Giriş

İşbu yazıda siber güvenliğe yönelik KVKK(kurum/kurul) kararlarının sadeleştirilmiş halleri, kısmi yorumlamalar ile okuyucuya sunulmuştur. Yazının daha kolay okunabilmesi ve çok uzun olmaması amacıyla, işbu yazının ayrı bölümler halinde yayını uygun görülmüştür. 

Yazının esasına girmeden önce belirtmek gerekir ki kişisel verilerin elektronik ortamda ne şekilde barındırılması gerektiğine dair çerçeve normlar ve resmi kurumların(KVKK) bu çerçevelerin içini dolduran rehberleri mevcuttur. Çerçevenin içerisinin ne şekilde doldurulduğuna bakıldığında ancak ‘’ciddi siber güvenlik uygulamalarının bulunduğu ve bunların düzgün şekilde işletildiği bir düzende‘’ veri sorumlusunun hukuka uygun davrandığı sonucuna varılabilmektedir.

Sorumluluk teorilerindeki çeşitli unsurların mevcudiyetinin eksikliği sebebiyle ilgililerin sorumluluğuna gidilememe ihtimali her daim mevcuttur. Ancak esas olan şudur ki üçüncü kişilerin kendisinde ‘’emaneten‘’ duran kişisel verilerini ilgili karar ve rehberlerde ortaya konan üst düzey güvenlik çözümleri ile korumayan sorumluların, ‘’hırsızın hiç mi suçu yok ?‘’ şeklinde bir savunma yapmaları mümkün görünmemektedir.

1) Karar No: 2020/567

a) Veri sorumlusunun hukuka aykırı hareket ettiği sonucuna varıldığı işbu karara konu olay, deneme/yanılma yöntemiyle şifre kırma olarak anlatılabilecek brute force saldırıları sonrasında kolaylıkla sunuculara bağlanılabilmesi ve üye hesap içeriklerine erişim sağlanmış olmasıdır. Kararda bu olay şu şekilde geçmektedir: ‘’Kötü niyetli kullanıcılar tarafından, başka internet sitelerinden elde edilen kullanıcı adı ve şifrelerin, veri sorumlusunun internet sitesinde yer alan “Üye Girişi” sekmesinde denenerek 29 adet müşterinin hesabına yetkisiz erişim gerçekleşmesi suretiyle meydana geldiği, / İhlalden etkilenen kişisel verilerin 29 müşteriye ait ad, soyad, e-posta adresi, telefon numarası, kayıtlı adres, müşteri işlem kategorisinde daha önce satın alınan ürün bilgilerinin olduğu, …‘’

Brute force saldırılarında karşı taraftaki sunuculara genellikle bir zarar verilmez. Çeşitli yazılımlar veya manuel olarak belirli kullanıcı adı/şifre kombinasyonları denenerek, girdiler ile veri tabanındaki bilgilerin eşleşmesi sonucunda sisteme erişim sağlanması amaçlanır. Bir siber güvenlik çözümü olarak şifre kullanmak, tek faktörlü bir güvenlik önlemidir. Sistem istemde bulunanın gerçekten yetkili olup olmadığını bilemeyeceğinden, eğer girilen kullanıcı adı-şifre  ile veri tabanındaki bilgiler eşleşmişse, istemci kim olursa olsun bu şekilde direkt olarak sisteme erişilir. Bu sebeple bir siber güvenlik çözümü olarak, sisteme yetkili erişim için iki veya daha çok faktörlü sair çeşitli eşleştirme aşamaları devreye sokulur. Bu aşamaların güvenlik soruları, bulmacalar, SMS ya da mail yoluyla güvenlik kodu gönderimi, token kullanımı, elektronik imza ve sair çeşitli türevleri bulunur.

