Kullanıcı Güvenliğine İlişkin Kamuoyu Duyurusu

Erkan Aytac
Şubat 24, 2022
  • 664

Kişisel Verileri Koruma Kurulu 15.02.2022 tarihinde kullanıcı güvenliğine ilişkin alınması gereken teknik ve idari tedbirlerle ilgili bir kamuoyu duyurusu yayınladı. Veri sorumlularının kendi risk değerlendirmelerini yaparak uygun olanlarını almaları tavsiye etti.

KVKK tarafından yapılan duyuruda ; 

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında “ veri sorumlusunun;

  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu” hükme bağlanmıştır.

Mezkûr Kanunun amir hükmü kapsamında Son zamanlarda Kişisel Verileri Koruma Kurumuna intikal eden veri ihlal bildirimleri değerlendirilmiştir. Bu kapsamında; finans, e-ticaret, sosyal medya ve oyun gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularının internet sitelerine giriş için kullanılan kullanıcı hesap bilgilerinin (kullanıcı adı ve parolalar) bazı internet sitelerinde herkese açık şekilde yayınlandığı görülmüştür. Söz konusu kullanıcı hesaplarını elde eden üçüncü kişilerce anılan veri sorumlularının internet sitelerine kullanıcıların haberi olmadan aktif bir şekilde giriş yapıldığı ve ilgili kişilere ait verilerin bu kapsamda görüntülenebildiği tespit edilmiştir.

Ayrıca farklı zamanlarda, veri sorumluları sistemlerinden veya son kullanıcı bilgisayarlarındaki güvenlik açıkları kullanılarak elde edilen kişisel verilerin, hukuka aykırı bir şekilde paylaşıldığı ve ekonomik bir değer karşılığında satışa sunulabildiği görülmektedir. Bununla birlikte ilgili kişilere ait bu veriler elden ele dolaşarak kötü niyetli kişilerce arşivlenerek daha büyük veri setleri halinde yeniden pazarlanabilmektedir.

Veri sorumluları ve veri işleyenler tarafından veri güvenliği kapsamında alınacak teknik ve idari tedbirlerin olası veri ihlal durumlarını ve ilgili kişiler üzerinde oluşturabileceği riskleri minimize edeceği muhakkaktır. Bu kapsamda yaygın olarak yaşanan ve veri ihlallerinin oluşmasına neden olan “aynı kullanıcı adı ve parolanın farklı platformlarda kullanılması, belirli zaman aralıklarında parola değişiminin yapılmaması, iki kademeli kimlik doğrulama vb. giriş yöntemlerinin kullanılmaması” gibi teknik ve idari tedbir eksikliklerinin kişisel veri ihlallerine neden olabildiği görülmektedir.

Yukarıda belirtilen ve yaygın olarak yaşanan veri ihlallerini önlemek veya meydana gelmesi halinde ilgili kişiler üzerinde olumsuz sonuç doğurma olasılığının azaltılmasını teminen, veri sorumluları tarafından bir takım önlemlerin alınmasına ihtiyaç duyulmaktadır.

Bu kapsamda veri sorumlularının;

