İşbu yazı, https://www.hukukihaber.net/kvkknin-siber-guvenlik-uygulamalarina-dair-gorusleri-ve-siber-saldirilar-1-makale,9680.html URL adresi ile yayınlanmış olan ‘‘KVKK’nın Siber Güvenlik Uygulamalarına Dair Görüşleri ve Siber Saldırılar (1)’’ makalesinin devamıdır.

4) Karar no : 2021/187

a) Karara konu olayda veri ihlali, veri sorumlusunun bilişim teknolojileri/sistemleri yönünden hizmet satın aldığı üçüncü taraf firmanın sistemlerinde meydana gelen hatadan kaynaklanmaktadır. (‘’Veri sorumlusunun bilgi sistemleri hizmeti aldığı destek hizmeti sağlayıcısında meydana gelen sistemsel hata nedeniyle; Sistem hizmeti kapsamında veri sorumlusunun müşterisi olan bazı firmalar ile "Rapor" ilişkilendirmesinde teknik bir hata nedeniyle sorun yaşandığı, / Sistem hizmeti kapsamındaki 28 müşteri şirkete, diğer 31 müşteri şirketin sisteme dâhil çalışanlarına dair "Rapor" dosyası gönderildiği, "Raporu" seçen sorgunun hatalı çalışması" neticesinde, sistem kapsamında olan 31 işveren şirketin çalışanı 681 adet gerçek kişi müşterisine alt bilgilerin, yine sistem kapsamındaki 28 işveren şirkete, sistemsel olarak hatalı şekilde gönderildiği,‘’)

BT hizmeti alınan üçüncü taraf firmanın/dış hizmet sağlayıcının kendi sistemlerinden kaynaklı bir hata, bu sistemleri kullanan veri sorumlusunu da etkilemiştir. Fakat bu durumun yanında, veri sorumlusunun bu ihlalden kendisini haberdar edecek bir mekanizmayı kurmadığı anlaşılmaktadır. Zira ihlalden bilahare bir müşterisinin bilgi vermesi sonucu haberdar olmuştur. KVKK’nın idari para cezasına dayanak yaptığı hukuka aykırılık temelde budur.  (‘’İhlalin raporu alan müşteri firmanın konu hakkında veri sorumlusuna bilgi vermesi sonucu tespit edildiği, veri sorumlusu tarafından kendiliğinden tespit edilemediği, bu durumun da Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.2. Kişisel Veri Güvenliğinin Takibi başlığı altında belirtilen “Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi gerekmektedir” ifadesine uymadığının bir göstergesi olduğu ‘’)

Makalenin bir önceki bölümünde açıklanan DLP vb. siber güvenlik çözümleri, önemli verilerin iç ağdan dışarıya ve iç ağdaki kısıtlı bölümlerden iç ağın diğer alanlarına çıkışının önüne geçebilir veya bu yönde bir uyarı verebilir. Lakin ağ yapısındaki bozulan yazılım/donanımların DLP vb. teknolojileri de etkilemesi söz konusu olabilir. İnternete çıkışlarda trafiği vekil sunucular üzerinden geçirmek ve trafiği bir de bu ortadaki sunucularda filtreleme/siber güvenlik çözümlerine tabi tutmak belki bu aşamada bir çözüm sunabilir yahut farklı çözümler uygulanabilir. Yine de elden gelen tüm kontrollerin yapılmasına rağmen yazılım/donanımların beklenmedik şekilde bozulmasından kaynaklı veri ihlallerinde, ekstrem siber güvenlik çözümlerine gidilmesinin beklenmesi bizce doğru olmayacaktır. Kararda ise veri sorumlusunun, sistemlerin düzgün işleyişine yönelik gerekli kontrolleri yaptırmadığı zikredilmektedir. (‘’Veri ihlaline sebep olan sistemsel hatanın uygulama yazılımından kaynaklanması sebebiyle, Kurumumuz tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.5. Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı başlığı altında yer alan “Veri sorumlusu tarafından yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmalıdır. Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontroller yapılmalı, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmelidir.” ifadesi gereği, bu tip hataların işlem yayına alınmadan evvel düzeltilmesi gerektiği, ihlale konu olaydan önce tespitinin yapılamadığı’’)

 *Öyleyse hukuka uygun biçimde kişisel veri barındırma için ‘’gerekli siber güvenlik çözümlerini kurmak + ağın ve ağdaki bu sistemlerin işleyişinin düzgün olması için rutin kontrollerin yapılması‘’ gerektiği söylenebilir.