Karara konu olayda, sisteme yetkili biçimde erişim için iki veya daha fazla faktörlü bir doğrulama sağlayan herhangi bir siber güvenlik önleminin mevcut olmadığı ortaya konulmuştur. (‘’Kişisel hesaplara erişim hususunda veri güvenliğinin sağlanması amacıyla kullanıcı kimliklerinin doğrulanması gerekmekte olup veri sorumlusunun veri ihlali öncesinde alması gereken güvenlik önlemlerinden olan iki faktörlü kimlik doğrulama yöntemini (SMS/Captcha) veri ihlali sonrasında yayına almayı planladığı dikkate alındığında veri sorumlusunun veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almadığı ‘’)

*Öyleyse hukuka uygun biçimde kişisel veri barındırma için ‘’çok faktörlü yetki doğrulamasının‘’ mevcut olması gerektiği sonucuna ulaşılmaktadır.

b) İkinci olarak, kararda ‘’ihlalden etkilenen ilgili kişilerin hesaplarının şifreleri incelendiğinde müşteriler tarafından kullanılan şifrelerin sadece rakamlardan ya da sadece harf dizilerinden oluşabildiği, müşterilere hesap açılırken müşterilerin güçlü şifre oluşturması için zorlanmadığı‘’ belirtilmekte ve bu durum hukuka aykırılığa gerekçe yapılmaktadır.

*Öyleyse hukuka uygun biçimde kişisel veri barındırma için ‘’güçlü şifre alma zorunluluğunun‘’ mevcut olması gerektiği sonucuna ulaşılmaktadır.

c) Firewall, IPS vb. teknolojiler, kötü niyetli istemci trafiğini engelleyerek siber saldırının teşebbüs aşamasında kalması sonucunu doğurabilir. Kararda ‘’Veri sorumlusu nezdinde gerçekleşen ihlal sırasında web uygulama güvenlik duvarının (WAF) yetkisiz erişim işlemini saldırı ya da normal kullanıcı girişi olup olmadığını tespit edene kadar saldırganların belli bir miktarda hesaba yetkisiz erişim sağlayabildiği dikkate alındığında veri sorumlusunun uygulama güvenliğini sağlayamadığı ‘’ belirtilmiştir. Öyleyse veri sorumlusunun web sitesi/uygulamasına yönelik firewall kullandığı fakat bunun düzgün işlemediği anlaşılmaktadır.

*Bu sebeple hukuka uygun biçimde kişisel veri barındırma için ‘’kötü niyetli istemci trafiğini engelleyecek ve olması gerektiği gibi işleyen‘’ bir siber güvenlik çözümünün kullanımının gerektiği sonucuna ulaşılmaktadır. (Esasında brute force saldırılarının yanında bu tür önlemler, DoS/DDoS ve spoofing atakları için daha çok gereklidir. Zira eğer karşıdaki sistem bu tür ataklar sonucu bozulabilirse, şifre bilinmese dahi sistem içeriğine erişilebilecektir.)

2) Karar No: 2021/154

a) Ağdaki sunucularda kişisel veriler veya sair önemli bilgiler barındırılıyor ise olması gereken bir yapıda, veri trafiği kapalı devre LAN/VLAN’lar içerisinde akar ve WAN üzerinden bu ağa yapılacak bağlantılar da firewall vb. araçların kullanımı sonucu sınırlandırılır. Böylece trafik; içeride MAC adresleri yönünden, dışarıdan yapılacak erişimlerde ise IP adresleri üzerinden sınırlı erişime sahip cihazlar vasıtasıyla ve hatta dışarıdan VPN vb. kriptolu kanallar ile erişilebilecek şekilde işler.

Bu sınırlandırılmış erişimi aşmak, aşılabilse dahi log tutan yazılımlar karşısında izleri silmek ve sair meseleler kolay olmadığı gibi bunlar aynı zamanda birçok suça sebebiyet verecektir. Böyle bir durumda içerideki suç ortağı, sniffing vb. yöntemler kullanarak çoğu bilgiye erişebilir ve bu bilgiler vasıtasıyla ağdaki sair noktalara da ulaşarak, nihayetinde içeriden veri sızdırabilir.  Eğer içerideki suç ortağı zaten verilere yetkili olarak erişebiliyorsa, ağdaki sair noktalara ulaşmaya çalışmadan, direkt olarak yetkisi dahilinde eriştiği verileri de dışarıya sızdırabilir. İşte bu tür olumsuz senaryo ve olasılıklar nedeniyle, içeriden veri sızdırılamaması ve/veya takip+caydırıcılık amacıyla DLP teknolojileri geliştirilmiştir.

