Kategori arşivi: Şirket Haberleri

BizNet

Biznet uzmanı Demirel uyardı: “Dijitalleşme kritik altyapılara yönelik tehditleri daha da arttıracak”

Yorum yapın

 

Siber güvenlik şirketi Biznet’in bilgi güvenliği uzmanı ve takım lideri Can Demirel, 2018 yılında endüstriyel kontrol sistemlerinde (EKS) siber güvenlik alanını bekleyen gelişmeleri değerlendirdi. 2017’nin EKS için oldukça hareketli geçtiğine değinen Demirel, yeni gelen yönetmelik ve düzenlemelerle devletten özel sektöre kadar birçok alanda artan siber güvenlik farkındalığının yanı sıra bu yılın yeni saldırı ve zararlı yazılımları da beraberinde getireceğini belirtti.

Demirel’e göre, siber güvenliğin bilgi teknolojilerine kıyasla EKS tarafında daha genç bir alan olmasından dolayı 2018’in de en az geçen seneki kadar hareketli geçmesi bekleniyor. Biznet uzmanları, 2017 yılı boyunca Türkiye, Avrupa ve Kuzey Amerika’dan elde ettikleri pazar yönelimleri bilgisi, uzman yorumları ve analist görüşlerini birleştirerek yeni yılda bu alanda beklenen gelişmeleri derlediği bir kapsamlı blog yazısı kaleme aldı.

Demirel, yazısında öncelikle fidye yazılımları ve IT-OT (Bilgi Teknolojileri – Operasyonel Teknolojiler) yakınsamasından doğacak saldırıların artacağına değindi. Nitekim, geçtiğimiz yıl hem ülkemizde hem de dünyanın birçok yerinde kritik altyapıların WannaCry, Petya, NonPetya gibi fidye yazılımı saldırılarından etkilendiğini ve birçok işletmenin operasyonlarının durduğuna şahit olmuştuk. Buna ek olarak IT-OT yakınsamasının kontrolsüz şekilde artmasının kritik altyapılar için yeni bir saldırı yüzeyi oluşturduğu vurgulandı. Demirel’e göre, saldırganların bu gerçeği fark etmiş olmasından dolayı, 2018’de kritik altyapılar, fidye yazılımlar ve zafiyetleri istismar eden sistem saldırılarından (Windows tabanlı vb.) daha çok etkilenebilir.

Can Demirel / Biznet

Bilgi güvenliği uzmanının makalede vurguladığı ikinci önemli nokta ise doğrudan endüstriyel kontrol sistemlerine yönelik özel zararlı yazılımlarda görülecek artış. Demirel, STUXNET, HAVEX, BLACKENERGY2, CRASHOVERRIDE ve son olarak Aralık ayında gündeme gelen TRITON/TRISIS/HATMAN gibi endüstriyel kontrol sistemleri bileşenlerini doğrudan hedef alan zararlı yazılımların ve buna bağlı güvenlik olaylarının yeni yılda daha da artış göstereceğini tahmin ediyor.

Öte yandan, 2018 yılında özellikle endüstriyel kontrol sistemlerine yönelik özelleşmiş zararlı yazılımları destekleyen ya da koordine eden devlet destekli (state-sponsored) aktörlerin sayısının artması da bekleniyor. Daha önce bu tarz zararlı yazılımların genellikle bu aktörler tarafından yönetildiği biliniyor. Demirel, bu sene, ulusal seviye aktörlerin daha ofansif faaliyetler göstermesini beklediklerini vurguladı.

UÇTAN UCA GÜVENLİK DAHA ÖNEMLİ HALE GELECEK

2018 yılı, birçok işletme için uçtan uca güvenlik gereksinimi de beraberinde getirecek. Demirel, endüstriyel kontrol sistemlerinin güvenliğinin birçok işletme için yeni bir kavram olduğunu ve işletmelerin genellikle bu konuda stratejik yol haritasını oluşturmakta zorlandığını vurguladı.

