KVKK Kapsamında Sızma Testi ve Teknik Tedbirler

KVKK Kapsamında Sızma Testi ve Teknik Tedbirler. Sürekli gelişmekte olan teknoloji sektörünün büyümesi ve yaygınlaşmasıyla beraber teknolojiyi sömürmeye çalışan bilgisayar korsanları (kötü niyetli hackerlar) çoğalmış, veri hırsızlığı da büyük bir seviyede artış göstermiştir. Ayrıca büyük işletmeleri ve kurumları büyük zarara uğratmayı amaçlayan fidye yazılımları da çokça görülmeye başlanmıştır. Siber suçların hızlı artışı nedeniyle 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) büyük bir önem arz etmektedir. KVKK amaç olarak madde 1’de belirtildiği üzere, “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.”

BÖLÜM 1

KVKK Kapsamında Sızma Testi

  1. Sızma Testi Neden Gereklidir ?

6698 sayılı KVKK (Kişisel Verilerin Korunması Kanunu) kapsamında herhangi bir bilişim altyapısı içeren sistemlerin uyumluluğunun, güvenilirliğinin ve sistem içerisindeki uygulamaların bütünlüğünün korunması gerekmektedir. Bu nedenle alanında uzman kişiler tarafından sistem içerisindeki zafiyetlerin veyahut veri sızıntılarının tespiti için sızma (penetrasyon) testleri yapılmaktadır.

KVKK (Kişisel Verilerin Korunması Kanunu) madde 12’ye göre veri sorumlusu;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Bu nedenle sistemin güvenliğinin düzenli olarak test edilmesi, güncel tutulması gerekmektedir. Usulsüzce elde edilmiş veriler birçok sebeple kullanılabilir, bu nedenlerin arasında ise ulusal güvenliği tehlikeye düşürecek şekilde verilerin kullanılması olabilir. Sistemin güvenli olması gerek kişisel gerek ulusal olarak gereklidir. Sızma (penetrasyon) testleri ise bahsedilen güvenli sistemi oluşturmak için oldukça büyük rol oynamaktadır.

Sızma (penetrasyon) testlerinin;

  • Herhangi bir saldırıya karşı sistemdeki zafiyetleri belirleyerek ve müdahale ederek önceden önlem alınması,
  • Ulusal güvenlik noktasında hassas verilerin korunması,
  • Sistemin sürekli güncel tutulması ve bu sayede eski saldırı metodolojilerinin etkisizleştirilmesi,
  • Bir saldırı durumunda (kurum, şirket, vs.) risk yönetimi ve yapılması gereken müdahaleler ile ilgili tedbirlerin alınabilmesi,

bu ve bunun gibi konularda büyük önem taşıdığı görülmektedir.

BÖLÜM 2

KVKK Kapsamında Alınacak İdari ve Teknik Tedbirler

2.1 İdari Tedbirler

Belirli aşamalarda sistem içi analiz, prosedürlerin belirlenmesi ve izlenecek politikaları oluşturulması ve yürütülmesi gerekmektedir. Bu aşamalar;

  • Mevcut risk ve tedbirlerin belirlenmesi,
  • Çalışanların eğitilmesi ve farkındalık çalışmaları,
  • Kişisel veri güvenliği politikalarının ve prosedürlerin belirlenmesi,
  • Kişisel verilerin mümkün olduğunca azaltılması,
  • Veri işleyenler ile ilişkilerin yönetimi,

olup, belirtilen aşamalarda idari tedbirler alınmalıdır.

2.1.1 Mevcut Risk ve Tedbirlerin Belirlenmesi

Sistem güvenliği ile birlikte kişisel verilerin korunması için ilk olarak verilerin analizi gerçekleştirilip mevcut risklerin ve sistem için tehlike oluşturacak tehditlerin belirlenmesi gerekmektedir. Risk analizi sonrasında sistem güvenliğini tehlikeye atacak öncelikli tehditlerin gerekli teknik tedbirler uygulanılarak ortadan kaldırılması gerekmektedir.

2.1.2 Çalışanların Eğitilmesi ve Farkındalık Çalışmaları

Günümüzde yine çokça karşılaştığımız oltalama (phising) saldırıları gibi hem kişisel verileri hem de sistem güvenliğini tehlikeye atacak durumlara karşı sistem içerisinde olan çalışanların bu konularda bilinçli ve farkında olması gerekmektedir. Ayrıca çalışanlar herhangi bir saldırı durumunda belirli bir seviyede ilk müdahaleyi yapabilecek yeterlilikte olmalıdır.

