Havayolu Sektöründe Çift Yönlü Siber Saldırı: Cathay Pacific Veri İhlali Kararı (2019/144)
Kişisel Verileri Koruma Kurulu (Kurul), 16/05/2019 tarihli bu kararı ile Hong Kong merkezli havayolu devi Cathay Pacific Airways Limited nezdinde gerçekleşen karmaşık bir siber saldırıyı mercek altına almıştır. Karar, saldırganların sistem içinde “yanlamasına” (lateral movement) hareket edebilmesinin ve ihlalin aylar sonra tespit edilmesinin ağır sonuçlarını ortaya koymaktadır.
1. Olayın Özeti: İki Farklı Grup, Tek Hedef
Olay: Mart 2018’de Cathay Pacific’in yolcu bilgi sistemlerine yetkisiz erişim gerçekleşmiştir. Şirket, saldırının doğası gereği iki farklı grubun operasyon yürüttüğünden şüphelenmektedir:
- Birinci Grup: Müşteri Bilgi Sistemine (CIS) ulaşmak için BRIO sunucusunu kullanmış ve ağ içerisinde tespit edilemeden ilerlemiştir.
- İkinci Grup: Web sitesi yönetici konsoluna erişerek Müşteri Sadakat Sistemi ve Online İş Hizmeti Platformu’nun yedek dosyalarını ele geçirmiştir.
- Etki: Türkiye’de yerleşik 1.286 yolcu etkilenmiş, bunlardan 155 kişinin pasaport numarası gibi kritik verileri sızdırılmıştır.
- Sızan Veriler: Yolcu isimleri, uyruk, doğum tarihi, pasaport ve kimlik numaraları, “frequent flyer” üyelik bilgileri ve geçmiş seyahat detayları.
2. Kurulun Hukuki Değerlendirmesi
Kurul, küresel havayolu şirketinin veri güvenliği altyapısındaki zayıflıkları şu şekilde analiz etmiştir:
A. Tespit Süresindeki Gecikme
Saldırı 13 Mart 2018’de başlamış, şirket şüpheli hareketleri Mart ayında fark etmiş ancak ihlalin tam olarak ne olduğunu ancak 07 Mayıs 2018‘de (yaklaşık 2 ay sonra) tespit edebilmiştir. Kurul, bu gecikmeyi denetim ve kontrol mekanizmalarının yetersizliğinin somut bir göstergesi olarak kabul etmiştir.
B. Donanım ve Yazılım Yapılandırma Hataları
Saldırganların ağ içerisinde bir sunucudan diğerine (sadakat sisteminden yönetici konsoluna kadar) serbestçe geçiş yapabilmesi, sistemdeki yazılım ve donanım yapılandırmalarının doğru yapılmadığını kanıtlamaktadır. Kurul, ağ katmanları arasında yeterli izolasyonun bulunmamasını teknik tedbir eksikliği olarak değerlendirmiştir.
C. 5 Aylık Bildirim Gecikmesi
Şirket ihlali Mayıs ayında kesinleştirmiş olmasına rağmen, Kurul’a ve ilgili kişilere bildirimi ancak 25 Ekim 2018‘de (5 aydan fazla bir süre sonra) yapmıştır. KVKK Madde 12/5 uyarınca bu durum “en kısa sürede bildirim” ilkesine ağır bir aykırılıktır.
3. Karar Sonucu: Toplam 550.000 TL Ceza
Kurul inceleme neticesinde;
- Veri Güvenliği Yükümlülüklerinin İhlali (Md. 12/1): Donanım yapılandırma hataları ve ağ güvenliği zafiyetleri nedeniyle 450.000 TL,
- Geç Bildirim (Md. 12/5): İhlalin Kurul’a ve yolculara aylar sonra bildirilmesi nedeniyle 100.000 TL,olmak üzere toplam 550.000 TL idari para cezası uygulanmasına karar vermiştir.
4. Özgür Eralp Perspektifi: “Yedeklerin Çalınması Kaleyi İçten Kaybetmektir”
Bilişim hukuku alanındaki tecrübemizde, Cathay Pacific vakası bize “Ağ Güvenliği”nin (Network Security) önemini hatırlatıyor. Çoğu şirket dış kapıyı (Firewall) çok sıkı tutar ancak içeri bir kez giren saldırganın sunucular arasında “ping-pong” oynamasına engel olamaz. Kurul’un kararında geçen “yatay hareket” (lateral movement) ifadesi, içerideki odaların (sunucuların) kapılarının kilitlenmediği anlamına gelir.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Müşteri verilerinizin “yedeğini” çaldırmak, anahtarın kopyasını saldırgana vermektir. Yedekleme sistemlerinin ana ağdan izole edilmesi ve şifrelenmesi hayati önemdedir. Ayrıca, küresel bir havayolu şirketiyseniz ve 155 Türk vatandaşının pasaport numarasını sızdırdıysanız, bunu Kurul’a bildirmek için 5 ay beklemek hukuken kabul edilemez. Bu gecikme, para cezasından ziyade şirket itibarında onarılması güç çatlaklar yaratır.
Sıkça Sorulan Sorular
1. Cathay Pacific veya Asia Miles üyesiyim, pasaport numaram sızmış mıdır?
Türkiye’de ikamet eden 1.286 kişiden biriyseniz sızmış olabilir. Şirketin açtığı infosecurity.cathaypacific.com adresinden veya doğrudan havayoluyla iletişime geçerek kendi verilerinizin durumunu sorgulayabilirsiniz.
2. “Yatay Hareket” (Lateral Movement) ne demektir?
Saldırganın düşük yetkili bir bilgisayardan ağa girip, sistemdeki açıklar sayesinde daha yüksek yetkili sunuculara (veritabanları, yedekler vb.) adım adım sıçrayarak ilerlemesidir.
3. Pasaport numaramın sızması neden tehlikelidir?
Pasaport numarası, kimlik kartı numarası gibi kalıcı bir tanımlayıcıdır. Bu bilginin çalınması, özellikle yurt dışı seyahatlerde veya finansal işlemlerde “kimlik hırsızlığı” (identity theft) riskini önemli ölçüde artırır.
4. Kurul neden 550.000 TL ceza verdi?
2019 yılındaki yasal tavanlar ve etkilenen kişi sayısı (1.286) dikkate alındığında bu tutar belirlenmiştir. Kurul, sızıntının süresi ve bildirimin çok geç yapılmasını ağırlaştırıcı sebep olarak görmüştür.
5. Mağdur yolcular tazminat alabilir mi?
KVKK tarafından kesilen para cezası kamuya gider. Ancak verileri sızan yolcular, Türkiye’deki genel mahkemelerde şahsi verilerinin güvenliğini sağlayamayan havayolu şirketine karşı maddi ve manevi tazminat davası açma hakkına sahiptir.
Kaynaklar
- KVKK Kurumu – 2019/144 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 12, 15 ve 18)
- Cathay Pacific Veri Güvenliği Bilgilendirme Sayfası
Etiketler
KVKK, Cathay Pacific, Veri İhlali, Pasaport Numarası Sızıntısı, Siber Saldırı, İdari Para Cezası, 2019/144 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Geç Bildirim, Ağ Güvenliği, Lateral Movement, Havayolu Güvenliği
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),