Bu yüzden de Biznet’in tahminlerine göre, şirketler, olası tüm siber risklerini minimize etmek için bilgi güvenliğinde büyük resmi tamamlayacak şekilde kendi bünyelerindeki IT güvenlik birimlerini, OT güvenliğini de ele alacak ve o konuda da önlemler geliştirecek bir yapıya kavuşturacak. Bu öngörünün bir yansıması olarak da makalede, hizmet ve ürünlerle birlikte uçtan uca güvenlik önlemlerinin alınmaya başlayacağı ve IT ile OT güvenliğinin birlikte değerlendirileceği belirtildi. Demirel, özellikle OT tarafında ağı tanıyan, izleyen ve sıradışı durumlarda alarm üreten çözümlerin ön plana çıkacağını belirtti.

Can Demirel’in yazısında üstünde durduğu diğer bir konu ise işletme ve üreticilerin, güvenli tasarım prensiplerini benimseyip daha güvenli mimariler kurmak için harekete geçecek olmaları. Diğer bir deyişle, 2018, altyapı mimarilerinin proje aşamasında ve erken evrelerde güvenlik düşüncesi katılarak tasarlanmaya başlandığı bir yıl olacak.

Demirel’ göre, son yıllarda yaşanan ihlallerin büyük bir kısmı, tedarikçilerin kullandığı sistemler üzerinden gerçekleştiği için, işletmeler, bu yıl kendi altyapılarına ek olarak, işletme operasyonlarına destek veren tedarikçileri (danışmanlar, olay müdahale ekipleri, bakım-onarım ekipleri gibi) için de siber güvenlik önlemlerini arttıracak ve hatta zorlayacak.

Son yıllarda kritik altyapıları hedef alan saldırılara karşın, ulusal ve uluslararası standart ve regülasyonların bu alanın korunması için yeterli düzeyde olmadığı görülüyor. Demirel, özellikle Avrupa Birliği ve ülkemizde regülasyon kapsamı ve etki ettiği alanların artacağını belirtti. Bunun sonucunda regülasyon gerekliliklerini karşılamak için, işletme sahiplerinin daha fazla risk değerlendirmesi, güvenlik denetimi ve saha çalışması yapması bekleniyor.

Öte yandan, güvenlik araştırmacılarının yayınladıkları zafiyetler ve endüstriyel kontrol sistemlerine yönelik araştırma çıktılarının, bu konuda kendini geliştirmeye çalışan saldırganlar tarafından daha fazla istismar edileceği ve kötü niyetli amaçlar için kullanılacağı tahminler arasında.

Bunların yanı sıra, Demirel, kara borsada EKS zafiyetlerine olan talebin artması sonucu, bu alanda yeni ve spesifik bir pazar oluşmasını ve EKS zafiyetleri ile EKS zararlı yazılımlarının alım-satımının daha popüler hale gelmesini beklediklerini belirtti.

IT VE OT BİRİMLERİ İÇİN KÖPRÜ GEREKİYOR

Siber güvenlik alanındaki insan kaynağı eksikliği endüstriyel kontrol sistemlerinde yeni yılda da kendini gösterecek. Bu yıl, endüstriyel kontrol sistemlerine hâkim siber güvenlik uzman ihtiyacının, artan tehditler, regülasyonlar ve IT-OT yakınsaması sebebiyle artmaya devam etmesi bekleniyor. Demirel’e göre, işletmeler bu açığı kapatmak için BT siber güvenlik uzmanlarını hali hazırda bu alana yönlendirmeye çalışsa dahi mevcut siber güvenlik uzmanlarının da sayısının yetersiz oluşu, bu alandaki ihtiyacı daha da dramatik hale getirmeye başlayacak.

2018 yılı itibarıyla işletmelerdeki siber güvenlik sorumluluk paylaşım problemlerini gidermek için ortak kadroların kurulduğu organizasyonel değişikliklerin yaşanacağı da beklentiler arasında. Demirel, işletme içerisinde IT ve OT birimlerinin aynı dili konuşabilmesi için her iki kültürü bilen ve köprü görevi üstlenecek yeni birimlerin ortaya çıkabileceğini vurguladı.

Geçtiğimiz yıl, OT güvenlik girişimlerinin ciddi yatırımlar aldığı bir yıl oldu. Demirel, bu yıl EKS Siber Güvenlik girişim ekosisteminin büyüyeceğini ve daha fazla girişimin farklı sorunlara çözümler geliştireceğini belirtti. Özellikle OT güvenlik girişimlerinin, genel güvenlik yatırımları arasında yüzdesini arttıracağı tahmin ediliyor.

