Bankacılıkta İç Tehdit ve Dolandırıcılık: 2019/352 Sayılı Karar Analizi
Kişisel Verileri Koruma Kurulu (Kurul), 26/11/2019 tarihli bu kararıyla, bankacılık sektöründe “iç tehdit” (insider threat) olarak adlandırılan, çalışanların yetkilerini kötüye kullanarak veri sızdırması olayını cezalandırmıştır. Karar, teknik önlemlerin (DLP sistemleri vb.) sadece var olmasının yeterli olmadığını, bu sistemlerin kötü niyetli girişimleri engelleyecek etkinlikte kurgulanması gerektiğini tescil etmektedir.
1. Olayın Özeti: Banka Personeli Aracılığıyla Dolandırıcılık
Olay: Bir banka personeli, banka sistemlerine erişim yetkisini kötüye kullanarak 6 müşterinin kritik bilgilerini (nüfus cüzdanı örnekleri, hesap bakiyeleri, kimlik ve iletişim bilgileri) şahsi e-posta adresine göndermiştir.
- Vahamet: Sızdırılan bu bilgiler kullanılarak sahte belgeler düzenlenmiş ve bir müşterinin hesabından yüksek miktarda para çekilerek dolandırıcılık yapılmıştır.
- Banka Tarafından Atılan Adımlar: Banka, personelin iş akdini feshetmiş, savcılığa suç duyurusunda bulunmuş ve dolandırılan müşterilerin maddi zararlarını tazmin etmiştir. Ancak tüm bu “olay sonrası” düzeltmeler, bankanın “olay öncesi” veri güvenliği yükümlülüğünü ortadan kaldırmamıştır.
2. Kurulun Hukuki Değerlendirmesi: “Zayıf Filtreler İhlali Engellemez”
Kurul, bankanın teknik altyapısındaki “etkisizlik” noktalarını şu şekilde analiz etmiştir:
A. DLP (Veri Sızıntısı Önleme) Sisteminin Yetersizliği
Banka, veri sızıntısını önleyen sistemlere sahip olduğunu savunmuştur. Ancak bu sistemlerin sadece “belirli bir adedin üzerindeki kredi kartı numarasını” filtrelemek üzere kurulduğu anlaşılmıştır.
- Kusur: Kurul, kötü niyetli bir kişinin tek tek veya azar azar veri sızdırarak bu tür filtreleri kolayca aşabileceğini belirtmiştir. Sistemlerin, personelin kritik verileri (nüfus cüzdanı görüntüsü gibi) şahsi e-postasına atmasını engelleyememesi, teknik tedbirlerin yetersizliğinin kanıtı sayılmıştır.
B. Denetim ve İzleme Eksikliği
Personelin müşterilerin bilgilerini “mesnetsiz” (iş gereği olmaksızın) görüntüleyebilmesi ve bu verileri dışarı çıkarabilmesi, bankanın çalışan faaliyetleri üzerindeki izleme (logging) ve denetim mekanizmalarının etkin çalışmadığını göstermektedir.
C. Gecikmeli Bildirim
Banka, ihlali tespit ettikten sonra Kurul’a bildirimi, 2019/10 sayılı Kurul kararında belirlenen 72 saatlik (en kısa sürede) süre içerisinde yapmamıştır.
3. Karar Sonucu: Toplam 100.000 TL İdari Para Cezası
Kurul inceleme neticesinde;
- Veri Güvenliği Yükümlülüklerinin İhlali (Md. 12/1): Kritik verilerin sızdırılmasını önleyecek yeterli teknik ve idari tedbirlerin alınmaması nedeniyle 70.000 TL,
- Geç Bildirim (Md. 12/5): İhlalin 72 saat içinde Kurul’a bildirilmemesi nedeniyle 30.000 TL,olmak üzere toplam 100.000 TL (2019 yılı değerleri) idari para cezası uygulanmasına karar vermiştir.
4. Özgür Eralp Perspektifi: “Teknik Tedbir Bir Dekor Değil, Bir Kalkan Olmalıdır”
Bilişim hukuku alanındaki tecrübemizde, kurumların “DLP sistemimiz var, ISO 27001 belgemiz var” diyerek kağıt üzerinde güvende hissettiklerini görüyoruz. Ancak bu karar gösteriyor ki; bir personelin nüfus cüzdanı fotokopisini Gmail adresine atmasını engelleyemeyen bir sistem, bankacılık gibi kritik bir sektörde “yok” hükmündedir.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Bankalar ve finans kuruluşları, sadece siber saldırganlara değil, kendi içlerindeki “yetkili kullanıcılara” karşı da tetikte olmalıdır. “Sayı sınırı” olan filtreler (örneğin: 10 taneden az kredi kartı geçerse engelleme) siber güvenlikte artık bir önlem değil, sadece bir zahmettir. Gerçek güvenlik; davranışsal analiz, veri sınıflandırma ve “sıfır güven” (zero trust) prensipleriyle sağlanır. Müşteri zararını tazmin etmek bankayı hukuk mahkemelerinde kurtarabilir ancak KVKK nezdindeki “idari ihmal” cezasını engellemez.
Sıkça Sorulan Sorular
1. Banka personeli neden benim kimlik bilgilerimi görebiliyor?
İşlemlerinizi gerçekleştirmek için personelin belirli bir yetkiyle bu verilere erişmesi gerekir. Ancak KVKK uyarınca bu erişim “işin gerektirdiği kadar” (need-to-know) olmalı ve her erişim mutlaka kayıt (log) altına alınmalıdır.
2. Bankada yaşanan sızıntı sonucu dolandırılırsam ne yapmalıyım?
Öncelikle bankaya başvurarak zararınızın tazminini isteyin (bu karardaki banka tazmin etmiştir). Eğer banka yanaşmazsa, bu tür Kurul kararlarını delil göstererek Tüketici Mahkemelerinde tazminat davası açabilirsiniz.
3. “72 Saat Kuralı” ne zaman başlar?
Süre, veri sorumlusunun (bankanın) ihlali öğrendiği andan itibaren başlar. Hafta sonu veya resmi tatil bu süreyi durdurmaz.
4. 100.000 TL ceza böyle bir dolandırıcılık için az değil mi?
Karar 2019 yılına aittir. O dönemki yasal sınırlar ve bankanın iyi niyetli olarak zararı tazmin etmesi bu rakamda etkili olmuştur. 2026 yılındaki güncel limitlerle bu ceza milyonlarca lirayı bulabilmektedir.
5. Bir banka e-postalarımı nasıl kontrol ediyor?
Kurumsal e-posta sistemleri “DLP” denilen yazılımlarla taranır. Bu yazılımlar kredi kartı numarası, TCKN veya “gizli” ibaresi gibi verileri yakaladığında e-postanın dışarı çıkmasını engeller. Bu karardaki temel eleştiri, bu taramanın çok yüzeysel kalmasıdır.
Kaynaklar
- KVKK Kurumu – 2019/352 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 12 ve 18)
- Kurul’un 24/01/2019 Tarihli ve 2019/10 Sayılı “Veri İhlal Bildirim Formu ve Usulleri” Kararı
Etiketler
KVKK, Banka Veri İhlali, DLP, Veri Sızıntısı Önleme, İç Tehdit, Dolandırıcılık, İdari Para Cezası, 2019/352 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, 72 Saat Kuralı, Veri Güvenliği, Müşteri Hakları
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),