2.1.3 Kişisel Veri Güvenliği Politikalarının ve Prosedürlerin Belirlenmesi

Risklerin önceden belirlenmesi veya herhangi bir tehdit anında yapılması gerekenler noktasında önceden hazırlanmış politikalar ve uygulanacak prosedürlerin oluşturulması, risk anında ortaya çıkabilecek daha büyük problemleri engellemekle kalmayıp sistemi hızlıca güvenli hale getirilmesinde de büyük rol oynayacaktır.

2.1.4 Kişisel Verilerin Mümkün Olduğunca Azaltılması

Kişisel verilerin doğru ve güncel olması gerekmekte olup doğruluğunu ve güncelliğini yitirmiş verilerin uygun politikalar izlenerek imha edilmesi gerekmektedir.

2.1.5 Veri İşleyenler ile İlişkilerin Yönetimi

Veri sorumlusu veri güvenliğinden sorumlu olduğu gibi veri işleyeninde güvenliğin sağlandığından emin olması ve sözleşmenin yazılı bir kaynağa dayandırılması gerekmektedir.

2.2 Teknik Tedbirler

İdari tedbirlerin yanı sıra sistem içi teknik tedbirlerin alınması ile birlikte sistem güvenliğinin takibi gerekse kullanılacak yazılım ürünlerinin belirlenmesi gerekmektedir. Sistemin düzenli olarak belirli teknik aşamalardan geçmesi beklenir. Bu aşamalar şunlardır;

  • Siber güvenliğin sağlanması,
  • Kişisel veri güvenliğinin takibi,
  • Kişisel veri içeren ortamların güvenliğinin sağlanması,
  • Kişisel verilerin bulutta depolanması,
  • Bilgi teknolojileri sistemleri tedariği, geliştirme ve bakımı,
  • Kişisel verilerin yedeklenmesi,

Bu aşamalar düzenli olarak takip ve test edilmelidir.

2.2.1 Siber Güvenliğin Sağlanması

Sistem güvenliği adına tek bir siber güvenlik yazılımı kullanılması yeterli bir güvenlik önlemi değildir. Düzenli olarak belirli prensiplerin uygulanması ve sistemin test edilmesi gerekmektedir. İyi olduğundan emin olunan bir güvenlik duvarı (firewall) herhangi bir saldırı anında saldırıyı bir noktaya kadar engelleyebilir ama bu da tek başına yeterli olamamaktadır. Sistem dahilinde bulunan uygulamaların güncel tutulması uygulamanın önceki sürümlerinde olan ve uygulanabilir açıkların kullanılmasını engellemek için öncelikli bir adım olmalıdır. Kullanılmayan uygulamaların güncel tutulmasından ziyade silinmesi daha doğru bir adım olacaktır. Bir diğer yapılması gereken adım ise erişim kısıtıdır. Sistem dahilinde bulunan çalışanların yetkilerine göre belirli erişim izni bulundurmaları o kişiye yapılacak olan herhangi bir saldırı durumunda saldırganın yetkinliğini ve sistem içerisindeki genişlemesini azaltacak büyük bir etkendir. Yönetici şifrelerinin belirli zaman aralıklarında değiştirilmesi ve şifre seçiminde harfler ile sayılar dışında farklı karakterlerin kullanması ayrıca, şifrelerin ulaşılabilecek bilgiler içermemesi olağan bir kaba kuvvet (bruteforce) saldırısına karşı uygulanabilir bir önlem olacaktır. Kaba kuvvet saldırılarına karşı belirtilen önlemin yanı sıra kaba kuvvet algoritmaları (BFA) kullanılarak kullanıcı adı veya şifre denemelerini sınırlandırmak olası saldırganın kaba kuvvet saldırısını büyük ölçüde durdurmuş olacaktır. Trafiğin şifreli olarak iletilmesi ve ağ üzerinde düzenli taramaların yapılması da mevcut risklerin tespitinde veya olası tehlikelere karşı sistemin güvenliğini arttıracaktır.

2.2.2 Kişisel Veri Güvenliğinin Takibi

İlgili sistem altyapısında tespit edilemeyen bir saldırı sonucunda sistem içerisine kötü amaçlı yazılımlar, arka kapılar (backdoor), vs. ile enfekte olmuş olabilir. Böyle bir durumda en büyük sorun bu sızıntının farkına varamamaktır. Düzenli olarak ağ üzerinde hangi servislerin ve yazılımların çalıştığının kontrolü, ağ üzerinde olmaması gereken bir durumun varlığının araştırılması, sistem yetkisi olanların sistem üzerinde hareketlerinin kayıt olarak tutulmasının yanı sıra tüm kullanıcıların işlem hareketlerinin tutulması ve herhangi bir güvenlik yazılımının bildirimlerinin kontrol edilmesi gerekmektedir. Bu aşamada sızma testlerinin faydası büyük önem taşımaktadır. Herhangi bir izinsiz erişim ve ihlal durumunda bu deliller raporlanmalı ve güvenli bir şekilde saklanmalıdır.

