli olarak tekrarlaması gerekir.
Yüzde 100 güvenlik yoktur ama ihlal durumuna hazır olmak mümkündür.