2017 yılında birçok EKS altyapı üreticisi, siber güvenlik çözümlerini satın alma yolu ile bünyelerine kattı. 2018 yılında büyük oyuncuların kendi birimlerini güçlendireceği ve yatırımlarını arttırmaya devam edeceği öngörülüyor. Demirel, bununla birlikte danışmanlık firmaları, OT ve IT güvenlik tedarikçileri arası ikili iş birliklerinin artmaya devam edeceğini beklediklerini belirtti.

Demirel, makalesinde bu yıl kritik altyapıları ilgilendiren yeni fiziksel güvenlik konularının tartışılmaya başlanacağını da belirtti. Hassas işletmeler için drone koruması gibi yeni nesil fiziksel koruma önlemleri gündeme gelecek konular arasında.

SİBER SİGORTA VE YERLİ YAZILIM GÜNDEMDE KALMAYA DEVAM EDECEK

Can Demirel’in makalesinde değindiği diğer bir gelişme siber güvenlik sigortası. Özellikle Kuzey Amerika’da, kritik altyapılara siber güvenlik sigortasının yapılması konusu gündemi bir süredir meşgul ediyordu. Demirel, makalesinde bu konunun Avrupa’da da artarak konuşulmaya devam edeceğini belirtti.

Demirel’in üzerinde durduğu konulardan biri de EKS özelinde Kuzey Amerika ve Avrupa Birliği içerisinde belirli bir olgunluğa erişmiş kümelenme ve bilgi paylaşım platformları oldu. Demirel, 2018 yılından itibaren bu tarz platformların ülkemizde daha ön plana çıkmasını beklediklerini belirtti.

Yazıda son olarak kritik altyapıların ve ulusal bilgi sistemlerinin güvenliğini sağlayan yazılımlarda yerli teknolojiler kullanılması hassasiyetine değinildi. Bu durum, 2017 yılında dünya çapında hızla yükselen trendlerden biri olmuştu. Demirel, Amerika Birleşik Devletleri ve Birleşik Krallık’ın uygulamaya koyduğu üretici kara liste uygulamasından çok-uluslu teknoloji şirketlerinin etkilendiğini hatırlatarak, bu yaklaşımın sadece yeterli teknolojiye sahip olan ülkelerin uygulayabileceği bir strateji olduğunu belirtti. Dolayısıyla, Demirel’in tahminlerine göre, kendi teknolojisini üretemeyen ülkelerin müttefik ülkelere yönelmesi ya da ihtiyaç duydukları teknolojileri üretebilir hale gelmesi gerekecek.

Kritik altyapıların ekonomi ve ulusal güvenlik açısından önemini vurgulayan Demirel, bu yıl siber milliyetçilik akımının en yoğun hissedileceği alanlardan birinin EKS siber güvenliği olacağını belirtti ve milli yazılım inisiyatifinin teşvik edildiği bu dönemde, söz konusu gelişmelerin ülkemiz için de bir fırsat olabileceğini vurguladı.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

BizNet

Hakan Terzioğlu: Siber güvenliğin gelişimi için bilgi paylaşımı şart

Yorum yapın

2000 yılında kurumların bilgi güvenliği ihtiyaçlarına çözüm üretmek amacıyla Ankara’da kurulan Biznet, geçtiğimiz hafta Avrupa’nın en geniş güvenlik kümelenmesi olan ve Hollanda’da bulunan Hague Security Delta (HSD)’nın ilk Türk üyesi oldu. Perşembe günü İstanbul’da düzenlenen “Endüstriyel Kontrol Sistemlerinde Bilgi Güvenliği” konulu seminerde Siber Bülten’e konuşan Biznet İç Girişimcilik Direktörü Hakan Terzioğlu, güvenlik alanında ilerleme kaydetmek için bilgi paylaşımı ve iş birliğinin şart olduğunu söyledi.