Karara konu olayda, veri sorumlusunun DLP sistemleri mevcut olmasına rağmen bu sistemler düzgün işlememiş ve veri sızıntısının önüne geçememiştir. Hatta sistemler veri sızıntısını zamanında raporlayamamış ve bu sebeple sızıntıdan da veri sorumlusunun zamanında haberi olamamıştır.  (‘’İhlalin; veri sorumlusunun eski bir çalışanının görevi gereği erişimi bulunan bazı müşterilere ait kişisel verileri kurumsal e-posta adresinden gmail uzantılı şahsi e-posta adresine 3 ayrı tarihte ve 3 ayrı excel dosyasında göndermesiyle gerçekleştiği, / İhlalin; veri sorumlusu tarafından tespit edilemeyip, eski çalışanın ihlale konu kişisel verileri çalışmaya başladığı yeni işyeri e-posta adresine göndermesi üzerine yeni işveren tarafında tespit edildiği, … / Veri sorumlusunun acentelik faaliyetleri kapsamında, ilgili çalışanlar tarafından işleri gereği müşterilere poliçe gönderimleri yapılması nedeni ile yoğun bir şekilde şirket dışına eposta gönderiminin yapıldığı, bu nedenle ihlal kapsamına alınabilecek olayların bu dönemde derhal fark edilemediği / DLP sistemleri ile; belirli adedin üstünde T.C. Kimlik Numarası, kredi kartı numarası, IBAN, telefon numarası, e-posta adresi gibi kişisel verilerin bulunduğu belgelerin e-posta ile kurum dışına gönderilmesinin engellenmesinin mümkün olduğu, hatta veri sorumlusunun 2017 yılında bazı çalışanlara göndermiş olduğu e-postada; TCKN bilgileri, Kredi Kartı bilgileri ve IBAN bilgilerinin kurum içindeki hareketini ve dışına çıkışının izleneceği ve engelleneceğinin ifade edilmiş olduğu hususlarına rağmen, veri sorumlusunun DLP sisteminin ihlale konu e-postaların gönderilmesini engelleyememiş olmasının "Kişisel Veri Güvenliği Rehberi”nin “Siber Güvenliğin Sağlanması” başlığı altında yer alan “…her yazılım ve donanımın bir takım kurulum ve yapılandırma işlemlerine tabi tutulması gerekmektedir.” ifadesine aykırı olarak bu sistemin doğru yapılandırılmadığını gösterdiği, …‘’)

*Öyleyse hukuka uygun biçimde kişisel veri barındırma için ‘’düzgün işleyen DLP teknolojilerinin‘’ kullanımının gerektiği ortaya çıkmaktadır.

3) Karar no: 2020/216

a) Karara konu olayda; sisteme yetkili erişim için gereken bilgilerin saldırganlar tarafından bir şekilde elde edilmesiyle, veri sorumlusunun internet üzerinden erişime açık olan sistemine erişilmiş ve çeşitli bilgiler veri tabanından elde edilmiştir. (‘’Veri sorumlusu Şirketin sistemlerine siber saldırı gerçekleştirilerek sistemlerinde yer alan verilerin elde edilmeye çalışıldığı, / Pilot adı verilen uygulamada debugging özelliğinin açık olduğu ve şirket için sistem geliştirmesi yapan geliştiricilerin bu özelliği kullanarak uygulamadaki hataları tespit ettiği ve iyileştirme gerçekleştirdiği, / İhlale konu siber saldırı ile Pilot uygulamasına internet üzerinden erişim sağlamaya çalışan kişinin(lerin), uygulamaya daha önce giriş yapmış kişilere ait “PHPSESSID” değerini elde ettiği ve Pilot uygulamasına erişim sağladığı, / Debugging özelliğinin açık olmasının sebebinin sisteme internet üzerinden erişilerek geliştirmelerin yapılmasına olanak sağlamak olduğu, ancak bu durumun internet üzerinden siber saldırılar gerçekleştirilerek sisteme erişilmesine olanak tanıdığı, … ‘’)

