Kişisel Verileri Koruma Kurumu, veri sorumlusuna kişisel verilerin güvenliği için hem teknik hem de idari tedbirler alması sorumluluğu vermiştir.
Teknik tedbirler 6 maddede toplamak gerekirse bunlar: Siber Güvenliğin Sağlanması, Kişisel Veri Güvenliğinin Takibi, Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması, Kişisel Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı ve Kişisel Verilerin Yedeklenmesi’dir.
1. Siber Güvenliğin Sağlanması
Kişisel veri güvenliğinin sağlanması için tek bir siber güvenlik ürünü kullanımı ile tam güvenliğin sağlanabileceği görüşü doğru değildir. Çünkü tehditler her geçen gün boyut ve nitelik değiştirerek etki alanlarını genişletmektedirler. Bu kapsamda tavsiye edilen yaklaşım, birçok ilke dahilinde tamamlayıcı niteliğe sahip ve düzenli olarak kontrol edilen birtakım tedbirlerin uygulanmasıdır.
Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasında alınabilecek öncelikli önlemler, güvenlik duvarı ve ağ geçididir. Bunlar, internet gibi ortamlardan gelen saldırılara karşı ilk savunma hattı olacaktır. İyi yapılandırılmış bir güvenlik duvarı, kullanılmakta olan ağa derinlemesine nüfuz etmeden önce, gerçekleşen ihlalleri durdurabilir. İnternet ağ geçidi ise çalışanların, kişisel veri güvenliği bakımından tehdit teşkil eden internet sitelerine veya online servislere erişimini önleyebilir.
Bununla birlikte neredeyse her yazılım ve donanımın bir takım kurulum ve yapılandırma işlemi yapılması gerekmektedir. Ancak yaygın şekilde kullanılan bazı programların özellikle eski sürümlerinin belgelenmiş güvenlik açıkları bulunmakta. Kullanılmayan program ve servislerin cihazlardan kaldırılması potansiyel güvenlik açıklarının azalmasını sağlar. Bu yüzden, kullanılmayan program ve servislerin silinmesi, kolaylığından dolayı öncelikle tercih edilebilecek bir yöntemdir.
Yama Yöntemi ile Sistem Açıklarının Kapatılması
Yama yönetimi ve yazılım güncellemeleri olup yazılım ve donanımların düzgün bir şekilde çalışması kontrol edilmelidir. Aynı şekilde sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli olarak kontrol edilmesi de olası güvenlik açıklarının kapatılması için gereklidir.
Ayrıca, kişisel veri içeren sistemlere erişimin de sınırlı olması gerekmektedir. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalıdır. Ayrıca kullanıcı adı ve parola kullanılmak suretiyle ilgili sistemlere erişim sağlanmalıdır. Söz konusu parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay tahmin edilecek parolalar kullanılmamalı. Onu yerine büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonlarından oluşan parolaların tercih edilmesi sağlanmalıdır.
Buna bağlı olarak veri sorumlularının, erişim yetki ve kontrol matrisi oluşturmaları ve ayrı bir erişim politika ve prosedürleri oluşturarak veri sorumlusu organizasyonu içinde bu politika ve prosedürlerin uygulamaya alınması önerilmektedir. Güçlü şifre kullanımının yanı sıra, saldırılardan korunmak için şifre girişi deneme sayısının sınırlandırılabilir. Düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanmalıdır. Yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılmalı. Veri sorumlusuyla ilişkisi sonlandığı zaman kaybetmeksizin hesap silinmeli veya girişleri kapatarak erişim engellenmeli.
Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılması gerekmektedir. Ancak bu ürünlerin sadece kurulumu yeterli olmayıp güncel tutulmalı. Böylece gereken dosyaların düzenli olarak tarandığından emin olunmalıdır. Veri sorumluları tarafından, farklı internet siteleri ve/veya mobil uygulamalardan kişisel veri temin edilecekse, bağlantıların SSL gibi güvenli yollar ile gerçekleştirilmesi de kişisel veri güvenliğinin sağlanması için önemlidir.
