Kullanıcı Güvenliğine İlişkin Kamuoyu Duyurusu

Erkan Aytac
Şubat 24, 2022
  • 3246

Kişisel Verileri Koruma Kurulu 15.02.2022 tarihinde kullanıcı güvenliğine ilişkin alınması gereken teknik ve idari tedbirlerle ilgili bir kamuoyu duyurusu yayınladı. Veri sorumlularının kendi risk değerlendirmelerini yaparak uygun olanlarını almaları tavsiye etti.

KVKK tarafından yapılan duyuruda ; 

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında “ veri sorumlusunun;

  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu” hükme bağlanmıştır.

Mezkûr Kanunun amir hükmü kapsamında Son zamanlarda Kişisel Verileri Koruma Kurumuna intikal eden veri ihlal bildirimleri değerlendirilmiştir. Bu kapsamında; finans, e-ticaret, sosyal medya ve oyun gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularının internet sitelerine giriş için kullanılan kullanıcı hesap bilgilerinin (kullanıcı adı ve parolalar) bazı internet sitelerinde herkese açık şekilde yayınlandığı görülmüştür. Söz konusu kullanıcı hesaplarını elde eden üçüncü kişilerce anılan veri sorumlularının internet sitelerine kullanıcıların haberi olmadan aktif bir şekilde giriş yapıldığı ve ilgili kişilere ait verilerin bu kapsamda görüntülenebildiği tespit edilmiştir.

Ayrıca farklı zamanlarda, veri sorumluları sistemlerinden veya son kullanıcı bilgisayarlarındaki güvenlik açıkları kullanılarak elde edilen kişisel verilerin, hukuka aykırı bir şekilde paylaşıldığı ve ekonomik bir değer karşılığında satışa sunulabildiği görülmektedir. Bununla birlikte ilgili kişilere ait bu veriler elden ele dolaşarak kötü niyetli kişilerce arşivlenerek daha büyük veri setleri halinde yeniden pazarlanabilmektedir.

Veri sorumluları ve veri işleyenler tarafından veri güvenliği kapsamında alınacak teknik ve idari tedbirlerin olası veri ihlal durumlarını ve ilgili kişiler üzerinde oluşturabileceği riskleri minimize edeceği muhakkaktır. Bu kapsamda yaygın olarak yaşanan ve veri ihlallerinin oluşmasına neden olan “aynı kullanıcı adı ve parolanın farklı platformlarda kullanılması, belirli zaman aralıklarında parola değişiminin yapılmaması, iki kademeli kimlik doğrulama vb. giriş yöntemlerinin kullanılmaması” gibi teknik ve idari tedbir eksikliklerinin kişisel veri ihlallerine neden olabildiği görülmektedir.

Yukarıda belirtilen ve yaygın olarak yaşanan veri ihlallerini önlemek veya meydana gelmesi halinde ilgili kişiler üzerinde olumsuz sonuç doğurma olasılığının azaltılmasını teminen, veri sorumluları tarafından bir takım önlemlerin alınmasına ihtiyaç duyulmaktadır.

Bu kapsamda veri sorumlularının;

