“Kurumsal yazılım hizmeti sunan bir veri sorumlusunun veri ihlali bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 16/06/2020 tarih ve 2020/465 sayılı Karar Özeti
Karar Tarihi | : | 16/06/2020 |
Karar No | : | 2020/465 |
Konu Özeti | : | Kurumsal yazılım hizmeti sunan bir veri sorumlusunun veri ihlali bildirimi hakkında |
Veri sorumlusunun Kurumumuza intikal eden veri ihlali bildiriminde;
- Siber suçlularının “parola püskürtme” saldırısı ile veri sorumlusunun bilgi sistemleri iç ağına eriştiklerini bilgisinin 6 Mart 2019 tarihinde emniyet birimlerinin siber güvenlik uzmanları tarafından veri sorumlusuna bildirildiği,
- Bilgilendirme sonrası, veri sorumlusu siber suçluları kendi dahili sistemlerinden çıkarmak için harici adli bilişim ve güvenlik uzmanlarını görevlendirdiği ve ek güvenlik önlemleri aldığı, ayrıca önde gelen bağımsız bir siber güvenlik firması tarafından yönetilen kapsamlı bir adli soruşturma çalışması başlattığı,
- Parola püskürtme saldırılarının, saldırganların kurumsal kullanıcı hesaplarında başarıyla kimlik doğrulaması yapmasını sağladığı,
- Saldırganlar, 5 kullanıcı hesabı için kimlik doğrulama anahtarını kaydettiği, bu da bir cep telefonu ortamı dışındaki XenDesktop Sanal Masaüstü Altyapısı (VDI) ortamına erişimi mümkün kıldığı,
- Ekim 2018’den Mart 2019’a kadar altı ayrı durumda, Dosya Aktarım Protokolü (FTP) ve Güvenli Dosya Aktarım Protokolü’nü (SFTP) kullanarak verileri dışarı sızdırdığı,
- Veri sorumlusu soruşturma sırasında 6 terabayttan fazla verinin muhtemelen sistemlerinden dışarı sızdığını öğrendiği,
- 06.03.2019 tarihinde tespit edilen veri ihlali, 29.04.2020 tarihinde Kurumumuza bildirildiği,
- İhlalden 22 gerçek kişiye ait kimlik (ad soyad, TCKN), özlük (iş beyanları, müşteri bağlılık belgeleri) ve finans (satış kayıtları, pazarlama materyalleri, bordro) verilerinin etkilendiği,
- İhlalden etkilenen 18 çalışanına (7 eski çalışan, 11 halihazırda çalışıyor olan) ihlal sonrası posta yolu ile 29 Nisan 2019 tarihinde bildirim yapıldığı, fakat Türkiye’de ikamet ettikleri düşünülen 4 kişinin ise iletişim bilgileri kendilerinde mevcut olmadığı için bildirim yapamadıkları,
ifadelerine yer verilmiştir.
Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 16/06/2020 tarih ve 2020/465 sayılı Kararı ile;
- Veri sorumlusunun veri ihlalini, gerçekleşme tarihinden yaklaşık 5 ay sonra 06 Mart 2019’ da tespit ettiği ve bu durumun; Kurumumuz tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.2. Kişisel Veri Güvenliğinin Takibi başlığında “… güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi, bu sistemlerden gelen uyarılar üzerine harekete geçilmesi, bilişim sistemlerinin bilinen zaafiyetlere karşı korunması için düzenli olarak zaafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılması gerekmektedir.” ifadesi gereği, veri sorumlusu tarafından gerekli güvenlik kontrol ve denetimlerinin zamanında yapılmadığının göstergesi olduğu,
- Parola püskürtme saldırıları, çok sayıdaki hesaba zayıf olarak nitelendirilen parolalar kullanarak erişen kullanıcıların, parolalarının saldırganlar tarafından şifre tahmini yöntemiyle ele geçirilmesi şeklinde gerçekleştiği, söz konusu ihlalin; Kurumumuz tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 2.2. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları başlığında “… kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir.” ifadesine göre, veri sorumlusunun son kullanıcıları tarafından parola güvenliği farkındalığının tam olarak oluşmamasından kaynaklandığı,
- Bir paylaşım sürücüsünde bulunan 6 TB’tan fazla verinin çalınmasının, bu paylaşım sürücüsünde yüksek miktarda veri depolanması durumundan kaynaklanması sebebiyle, Kurumumuz tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 2.1. Mevcut Risk ve Tehditlerin Belirlenmesi başlığında “Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir….Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır” ifadesi gereği, bu gibi saldırılara karşı veri kaybı riskini azaltmaya yönelik gerekli idari tedbirleri almadıkları,
dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 75.000 TL,
- 06.03.2019 tarihinde tespit edilen veri ihlali, veri sorumlusu tarafından 29.04.2019 tarihinde Kurumumuza bildirilmiş olup bu durumda Kurumumuza 55 günlük geç bildirimde bulunduğu,
- Veri sorumlusunun ihlalden etkilenen ilgili kişilere ihlal tespit edildikten 55 gün sonra bildirim yaptığı
dikkate alındığında, Kanunun 12’nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL
olmak üzere toplam 125.000 TL idari para cezası uygulanmasına
karar verilmiştir.