2. Kişisel Veri Güvenliğinin Takibi
Veri sorumlularının sistemleri hem içeriden hem de dışarıdan gelen saldırılara veya siber suçlara maruz kalabilir. Çeşitli belirtilere rağmen bu durum uzun süre fark edilemeyebilir veya müdahale için geç kalınabilir.
Bu durumun önüne geçebilmek için;
a) Bilişim ağlarında hangi program ve servislerin çalıştığının kontrol edilmesi,
b) Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi,
c) Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi),
ç) Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,
d) Çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması,
gerekmektedir.
Söz konusu raporlama sürecinde oluşturulacak raporlar, sistem tarafından oluşturulacak otomatik raporlar olabilir. Bu raporların sistem yöneticisi tarafından en kısa sürede toplulaştırılarak veri sorumlusuna sunulması gerekmektedir.
Güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmelidir. Bu sistemlerden gelen uyarılar üzerine harekete geçilmelidir. Bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma testlerinin yapılmalıdır. Böylece ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılabilir.
Bilişim sisteminin çökmesi, kötü amaçlı yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve birliği bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda deliller toplanmalı ve güvenli bir şekilde saklanmalıdır.
3. Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması
Kişisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kâğıt ortamında saklanabilir. Bu yüzden bu cihazların ve kâğıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması suretiyle korunması gerekmektedir. Verilerin saklanıldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı korunarak ortama girişlerin denetlenmesi önemlidir.
Kişisel veriler elektronik ortamdaysa, veri güvenliği ihlalini önlemek için ağ bileşenlerine erişim sınırlandırılabilir veya ayırılabilir. Örneğin kullanılmakta olan ağın sadece bu amaçla ayrılmış olan belirli bir bölümüyle sınırlandırabilirsiniz. Bu alanda veriler işleniyorsa, kaynaklar tüm ağ yerine sadece bu sınırlı alanın güvenliğini sağlamaya ayrılabilecektir.
Aynı seviyedeki önlemlerin veri sorumlusu yerleşkesi dışında yer alan ve veri sorumlusuna ait kişisel veri içeren kâğıt ortamları, elektronik ortam ve cihazlar için de alınması gerekmektedir. Veri güvenliği ihlalleri sıklıkla veri içeren cihazların (laptop, flash disk vb.) çalınması/kaybolması nedenleriyle ortaya çıkar. Fakat e-posta ya da posta ile aktarılacak verilerin de dikkatli bir şekilde, yeterli tedbirler alınarak gönderilmesi gerekmektedir. Ayrıca çalışanların şahsi elektronik cihazlarının, bilgi sistem ağına erişim sağlaması da güvenlik ihlali riskini arttırır. Bu yüzden bunlar için de mutlaka yeterli güvenlik tedbirleri alınmalıdır.
Verilerin Güvenliğinin Korunması
Kişisel veri güvenliğinin sağlanması için kişisel veri içeren kâğıt ortamındaki evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazların ek güvenlik önlemlerinin olduğu başka bir odaya alınması, kullanılmadığı zaman kilit altında tutulması, giriş çıkış kayıtlarının tutulması gibi fiziksel güvenliğin arttırılmasına ilişkin önlemler de alınmalıdır.
Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi gerekir. Ayrıca şifreleme yöntemlerinin kullanılması da kişisel veri güvenliğinin sağlanmasına yardımcı olacaktır. Bu kapsamda şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmalı ve yetkisiz erişim önlenmelidir. Benzer şekilde, kişisel veri içeren kâğıt ortamındaki evraklar da kilitli bir şekilde ve sadece yetkili kişilerin erişebileceği ortamlarda saklanmalı, söz konusu evraklara yetkisiz erişim önlenmelidir.