Siber güvenliğe yönelik teknolojilerde tek tek bazı uygulamalar kurulabileceği gibi ‘’bütünleşik sistemler‘’ adı verilen ve pek çok güvenlik çözümünün bir arada bulunduğu donanım+yazılım çözümleri de kullanılır. Bu çoklu güvenlik ekipmanları arasında gerek saldırıların tespiti+uyarısı gerekse diğer gerekliliklere yönelik; sisteme erişim/sistemdeki çeşitli noktalara erişim loglarını ve yerel ağ+internetten gelen trafik verilerinin IDS vb. çözümler sonucu kaydedildiği sunucular da bulunur. Bu durum aslında trafik verileri açısından (kanun)KVKK’nın yanında, veri sorumlusu olan toplu kullanım sağlayıcılar için 5651 s. Kanun’dan da doğan bir zorunluluktur. Karara konu olayda, veri sorumlusunun uyarı+log kaydı yapan böyle bir yapıyı kurmadığı anlaşılmaktadır. (‘’Sistemde saldırganlar tarafından erişilen verilerin neler olduğunun net bir şekilde tespit edilememesinin, veri sorumlusu tarafından sızma veya herhangi bir anomali olup olmadığının belirlenmesi noktasında kontrol ve uyarı mekanizmalarının etkin bir şekilde kullanılmadığının göstergesi olduğu log kayıtlarının adli olaylarda kanıt niteliğinde kullanılabilmesi için zaman damgasıyla damgalanması, logların korelasyonunun sağlanması vb) ihlal sonrası devreye alınmasının gerekli teknik ve idari tedbirlerin alınmadığının göstergesi olduğu …‘’)

*Öyleyse hukuka uygun biçimde kişisel veri barındırma için ‘’düzgün işleyen bir uyarı sistemi+log kaydına yönelik siber güvenlik çözümlerinin kullanılması‘’ gerektiği sonucuna varılabilir.

b) İkinci olarak kararda, veri sorumlusunun sistemine WAN/internet üzerinden erişilirken, olması gerektiği gibi kriptolu kanallar kullanıldığı ve bu kanallardan bağlantı yapabilmek için de kullanıcı adı/şifre gerektiği fakat saldırganların da bu kanalları kullanarak sisteme sızmayı başardığı belirtilmektedir. (‘’Şirket dışından erişim için güvenlik amacıyla VPN ile Şirket IP'sine bağlanıldığı ve kişilere özel kullanıcı adı ve VPN şifresi verildiği, saldırganların da sisteme SFTP ve VPN aracılığı ile bağlandığı, …‘’)

Kararda, VPN üzerinden erişim için yetkilendirilmiş olmak gerekse de bunun salt tek faktörlü şifre girilmesi sonucunda değil, çok faktörlü yetki doğrulama araçlarının(SMS vb.) kullanımı şeklinde olması gerektiği belirtilmiştir. (‘’Veri sorumlusu tarafından ihlal öncesi alınması gereken teknik tedbirlerin … çift faktör özelliği olan sistemlerde bu özelliğin aktifleştirilmesi, VPN erişimde kullanılan sertifikaların yenilenmesi, çalışanlarının e-posta erişimlerinin iki aşamalı kimlik doğrulama olarak güncellenmesi, …‘’)

*Öyleyse hukuka uygun biçimde kişisel veri barındırma için ‘’sistemlere yapılacak bağlantılarda, çok faktörlü kimlik doğrulama sonucu bağlanılabilen ve sağlıklı işleyen kriptolu iletişim kanallarının kullanımının‘’ gerektiği sonucuna varılmaktadır.

c) Kararda ayrıca ihlalden sonra veri sorumlusunun sistemlere dair sızma testi yaptırdığı ve pek çok güvenlik açığı tespit edildiği olgusu yer almaktadır. (‘’…ihlalden sonra 29.01.2020 tarihinde yapılan ve veri sorumlusu tarafından Kurumumuza gönderilen sızma testinde özellikle web uygulamalarında yüksek ve orta seviyede açıklıkların tespit edildiği göz önüne alındığında bu durumun veri sorumlusu tarafından gerekli teknik tedbirlerin alınmadığının göstergesi olduğu, …‘’)

*Öyleyse hukuka uygun biçimde kişisel veri barındırma için ‘’belirli aralıklarla sızma testleri yaptırılması ve tespit edilen açıklıkların kapatılması‘’ gerektiği sonucuna da varılmaktadır.

(Aslında uzaktan çalışma sırasında sisteme internet üzerinden yapılan erişimlerde, istemci cihazda spyware/keylogger vb. bir malware bulunuyorsa, yetkili erişim için gerekli şifreler elde edilebilir. Bu sebeple çalışanların kişisel bilişim cihazlarında dahi daimi olarak güncel/düzgün işleyen anti virüs/malware yazılımları bulunması da gerekli bir siber güvenlik çözümüdür.)

>> KVKK'nın Siber Güvenlik Uygulamalarına Dair Görüşleri ve Siber Saldırılar (2)