Kişisel Verileri Koruma Kurumu (“Kurum”) 15 Şubat 2022 tarihinde, son zamanlarda Kuruma intikal eden veri ihlal bildirimlerine ilişkin, çeşitli sektörlerde faaliyet gösteren veri sorumlularının internet sitelerine giriş için kullanılan kullanıcı adı ve parola bilgilerinin bazı internet sitelerinde herkese açık şekilde yayınlandığını görmüş ve artan kişisel veri ihlallerine karşı veri ihlallerini önlemek, oluşacak olası olumsuz sonuçları azaltmak amacıyla veri sorumluları tarafından alınması gereken teknik ve idari tedbirlere ilişkin kamuoyu duyurusunu paylaşmıştır.
Bu kapsamda Kurum, aşağıda sayılan teknik ve idari tedbirlerin uygun düştüğü ölçüde ilgili veri sorumluları tarafından alınmasını tavsiye etmiştir:
- Çift kademeli kimlik doğrulama sisteminin kurulması ve alternatif güvenlik önlemi olarak bu sistemin kullanıcılara üyelik başvurusu aşamasından itibaren sunulması,
- Kullanıcıların, farklı cihazlardan giriş yapması durumunda, giriş bilgilerinin ilgili kişilere e-posta/sms vb. yöntemlerle iletilmesi,
- Uygulamaların HTTPS ile veya aynı güvenlik seviyesini sağlayacak şekilde koruma altına alınması,
- Güvenli ve güncel karma (hashing) algoritmaların kullanılması,
- IP adresinden yapılacak başarısız giriş deneme sayısının sınırlandırılması,
- İlgili kişilerin en az son 5 adet başarılı ve başarısız giriş denemeleri ile ilgili bilgileri görüntüleyebilmelerinin sağlanması,
- İlgili kişilere aynı parolanın birden fazla platformda kullanılmaması gerektiğinin hatırlatılması,
- Veri sorumluları tarafından parola politikasının oluşturulması, kullanıcılara ait parolaların belirli aralıklarla değiştirilmesinin sağlanması veya bu hususun ilgili kişilere hatırlatılması,
- Yeni oluşturulan parolaların, eski parolalarla (en az son üç parolayla) aynı olmasının engellenmesi,
- Kullanıcı hesaplarına girişlerde bilgisayar ile insan davranışlarını ayırt edici güvenlik kodu gibi teknolojilerin (CAPTCHA, dört işlem vb.) kullanılması,
- Erişime izin verilen IP adreslerinin sınırlandırılması,
- Veri sorumlularının sistemlerine giriş yapılan parolaların uzunluğunun asgari 10 karakter olması, büyük-küçük harf, rakam ve özel karakterlerin bir arada kullanılmasına yönelik güçlü parola oluşturulmasının sağlanması ve
- Veri sorumlularının sistemlerine giriş için üçüncü parti yazılımlar veya servisler kullanılıyorsa bu yazılımların ve servislerin güvenlik güncelleştirmelerinin düzenli olarak gerçekleştirilmesi ve gerekli kontrollerin yapılması.
Sonuç olarak, Kurum 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12nci maddesi uyarınca “veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunu” hatırlatarak birtakım teknik ve idari tedbirlerin alınmasının önemini vurgulamıştır. Dolayısıyla veri sorumlularının sayılan tedbirleri dikkate almasını tavsiye ederiz.