ING Bank Örneğinden Çıkaracağımız KVKK-SIEM Dersi Nedir?

SIEM in sadece log tutmaktan ibaret olmadığı konusuna defalarca değinmiştik. [1]

Diğer bir makalede de[2] sadece log toplamak yeterli değil. Sadece alarm da yeterli değil. Alarmların amaca yönelik yani KVKK yetki kontrolünü de içerecek şekilde olması lazım demiştik.

Ayrıca peki yetki kontrolü içeren alarmlar nedir? Bütün SIEM çözümlerinde bu alarmlar sağlanabilir mi? diye de sormuştuk.

Yetki Kontrolü ile ilgili aşağıdaki gibi kontrollere ihtiyacımız olduğunu da belirtmiştik.

Özel nitelikli kişisel verilerin olduğu sunucuya ertugrul.akbas kullanıcısı sadece 192.168.1.137, 192.168.1.200,192.168.1.10 IP lerinden erişebilir. Başka bir yerden bağlantı isteği gelirse alarm üret.

Şimdi de KVKK kurumunun ING Bank ile ilgili Kamuoyu Duyurusundan aşağıdaki paragrafa bakalım.

Veri sızıntısına neden olan şahsın ING Bank A.Ş.’nin uygulaması olan Finsoft sisteminde üzerinde tanımlı yetkileri uyarınca Ticari Nitelikli Kredi Bildirimi ve Paylaşımı (KRM) sorgusu yapamadığı halde, yetkilendirme sistemini devre dışı bırakacak bir yöntem ile yetki aşımı yaparak TBB Risk Merkezi web sitesine Banka kullanıcı olarak doğrudan erişim sağlayabildiği [3]

Ayrıca da teknik tedbirler dokümanında “yetki kontrolü” maddesinin bir yetkilendirme sistemi kurmakla yeterli olmayacağı, ayrıca SIEM ile bunun takibinin yapılması gerektiğini de yazmıştık. [4]

Şimdi yine ING Bank örneğine dönersek, en meşhur, değişik, değişik listelerde lider olan bir SIEM kullanıldığını tahmin ettiğim bu banka bunu nasıl yakalayamadı?

Bunun cevabını da diğer bir makalede vermiş[2] ve aşağıdaki SIEM senaryosunu örnek olarak vermiştik.

“ertugrul.akbas 172.16.0.0, 172.16.1.0,172.16.2.0 IP lerinden birinden Database Server isimli sunucuda kurulu bulunan Database de bulunan Medical Data tablosuna erişebilsin. Başka bir yerden de bu tabloya erişemesin”

Şimdi yukarıdaki senaryo ile KVKK kurumun ING Bank ile ilgili Kamuoyu duyurusundan alınan paragrafa baktığımızda birebir örtüştüğünü görüyoruz.

Yine aynı makalede değindiğimiz gibi “yetkilendirme sistemi kurulması” yeterli değildir. Bu tarz senaryolara sahip bir SIEM ile “yetkilendirme sistemini devre dışı bırakacak bir yöntem ile yetki aşımı yapılırsa” durumu için de bir kontrol olmalı.

Bunun için de KVKK teknik tedbirler dokümanı doğru yorumlanmalı. SIEM i burada sadece log toplama olarak oturtursanız bu tür ihlaller kaçınılmaz olacaktır.

Peki bunlara KVKK projelerinde dikkat ediliyor mu? Dikkat etsek bütün SIEM lerle bu tür yetki kontrolü içeren senaryolar geliştirilebilir mi?

Bu noktada KVKK ile ilgili yetki matrisini önünüze koyup bunları SIEM uygulaması yapan ekibe sormak şart.

Yetki matrisinin nasıl çıkardığımız da ayrıca bir makalenin konusu, ona da aşağıdaki linkten ulaşabilirsiniz.

https://medium.com/%40eakbas/kvkk-kapsam%C4%B1nda-veri-envanteri-ve-veri-envanterinin-yetki-matrisi-ve-yetki-kontrol%C3%BC-a%C3%A7%C4%B1s%C4%B1ndan-81e6a8e52a56

Referanslar

[1] https://medium.com/%40eakbas/kvkk-ile-siem-i%CC%87li%C5%9Fkisi-sadece-log-tutmak-m%C4%B1-97cef9233fa4

[2] https://medium.com/%40eakbas/kvkk-i%CC%87%C3%A7in-siem-ne-demek-ab0a514b449b

[3] https://kvkk.gov.tr/Icerik/5375/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-ING-Bank-A-S-

[4] https://medium.com/%40eakbas/siem-ve-kvkk-teknik-tedbirlerinin-anet-surelog-siem-ile-uygulanmas%C4%B1-e5dfd7dca7dc