Test Sunucusundaki İhmalin Bedeli: Sigorta Şirketine 330.000 TL Ceza (Karar: 2020/905)
Kişisel Verileri Koruma Kurulu (Kurul), 24/11/2020 tarihli bu kararıyla, bilişim dünyasındaki en büyük yanılgılardan birini hedef almıştır: “Test sunucuları güvenli bölgedir.” Karar, test ortamlarında gerçek kişisel verilerin kullanılmasının risklerini ve bu sunucuların ana sistemler kadar sıkı korunması gerektiğini tescil etmektedir.
1. Olayın Özeti: Fidye Yazılımı ve Silinen Veri Tabanı
Olay: Bir sigorta şirketinin internet sayfasının bulunduğu test sunucusu siber saldırıya uğramıştır. Saldırganlar, test sunucusuna yetkisiz erişim sağlayarak mevcut veri tabanını silmiş ve yerine fidye talebi içeren yeni bir veri tabanı yüklemişlerdir.
İhlalin Detayları:
- Etkilenen Veriler: T.C. kimlik numarası, isim, soyisim, e-posta ve araç plaka bilgileri.
- Etkilenen Sayısı: 311 kişi.
- Siber Saldırı Yöntemi: “Brute Force” (Kaba Kuvvet) denemeleriyle kullanıcı giriş ekranından sisteme girilmiştir. Saldırgan sadece 7 denemede başarılı olmuştur.
2. Kurulun Hukuki Değerlendirmesi: “Teknik Tedbir Eksiklikleri Zinciri”
Kurul, veri sorumlusunun teknik altyapısını ve prosedürlerini inceleyerek ağır ihmaller tespit etmiştir:
A. Test Sunucularının Sızma Testi Dışında Tutulması
Şirketin kendi iç prosedürlerinde sızma testi zorunluluğu olmasına rağmen, saldırıya uğrayan test sunucusu yıllık sızma testi (pentest) kapsamına alınmamıştır. Bu durum, “ihtiyaç duyulan her sistemin kontrol edilmesi” kuralının ihlalidir.
B. Test Ortamında Gerçek Veri Kullanımı
İhlalin en kritik noktası, test işlemleri için gerçek müşteri verilerinin kullanılmış olmasıdır.
- Kritik Tespit: Kurul, şirketin ihlalden sonra test işlemlerini gerçek veri kaydetmeden yapabildiğini görmüştür. Eğer bu teknoloji ihlalden önce kullanılsaydı, saldırı olsa bile bir kişisel veri ihlali oluşmayacaktı.
C. Zayıf Parola ve Erişim Güvenliği
Saldırganın sadece 7 denemede sisteme girebilmesi, kullanılan parolaların karmaşıklıktan uzak ve zayıf olduğunu göstermiştir. Ayrıca, test sunucusuna erişimde İki Faktörlü Kimlik Doğrulama (2FA) veya SSL VPN gibi güvenli yöntemlerin kullanılmaması büyük bir teknik zafiyet olarak not edilmiştir.
D. Şifreleme Eksikliği (Data at Rest)
T.C. kimlik numarası gibi kritik verilerin veri tabanında şifrelenmeden (clear text) tutulması, veriler çalınsa bile olumsuz etkileri azaltacak önlemlerin alınmadığını kanıtlamıştır.
3. Karar Sonucu: Toplam 330.000 TL İdari Para Cezası
Kurul inceleme neticesinde iki ayrı başlıkta ceza uygulamıştır:
- Veri Güvenliği Yükümlülüğü (Md. 12/1): Test sunucusunda gerekli korumayı sağlamamak, zayıf parola kullanmak ve testlerde gerçek veri kullanmak gibi ihmaller nedeniyle 300.000 TL,
- Bildirim Yükümlülüğü (Md. 12/5): İhlali tespit ettikten sonraki 72 saatlik yasal süreyi aşmak ve etkilenen kişilere doğrudan bildirim yapmak yerine sadece web sitesinde duyuru yayınlamak nedeniyle 30.000 TL,olmak üzere toplamda 330.000 TL (2020 yılı değerleri) idari para cezası uygulanmasına karar verilmiştir.
4. Özgür Eralp Perspektifi: “Test Sunucusu, Güvenliğin Arka Kapısı Olmasın”
Bilişim hukuku ve siber güvenlik tecrübemizde, yazılımcıların ve BT ekiplerinin “hızlı hareket etmek” adına test sunucularında güvenlik duvarlarını gevşettiğini veya gerçek verilerle deneme yaptığını sıkça görüyoruz. Bu karar, BT departmanları için bir manifestodur: Veri tabanınızda korumadığınız tek bir “unutulmuş” sunucu, tüm şirketin yasal sorumluluğuna mal olabilir.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Şirketler, test süreçlerinde mutlaka “Maskelenmiş” veya “Sentetik” veri kullanmalıdır. Gerçek T.C. kimlik numaralarını bir test sunucusuna kopyalamak, o veriyi savunmasız bir cepheye sürmektir. Ayrıca, “logları inceliyorduk o yüzden 72 saati geçirdik” savunması Kurul nezdinde geçerli değildir. İhlal tespit edildiği an, tüm detaylar bilinmese dahi Kurul’a ön bildirim yapılmalıdır.
Sıkça Sorulan Sorular
1. Yazılım testi yaparken gerçek müşteri verilerini kullanabilir miyiz?
KVKK’nın temel ilkeleri uyarınca hayır. Eğer teknik olarak mümkünse (ki bu kararda mümkün olduğu belirtilmiştir), testler sahte veya anonimleştirilmiş verilerle yapılmalıdır. Gerçek veri kullanımı “ölçülülük” ve “veri azaltımı” ilkelerine aykırıdır.
2. Şirket web sitesinde duyuru yaptı, bana ayrıca mail atmalı mı?
Evet. Eğer ihlalden etkilenen kişiler (311 kişi gibi) belirlenebiliyorsa, veri sorumlusu bu kişilere doğrudan (SMS, e-posta vb.) bildirim yapmalıdır. Sadece web sitesinde genel duyuru yapmak yasal bildirim yükümlülüğünü tam olarak karşılamaz.
3. Test sunucusu ana sistemden ayrıysa yine de sorumlu muyuz?
Evet. İçinde kişisel veri barındıran ve şirket ağınıza veya internete bağlı olan her türlü dijital ortamdan veri sorumlusu olarak siz mesulsünüz.
4. 330.000 TL ceza 2026’da ne kadar olur?
Yeniden değerleme oranları ile 2020 yılındaki bu ceza, günümüzde (2026) milyonlarca lirayı bulan ve orta ölçekli bir sigorta şirketinin yıllık kârını ciddi şekilde etkileyebilecek bir seviyeye ulaşmıştır.
5. Saldırganın 7 denemede girmesi ne anlama gelir?
Bu, “123456” veya “ŞirketAdı2020” gibi çok basit parolaların kullanıldığını veya sistemde “hesap kilitleme” (belirli sayıda hatalı girişte engelleme) özelliğinin aktif olmadığını gösterir. Bu, KVKK rehberlerindeki en temel teknik hata örneklerinden biridir.
Kaynaklar
- KVKK Kurumu – 2020/905 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 12, 18)
- Kurulun 24.01.2019 Tarihli ve 2019/10 Sayılı İlke Kararı (72 Saat Bildirimi)
Etiketler
KVKK, Sigorta Şirketi İhlali, Test Sunucusu Güvenliği, Siber Saldırı, Fidye Yazılımı, 72 Saat Kuralı, İdari Para Cezası, 2020/905 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Veri Maskeleme, Brute Force Saldırısı
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),