Veri İhlalinden Sonra Kimliğinizi Nasıl Koruyabilirsiniz?

Veri ihlali, hassas, gizli veya başka bir şekilde korunan verilere yetkisiz bir şekilde erişildiği veya ifşa edildiği bir siber saldırıdır. Veri ihlalleri, küçük işletmelerden büyük şirketlere kadar her büyüklükteki kuruluşta meydana gelebilir.

 Şimdiye kadar, bilgisayar korsanlarının en güvenilir şirketlerden bile verileri ne kadar kolay çalabildiğini hepimiz biliyoruz. Facebook, T-Mobile, Equifax, Linkedin ve daha milyarlarca hesap detayı sızdı. Araştırmalar, veri ihlallerinin 2020’den 2021’e kadar %68 arttığını gösteriyor. Korkutucu kısmı ise Kamuya açık yüzlerce veri ihlalinden birinden etkilenmemiş olsanız bile kişisel bilgileriniz tehlikeye girebilir. Bilgisayar korsanlarının elinde bu kadar çok sızdırılmış veri varken, kimlik hırsızlığını önlemek imkansız gibi görünebilir.

“Çin Sızıntısı”: 2022’nin En Büyük Veri İhlali mi?

 Veri ihlalleri 2022’de olağan hale geldi. Ancak Çin’den gelen son veri sızıntısı, bunların ne kadar tehlikeli hale geldiğini ve hepimizin nasıl risk altında olduğunu gösteriyor. Güvenlik araştırmacıları, büyük veri sızıntıları nadir olmamakla birlikte, Şanghay polis veri tabanının içerdiği bazı bilgilerin son derece hassas doğası nedeniyle öne çıktığını söyledi. Bloomberg’in haberine göre; İki siber güvenlik araştırmacısı, anonim kullanıcının, veri tabanının bir milyar kadar kişiyi kapsayan 23 terabayttan fazla veri içerdiğine dair iddialarını ayrı ayrı doğruladıklarını ve sızdırılan dosyalardan birinin yaklaşık 970 milyon kayıt içerdiğini belirtti. Hackerlar çaldıkları bu bilgiler için yaklaşık 200 bin dolar değerinde 10 bitcoin istedi. Olaydan sonra sızıntı iddiasının doğruluğu ve gerçekleştiyse nasıl olabileceği ile ilgili hızla spekülasyonlar da ortaya çıktı.

Veri kümesi sözde şunları içerir:

• İsimler ve doğum yerleri
• Ulusal kimlik numaraları
• Telefon numaraları
• Tıbbi kayıtlar
• Polis raporları

Bu veri noktalarından sadece birkaçı ile bile dolandırıcılar kimlikleri çalması olasıdır.

2022 “Çin Sızıntısı” Neden Bu Kadar Önemli?

Bu yalnızca tüm zamanların en büyük veri ihlallerinden biri olmakla kalmıyor, aynı zamanda Çin’in veri koruma konusunda katı yasalar ve düzenlemeler getirmesinin üzerinden bir yıldan kısa bir süre sonra geldi. Çin’in Kişisel Bilgilerin Korunması Yasasının hassas verileri koruması gerekiyordu, ancak bilgisayar korsanları yine de içeri girebildi.

Çin’deki Bir Veri İhlalini Neden Önemsemelisiniz?

Çinli yetkililer, ihlale resmi olarak yanıt vermedi (Weibo ve diğer Çin sosyal medya sitelerinde yapılan aramalar sansürlendi veya engellendi). Ancak teyit edilmese bile, Çin sızıntısı bize korkunç bir gerçeği gösteriyor: yüksek düzeyde korunan ve değerli veriler bile tehlikeye girebilir.  Veri ihlalleri her yerde. T-Mobile’dan Facebook’a ve Linkedin’e kadar şirketlerin saldırıya uğramasıyla, verilerinizin ve bilgilerinizin bir yerde çevrimiçi olduğundan neredeyse %100 emin olabilirsiniz. Kendinizi kimlik hırsızlığından, dolandırıcılıktan veya bilgisayar korsanlığından korumak için dijital güvenliğiniz konusunda proaktif olmanız gerekir.

