Veri İhlaline Karşı Şirketin Sorumlulukları

Veri İhlaline Karşı Kuruluşların Sorumlulukları

Aşağıda belirtilen önlemler alınarak veri ihlallerinin mümkün olduğunca önüne geçilmesi hedeflenmektedir:Veri ihlali doğurabilecek senaryolar listelenmeli ve veri ihlali durumunda belirlenen her senaryo için yapılacaklar planlanmalıdır.

• Veri ihlali durumunda, konuyu sonlandırabilecek yetkili kişi veya kişiler belirlenmeli, bu kişilerin görev ve yetki tanımları yapılmalıdır.
• Veri ihlalinin önüne geçilebilmesi için Acil Durum Eylem Planı Kontrol Listesi’nde yer alan adımlar izlenmelidir.
• Veri ihlalinin çıkış noktası belirlenmeli, deliller toplanmalı ve korunmalıdır.
• Somut olaya uyarlanarak kullanılabilecek taslak ihlal bildirimleri hazırlanmalıdır. Kişisel Verilerin Korunması Kurulu tarafından öngörülen bir metin yayımlanması halinde ise yayımlanan metin esas alınmalıdır.
• Veri ihlali sonucu Kişisel Verilerin Korunması Kurumu gibi kurumlara hukuken bildirim yükümlülüğü ortaya çıkmış ise gerekli bildirimler yapılarak bu yükümlülük yerine getirilmelidir.
• Veri ihlali ile işletme bünyesinde bulunan kişisel veriler üzerinde herhangi bir işlem (ele geçirme, silme, güncelleme gibi) yapıldığına kanaat getiriliyorsa, 6698 sayılı Kişisel Verilerin Korunması Kanununun ilgili hükümleri uyarınca veri sahipleri konu ile ilgili derhal bilgilendirilmelidir.
• İhlal hakkında iç birimlerin yetersiz olduğu düşünülüyorsa ilgili gizlilik sözleşmeleri yapılarak gerekli olan teknik ve hukuki destek alınmalıdır.

VERİ GÜVENLİĞİ İHLALİ DURUMUNDA YAPILACAKLAR

Veri ihlali ile karşılaşan veya veri ihlalini tespit eden çalışanın vakit kaybetmeden departman yetkilisini ve İşletmenin Kişisel Veri Güvenliği Komitesi’ni bilgilendirmesi gerekmektedir. Sonrasında departman yetkilisi ve İşletmenin Kişisel Veri Güvenliği Komitesi ihlalin yaratabileceği sonuçları değerlendirerek ilgili görebilecekleri kişi veya departmanlara konuyu taşımalıdır.

İhlal sırasında bilgilendirilmek üzere tespit edilen “Müdahale Ekibi”nde bulunan irtibat kişileri arasında aşağıda belirlenen kişiler yer almalı ve işbu protolde yer alan tüm durumlarda bu irtibat listesi kullanılmalıdır:

• En az bir Yönetim Kurulu üyesi,
• Hukuk danışmanı,
• BT çalışanı,
• İnsan Kaynakları çalışanı.

İhlal kapsamında İşletmenin e-posta sisteminin de ihlalden etkilendiği düşünülüyorsa, daha fazla veri ihlalinin ortaya çıkmaması ve ihlalin sonlandırılabilmesi adına yapılacak bildirimler telefon yolu ile veya yüz yüze yapılmalıdır.

İhlalin Değerlendirilmesi;

İhlal değerlendirilirken yapılacak her türlü işlem kayıt altına alınmalı, kayıt esnasında aşağıda belirtilen detaylar dikkate alınmalıdır. Bu detayların yetersiz kaldığının düşünüldüğü durumlarda veri ihlalinin durumu değerlendirilerek ek değerlendirmelerde bulunulabilir. Kayıt altına alınması beklenen işlemler başında aşağıdakiler gelmektedir:

• İhlalin hangi verileri ve sistemleri etkilediği
  • Yapılan işlemlerin saati ve tarih bilgileri
  • İhlal ile ilgili olabilecek kişiler (olayı fark eden, önlemleri gerçekleştirmeye çalışan, kaydı oluşturan kişiler)
  • İhlalin değerlendirilmesi ve sonlanması için atılan adımlar

Veri İhlalinin İncelenmesi ve Hasarı En Aza İndirme Süreçleri

İlgili birimin veri ihlalinin nasıl gerçekleştiğini belirlemesinin ardından, ihlalin tekrar yaşanmaması ve zararın büyümemesi için aşağıda listelenen önlemler alınmalıdır. Bu önlemlerin yetersiz kaldığının düşünüldüğü durumlarda, İşletme ek önlemler de almakla yükümlüdür.

