ŞİRKET SİSTEMLERİNE SİBER SALDIRI GERÇEKLEŞİRSE, ŞİRKET HACKERLARIN HEDEFİ OLURSA NE YAPILMALI ?

Teknolojinin ve erişilebilirliğin dünyada artması ile birlikte bilişim sistemlerine yönelik suçlar da artış göstermeye başlamıştır. Gelişen teknoloji ile birlikte hayatımızın her alanı internet ortamına taşındı. Bankacılık işlemleri, alışveriş, bilgi depolama ve bilgiye ulaşma gibi birçok alanda hayatlarımız siber ortamda devam edince Siber Saldırılara da çok sık rastlamaya başladık.

Hayatın her alanında köklü değişikliklere yol açan bilişim sistemleri ticaret, eğitim, iletişim, kamu hizmetleri ve özel sektörde olumlu gelişmelere yol açmış olsa da ne yazık ki kötü yönde de kullanılarak farklı suç tiplerinin doğmasına da neden olmuştur. Eski ve klasik olarak nitelendirebileceğimiz suçların yanında yeni ve farklı suç tipleri ortaya çıkmıştır. Bu yüzden pek çok ülke bilişim alanında yasal düzenlemeler yapmıştır.

 

Gelişen bu süreçte Şirketler de Bilgisayar Korsanlarının hedefi haline geldi. Birçok ünlü firma Hacker saldırısına maruz kaldığını açıkladı. Hatta bazen bu saldırılar ülke bazında da oldu. 28 Nisan da Fransa’nın bazı bölgelerinde internet servis sağlayıcılarının fiberoptik altyapı kablolarına düzenlenen saldırılar sonucunda internet ve telefon hizmetlerinde kesintiler ve yavaşlamalar yaşandı. Milyarlarca kullanıcıya sahip olan Google; Şirket internet tarayıcısı Chrome'un hacker'ların hedefi olduğunu açıkladı. Siber saldırı sonrası 30 güvenlik açığı ortaya çıkarken, bunların 7'sinin 'yüksek riskli' olduğu duyuruldu.

Şirkete siber saldırı gerçekleşirse ne yapılmalı?

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir. Veri Sorumlusunun Kuruma veri ihlali bildiriminde bulunması gerekir. Konu ile ilgili suç duyurusunda da bulunulabilir. Şirket sistemlerine yetkisiz erişim halinde kişisel veriler silinmiş olabilir. Böyle bir durumda:

  • Saldırının ne zaman gerçekleştiği,
  • Bu durumun hangi tarihte tespit edildiği
  • Siber saldırı sonucu şirketin verilere ulaşımın engellenip engellenmediği
  • İhlalden etkilenen tahmini kişi sayısı
  • İhlalden etkilenen ilgili kişi gruplarının kimler olduğu (çalışanlar, kullanıcılar, aboneler/üyeler, öğrenciler, müşteriler v.b..)
  • Etkilenen kişisel verilerin neler olduğu (isim, soy isim, posta kodu, mahalle ve/veya ikamet ettiği şehir, doğum tarihi, e-posta adresi, kimlik, irtibat, konum, mesleki deneyim, sağlık bilgileri gibi…)
  • Verilerin kopyalanmış ve üçüncü kişilere aktarılma ihtimalinin bulunup bulunmadığı gibi 

Veriler ile tam ve eksiksiz bir şekilde İHLALİN TESPİT EDİLDİĞİ TARİHTEN İTİBAREN 72 SAAT İÇİNDE Kurula bildirim yapılması gerekir.

Veri ihlali bildirimden sonra Kurul durumun Kurumun, Şirketin internet sayfasında ilan edilmesine karar verebilir.

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır. İlan ile ihlal nedeniyle oluşabilecek olumsuz sonuçların önüne geçilmesi hedeflenir.

Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanması gerekir.

VERİ SORUMLUSU TARAFINDAN İHLAL ÖNCESİ ALINMASI GEREKEN TEKNİK TEDBİRLER:

  • Güvenlik ajanının ağ sistemine konuşlandırılması,
  • Güvenlik duvarı,
  • Kötü niyetli IP adreslerinin sistemden engellenmesi,
  • VERİ SORUMLUSUNUN Yetkisiz erişimlerden korunması için gerekli önlemlerin alınması,
  • Yedekleme Cihazının bulunması,
  • Penetrasyon Testi (Penetrasyon testi - Pentest şirketin güvenlik becerilerini üst düzeyde tutmak, Dışarıdan gelebilecek saldırıları görüp önlem almak, Sistemlerinize yapılan yatırımı güvende tutmak ve en önemlisi de güvenlik açıkları nedeniyle oluşabilecek bilgi kayıplarına engel olabilmek için pentest - penetrasyon testi yapılmalıdır. )
  • Hackerlar tarafından kullanılan mekanizmaların ve IP’lerin gözlenmesi için 7x24 gerçek zamanlı gözetleme sistemini de içeren, geliştirilmiş gözetleme ve alarm sistemlerinin faaliyete geçirilmesi gibi teknik tedbirlerin önceden alınması gerekir.