Bilgi güvenliğinin çok hızlı değişen ve gelişen bir alan olduğunu söyleyen Terzioğlu, tehditlere karşı hazırlıklı olmak ve gelişmeleri takip edebilmek için kurumlar ve ülkeler arası iş birliğinin hayati olduğunu vurguladı. Terzioğlu, ayrıca HSD’nin akademi, özel sektör ve kamu kurumlarını bir araya getiren yapısına değindi:

“HSD gibi kümelenmelerde aynı paylaşımcı zihniyete sahip fakat farklı bakış açıları olan şirketler ve kurumlar bir araya geliyor. Sistemin temelinde Üçlü Sarmal Yapı (Triple Helix) bulunuyor. Yani devlet, akademik kurumlar ve özel sektör devamlı birbirini besliyor. Daha ‘güvenli’ bir dünya için çalışan kişi ve kurumların bu şekilde bir araya gelmesi gelişimi ve ilerlemeyi hızlandırıyor. Çünkü ne devlet ne akademi ne de özel sektör birbiri olmadan bu alanda hızlı ilerleyemez. Dolayısıyla bu model, kamu-özel sektör boşluğunu kapatmakla kalmıyor; ayrıca iş birliği ve bilgi paylaşımı ile vakit kayıpları azaltılarak, doğru alanlara yatırımlar önceliklendirilebiliyor.”

Türkiye’de böyle bir yapı henüz yok. Terzioğlu’na göre Türkiye’nin siber güvenlik alanında henüz Avrupa’daki olgunluk seviyesine ulaşamamasının arkasında yatan en büyük sebeplerden biri bu.

“Burada aynı sektörde olan iki kurum birbiriyle siber güvenlik tarafında iş birliği yapmaktan genelde kaçınıyor. Çünkü güvenlik hassas bir konu ve bazen çok korumacı davranıyoruz. Öğrenilmiş dersleri paylaşmadığımız zaman savunma yöntemlerimiz saldırıların karşısında ilkel kalıyor.”

Terzioğlu’na göre siber güvenlik alanında hizmet sunan Türk firmalarının da daha fazla iş birliği yapması gerekiyor.

“Zaten bu alanda Türkiye’de faaliyet gösteren kurum sayısı sınırlı. Bilgi paylaşımı konusunda genel bir çekimserlik olsa da Türk firmaları yeniliğe çok açık. “Know-how” denilen bilgi paylaşımı odaklı bir yapı hepimizi besler, daha iyi hizmet sunmamızı sağlar.”

İlgili TED konuşması >> Siber suçlarla mücadelede ‘Kuş Gribi’ formülü

Regülasyonlar konusunda Türkiye’nin hızlı ve verimli bir yol izlediğini söyleyen Terzioğlu, yine de daha olgun ürünlere, daha hızlı bir çalışma sistemine ve ileriye dönük Ar-Ge faaliyetlerine olan ihtiyacın önemini vurguladı.

Terzioğlu, Biznet’in bu üyeliği ve diğer uluslararası iş birlikleri ile Avrupa’da gözlemledikleri modelleri Türkiye’de uygulamayı istediklerini söyledi. Bunun içinse birinci elden Avrupa’yı gözlemlediklerini, doğrudan oradaki iş ortamlarında bulunduklarını ekledi. Öte yandan bölgesel ve ulusal anlamda değişen dinamiklerden dolayı, Avrupa’dan bir modelin doğrudan Türkiye’de nasıl uygulanacağı sorununa Terzioğlu, Biznet’in bu modelleri Türkiye’ye adapte ederken tercüman görevi gördüğünü söyledi.

Siber güvenlik alanında ilerlemek için sadece bilgi paylaşımı değil, devlet teşvikleri de önemli yer tutuyor. Son zamanlarda özellikle İsrail siber güvenlik alanında insan kaynağının ve yatırımın artması için farklı teşviklere başvuruyor. Terzioğlu’na göre bu tarz bir uygulamaya Türkiye’de de dikkat çekilmeli:

“Türkiye’nin halihazırda bölgede enerji koridoru olmak gibi hedefleri var, bunun için siber güvenlik altyapısı şart ve devlet de bunun bilincinde; gerekli adımları atıyor. Her ne kadar regülasyon konusunda iyi gidiyor olsak da devletin bu alanda daha fazla teşvik sağlaması daha yararlı olur. Çünkü siber güvenliğiniz ve dayanıklılığınız olmadan bölgede kuvvetli bir oyuncu olmaya soyunamazsınız.”

