Kişisel Verileri Koruma Kanununa Uyum Çalışmalarının Karanlık Yönleri
Bilindiği gibi KVKK çalışmaları idari ve teknik tedbirler çalışmalarından oluşuyor. Gelinen son noktada idari tedbirler tarafında çalışmalarını bitiren firmalar bilmeli ki verbis kayıtlarının ekserisi hatalı veya beyanlar hatalı. Nereden mi biliyorum? Kuru kararı:
“VERBİS veri tabanı üzerinden özellikle son günlerde iletilen bildirimlerle ilgili olarak yapılan araştırmada, bazı bildirimlerde işlendiği beyan edilen kişisel verilerle işleme amaçlarının, aktarım gerçekleştirildiği beyan edilen alıcı/alıcı gruplarının, veri konusu kişi gruplarının, alınan teknik ve idari tedbirlerin, özel nitelikli kişisel veriler için alınması gereken yeterli önlemlerin, yurtdışına veri aktarımının ve saklamaya ilişkin beyan edilen sürelerin örtüşmediği, bu konuda ciddi yanlışlıkların ve Kanuna/yönetmeliklere aykırılıkların olduğu görülmektedir.
Bu durumun nedenlerinden birisinin de Kanunun 18 inci maddesinde öngörülen yaptırımlarla karşılaşmamak adına Kurul tarafından belirlenen süre içerisinde bir kayıt gerçekleştirmek olduğu anlaşılmaktadır ”[1].
Yani kurum verbis kayıtlarına bakarak yaptırım uygulamak ve ceza vermek yerine süreyi uzattı. Dolayısı ile yapılan verbis kayıtlarında yönetmeliklere aykırılık mevcut.
Karanlık taraflardan biri şu: İdari tedbirler çalışması yapıp verbis kaydı yapanlar bunun farkında mı? Acaba yanlış ve eksik yapılan bildirimler düzeltildi mi veya düzeltilecek mi?
İdari tedbirler tarafında yapılan yanlışlardan biri de idari tedbirler aşamasında yapılan veri envanteri gibi bazı çıktıların teknik tedbirlere girdi olacağının bilinmemesi veya göz ardı edilmesi.
KVKK teknik tedbirler dokümanında ki
- Yetki Kontrolü
- Saldırı tespiti
maddeleri için veri envanteri girdilerden biridir.
Dijital veri envanteri çıkmadan, teknik tedbirler tamamlanmadan, kanunun gerektirdiği durumda kişisel verileri bulmak, imha etmek ve anonim hale getirmekle ilgili altyapı kurulmadan KVKK uyum süreci tamamlanmış olur mu? Yoksa KVKK uyum sürecininden anlaşılan sadece verbise girecek bir şeylerin kağıt üzerinde çıkmış olması mıdır?
KVKK çalışmalarında ürün değil çözüm bulun.
Ezber yada birbirinin kopyası öneriler yapanlar varsa dikkat edin ve yorum yapın. Örnek olarak ben bir yorum yapayım. Teknik tedbirler tablosunda “Veri Kaybı Önleme Yazılımları” diyor. Birden fazla DLP yazılımını kullanamayıcıgımıza gore neden “ları”? O zaman DLP alıp Veri Kaybı Önleme Yazılımları kullanıyoruz demek sizi veri kaybından veya cezadan kurtarır mı? Buna da yine KVKK kurul kararından örnek vereyim. Kurul yazılan DLP kuralının veri kaybını önlemeye yeterli olmadığını şöyle net olarak ifade etmiş “Kredi Kartı numarası içeren e-postaların Banka dışına gönderilmek istenmesi durumunda, kart sayısı belirli bir adedin üzerinde ise bu e-postanın karantinaya alındığı ve gönderilemediği” tedbirinin bu tür ihlaller konusunda kötü niyetli kişilerce kolayca aşılabilecek düzeyde olduğu ” [2]. Yani ezber veya kopya çözüm olan bizde DLP var yaklaşımı veya cavabının haklı olarak çalışmadığını kurul net ifade etmiş. Burada danışman ve çözüm sunanların yapması gereken yorum ne olmalı idi? Olası yorumlardan biri: DLP ye her kredi kartı içeren mail gönderimi için logu SIEM e gönder deyip SIEM de herhang bir kullanıcının mail aktivitelerinde anormallik varsa tespit et denebilirdi.
Teknik tedbirler çalışasında danışmanınız veya çözüm ortağınız veya size ürün satan firma Veri Kaybı Önleme Yazılımları maddesi için sadece DLP yi gözünüze sokuyorsa yukarıdaki bilgiler ışığında değerlendirin ki karanlık nokta kalmasın.
Teknik tedbirler tarafında karanlık noktalar daha çok. En çok yapılan yanlış ise ezber yada birbirinin kopyası yöntemlerin nerdeyse her şirkette aynı şekilde uygulanması.
Kolaycılık veya kopyala yapıştır çözümler bilgi güvenliğinde çalışmaz.
Eğer teknolojileri bilmeden bu işe soyunursak ne olur. Örnek bir veri kaybı senaryosu:
Veritabanına yetkisiz bir erişim sağlayıp (yetki kontrolu açımı, bute force vb..) kişisel veri sorgusunun sonucunun fotoğrafını çekti ve aldı eve gitti.
Eğer veri kaybı önlemeyi sadece DLP sanıyorsanız veya danışmanınız öyle sanıyorsa bunu DLP ile nasıl engelleyeceksiniz?
Başka bir senaryo:
“IT departmından biri personel maaşlarını görmek için kendini IK grubuna ekliyor ve maaş bilgilerini görüyor.”
Yani ben zaten AD kullanıyorum dolayısı ile yetki kontrolü yapıyorum dememek lazım. Buna da çözüm üretmek lazım.
İdari ve teknik tedbirleri neden ezbere veya kopyala yapıştır olarak yapmamalıyız? KVK kurul kararından bir örnek
“Güvenlik duvarının ihlal gerçekleştikten sonra yenilenmesinin sağlandığı ve güvenlik duvarının güncel durumda bulunmamasının teknik bir eksiklik olduğu” [3].
Referanslar