  • Çift kademeli kimlik doğrulama (two-factor authentication) sistemlerini kurmaları ve kullanıcılarına üyelik başvurusu aşamasından itibaren alternatif güvenlik önlemi olarak sunmaları,
  • Kullanıcıların hesaplarına sık erişim sağlayan cihazlar haricinde farklı cihazlar üzerinden giriş yapılması durumunda, giriş bilgilerinin e-posta/sms vb. yöntemlerle ilgili kişilerin iletişim adreslerine iletilmesinin sağlanması,
  • Uygulamaların HTTPS (Hypertext Transfer Protocol Secure - Hiper Metin Aktarma Güvenli İletişim Kuralı) ile veya aynı güvenlik seviyesini sağlayacak bir şekilde koruma altına alınması,
  • Kullanıcı parolalarının, siber saldırı yöntemlerine karşı korunmasını teminen, güvenli ve güncel karma (hashing) algoritmaların kullanılması,
  • IP (Internet Protocol Address) adresinden yapılacak başarısız giriş denemesi sayısının sınırlandırılması,
  • İlgili kişilerin en az son 5 adet başarılı ve başarısız giriş denemeleri ile ilgili bilgilerini görüntüleyebilmelerinin sağlanması,
  • İlgili kişilere aynı parolanın birden fazla platformda kullanılmaması gerektiğinin hatırlatılması,
  • Veri sorumluları tarafından parola politikasının oluşturulması ve kullanıcılara ait parolaların belirli aralıklarla değiştirilmesinin sağlanması veya bu hususun ilgili kişilere hatırlatılması,
  • Yeni oluşturulan parolaların, eski parolalarla (en az son üç parolayla) aynı olmasının engellenmesi, kullanıcı hesaplarına girişlerde bilgisayar ile insan davranışlarını ayırt edici güvenlik kodu gibi teknolojilerin (CAPTCHA, dört işlem vb.) kullanılması, erişime izin verilen IP adreslerinin sınırlandırılması,
  • Veri sorumlularının sistemlerine giriş yapılan parolaların uzunluğunun asgari 10 karakter olması, büyük-küçük harf, rakam ve özel karakterlerin bir arada kullanılmasına yönelik güçlü parola oluşturulmasının sağlanması,
  • Veri sorumlularının sistemlerine giriş için üçüncü parti yazılımlar veya servisler kullanılıyorsa bu yazılımların ve servislerin güvenlik güncelleştirmelerinin düzenli olarak gerçekleştirilmesi ve gerekli kontrollerin yapılması

gibi teknik ve idari tedbirlerden kendi risk değerlendirmelerini yaparak uygun olanlarını almaları tavsiye edilmektedir.




İlgili İçerik
Duyurular

Mobildev Pazarlama Sohbetleri: "İçerik Pazarlamasının Geleceği"

Yeni sezonun yirminci etkinliği olan “İçerik Pazarlamasının Geleceği” konulu webinarımız, 26 Temmuz Cuma Günü gerçekleşecek.

selen guvenc Temmuz 19

Emrah Pamuk'un Kaleminden: "Turizm Sektörü ve Çerez Yönetimi"

Dijital çağda, turizm sektörü gibi müşteri odaklı hizmet sektörleri için çerez yönetimi hem müşteri memnuniyetinin sağlanması hem de veri güvenliğinin korunması açısından hayati öneme sahiptir.

selen guvenc Temmuz 17

Mobildev Olarak İki Büyük Etkinlikte Yer Aldık!

Mobildev olarak, sektördeki yenilikleri takip etmek ve müşteri ilişkilerini güçlendirmek adına önemli etkinliklere katılmayı sürdürüyoruz. Bu kapsamda, 2024 yılında Perakende Günleri ve Worldef etkinliklerinde yer aldık.

selen guvenc Temmuz 5

Çerez Yönetimini Basitleştirin: Mobildev Cookie Management ile Güvenli ve Etkili Çözümler

Günümüz dijital dünyasında, web sitesi sahipleri için çerez yönetimi vazgeçilmez bir gereklilik haline geldi. Kullanıcı verilerinin gizliliğini korumak ve yasal düzenlemelere uymak, marka güvenilirliğini artırmak için kritik öneme sahip.

selen guvenc Temmuz 5

6698 Sayılı Kişisel Verilerin Korunması Kanununda Yapılan Değişiklikler

12 Mart'ta yayınlanan KVKK değişiklikleri, 1 Haziran 2024 itibarıyla artık resmen yürürlüğe girdi.

selen guvenc Temmuz 5

İzinsiz SMS, Çağrı ve E-Postalar İçin Para Cezası

T.C. Ticaret Bakanlığı'nın 2023 faaliyet raporuna göre, izinsiz SMS, çağrı ve e-postalara bugüne kadar toplam 398.094.293 TL para cezası uygulandı.

selen guvenc Temmuz 5

Bültene Üye Ol

İşinizi geliştirmenize katkı sağlayacak, başarılı örnekleri, sektörel gelişmeleri ve kampanyaları kaçırmayın.