İlgili haber >> İsrail Siber Güvenliğinin Beyni: Eviatar Matania

HSD, Hollanda’nın Lahey, Eindhoven ve Twente şehirlerinde faaliyet gösteriyor ve aralarında ABN Ambro, Alliander, Europol Siber Suç Merkezi, NATO Haberleşme ve Bilgi Kurumu, ENCS, TU Delft gibi saygın üyelerin olduğu toplam 270’in üzerinde üyeye sahip. HSD, Avrupa’nın önde gelen güvenlik kuruluşlarına bilgi, yenilik, pazar, yatırım ve uzman insan kaynağı erişimi sağlamayı amaçlıyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Netsparker

Türk şirketi Netsparker’a Londra’da büyük ödül  

Yorum yapın

Yakaladığı küresel başarı ile isminden söz ettiren Türk siber güvenlik şirketi Netsparker kazandığı uluslararası ödül ile bir kez daha isminden söz ettirdi.

Dünya çapında dijital bilgi güvenliği alanında başarı sağlayan teknoloji şirketleri, ürün ve kişileri her yıl ödüllendiren ve merkezi İngiltere’de bulunan CyberSecurity Breakthrough bu yıl “Yılın Zafiyet Yönetimi Çözüm Sağlayıcısı” ödülünü Londra merkezli Türk şirketi Netsparker’a verdi.

Şirketlerin, web sitelerindeki ya da web uygulamalarındaki zafiyetleri bulmak ve false positive’leri elemek için artık en isabetli tarama teknolojisine ihtiyaç duyduklarını belirten ve ödülün hak edilmiş bir sonuç olduğunu ifade eden şirketin CEO’su Ferruh Mavituna, “Netsparker’ın yüzde yüz doğruluk oranına sahip tarayıcısı, tespit edilen zafiyetleri, manuel olarak doğrulama gerektirmeden  zafiyetin yarattığı sonuçları anında kullanıcılara gösteriyor ve otomatik olarak tespit edilen zafiyetleri sadece okuma yetkisi bünyesinde exploit ediyor” dedi.

İlgili haber >> Dünya devlerini koruyan milli şirket Netsparker kendi vatanında büyümek istiyor

Dünya genelinde Bulut Güvenliği, Tehdit Tespiti, Risk Yönetimi, Dolandırıcılığı Önleme, Mobil Güvenliği ve E-posta Güvenliği gibi bilgi güvenliği kategorilerinde gösterilmiş olan üstün başarıları takdir etmek ve yeni çalışmaları duyurmayı amaçlayan CyberSecurity Breakthrough programına bu yıl 12 ülkeden toplam 2000’den fazla aday katıldı. Tüm adaylar, bilgi güvenliği sektöründe yer alan bağımsız uzmanların yer aldığı bir panelde değerlendirmeye alındılar.

Netsparker’ın, kompleks güvenlik ve zafiyet problemlerini kolaylaştıran, yenilikçi anlayışıyla CyberSecurity Breakthrough Ödüllerinin amacına uygun çok başarılı bir örnek olduğunu belirten CyberSecurity Breakthrough Genel Müdürü James Johnson, “İlgi uyandıran zafiyet yönetim sistemi çözümüyle, diğer rakiplerinden farklı bir konumda yer alan Netsparker ekibini tebrik ederim” ifadelerini kullandı.

Siber Bülten abone listesine kaydolmak için formu doldurun

Lostar

Lostar uzmanları: İş kesintilerinin ilacı ‘İş Sürekliliği Tatbikat Yönetimi’

Yorum yapın

İş sürekliliği, ticari kayıpların engellenmesi ve stratejik becerilerin geliştirilmesi açısından birçok organizasyon için hayati önem taşır hale geldi.

Henüz organizasyonların yeterince yoğunlaşmadıkları bir konu olmasına rağmen iş sürekliliği, kurumların deprem, sel, yangın, operasyonel iş krizleri gibi iş kesintisi yaratacak olumsuz durumlar sonrasında karar ve aksiyon mekanizmasını doğru ve plana uygun yürütmelerinde hayati önem taşıyor.

Uzmanlara göre gerçek, çalışır ve katma değer sağlayan bir iş sürekliliği planının yolu düzenli olarak gerçekleştirilmesi gereken tatbikat ve ilgili eğitimlerden geçiyor.

