Kişisel Verileri Koruma Kurumu: Kurumsal yazılım hizmeti sunan şirketin veri ihlali bildirimi

Kişisel Verileri Koruma Kurumu: Kurumsal yazılım hizmeti sunan şirketin veri ihlali bildirimi

Yazdır

Kişisel Verileri Koruma Kurumu

 

Veri sorumlusu 29.04.2019 tarihinde Kişisel Verileri Koruma Kurumu’na (“Kurum”) aşağıda ayrıntısı açıklanan veri ihlal bildiriminde bulunmuştur:

  • Veri sorumlusu, siber suçluların “parola püskürtme” saldırıları ile kurumsal kullanıcı hesaplarında kimlik doğrulaması yaparak kendisine ait bilgi sistemleri iç ağına eriştiğini bildirmiştir.
  • Bu hususun da 6 Mart 2019 tarihinde emniyet birimlerinin siber güvenlik uzmanları tarafından kendisine bildirildiğini belirtmiştir.
  • Bu bildirim sonrasında; veri sorumlusu harici siber güvenlik desteği almıştır. 22 gerçek kişiye ait kimlik (ad soyad, TCKN), özlük (iş beyanları, müşteri bağlılık belgeleri) ve finans (satış kayıtları, pazarlama materyalleri, bordro) verilerinin bu saldırıdan etkilendiğini tespit etmiştir.
  • Ekim 2018 ile ihlal bildiriminin yapıldığı Mart 2019 tarihleri arasında 6 terabayttan fazla veri, veri sorumlusunun sisteminden Dosya Aktarım Protokolü (FTP) ve Güvenli Dosya Aktarım Protokolü’nü (SFTP) kullanılarak dışarı sızmıştır.
  • Ayrıca, veri sorumlusu bu saldırıdan verileri etkilenen çalışanlarına (iletişim bilgileri mevcut olmayan 4 kişi hariç) 29 Nisan 2019 tarihinde e-posta yolu ile bildirimde bulunmuştur.

Bu ihlal bildirimine ilişkin olarak, 16/06/2020 tarih ve 2020/465 sayılı Kararda;

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 12. Maddesi’nin 1. Fıkrası uyarınca alınması gerekli teknik ve idari tedbirlerin veri sorumlusunca alınmadığına dair karar verilmiştir. Bu hususta 75.000 TL idari para cezasına karar vermiştir.

  • Güvenlik yazılım mesajları, log kayıtları ve diğer raporlama araçlarının düzenli kontrol edilmesi gerektiğini belirtmiştir.
  • Gerekli siber güvenlik alarm sistemleri üzerinden gelen uyarılar üzerine harekete geçilmesinin önemli olduğunu vurgulamıştır.
  • Düzenli zafiyet taramaları ve sızma testlerinin ve bu testler sonucunda değerlendirmelerin düzenli yapılması gerektiğini belirtmiştir.
  • Kurul, “parola püskürtme” saldırılarının kullanıcıların kolay tahmin edilebilir şifreler kullanması durumunda etkili olduğunu belirtmiştir. Dolayısıyla, veri sorumlusunun çalışanları bakımından parola güvenliği farkındalığını sağlamadığına da karar vermiştir.
  • Kurul, 6 TB’dan fazla verinin depolanmasının, paylaşım sürücüsünde yüksek miktarda veri depolanması olduğunu belirtmiştir. Dolayısıyla, veri minimizasyonu ve risk minimizasyonu bakımından teknik ve idari tedbirlerin de alınmamış olduğunu vurgulamıştır.

Son olarak, Kurul, Kanun’un 12. Maddesi’nin 5. Fıkrası uyarınca, veri sorumlusunun bildirimleri 55 günlük sürede yapmış olması dolayısıyla “veri ihlalinin en kısa sürede bildirimi yükümlülüğü”nün (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde bildirim yükümlülüğü) ihlal edildiğini kararlaştırmıştır. Bu hususta da ayrıca 50.000 TL idari para cezası olmak üzere toplam 125.000 TL idari para cezası uygulanmasına karar verilmiştir.

Yazar: Hakan Zeren