• Veri sahipliği fiziki veya elektronik olarak kaybolmuş bir veri söz konusu ise, bu verilerin güvenliği işletme tarafından tekrar sağlanmalıdır.
  • Kolluk kuvvetlerine haber verilmesi uygun ise vakit kaybetmeden bu başvuru yapılmalıdır.
  • Verilerin bulunduğu ortamlara giriş çıkışlar sınırlandırılmalıdır.
  • Fiziksel ortamda veya bilgisayar ortamında tutulan veriler fiziki olarak ihlale uğramış ise fiziki ortama ait giriş – çıkış ve kamera kayıtları korunmalıdır.
  • Bilgisayar ortamında tutulan veriler ihlale uğramış ise mevcut denetim izi kayıtları oluşabilecek herhangi bir müdahaleye karşı korunmalıdır.
  • İşletmede yapılan inceleme ve analizler sırasında aşağıda listelenen maddelerin üzerinden ilerleyerek veri ihlali ile ilgili aksiyon almalıdır:
  • Veri ihlali sebeplerinin değerlendirilmesi,
  • Veri ihlalinden etkilenen veri sahiplerinin belirlenmesi
  • İhlale uğrayan verilerin ne gibi amaçlar için kullanılacağının tespit edilmesi
  • Risk altındaki diğer sistemlerin belirlenmesi

Bu süreçte veri ihlalini inceleyen sorumlu kişi mutlaka Müdahale Ekibi’nde bulunan BT personelinden destek almalıdır. BT personelinin yetersiz kaldığı durumlarda, dış kaynaklardan destek alınabilir.

Veri ihlali incelenirken tutulacak olan tüm belgeler gizli olmalıdır ve belgeler üzerinde “Gizli ve İmtiyazlıdır” ifadesi bulunmalıdır.

Veri İhlali Sonrası Yapılacak Bildirimler

Veri ihlali sonrasında İşletme kişi ve kurumları bilgilendirmekle yükümlüdür.

İhlal ve olayı öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kişisel Verilerin Korunması Kurulu’na bildirmesi gerekmektedir.

Söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa web sitesi üzerinden yayımlanması ile bildirim yapılmalıdır.

72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmalıdır.

Kurula yapılacak bildirimde “Kişisel Veri İhlal Bildirim Formu” kullanılmalıdır.

Bilgilendirme verilerin sahibi kişi ise direkt olarak gerçek kişilere, başka bir şirketin (iş ortakları veya diğer şirketler) verileri ise ilgili şirkete yapılmalıdır.

Bildirim yapılması hukuken gereklidir ve kamu ilişkileri için önem taşımaktadır. Bu sebeple yapılacak olan bildirim planlı olmalı ve bildirim metni ilgili departman yetkilisi tarafından hazırlanmalıdır. Hazırlanan bildirim metni Hukuk Danışmanı’nın incelemesinin ardından ilgili yerlerle paylaşılmalıdır. Bildirim içerisinde aşağıdaki başlıklara yer verilmeli, bu başlıkların yeterli olmadığı düşünülen durumlarda Hukuk Danışman’ın bilgisi dâhilin de ekleme yapılmalıdır:

BİLGİ TEKNOLOJİLERİ ACİL DURUM EYLEM PLANI KONTROL LİSTESİ

Veri ihlali sonrasında kişi ve kurumları bilgilendirmekle yükümlüdür.

İhlal ve olayı öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kişisel Verilerin Korunması Kurulu’na bildirmesi gerekmektedir.

Söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa web sitesi üzerinden yayımlanması ile bildirim yapılmalıdır.

72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmalıdır.

Kurula yapılacak bildirimde “Kişisel Veri İhlal Bildirim Formu” kullanılmalıdır.

Bilgilendirme verilerin sahibi kişi ise direkt olarak gerçek kişilere, başka bir şirketin (iş ortakları veya diğer şirketler) verileri ise ilgili şirkete yapılmalıdır.

Bildirim yapılması hukuken gereklidir ve kamu ilişkileri için önem taşımaktadır. Bu sebeple yapılacak olan bildirim planlı olmalı ve bildirim metni ilgili departman yetkilisi tarafından hazırlanmalıdır. Hazırlanan bildirim metni Hukuk Danışmanı’nın incelemesinin ardından ilgili yerlerle paylaşılmalıdır. Bildirim içerisinde aşağıdaki başlıklara yer verilmeli, bu başlıkların yeterli olmadığı düşünülen durumlarda Hukuk Danışman’ın bilgisi dâhilinde ekleme yapılmalıdır:

• Veri ihlalinin açıklanması,
  • Veri ihlalinden kimlerin etkilendiği,
  • Alınan önlemler,
  • Veri ihlalinden etkilenen kişilere nasıl yardımcı olacağı,
  • İhlalden etkilenen kişilerin ulaşabilecekleri iletişim bilgileri.
  • Analizler sırasında ihlale konu olan verilerin başka bir şirkete ait olduğu tespit edilirse, ilgili şirkete ihlal bildirimi yapılmalıdır. Bu bildirim planlanırken aşağıdaki şartlar dikkate alınmalıdır:
  • Bildirim, belirlenmiş olan ilgili şirket irtibat kişisi veya kişilerine yapılmalıdır. Bu kişilere ulaşılamaması durumunda. Hukuk Danışmanı’na danışılmadan farklı bir kişiye bildirim yapılmamalıdır.
  • Bildirim iletişim kanalı veri ihlali ile ilişkili olacak şekilde Müdahale Ekibi tarafından belirlenmelidir.