Konuyla ilgili Siber Bülten’e konuşan Lostar’ın Kıdemli Süreç Danışmanı Onur Karakuş , ISO 22301 Toplumsal Güvenlilik ve İş Sürekliliği standardıyla tanımlanmış olan İş Sürekliliği Yönetim Sistemi, gerçek bir kesinti durumunda kurumların minimum kesinti süresi ve operasyonel zararla süreci atlatmalarındaki asıl faktör.

“ İş sürekliliği tatbikatlarının asıl amacı gerçek bir iş kesintisi durumunda öngörülmüş ve daha önceden tanımlanmış olan iş sürekliliği planlarının ve bağlı aksiyonların ne oranda bir başarıyla ve verimle ortaya koyulabildiği ve bu aksiyonların işin devamlılığına olan gerçek katkılarının ölçülmesidir.”

“Böylece gerçek bir iş kesintisi yaşandığında daha önceden tatbikat ile birlikte öğrenilmiş aksiyonların ve tespit edilmiş olan eksikliklerin giderilerek gerçek bir iş kesintisine en doğru, en hızlı ve en verimli cevabın verilebilmesi mümkün oluyor,” diyor Karakuş.

-Bilgi ve farkındalık sağlıyor

Tatbikat , önceden planlanmış olan aksiyonların ne kadar başarılı olduğunu ölçerken, tatbikat sırasında ortaya çıkan eksiklikler veya öngörülememiş gereksinimler hakkında kurumlara bilgi ve farkındalık da sağlıyor.

Lostar’da Süreç Danışmanı olarak görev yapan Özgür Karademir’e göre ise tatbikat sayesinde öngörülmüş senaryolara ek olarak öngörülememiş senaryolar da ortaya çıkabiliyor.

“Örneğin gerçekleştirdiğimiz bir tatbikat sırasında bütün sistemleri ve gereksinimleri tasarlamamıza rağmen çok küçük bir noktada sorun çıktı. Mesela fotokopi makinası sayısının yetersiz olması ya da antetli kağıdın bulunmaması gibi. Bu tip durumlar tatbikatın yavaş ilerlemesine neden oldu ve bazı sıkıntılar yaşadık,” diyor Karademir.

Bunun gibi öngörülemeyen ve en küçüğünden en büyüğüne birçok olası problem tatbikatlar sayesinde ortaya çıkarılabiliyor.

Karakuş’a göre tatbikatın en önemli katkılarından bir diğeri ise kuruma ait iş süreklilik planları ve bunların uygulamaları ile ilgili çalışan farkındalığını arttırıyor olması.

“Bazen bir yangın tatbikatı yaparız, aslında bu bize çok gereksiz gelse de bir amacı vardır. Tatbikatı yaptıktan bir ay sonra tekrar bir yangın tatbikatı yaptığınızda çalışanlar bunu yaşamıştım hissine kapılır. Beyniniz ve kaslarınız bunu bir şekilde öğrenmiş hale gelir. Gerçek bir yangınla karşılaştığımız zaman ilk koşacağımız yer yangın kapısı ve yangın merdivenleri olur. Şimdi aynısını tatbikat yönetimi için de düşünmelisiniz,” diyor Karakuş.

İş sürekliliği tatbikatları iş kesintisi durumunda kritik süreçlerin operasyonunu götürmekle sorumlu kritik personel için antrenman görevi de görüyor.

Lostarlı uzmanlara göre, kurumlarda benzer senaryolarda ilk tatbikat ve ikinci tatbikat sonrasında iyileştirmeye açık yönlerin sayısında azalma görülüyor.

“İlk tatbikatı yaptığınız zaman 100 tane açık buluyorsanız, ikinci tatbikatı yaptığınızda bu sayı 50’nin altına düşebiliyor, diyen Karakuş’a göre tatbikat sıklığı da oldukça önemli.

Organizasyonların kurumsal dış çevresi, içinde bulunduğu sektör, coğrafi konum ve ülke, risk faktörleri ve çevresel faktörlerin durumuna göre, kurumların senaryolarını gözden geçirmesi ve güncellemesi gerekiyor ve tatbikatların en az yılda bir kere yapılması öneriliyor.