Bunlarla birlikte şifreleme farklı farklı formlarda kullanılan ve bu formlara göre farklı şartlar sağlayan bir güvenlik sağlama aracıdır. Bu kapsamda, tam disk şifrelemesiyle cihazın tümü şifrelenebilir ya da cihazda bulunan bir dosya şifrelenebilir. Bazı yazılımlar ise verilerde değişiklik yapılmasına izin vermemek için şifre koruması sunmakla birlikte bu yazılımlar kişisel verinin yetkisiz kişiler tarafından okunmasını durdurmaz. Bu nedenle hangi şifreleme yöntemleri kullanılırsa kullanılsın kişisel verilerin tam olarak korunduğundan emin olunmalı. Ayrıca bu amaçla uluslararası kabul gören şifreleme programlarının kullanımı tercih edilmelidir. Tercih edilen şifreleme yönteminin asimetrik şifreleme yöntemi olması halinde, anahtar yönetimi süreçlerine önem gösterilmelidir.
4. Kişisel Verilerin Bulutta Depolanması
Kişisel verilerin bulutta depolanması, hukuka aykırı işlemenin ve erişimin önlenmesi ile hukuka uygun muhafaza edilmelidir. Bu zorunluluk veri sorumlusuna aittir. Veri sorumlusu, kendi bilgi teknolojileri sistemi ağından ayrılmasına ve kişisel verilerin bulut depolama hizmeti sağlayıcıları tarafından işlenmesine neden olur. Bu durum birtakım riskleri beraberinde getirmektedir.
Bu nedenle, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının veri sorumlusunca değerlendirilmesi gerekmektedir.
Bu kapsamda, bulutta depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi, yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması önerilmektedir.
Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması, kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekmektedir.
Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmeye yarayabilecek şifreleme anahtarlarının tüm kopyalarının da yok edilmesi gerekir.
5. Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı
Veri sorumlusu tarafından yeni sistemlerin tedariği, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmalıdır.
Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontroller yapılmalı. Doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmelidir. Uygulamalar, işlem sırasında oluşacak hataların veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanmalıdır. Arızalandığı ya da bakım süresi geldiği için üretici, satıcı, servis gibi üçüncü kurumlara gönderilen cihazlar eğer kişisel veri içermekte ise bu cihazların bakım ve onarım işlemi için gönderilmesinden önce, kişisel verilerin güvenliğinin sağlanması için cihazlardaki veri saklama ortamının sökülerek saklanması, sadece arızalı parçaların gönderilmesi gibi işlemler yapılması gerekir. Bakım ve onarım gibi amaçlarla dışarıdan personel gelebilir. Bu tür durumlarda kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması gerekir.
6. Kişisel Verilerin Yedeklenmesi
Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde veri sorumlularının yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesi gerekmektedir.
Ayrıca kötü amaçlı yazılımlar da halihazırdaki verilere erişime engel olabilmektedir. Örneğin elektronik cihazlardaki kişisel verileri içeren dosyaları kilitleyen ve bunların açılabilmesi için veri sorumlusunu fidye ödemeye zorlayan kötü amaçlı yazılımlar olabilir. Bu tür kötü amaçlı yazılımlara karşı kişisel veri güvenliğini sağlamak için veri yedekleme stratejilerinin geliştirilmesi önerilmektedir.
Öte yandan, yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olmalıdır. Veri seti yedekleri mutlaka ağ dışında tutulmalıdır. Aksi halde, veri seti yedekleri üzerinde kötü amaçlı yazılım kullanımı veya verilerin silinmesi ve yok olması durumlarıyla karşı karşıya kalınabilecektir. Bu nedenle tüm yedeklerin fiziksel güvenliğinin de sağlandığından emin olunmalıdır.
Kurum sayfasını incelemek için buraya, KVKK Uyum Danışmanlığı teklifi almak için buraya tıklayınız.
İçerik Üretici
Zeynep GÜLBAY
Nesil Bilişim Teknolojileri Tic. A.Ş.
