KVKK ve SIEM

3 min readAug 2, 2019

KVKK kurumunun veri ihlali bildirimi yaptığı ING Bank, TEB ve Denizbank’ın bu ihlalleri neden yaptığını analiz ettiğimizde SIEM çözümlerinin ve daha da önemlisi SIEM ürünlerinin KVKK nın ruhuna uygun şekilde uygulanmasının ne kadar kritik olduğunu görürüz. Bu üç bankada da değişik listelerde lider olarak gözüken ürünler olduğu halde aşağıdaki ihlaller nasıl olabildi?

Bu sorunun cevabı sadece SIEM ürünün almanın yetmediği, daha önemlisinin SIEM i KVKK kapsamında kullanmak olduğudur.

SIEM ürünlerinin korelasyon (tespit) yetenekleri arasında büyük farklar vardır. Bir SIEM ürününün teknik değerlendirilmesi ile ilgili detaylı çalışmalar bulunabilir[1]. Bu tür listeler derin teknolojik bilgiler içerdiği için son kullanıcılar genellikle dikkate almaz. Daha kestirme yöntemler bulmak isteyenler için korelasyon senaryolarındaki zaman, ilişki, parametre detaylarına derin hakimiyetleri gerekir. Örnek

Neredeyse her ürünlerle aşağıdaki senaryo tespit edilebilirken

“Aynı kaynak IP den aynı hedef IP ye erişim firewall tarafından tehdit istihbarat listesinde olduğu için 5 dk/15 dk/30 dk /45 dk/1 saat içerisinde 1 den fazla bloklanırsa uyar”

Aynı senaryonun sadece zaman parametresi değiştirilirse bilinen yerli ve yabancı ürünlerin büyük çoğunluğu tarafından tespit edilemez olur.

“Aynı kaynak IP den aynı hedef IP ye erişim firewall tarafından tehdit istihbarat listesinde olduğu için 7 gün/2 hafta/30 gün/180 gün içerisinde 1 den fazla bloklanırsa uyar”.

Yine benzer şekilde

“Bir kullanıcı kişisel verilerin bulunduğu ve yetki matrisi çerçevesinde erişim yapabileceği tablolardan birine öğle yemeği sırasında 1 defa yanlış şifre deneyip çekip gitti ise uyar” gibi tespitler de yine bilinen yerli ve yabancı SIEM lerin çoğu ile yapılamaz

SIEM ürünlerini sadece log toplamak veya genel geçer korelasyon kuralları ile kullanmak yeterli değildir. [2]

Aşağıda KVKK kurumu web sayfasından alınan metinler mevcuttur.

Denizbank:

DenizBank A.Ş. Teftiş Kurulu Başkanlığı tarafından düzenli gerçekleştirilen kontroller kapsamında, Bankanın Beylerbeyi Şubesinde Müşteri İşlem ve Satış Sorumlusu olarak görev yapan Banka çalışanı tarafından, bireysel nitelikli kredi bilgilerini içeren sorgu ekranlarından, işin gereğinden fazla adette sorgulama yapıldığının tespit edildiği ve gerekli incelemelerin başlatıldığı [3].

TEB:

Bankanın Teftiş Kurulu soruşturması sonucunda; Bireysel Müşteri ilişkileri Yöneticisi, Bireysel Müşteri İlişkileri Yönetici Yardımcısı, İşletme Müşteri İlişkileri Yönetici Yardımcısı unvanlarında çalışan ve olaya sebep olan 3 personelin görev ve iş tanımları gereği KKB sorgulama ekranına yetkileri bulunduğu, ancak söz konusu 3 personelin kendilerine tanımlanan KKB sorgulama yetkilerini Bankanın erişim ve bilgi güvenliği politikalarına aykırı şekilde amacı dışında kullandığı [4].

ING BANK:

Veri sızıntısına neden olan şahsın ING Bank A.Ş.’nin uygulaması olan Finsoft sisteminde üzerinde tanımlı yetkileri uyarınca Ticari Nitelikli Kredi Bildirimi ve Paylaşımı (KRM) sorgusu yapamadığı halde, yetkilendirme sistemini devre dışı bırakacak bir yöntem ile yetki aşımı yaparak TBB Risk Merkezi web sitesine Banka kullanıcı olarak doğrudan erişim sağlayabildiği [5].

İŞ BANK

Bankada yürütülen veri sızıntısı önleme çalışmaları kapsamında bir şube çalışanının ekinde Risk Merkezi sorgularını içeren e-postaları Banka dışı kullanıcılara ilettiğinin belirlendiği,

KVKK kurumunun veri ihlali bildirimleri gösterdi ki iyi bir SIEM çözümünün önemi kat ve kat arttı. Bu veri ihlallerinin tamamı SureLog SIEM [6] ile tespit edilebilir.

Bununla birlikte KVKK ve SIEM konularına gerçekten hakim teknik bir ekibin önemi ise onlarca kat artmış durumda.

Referanslar

KVKK ve SIEM

Written by Ertugrul Akbas

Responses (1)