BİLGİ TEKNOLOJİLERİ ACİL DURUM EYLEM PLANI KONTROL LİSTESİ

BT sistemlerinde yaşanan zafiyetler kasten ya da sehven yapılan hatalar sebebiyle veya sürekli değişen saldırı teknikleri kullanılarak meydana gelmektedir. Kontrol Listesi, herhangi bir zafiyetin önlenmesi veya zafiyetin tam olarak tespit edilmesi gibi bir amaç taşımamaktadır.

Belirli aralıklarla gözden geçirilmeli ve güncellenmelidir.

• Kontrol Listesi
  • Vaka yaşandı mı veya vaka yaşandığından şüpheleniliyor mu?
  • Vaka devam ediyor mu?
  • Vakanın kişisel verilere bir etkisi oldu mu?
  • Vakayla ilgili aksiyonları alacak bir kriz masası kuruldu mu?
  • Etkilenen sistemler kurum ağından izole edildi mi?
  • Etkilenen sistemlerin tutulduğu sunucu/pclerin kapanması engellendi mi?
  • Aşağıdaki bilgiler kayıt altına alındı mı?

• Vakayı tespit eden kişi veya alarmın kaynağı
  • Vakaya ait ilk tespitin tarih ve saati
  • Vaka hakkında temel bilgiler
  • Hangi kişilerin veya sistemlerin etkilendiği
  • Dâhil olan kişilerin veya sistemlerin konumu
  • Vakanın nasıl tespit edildiği
  • Etkilenen sistemin önem derecesi kritik mi?
  • Hedef olan sistem(ler)in:
    • Adı
    • İşletim sistemi
    • IP adresi
    • Ağ üzerindeki konumu
    • Fiziksel konumu
    • Kullanım amacı
  • Hangi sistemler veya veriler tehlike altında?
  • Tehlike altındaki sistemlerin veya verilerin kategorisi nedir?
  • Saldırının kaynağı kurum içi mi, kurum dışı mı?
  • Vakanın soruşturulması sırasında aşağıdaki çalışmalar yapıldı mı?
    • Sistem loglarının incelenmesi
    • Uygulama loglarının incelenmesi
    • Loglardaki boşlukların denetlenmesi
    • Varsa firewall loglarının incelenmesi
    • Varsa VPN erişim loglarının incelenmesi
    • Varsa router loglarının incelenmesi
    • Uygulama loglarının kontrol edilmesi
    • Etkilenen sistemlerin memory dump dosyalarının alınması ve incelenmesi
    • Vakayı tespit eden ve vakadan etkilenen çalışanlarla mülakatların yapılması ve vakayla ilgili mümkün olduğunca detaylı bilgi alınması
    • Elde edilen deliller için delil zinciri (“Chain of Custody”) dokümanı hazırlanması
    • Elde edilen verilerin sadece erişim yetkisi olan kişilerin ulaşabildiği, giriş-çıkışları kontrol altında olan bir alanda tutulması
  • Vakanın kuruma finansal etkisi tespit edildi mi?
  • Kişisel veriler etkilendiyse verileri etkilenen kişiler ve etkilenen veriler tespit edildi mi? Tespitler doğrultusunda veri öznelerine bilgilendirme yapıldı mı?
  • Vakanın tekrarlanmaması için alınacak önlemler belirlendi mi?
  • Etkilenen sistemler vaka öncesindeki sağlıklı yapıya döndürüldü mü?
  • Bilgi sistemleri politikaları / prosedürleri yaşanan zafiyete bağlı olarak vakanın tekrar yaşanmasını engelleyecek şekilde güncellendi mi?
  • Vaka ek bir politika / prosedürle engellenebilir miydi?
  • Vakaya bir politika veya prosedürün izlenmemesi mi sebep oldu?
  • Vakanın en az zararla atlatılması için ortaya konan eylemler yeterli miydi? Sistemlerde herhangi bir iyileştirme yapılabilir mi?
  • Bütün sorumlular sürece zamanında dahil oldu mu?
  • Başka bir vakanın yaşanmasını engellemek için iyileştirme yapıldı mı?
    • Sistem güncellemeleri
    • Yazılımların güncellemeleri
    • Şifrelerin değiştirilmesi
    • Anti-virüs yazılımının güncellenmesi
    • Vakanın türüne göre alınması gereken diğer önlemler
  • Bu vakadan neler öğrenildi?
  • Kişisel veri, kanuni olmayan yollarla başkaları tarafından elde edildi mi? (Cevabın “Evet” olması durumunda işletme bu durumu en kısa sürede kişisel veri sahibi ilgiliye ve Kişisel Verilerin Korunması Kurulu’na bildirir.)
  • (Varsa) Kişisel veri ihlaline yönelik Kişisel Verilerin Korunması Kurulu’na bildirim yapıldı mı?

İçerik Üreticisi : Nil Defne AYDIN