Küresel Bir Devralma ve 4 Yıllık Sızıntı: Marriott-Starwood Veri İhlali Kararı (2019/143)
Kişisel Verileri Koruma Kurulu (Kurul), 16/05/2019 tarihli bu kararı ile tarihin en büyük veri ihlallerinden birini KVKK perspektifinden cezalandırmıştır. Karar, bir şirketi devralırken (Mergers & Acquisitions) sadece finansal tabloların değil, siber güvenlik ve veri varlıklarının da denetlenmesi (Cyber Due Diligence) gerektiğini tüm dünyaya ve Türkiye’deki iştiraklere hatırlatmaktadır.
1. Olayın Özeti: Gizli Kalan Truva Atı
Olay: 2016 yılında Marriott International, bünyesinde Sheraton, Westin ve Aloft gibi markaları barındıran Starwood Hotels’i devralmıştır. Ancak Starwood’un misafir rezervasyon veritabanında Temmuz 2014’ten beri süregelen bir yetkisiz erişim olduğu, Marriott tarafından ancak Eylül 2018’de fark edilmiştir.
- İhlalin Süresi: Yaklaşık 4 yıl boyunca saldırganlar ağda kalmıştır.
- Yöntem: Saldırganlar web sunucusuna bir komut istemi ve ardından uzaktan erişim sağlayan bir Truva Atı (RAT) yükleyerek ağda yayılmışlardır.
- Etki: Dünya genelinde yüz milyonlarca, Türkiye’de ise yaklaşık 1.24 milyon müşteri kaydı bu ihlalden etkilenmiştir.
2. Kurulun Hukuki Değerlendirmesi
Kurul, sızıntının devasa boyutu ve süresi karşısında şu ağır tespitlerde bulunmuştur:
A. Denetim ve Kontrol Eksikliği
İhlalin 4 yıl boyunca tespit edilememesi, Marriott’un devralma sonrasında Starwood ağında gerekli güvenlik denetimlerini yapmadığını göstermektedir. Kurul, 2014’ten kalma log kayıtlarında ihlalin izleri olmasına rağmen bunun görülmemesini idari ve teknik tedbirlerin yetersizliği olarak tanımlamıştır.
B. Şifrelenmemiş Finansal Veriler
Sistemde pasaport numaraları ve SPG hesap bilgilerinin yanı sıra, çok sayıda şifrelenmemiş ödeme kartı numarası bulunmuştur. Kurul, finansal verilerin şifrelenmeden tutulmasını “sistemin tasarım aşamasından itibaren hatalı kurgulanması” (Privacy by Design ihlali) olarak değerlendirmiştir.
C. “En Kısa Sürede Bildirim” Yükümlülüğü
Marriott, ihlali 08.09.2018 tarihinde tespit etmesine rağmen, Kurul’a ancak 03.12.2018 tarihinde (yaklaşık 3 ay sonra) bildirim yapmıştır. Bu durum, KVKK Madde 12/5’te yer alan “en kısa sürede bildirim” (72 saat kuralı referansı ile) zorunluluğunun açık ihlalidir.
3. Karar Sonucu: Toplam 1.450.000 TL Ceza
Kurul, iki ayrı kalemden Marriott International Inc.’e ceza kesmiştir:
- Veri Güvenliği Tedbirlerinin Alınmaması (Md. 12/1): 4 yıllık sızıntı ve teknik zafiyetler nedeniyle 1.100.000 TL,
- Geç Bildirim (Md. 12/5): İhlalin Kurul’a ve ilgililere geç bildirilmesi nedeniyle 350.000 TL,olmak üzere toplam 1.450.000 TL idari para cezası uygulanmasına karar verilmiştir.
4. Özgür Eralp Perspektifi: “Bir Şirket Alırken Siber Bagajını da Alırsınız”
Bilişim hukuku ve siber güvenlik dünyası için bu karar bir “ders” niteliğindedir. Marriott, Starwood’u satın alırken sadece otel binalarını ve prestijli markaları değil, içindeki 4 yıllık aktif sızıntıyı da satın almıştır. Bu durum, şirket evliliklerinde “Siber Durum Tespiti” (Cyber Due Diligence) yapılmasının ne kadar hayati olduğunu kanıtlıyor.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Şirket satın almalarında IT altyapısını denetlemeden imzayı atmak, pimi çekilmiş bir bombayı kucağınıza almaktır. Log kayıtlarını geriye dönük incelemeyen, veritabanı şifreleme standartlarını kontrol etmeyen bir yönetim, devraldığı şirketin geçmişteki günahlarından da (ve cezalarından da) sorumlu olur. Ayrıca, küresel bir şirket olmanız Türkiye’deki 1.24 milyon vatandaşa karşı sorumluluğunuzu hafifletmez; aksine Kurul’un radarını daha da keskinleştirir.
Sıkça Sorulan Sorular
1. Starwood otellerinde (Sheraton, Westin vb.) kaldım, verilerim çalınmış mıdır?
Eğer 2014-2018 yılları arasında bu otellerde rezervasyonunuz varsa, Türkiye adresli 1.24 milyon kayıt arasında olma ihtimaliniz yüksektir. Marriott’un bu amaçla kurduğu info.starwoodhotels.com (artık pasif olabilir) gibi bilgilendirme kanallarını kontrol etmeniz önerilir.
2. Şirket birleşmelerinde KVKK sorumluluğu nasıl işler?
Bir şirket başka bir şirketi tüm malvarlığı ve borçlarıyla devraldığında, veri sorumlusu sıfatı da geçer. Devralan şirket, eski şirketin sistemlerindeki güvenlik açıklarından ve bunların yol açtığı ihlallerden sorumlu hale gelir.
3. Pasaport ve kredi kartı bilgilerimin çalınması ne gibi riskler doğurur?
Pasaport numarası gibi değişmeyen kimlik bilgileri, kimlik hırsızlığı riskini artırır. Kredi kartı bilgileri ise doğrudan finansal dolandırıcılığa yol açabilir. Bu tür durumlarda bankanızla iletişime geçmek ve kimlik bilgilerinizi izlemek kritik önemdedir.
4. Kurul neden “log kayıtları” (olay günlükleri) üzerinde bu kadar durdu?
Çünkü log kayıtları sistemin “kara kutusu”dur. Bir saldırganın 4 yıl boyunca fark edilmemesi, şirketin bu kara kutuyu hiç okumadığı veya okuyacak bir sistem kurmadığı anlamına gelir; bu da en temel güvenlik ihmalidir.
5. 1.450.000 TL ceza bu boyutta bir ihlal için az değil mi?
Kararın verildiği 2019 yılındaki yasal üst limitler dikkate alındığında, Kurul’un verebileceği en yüksek seviyelerden biri uygulanmıştır. Günümüzde (2026) bu rakamlar yeniden değerleme oranlarıyla çok daha yüksek seviyelere ulaşmıştır.
Kaynaklar
- KVKK Kurumu – 2019/143 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 12 ve 18)
- Marriott International Global Veri İhlali Bildirimleri (2018)
Etiketler
KVKK, Marriott Veri İhlali, Starwood Sızıntısı, Şirket Birleşmeleri ve KVKK, Siber Güvenlik, İdari Para Cezası, 2019/143 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Geç Bildirim, Kredi Kartı Sızıntısı, Truva Atı (RAT), Siber Durum Tespiti
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),