Bir Veri İhlalinden Sonra Bu 8 Adımı Takip Edin

1. İhlalin gerçekleştiğini onaylayın (ancak e-postalara karşı dikkatli olun)
2. Hangi hassas verilerin çalındığını ve bilgisayar korsanlarının kullanımına açık olduğunu öğrenin
3. Oturum açma bilgilerinizi, parolalarınızı ve PINS’inizi koruyun ve 2FA/MFA ekleyin
4. Bir dolandırıcılık uyarısı veya kredi dondurması ayarlayın
5. Sağlık, hükümet ve mali ihlaller için özel adımlar atın
6. İhlal edilen şirketler tarafından sunulan ücretsiz desteği dikkatlice değerlendirin
7. Şüpheli etkinlik için diğer hesapları ve kredi dosyanızı izleyin
8. Kimlik hırsızlığı izleme hizmetine kaydolun

Kişisel Verileri Koruma Kurulu, veri ihlali ile ilgili alınacak kararlar arasında, herhangi bir uyumsuzluğa fırsat verilmemesi ve uygulamada bir standart sağlanabilmesi için 24 Ocak 2019 tarih ve 2019/10 sayılı kararı ile belirli kararlar almıştır. Bu karara göre:

  Veri ihlali durumunda, veri sorumlularının, 72 saat içerisinde bu durumu Kişisel Verileri Koruma Kuruluna bildirmeleri gerekmektedir. 72 saat içerisinde haklı bir gerekçe ile bildirimde bulunulmaması durumunda, bildirim ile birlikte gecikmenin gerekçesi Kişisel Verileri Koruma Kurumuna açıklanacaktır.

Veri sorumluları, veri ihlalinden etkilenen kişileri tespit ettikten sonra, uygun bir süre içerisinde ilgili kişilere bildirimde bulunacaktır. Bu bildirim, iletişim bilgileri biliniyorsa doğrudan ilgili kişiye yapacak, aksi durumda veri sorumlusunun internet sitesinde yayımlanarak ya da benzeri yollarla gerçekleştirilecektir.

Veri ihlali bildirimlerinin hazırlanabilmesi için Kişisel Verileri Koruma Kurumu tarafından Kişisel Veri İhlali Bildirim Formu Kılavuzu hazırlanmış ve Kurumun internet sitesinde yayımlanmıştır. Varsa, formda belirtilen bilgileri destekleyici belgeler (inceleme raporu, ilgili kişilere bildirim yapıldığını tevsik edici belgeler vb.) forma eklenmelidir. Formda yer alan bilgilerin aynı anda sunulmasının mümkün olmadığı durumlarda, gerekli bilgiler veri sorumlusu tarafından gecikmeksizin aşamalı olarak sağlanabilecektir.

Veri ihlaline ilişkin bilgiler, ihlalin etkileri ve ihlale karşı alınan önlemler Kişisel Verileri Koruma Kurulunun incelemesine hazır olacak şekilde veri sorumlusu tarafından kayıt altına alınacaktır.

Veri işleyen tarafından işlenen kişisel verilerin kanuni aykırı yollarla başkaları tarafından elde edilmesi hâlinde, veri işleyen tarafından veri sorumlusuna gecikmeksizin bildirimde bulunulacaktır. Veri sorumlusunun ihlal ile ilgili bildirim yükümlülüğünü yerine getirebilmesi için, veri işleyenin ihlali hiç bekletmeden sorumluya bildirmesi gerekmektedir. Veri işleyenin yapacağı bildirimin ne şekilde yapılacağının ve hangi hususları içereceğinin, veri işleyen ve veri sorumlusu arasında tertip edilen veri işleme sözleşmesi kapsamında düzenlenmesi önem arz etmektedir.

Veri ihlalinin yurt dışında yerleşik veri sorumlusun bakış açısına göre gerçekleşmesi ve ihlalin Türkiye’de yerleşik ilgili kişileri etkilemesi durumunda, yurt dışında yerleşik veri sorumlularının da veri ihlali ile ilgili Kişisel Verileri Koruma Kuruluna bildirimde bulunma yükümlülükleri bulunmaktadır.

Veri sorumluları tarafından veri ihlali müdahale planı hazırlanması ve bu planın belirli aralıklarla gözden geçirilmesi gerekmektedir. Veri ihlali müdahale planı kapsamında, veri sorumlusu tarafından kendi içerisinde kimlere raporlama yapılacağı, veri ihlalinin sonuçlarının değerlendirilmesi ve gerekli bildirimlerin yapılması konularında, sorumluluğun kendi içerisinde kime ait olacağı gibi konulara yer verilecektir.

Benzer makale: https://www.nesilteknoloji.com/veri-guvenligi/

Konuyla ilgili daha fazlası için: https://www.kvkk.gov.tr/veri-ihlali-bildirimi/

YAZAN: BEYZANUR GÖKTAŞ