Turizm Sektöründe “Fiziksel Güvenlik” Zafiyeti ve Veri İhlali: 2019/255 Sayılı Karar Analizi
Kişisel Verileri Koruma Kurulu (Kurul), 27/08/2019 tarihli bu kararıyla, bir turizm şirketinde yaşanan ve “içeriden dışarıya” yayılan siber saldırıyı cezalandırmıştır. Kararın en can alıcı noktası, dijital güvenliğin sadece şifrelerden ibaret olmadığını; ofis içindeki fiziksel alanların ve bilgisayarların kontrolünün de veri güvenliğinin (Md. 12) ayrılmaz bir parçası olduğunu tescil etmesidir.
1. Olayın Özeti: Ofisteki Bilgisayardan Sızan Tehlike
Olay: Şirketin genel/ortak kullanım alanlarında bulunan bir çalışan bilgisayarına, üçüncü bir şahıs fiziksel olarak erişmiş ve çalışan şifrelerini ele geçirerek yerel ağa (LAN) sızmıştır. Saldırgan, sistemde kalıcı olabilmek için bir sunucuya uzaktan erişim yazılımı yüklemiş ve daha sonra şirketten ayrılarak dışarıdan verileri ele geçirmeye devam etmiştir.
- Sızan Veriler: * Personel: Ad-soyad, TCKN, adres, banka hesap bilgileri, medeni durum ve aile bilgileri.
- Müşteri: Ad-soyad, telefon, e-posta, kredi kartı numarası ve son kullanma tarihi (şifreli olmasına rağmen), TCKN/Pasaport No.
- Ağır Hasar: Saldırgan sistemden ayrılmadan önce sunucu üzerindeki verileri geri getirilemez şekilde yok etmiştir.
2. Kurulun Hukuki Değerlendirmesi: “İhmaller Zinciri”
Kurul, şirketin teknik ve idari altyapısını “olay sonrası” düzeltmelerini bir savunma olarak kabul etmemiş ve şu zafiyetleri sıralamıştır:
A. İdari Tedbirlerin Yokluğu (Fiziksel Güvenlik)
Genel alanlarda bulunan ve kritik ağlara erişimi olan bir bilgisayarın, üçüncü kişilerin erişimine açık bırakılması en temel idari tedbirsizliktir. Ayrıca, personelin veri güvenliği eğitiminin ihlalden sonra verilmiş olması, şirketin bu konuda bir farkındalık kültürü oluşturmadığını kanıtlamıştır.
B. Teknik Tedbirlerin Yetersizliği
- Güvenlik Duvarı (Firewall): Şirketin güvenlik duvarının güncel olmadığı, ihlalden sonra yenilendiği tespit edilmiştir.
- Sızma Tespiti: Bilişim ağındaki olağandışı hareketlerin (uzaktan erişim yazılımı yüklenmesi vb.) sistem tarafından otomatik olarak değil de, diğer birimlerdeki personelin şüphelenmesiyle (manuel) fark edilmesi, IT sistemlerinin düzgün işlemediğini göstermektedir.
C. Bildirim Yükümlülüğünün İhlali
Şirket, hem Kurul’a bildirimi “en kısa sürede” yapmamış hem de etkilenen personeline ve müşterilerine herhangi bir bildirimde bulunmamıştır. Bu durum, KVKK Madde 12/5’e doğrudan aykırıdır.
3. Karar Sonucu: Toplam 500.000 TL İdari Para Cezası
Kurul inceleme neticesinde;
- Veri Güvenliği Yükümlülüklerinin İhlali (Md. 12/1): Fiziksel güvenlik zafiyeti, güncel olmayan firewall ve yetersiz denetim nedeniyle 400.000 TL,
- Bildirim Yükümlülüğünün İhlali (Md. 12/5): Kurul’a geç bildirim yapılması ve ilgili kişilere hiç bildirim yapılmaması nedeniyle 100.000 TL,olmak üzere toplam 500.000 TL (2019 yılı değerleri) idari para cezası uygulanmasına karar vermiştir.
4. Özgür Eralp Perspektifi: “Bilgisayarı Kilitlemek En İyi Firewall’dur”
Bilişim hukuku alanındaki tecrübemizde, şirketlerin milyonlarca lira siber güvenlik yazılımına para harcayıp, resepsiyondaki veya lobi alanındaki bilgisayarı “ekran kilidi” bile olmadan bırakmalarına şahit oluyoruz. Kurul’un bu kararı, güvenliğin sadece kodlarla değil, fiziksel önlemlerle başladığını gösteren harika bir derstir.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Şirketinizdeki “Bilgi İşlem Birimi”nin ihlali diğer çalışanlardan öğrenmesi, o şirkette IT yönetiminin çöktüğünün resmidir. Ayrıca, verilerin saldırgan tarafından “silinmesi”, verinin sızması kadar ağır bir ihlaldir; çünkü veri sorumlusunun en büyük görevi o veriyi muhafaza etmektir. Yedekleme stratejiniz yoksa ve fiziksel güvenliği ihmal ediyorsanız, siber saldırganlar için “açık büfe” sunuyorsunuz demektir.
Sıkça Sorulan Sorular
1. Ofiste bilgisayarımı açık bırakıp kahve almaya gitmem suç mu?
KVKK kapsamında bu bir “idari tedbirsizliktir.” Eğer bu bilgisayardan bir sızıntı yaşanırsa şirket ceza alır, şirket de bu zararı size (ihmaliniz nedeniyle) rücu edebilir.
2. Turizm şirketleri kredi kartı bilgilerimi neden tutuyor?
Rezervasyon ve ödeme garantisi için bu veriler işlenebilir. Ancak Kurul’un bu kararda belirttiği gibi, bu verilerin veritabanı seviyesinde şifreli (encrypted) olması bile tek başına yeterli değildir; erişim yetkilerinin de kısıtlanması gerekir.
3. “Verilerin geri getirilemez şekilde silinmesi” neden ceza sebebidir?
KVKK Madde 12/1-c uyarınca veri sorumlusu verilerin “muhafazasını sağlamak” zorundadır. Verinin yok olması, veri bütünlüğünün ve erişilebilirliğinin kaybolması demektir.
4. Kurul neden 500.000 TL gibi yüksek bir ceza verdi?
2019 yılındaki yasal üst limitler dahilinde; hem müşterilerin hem personelin çok geniş yelpazedeki verilerinin etkilenmesi ve şirketin bildirim yapmaması “ağır kusur” olarak görülmüştür.
5. Bir siber saldırı olduğunda ilk ne yapmalıyım?
Saldırıyı durdurun, delilleri karartmadan kayıtları (log) saklayın ve en geç 72 saat içinde Kurul’a “Veri İhlal Bildirimi” yapın. İlgili kişilere (müşteri/personel) SMS veya e-posta ile mutlaka haber verin.
Kaynaklar
- KVKK Kurumu – 2019/255 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 12 ve 18)
- Kişisel Veri Güvenliği Rehberi (İdari Tedbirler)
Etiketler
KVKK, Turizm Sektörü, Siber Saldırı, Yerel Alan Ağı (LAN), Fiziksel Güvenlik, İdari Para Cezası, 2019/255 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Veri Yok Edilmesi, Geç Bildirim, Personel Eğitimi, Güvenlik Duvarı (Firewall)
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),