5) Karar No: 2021/311

a) Karara konu olayda veri sorumlusunun sitesine kampanya dolayısıyla yoğun istemci trafiği akmış, bu trafik DDoS etkisi yaratmış ve sunucuların kapasitesi akan trafiğe yetmemiştir. Bu sebeple veri sorumlusu, sunucular ağına yenilerini eklemiş/sunucuların kapasitesini artırmış ve bu çalışma sırasında da sitedeki verileri kullanıcılara açık tutmuştur.  Ancak bu sırada hatalı işleyen bir siber güvenlik çözümü yüzünden, veri tabanının sitenin ön yüzünde görünmemesi gereken verilerine de üye girişi yapanlar tarafından erişilebilmesi ihtimali ortaya çıkmıştır. (‘’18.05.2020 tarihinde, veri sorumlusunun internet sitesinde yer alan yeni bir kampanya sebebiyle siteye yüksek erişim sağlandığı ve uygulama sunucularının yetersiz kaldığı, / Veri işleyen tarafından yeni uygulama sunucuları eklenirken, sitenin çalışmaması ihtimali gözetilerek sitenin mevcut halinin kopyalarının çıkarıldığı / Bu işlem gerçekleştirilirken; sitenin statik sayfasının kopyasının alınmasının ve yeni uygulama sunucuları eklenirken müşterilere sayfanın statik kopyasının gösterilmesinin amaçlandığı, / Bu işlem esnasında; DDos ataklarını önlemek için kullanılan ve veri işleyenin üçüncü kişiden aldığı hizmetin içinde tanımlandığı gibi çalışmayan bir fonksiyon sebebiyle yalnızca mevcut ara yüzün değil kullanıcı profillerinin de bir kopyasının oluştuğu ve üye olarak giriş yapan kullanıcılara rastgele kopyası alınan kullanıcı profillerinin bilgilerinin görünür olduğu,‘’)

Kararda veri sorumlusunun hatalı işleyen siber güvenlik fonksiyonunu, dışarıdan sınırlı bir veri akışı mevcutken/canlı ortamda test ettiği belirtilmektedir. Ancak sınırlı veri akışı mevcutken sorun üretmeyen fonksiyon, yoğun veri akışı sırasında hataya sebep olmuştur. Evvelce yoğun veri trafiği öngörülerek bir test yapılmamış olması ve her şeyden önce internet kullanıcıları siteye erişebiliyorken/veri trafiği mevcutken sistemde çalışma/güncelleme yapılmış olması da hukuka aykırılığa gerekçe yapılmıştır.

(‘’Fonksiyonun canlı ortama alınmadan önce teste tabi tutulmuş olmasına rağmen bu testin sınırlı sayıda kullanıcı ile yapıldığı, veri sorumlusu tarafından kampanya sebebiyle yoğunluğun yüksek olacağının öngörülerek, bu yoğunluğa uygun bir şekilde yazılımın kontrollerinin gerçekleştirilmesinin ardından uygulamaya konulması gerektiği ayrıca veri sorumlusu tarafından sitede yapılacak değişiklik ve güncellemelerin sitenin yoğun çalıştığı zaman diliminde yapılmayıp siteye girişin en düşük olduğu saatlerde ve bu tarz ihlallerin yaşanmaması adına sitenin kapatılarak yapılması gerektiği ‘’)

*Öyleyse hukuka uygun biçimde kişisel veri barındırma için ‘’kişisel verilerin tutulduğu veri tabanları ile bağlantılı sistemlerde çalışma/güncelleme yapılırken, sistemlerin internet kullanıcılarından gelen veri trafiğine kapatılması + sistemin kullanıcılara açılmadan önce her türlü yoğunluğa vb. ekstrem duruma karşı test edilmesi‘’ gerektiği söylenebilir.