  • Çift kademeli kimlik doğrulama (two-factor authentication) sistemlerini kurmaları ve kullanıcılarına üyelik başvurusu aşamasından itibaren alternatif güvenlik önlemi olarak sunmaları,
  • Kullanıcıların hesaplarına sık erişim sağlayan cihazlar haricinde farklı cihazlar üzerinden giriş yapılması durumunda, giriş bilgilerinin e-posta/sms vb. yöntemlerle ilgili kişilerin iletişim adreslerine iletilmesinin sağlanması,
  • Uygulamaların HTTPS (Hypertext Transfer Protocol Secure - Hiper Metin Aktarma Güvenli İletişim Kuralı) ile veya aynı güvenlik seviyesini sağlayacak bir şekilde koruma altına alınması,
  • Kullanıcı parolalarının, siber saldırı yöntemlerine karşı korunmasını teminen, güvenli ve güncel karma (hashing) algoritmaların kullanılması,
  • IP (Internet Protocol Address) adresinden yapılacak başarısız giriş denemesi sayısının sınırlandırılması,
  • İlgili kişilerin en az son 5 adet başarılı ve başarısız giriş denemeleri ile ilgili bilgilerini görüntüleyebilmelerinin sağlanması,
  • İlgili kişilere aynı parolanın birden fazla platformda kullanılmaması gerektiğinin hatırlatılması,
  • Veri sorumluları tarafından parola politikasının oluşturulması ve kullanıcılara ait parolaların belirli aralıklarla değiştirilmesinin sağlanması veya bu hususun ilgili kişilere hatırlatılması,
  • Yeni oluşturulan parolaların, eski parolalarla (en az son üç parolayla) aynı olmasının engellenmesi, kullanıcı hesaplarına girişlerde bilgisayar ile insan davranışlarını ayırt edici güvenlik kodu gibi teknolojilerin (CAPTCHA, dört işlem vb.) kullanılması, erişime izin verilen IP adreslerinin sınırlandırılması,
  • Veri sorumlularının sistemlerine giriş yapılan parolaların uzunluğunun asgari 10 karakter olması, büyük-küçük harf, rakam ve özel karakterlerin bir arada kullanılmasına yönelik güçlü parola oluşturulmasının sağlanması,
  • Veri sorumlularının sistemlerine giriş için üçüncü parti yazılımlar veya servisler kullanılıyorsa bu yazılımların ve servislerin güvenlik güncelleştirmelerinin düzenli olarak gerçekleştirilmesi ve gerekli kontrollerin yapılması

gibi teknik ve idari tedbirlerden kendi risk değerlendirmelerini yaparak uygun olanlarını almaları tavsiye edilmektedir.




İlgili İçerik
Duyurular

Mobildev Pazarlama Sohbetleri "2023 Yılı Pazarlama İçgörüleri"

Mobildev Pazarlama Sohbetleri webinar serimiz tüm hızıyla devam ediyor. Serimizin altıncısı "2023 Yılı Pazarlama İçgörüleri" konulu webinarımız, 16 Aralık 22 Cuma Günü gerçekleşecek.

selen guvenc Aralık 2

Mobildev' den Aralık Ayında 2 Büyük Webinar

2 ve 16 Aralık' ta gerçekleşecek olan webinarlarımıza; Wicasa Group Ajans Başkanı Aslı Şarman ve Kiğılı Bilgi Sistemleri ve Müşteri Deneyimi Koordinatörü Gürkan Taşkıran, Binovist CEO’su Engin Alan ve Emarsys Türkiye Ülke Müdürü Emre Güzey konuk olacak.

selen guvenc Kasım 30

Siber Güvenlikte Uyumluluğun Rolü

Siber güvenlik, karmaşık ama temel bir sistemdir; açıkça tanımlanmış kurallara, sınırlara, düzenlemelere ve yönergelere ihtiyaç duyar.

selen guvenc Kasım 30

Futbol Kulüpleri Siber Savunmalarını Neden Artırmalı?

Genel olarak spora ve özellikle Avrupa futboluna olan hayranlığımız -ve birçokları için saplantımız- en üst düzey sporcuların oyunlarına kattığı ilham verici beceri, fiziksel güç, takım çalışması ve hızdan besleniyor.

selen guvenc Kasım 30

Ticimax E Ticaret Sohbetleri Ankara Etkinliğindeyiz

Ticimax E-Ticaret Sohbetleri kapsamında, 6 Aralık günü Ankara' da düzenlenecek olan ‘2023 Yılında E-Ticaret ve E-İhracatta Neler Olacak?’ konulu etkinliğe, şirketimizin Pazarlama Direktörü Vedat Aybar konuk olarak katılacak.

selen guvenc Kasım 30

Pazarlamada Veri Analitiği Neden Önemli?

Pazarlama, tüm işletmelerin ayrılmaz bir parçasıdır, bu nedenle sorunsuz ve gereksinimleri karşılayabilen bir pazarlama stratejisine sahip olmak çok önemlidir.

selen guvenc Kasım 30

Bültene Üye Ol

İşinizi geliştirmenize katkı sağlayacak, başarılı örnekleri, sektörel gelişmeleri ve kampanyaları kaçırmayın.