Kişisel Verilerin Korunması Kanununa (KVKK) Güvenlik Bakış Açısı İle Bakmak

Kişisel verilerin korunması kanunu temelde kişisel verilerin elde edilmesi ve bunların güvenli saklanmasını düzenliyor. Bir de şirketlerin geçmişte topladıkları kişisel verilerin kanuna göre yeniden elden geçirilmesini ve gerekenin yapılmasını istiyor.

Eğer kanuna kişisel verilerin güvenliğini sağlamak olarak bakarsak atılması gereken temel adımlar:

1. Eskiden toplanmış kişisel verileri bulmak,
2. Bu verilerden temizlik yapmak
3. Bu verileri koruyacak mekanizmayı kurmak

Kurum güvenlik mekanizmasının nasıl kurulması gerektiğini açıklayan dokümanlar paylaştı ve paylaşmaya devam ediyor. Kurumun yayınladığı ana referans teknik tedbirler dokümanı[1].

Eğer olaya güvenliği sağlamak olarak bakıyorsak bu dokümanı okuyup da onu firewall var mı? DLP aldın mı? SIEM kurdun mu? Sorularına indirgemek/çevirmek yapılan en temel yanlışlık. Burada amaç güvenliği sağlamak, ürünler sadece araç. Araçları iyi seçmez ve iyi kullanamazsak amaca ulaşamayız. Araçları kullanacak olanlar da yetkin insanlardır.

Bir firewall aldığımızda bunu yönetemezsek ne işe yarar? Bir DLP kurduğumuzda bunu işletemezsek ne işe yarar? Bir SIEM aldığımızda bunu kullanmazsak ne ise yarar?

Bu ve benzeri çözümlerin amaçları doğrultusunda seçilmeleri ve ona göre de kullanılmaları gerekir. Seçmek birinci adım ama kullanmak daha önemli ve kritik bir adımdır ve bu adım tümüyle hiç kimseye veya şirkete emanet edilemez.

Mesela bir SIEM çalışması yapıyorsak ve KVKK ya güvenlik bakış açısı ile bakıyorsak veri envanteri, yetki matrisi ve yetki kontrolünü SIEM içinde yoğurup, pişirip bir çıktı elde etmek gerekir. Bu çıktıya örnek olarak aşağıdaki çok temel KVKK yetki kontrolü yapan çok basit olan bir senaryo verilebilir.

SRC ve DST IP si ayni olan makinadan (bir çeşit saldırı, başka tür saldırılar veya herhangi bir saldırı da denebilir) dinamik güncellenen (Yeni bir satış temsilcisi işe başladığında HR veri tabanında bilgisini çekip 192.168.1.12:Ayse.gul:HR_DB:\\\\10.10.100.1\share\hr bilgisini otomatik listeye ekleyen ) kişisel verilere erişim yetki matrisindeki IP,ilişkili kullanıcı ve yetkileri listesini (Örnek liste: 192.168.1.10:Erturgul.Akbas:HR_DB:IT_Asset_DB, 192.168.1.11:hakan.ali:Customers:\\10.10.100.1\share\sales gibi) ihlal edecek şekilde bir olay olursa ve aynı kullanıcı veya IP bunu 24 saatte 2 den fazla (her olayı bilmek istiyorsak da 1 yapılabilir) yapıyorsa tespit et.

Yukarıdaki SIEM kuralı yerli yabancı hiçbir SIEM çözümü ile hazır gelemez. Dolayısı ile KVKK ile ilgili yeterli default SIEM kuralları vardır diye varsaymak hatadır.

Ürün seçimi ile ilgili yine SIEM örneğinden gidersek yukarıdaki senaryoyu her SIEM ürünü ile tespit edilebileceğini varsaymak da hatadır.

Bu Firewall, DLP, Antivirüs bütün güvenlik çözümleri için geçerlidir.

Ürün seçiminde “müşteri beklentisi gelişmedikçe tedarikçilerin nasıl rekabet ettiğinin de gelişmesini beklemek gerçekçi değil.” Buradan hareketle müşteri olarak doğru soruları sorabilmeliyiz ve sorduğumuz soruların doğru cevaplarını da bilebilmeliyiz. Bu Türkiye şartlarında sağlanması en zor şartlardan birisi.

Burada aklımızdan çıkmaması gereken şey: binlerce kez duyduğumuz için artık önemsizleşen “default” güvenlik olmaz gerçeğidir.

Konu güvenlik ise hiç bir özellik, ayar, konu, başlık “default” olarak var/uygun sayılamaz.

Kurum da ürün alıp almadığınıza veya hangisini aldığınıza bakmıyor. Esas ceza durumlar da güvenliği sağlayamamaktan ortaya çıkıyor [3,4,5].

Microsoft’un, Facebook’un, Ingbank’ın ürün olarak eksik bir şeyinin olmadığı aşikâr. Ama kurumun web sayfasındaki listedeler.[3,4,5]

Referanslar

1. https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7512d0d4-f345-41cb-bc5b-8d5cf125e3a1.pdf
2. https://medium.com/%40eakbas/kvkk-kapsam%C4%B1nda-veri-envanteri-ve-veri-envanterinin-yetki-matrisi-ve-yetki-kontrol%C3%BC-a%C3%A7%C4%B1s%C4%B1ndan-81e6a8e52a56
3. https://medium.com/%40eakbas/ing-bank-%C3%B6rne%C4%9Finden-%C3%A7%C4%B1karaca%C4%9F%C4%B1m%C4%B1z-kvkk-siem-dersi-nedir-796ec2ca936f
4. https://www.kvkk.gov.tr/Icerik/5451/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Microsoft-Corporation
5. https://www.kvkk.gov.tr/Icerik/5450/2019-104