b) Genellikle kullanıcı adı-parola gibi önemli verilerin tutulduğu veri tabanlarında, bu veriler kriptografik yöntemler kullanılarak barındırılır. Bu doğrultuda hash fonksiyonu ilk etapta devreye girebilir. Bu şekilde örneğin 12345 şeklindeki bir şifre, şifreyi çözen anahtar devreye girmediği sürece çok karmaşık karakterler bütünü olarak görünür. Ancak hash değeri denilen kombinasyonlar çoğu zaman birtakım yazılımlar kullanılarak eski haline getirilebilir/çözülebilir ya da hash değeri ve kelime vb. karşılıklarının bulunduğu veri tabanlarından bilgi edinilerek bu çözme işlemi gerçekleştirilebilir. Bu şekilde de verinin aslı(ör. şifre) açığa çıkabilir. Bu sebeple veri/şifre doğrudan hashlenmez, başına/sonuna rastgele karakterler eklenerek bu yeni şekliyle hashlenir ve veri tabanında barındırılır.(Buna salting deniliyor)

Karara konu olayda veri sorumlusunun hash ve sair bir kriptografik çözüm kullanmadığı belirtilmiş ve bu durum hukuka aykırılığa gerekçe yapılmıştır. (‘’Bunların yanında veri sorumlusunun kullanıcıların kişisel verilerini maskeleyerek veya şifreleyerek saklaması gerekirken Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) 4.1. Teknik Tedbirler Özet Tablosu’nda da yer verilen “şifreleme ve veri maskeleme” önlemlerini ancak ihlalden sonra almayı planladığı ‘’)

*Öyleyse hukuka uygun biçimde kişisel veri barındırma için ‘’veri tabanında verilerin kriptografik çözümler kullanılarak barındırılması‘’ gerekmektedir. Ayrıca Kurul’un benzer gerekçeleri taşıyan 2020/511 numaralı kararında da belirtildiği üzere ‘’kriptografik anahtarların güvenli ve farklı ortamlarda tutulması‘’ gerekmektedir.

(Bu kriptografik çözümlerin en üst seviye kullanım gerekleri, bankacılık mevzuatında ve Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’te karşımıza çıkmaktadır. Daha katı uygulamalar isteyen veri sorumluları için yönetmelik hükümleri iyi bir hukuki/teknik rehber niteliğindedir.)

Bu noktada bilgilendirici bir açıklama yapmak gerekirse, eğer salt veri tabanındaki bilgi kriptolanırsa, sadece yetkisiz olarak sisteme giren kişilere karşı bir önlem alınmış olur. Bu sebeple veri trafiğinin dinlenmesine karşı ‘’veri trafiğini‘’ de kriptolu kanallar üzerinden geçirmek gerekir. (örneğin bir siteyi internete açarken SSL kullanabilirsiniz)

6) Karar No: 2018/10, "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler"

Kararın ilgili kısmı şu şekildedir:

‘’ 3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise

a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,

b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,

c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,

ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,

5- Özel nitelikli kişisel veriler aktarılacaksa

a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,

b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,

c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,

6- Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır. ‘’

7) Karar No: 2020/113

a) İnternet trafiği; istemci internet kullanıcıları ve veri tabanı/uygulama sunucuları arasında, pek çok ara cihaz üzerinden akar. Yerel ağdan internete çıkış yapılırken bile routera giden yolda switch vb. pek çok ara konum bulunabilir. İnternet trafiğinde de omurgadaki ISP router geçişlerinin haricinde DNS-Proxy-VPN sunucular, köprü kullanımında ara cihazlar, P2P ağlarda diğer eşlenik cihazlar ve pek çok üçüncü taraf işin içine katılabilir. Böyle bir durum olmasa bile kötü niyetli kişiler tarafından istemci trafiği bu tür aradaki cihazlara yönlendirilebilir. İşte veri trafiğindeki istemci-sunucu arasındaki bu üçüncü taraflar, iletişim kriptolu olarak yapılmıyor ise bu trafiği dinleyebilirler. Bu ara cihaz pozisyonundaki sistemlere sızan veya bu sistemleri kontrol eden kişilerin trafiği dinlemeleri ‘’man in the middle‘’ olarak adlandırılıyor. Ancak pekala iki taraf arasındaki veri trafiğini dinlemenin gerek malware kullanılarak gerekse ortadaki adam olmadan ağda paket analiz sistemlerini çalıştırarak veya sair şekillerde pek çok yöntemi mevcuttur.

