top of page
Yazarın fotoğrafıZeynep Turker

MALEZYA'DA ALIŞVERİŞ Mİ ? VERİ SIZINTISI KABUSU- SİBER RİSKLER - 2


Siber riskler serimize veri sızıntısı - data breach ile devam edelim. Dünyada internete bağlı cihaz sayısının 50 Milyar adetten fazla olduğu düşünülüyor. Kurumların siber tehditlere karşı korunmak için yaptıkları yatırımlar 2021 yılında 6 Trilyon USD nı aşmış buna karşılık siber saldırılar sonucunda uğranan zararların büyülüğü 1,2 Trilyon USD. 2021 de günlük siber atak sayısı 2 milyonu geçmiş.


Siber saldırıların 43%’ü küçük işletmelere karşı yapıldığı , siber güvenlik ihlallerinin 95%’i, insan hatasından kaynaklandığı belirtiliyor. Buna karşılık kurumların 75%’ten fazlasının bir siber krize karşı hazırlıklı olmadığı düşünülüyor

Siber Saldırıların hedeflediği alanlar ise devlet kurumları, perakende, enerji, medikal, teknoloji ve finansal işletmeler olarak belirtiliyor.


2018 Eylül ayında dünyanın bilinen havayollarından British Airways'ın 400.000 den fazla müşterisinin kişisel ve kredi kartı bilgilerinin siber korsanlar tarafından ele geçirilmesi bilinen en büyük siber olaylardan biri oldu. Şirket bu sebeple ilk etapta 183 Milyon Pound cezaya çarpıldı- sonunda 20 Milyon Pound ceza ödedi. Bundan 2 yıl sonra Easy Jet 9 milyonu aşkın müşterisinin verilerine erişildiğini itiraf eden bir bildiri yayınladı. Bunların arasın 2000 i aşkın müşteri de zarar uğratılmıştı. Bu zarar nedeniyle GDPR, regulasyonuna göre kişisel bilgilerini güvenli bir şekilde saklaması gereken şirketler bunu yapamadıklarında cirosunun %4'ü oranında para cezası ödemek zorunda kalabilirler.


Yeri gelmişken GDPR dan bahsedelim. Genel Veri Koruma Yönetmeliği (GDPR - General Data Protection Regulation) 25 Mayıs 2018 tarihinden itibaren Avrupa Birliği'ne üye ülkelerde yürürlüğe giren AB vatandaşlarının kişisel verilerini korumaya yönelik oluşturulmuş, üye ülkelerde büyük kurum ve kuruluşlarda var olan kişisel verilerin belirtilen kurallar çerçevesinde güvenliğini sağlamayı konu edinen bir yönetmeliktir. AB sınırları içerisinde faaliyet gösteren, AB vatandaşlarının kişisel verilerini işleyen bütün işletmeleri bağlar, uyulmadığı durumlarda da AB üye ülkeleri GDPR’ı temel alarak kendi yerel yasalarında gerektiğinde daha ağır yaptırımlar ya da katı uygulamaları devreye alabilirler. Avrupa Birliği ülkelerini ve bu ülkelerin vatandaşlarıyla kurumlarına yönelik bir düzenleme olmasına rağmen Türkiye'de tam anlamıyla geçerli değildir ama tamamen geçersiz de diyemeyiz. Veri işleme sürecinin, AB sınırları içerisinde başlaması ya da yer alması halinde, ilgili hizmetin verilmesi coğrafi olarak başka bir bölgede olsa bile GDPR’a uyumluluk gerekmektedir. Tüzüğü ihlal ettiği belirlenen şirketlere 20 milyon Euro'ya kadar ya da şirketin yıllık gelirinin %4'üne kadar (hangisi büyükse) para cezası kesilebilmektedir.

GDPR ihlali nedeniyle bu zamana kadar kesilmiş en büyük para cezası 2021'de Lüksemburg Ulusal Veri Koruma Komisyonu'nun ( CNDP ), Amazon.com Inc.'e uyguladığı 746 milyon € (888 milyon $).




Ülkemizde Kişisel Veriler 2016 yılında yürürlüğe giren Kişisel Verileri Koruma Kanunu KVKK ile güvence altına alınmıştır.

https://www.kvkk.gov.tr/ adresinden tüm detaylara ulaşabilirsiniz.

Kanunun amacı:

• Kişisel verilerin işlenmesinde, kişilerin temel hak ve özgürlüklerini korumak,

• Kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek (disiplin altına almak),

• Kişilerin mahremiyetini korumak (özel hayatın gizliliği),

• Kişisel veri güvenliğini sağlamaktır


6698 Sayılı Kişisel Verilerin Korunması Kanunu(“Kanun”) 18. maddesi uyarınca veri sorumlularının kanundan kaynaklanan yükümlülüklerini yerine getirmemeleri halinde haklarında 5.000,00 TL’den 1.000.000,00 TL’ye kadar para cezası verilir ve bu cezalar her yıl güncellenir. 2023 de 5,9 Milyon TL ye yükseldiği görünmektedir.