2.2.3 Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması

Verilerin saklandığı fiziksel alanların herhangi güvenlik ihlaline karşın korunması aynı zamanda, dış etkenlere (yangın, sel vb.) karşıda uygun önlemlerin alınması gerekir. Sistem dahilinde bulunan çalışanların kişisel elektronik cihazlarının verilerin olduğu ağda olması büyük risk teşkil eder. Bu nedenle ağların fiziksel olarak ayrılması gibi tedbirlerin alınması gerekmektedir. Herhangi bir veri depolama aygıtının çalınma veya kaybolma gibi risklere karşı saklı ve gizli ortamlarda tutulması gerekir. Ayrıca veri içeren ortamın (Harddisk, USB Bellek vb.) şifrelenmesi de izinsiz bir kişinin içeriği okumasını belirli bir düzeyde engellemiş olur.

2.2.4 Kişisel Verilerin Bulutta Depolanması

Verilerin bulut sisteminde depolanması riskli bir tercih olmasıyla beraber bulut depolamayı kullanacak veri sorumlusunun gerekli tedbirleri alması gerekmektedir. Veri sorumlusunun kullanılan bulut sistemi sağlayıcısının güvenliğinden emin olması, bulut sistemine erişimin iki adımlı doğrulama yöntemi ile sağlanması, verilerin buluta şifreli şekilde depolanmasından sonra bulut sistemiyle ilişiğinin bitmesi durumunda verileri açabilmek için oluşturulan anahtarların yok edilmesi gibi önlemlerin kesin olarak alması gerekmektedir.

2.2.5 Bilgi Teknolojilerinin Tedariği, Geliştirme ve Bakımı

Sistemlerin donanımsal yada yazılımsal iyileştirmeleri, güncellenmesi ve/veya herhangi bir duruma bağlı olarak arızalanan sistemin onarımı süreçlerinde güvenlik önlemleri alınmalıdır. Bahsi geçen süreçlerin takibi sağlanmalı ve herhangi bir hata veya arıza anında verilerin kaybolmaması için gerekli tedbirler alınmalıdır. Arızalanmış sistemler eğer ki üçüncü kurumlara (satıcı, üretici vb.) gönderilecekse sistem içerisindeki verilerin bulunduğu donanım alınmalı ve saklanmalıdır.

2.2.6 Kişisel Verilerin Yedeklenmesi

Herhangi beklenmedik bir duruma karşı (ÖR: kaybolma, çalınma, zarar görme, saldırı sonucu verilere ulaşamama) veri sorumlusunun yedeklenen veri ile veri kaybını en aza indirgemesi gerekir. Çokça karşılaşılan fidye yazılımları (ransomware) verileri şifreleyip kullanılamaz hale getirebilir. Bu ve bunun gibi durumlara karşı güvenliği sağlamak amacıyla yedekleme yapılmalıdır. Yedeklenen verilerin güvenliği ön planda tutulup sadece belirli kişilerin erişimine açılması gibi önlemlerin alınması şarttır.

6698 sayılı KVKK (Kişisel Verilerin Korunması Kanunu) kapsamında belirtilen idari ve teknik tedbirlerin alınması, takibinin sağlanması, güncel tutulması gibi yukarda açıklanan aşamaların düzenli şekilde tekrar etmesi fazlaca önem teşkil etmektedir. Bu yazı hazırlanırken KVKK Kişisel Veri Güvenliği Rehberinden yararlanılmış olup kanun bünyesinde bulunan maddeler esas alınmıştır.

Adli Bilişim Uzmanı özel bilirkişiler tarafından HMK 293. maddesine göre uzman görüşü (mütalaa) / özel bilirkişi raporu alabilirsiniz. Bu hizmetimizden yararlanmak için lütfen bize ulaşın

İlgili Yazılar

DES-619_BlogHeader_PassTheTicket-1167x500

Pass The Ticket

Yazar: Onur Savaş Pass-the-ticket saldırısı, Windows Active Directory ortamında bilet adı verilen kimlik doğrulama bilgilerinin çalınmasını ve yeniden kullanılmasını içeren bir...
adli-bilisimin-onemi

Adli Bilişimin Önemi

Küçük yerel bir işletme veya dünya devi bir şirket fark etmez, kurumsal yapının omuriliği bilgi işlem altyapısıdır. Mahiyetine bakmaksızın, bilgi...
dijital-delil-tespiti-nasil-istemeliyim

Dijital Delil Tespiti Nasıl İstemeliyim?

Dijital Delil Tespiti Nasıl İstemeliyim? Türkiye’de veya dünyanın neresinde olursa olsun, ADALET önemli bir yapı taşıdır. İnsanların yaşadıkları toplumlarda hava...