Karara konu olayda veri sorumlusunun sistemine yetkili olarak erişen kişiler, sisteme halka açık hotspot wi-fi noktasından ve VPN kullanmadan bağlanmışlardır. Halka açık hotspot noktalarında genellikle ağ birden fazla parçaya bölünerek, halka açık kısım ile VLAN’ın diğer bölümleri ayrılır. Ancak yine de halka açık kısım hem ağ yöneticisinin hem de halka açık ağdaki diğer misafirlerin kötü niyetli işlemlerine açıktır.(eğer buna dair bir güvenlik çözümü uygulanmıyorsa) Örneğin bu haliyle basit bir paket analiz yazılımı ile misafirin kriptosuz iletişimindeki veriler izlenebilir/görülebilir/okunabilir.

*Öyleyse hukuka uygun biçimde kişisel veri barındırma için ‘’sisteme, halka açık hotspot noktalarından VPN vb. kullanmadan bağlanılmaması‘’ gerektiği söylenebilir.

Bizce kişisel verileri barındıran ağ yapılarına uzaktan erişim sağlayan cihazların asla güvensiz hotspot noktalardaki ağlara katılmaması gerekir. Bu ağlarda veri trafiğinin izlenmesi dışında başka riskler de mevcuttur. Esasında bağlantı güvenli olsa bile 5651 s. Kanun gereğince hotspot paylaşımı yapanlar log tutmak zorunda olduklarından, hedef konumdaki veri sorumlusunun IP ve açık portlarına dair bilgileri otomatikman kaydedebilirler. Bu da kısmen sakınca yaratabilecek bir husustur.

b) Kararda veri sorumlusunun internet kullanıcılarına açık olan uygulamasında SSL kullanmadığı(bu da veri trafiğinin dinlenmesi sonucunu doğurabilir) ve ayrıca sistemlere dair sızma testi yapılmadığı belirtilmiştir. Bunlar da hukuka uygun bir kişisel veri barındırma yönünden noksan durumlardır. Bu hususlar makalenin ilk bölümünde açıklanmıştı.

(‘’Veri ihlalinden önce veri sorumlusuna ait internet ağı dışında halka açık bağlantıların paylaşıldığı kafe ortamlarından sisteme herhangi bir kısıt bulunmaksızın erişildiği, sızma testlerinin ihlalden sonra yapıldığı, ihlal öncesi sistemlerinde kritik bilgilere erişime neden olabilecek SQL Injection, Cross Site Scripting gibi zafiyetlerin bulunduğu, mobil uygulama içerisine tanımlanmış SSL Sertifikası olmamasından dolayı uygulama trafiğinin rahatlıkla dinlenebildiği … ‘’)

Kararda ayrıca sistemin enjeksiyon saldırılarına açık olduğu belirtilmektedir. Açıklamak gerekirse, eğer veri tabanı sunucularında gerekli filtreleme önlemleri alınmamışsa SQL vb. programlama dilleri manipüle edilerek, veri tabanındaki kişisel verilere erişilebilir. XSS saldırılarında ise zararlı kodların sunucularda çalıştırılması ile sunuculara bağlanan üçüncü taraflara saldırıda bulunulabilir, sunucu üzerinden çeşitli verilere erişilebilir veya benzer yöntemler ile kişisel veriler ele geçirilebilir. (Veri trafiğinin dinlenmesi ile enjeksiyon saldırıları farklı hususlardır.)