Kısaca kurumlar, siber saldılar sonucu oluşan maddi ve itibar zararlarının yanında, kişisel verilerin sızması sonucu otoritelerden gelecek önemli para cezaları ile de karşı karşıyadır.

Peki nedir bu kişisel veri ?


Kişilerle ilişkilendirilebilen her türlü veri kişisel veridir. 6698 sayılı Kanun'da kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Kanun gereğince veya kişinin rızasıyla tutulan kişisel veri hukuka uygun elde edilmiş veridir. Bireyin kesin teşhisini sağlayan ad, soyadı, doğum tarihi, doğum yeri gibi bilgiler değil; aynı zamanda bireyin belirlenebilir kılınmasını sağlayan fiziki, ailevi, ekonomik, sosyal ve buna benzer özelliklere ilişkin bilgileri de kapsar. Genel ve Hassas kişisel veriler olarak ikiye ayrılır. Hassas veriler ; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.


Kişisel Verileri Koruma Kurumu (KVKK) 2021 de kendilerine ulaşan 10715 ihbar, şikayet, başvuruyu değerlendirip ve bunlardan 8767 tanesini sonuçlandırmış, incelemeler sonucunda 57 milyon 408 bin Türk Lirası idari yaptırım uygulamış.


Verini Koru Derneği nin sayfasında Türkiye' de en yüksek KVKK cezası alan Kurumlar arasında Yemek Sepeti, Whatsapp, Facebook, Marriot yer alıyor.


Kişisel verilerin sızması gibi sonuçları olan siber risk kaynaklarını ana başlıklarla sıralarsak;

Dış Saldırılar; şirket dışından gelir ve para ya da bilgi çalmak için kasıtlı eylem veri tabanınızı bozma, çalabilir veya kritik ekipmanı aşırı yükleyerek durmasına sebep olma.

Kötü Niyetli Çalışan işyerini sabote etmek veya içeriden bilgi çalmak için kasıtlı olarak yapılan eylem., bilgisayarlara virüs yükleme gibi

Çalışan Hatası Bir güvenlik duvarını devre dışı bırakma, bilgileri şifrelemeyi unutma, kötü amaçlı bir bağlantıyı tıklama veya saygın görüntülü bir kişiye hassas ayrıntılar verme

Sistem/ Program Hatası Bu yanlışlıkla yapılan ihlal, bir çalışanın veya şirket bilgilerini açığa çıkaran bir sistem hatasından kaynaklanan riskler olarak gruplayabiliriz.


Temel başlıklarını belirttiğimi risk kaynakları kendi içinde çok çeşitli ve karışık, sonuçları ise vahim olabiliyor. Her 39 saniyede bir siber saldırı olduğu belirtilen dünyada bilgisayar korsanının mali veya siyasi motivasyonu ne olursa olsun, bu siber suç frekansının kapsamlı sonuçları var . Modern dijital çağda, saldırılar bir nükleer enerji santralini kapatabilir, bir şirketin kazançlarını durdurabilir veya bir kimlik avı e-postası yoluyla milyonlarca kullanıcının verilerini çalabilir.


İyi haber ! Sigorta piyasası siber olaylar neticesindeki veri sızıntıları sonrasında kurumun kurtarma masraflarına ek olarak, itibarı korumak adına yapılan halkla ilişkiler masrafları ile pazar cezalarını temin eden oldukça geniş kapsamlı ürünler sunuyor. Siber riskleri biraz daha tanıttıktan sonra sigorta çözümlerini başka bir yazıda paylaşacağım.


O zamana kadar siber risk farkındalığı için mini bir test


1- Cihazının yazılımı güncel mi ?

2- Cihazınızı nasıl koruyorsunuz? Kullanıcı adı ve parola mı? Biyometrik Veri ile mi? Parolanız güçlü mü?

3- Internet dünyasını ne kadar tanıyorsunuz? Tarayıcınız güvenli mi ?

4- Antivirüs programınız var mı? Güncel mi ?

5- Kullandığınız uygulama ve programlar lisanslı mı?

6- Yedekleme yapıyor musunuz? Bulut kullanıyor musunuz?

7- En son hangi bağlantıya tıkladınız ? Ne için?


Güvende kalın, sevgiler.



28 görüntüleme0 yorum

Son Yazılar

Hepsini Gör

Comments


bottom of page