Karakuş’a göre tatbikat yönetim süreci önceden tanımlanmış olan ve koruma mekanizmasıyla aktive edilebilen bir iletişim zinciriyle başlamalı.

“İletişim zinciri başladıktan sonra bunu metaforik olarak bir domino taşını itmek gibi düşünebilirsiniz,” diyor Karakuş.

İş sürekliliğinin beyin takımı olarak tanımlanan danışman ekip, tatbikat esnasında tam kadro olarak yer alıyor ancak sürece kesinlikle müdahil olmuyor ve tatbikat yönetimine katılmıyor.

“Amaç, müşteri tarafına aktardığımız bilgi birikimini görebilmek yani kurumun kendi başına kesinti sürecini yönetebildiğini test edebilmek ve tatbikat sırasında görülen eksiklikleri müşteriye raporlayarak , sonraki tatbikatlarda daha verimli sonuç alınmasını sağlamak ,” diye ekliyor Karakuş.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Lostar

Yeni KVKK yönetmeliği tüm detaylarıyla Lostar webinarında tartışıldı

Yorum yapın

Uzun yıllardır devam eden bekleyişin ardından geçen yıl Mart ayında TBMM’de kabul edilen Kişisel Verileri Koruma Kanunu (KVKK), 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak, 6 ay sonra 7 Ekim 2016’da yürürlüğe girmişti.

KVKK ile ilgili beklenen önemli Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliği ise 28 Ekim 2017 tarihinde Resmi Gazete’de yayımlandı.

Lostar Bilgi Güvenliği’nin Kurucu Genel Müdürü Murat Lostar, Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi konulu webinarda ilgili yönetmelik hakkında bilgi verdi.

Lostar’a göre, son çıkan yönetmelik bir buçuk yıldan fazla bir süredir hayatımızda olan KVKK’ya uyum sürecinde rehber niteliği taşıyor.

LOSTAR’IN YOUTUBE KANALINA ULAŞMAK İÇİN TIKLAYINIZ

Yönetmelik maddelerini Bilgi Teknolojileri alanında neler yapılması gerektiğini açısından değerlendiren Lostar: “Bu yönetmelik aslında çok uzun bir yönetmelik olmamakla beraber hemen birinci maddesinin kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlediğini görüyoruz.” şeklinde konuştu.

Kurumların, KVKK’ya uyumlu hale gelmesini gereken bir yönetmelikle karşı karşıya olduklarının altını çizen Lostar, yönetmeliğin, veri saklama ve imha politikasına sahip olma ve veri saklama süreleri esaslarına dayandığını söyledi.

Kişisel verileri silme, yok etme veya anonim hale getirme sürelerini detaylandıran yönetmeliğe göre: 

MADDE 11- (1) –Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.”

(2) Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez.

(3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.

Lostar’a göre Madde 11 bizlere şunu söylemek istiyor; kurumların artık kişisel veri temizliği yapma günleri olacak.

Kurumlar ilk etapta periyodik imha işlemi denilen bir gün belirleyecekler. Regülasyon, imha işleminin her altı ayda bir yapılması gerektiğini söylüyor.

Lostar’a göre bu durum, kurumların yılda en az iki kere bahar temizliği yapar gibi kişisel verileri temizleme gününün olacağı anlamına geliyor.

-Kişisel verilerin silinmesi

Kurumlar açısından kanun kapsamında bahsedilen, müşterilere ait toplanan kişisel veriler, çalışanlara ait kişisel veriler, kuruma özgeçmini yollamış ama beraber çalışmadığı kişilere ait veriler gibi çok farklı veri türleri var.

Lostar’a göre, bütün bu kişisel verilerin her biri için yani her bir kategori için öncelikle bir politika belirleyip ve bu politikada hukukçularla beraber çalışarak bir iş bitirme süreci işletiyor olmak gerekiyor.

Bu işlem için de yönetmeliğin sunduğu 3 yöntemden bahsediyor tecrübeli CEO. Bunlardan ilki Kişisel Verilerin Silinmesi.

Yönetmeliğin 8. Maddesi 1. Fıkrasına göre:

“Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.”

Lostar’a göre bu madde içinde anahtar kelime aslında ilgili kullanıcılar denilen yer.

Yönetmeliğin 4. Madde 1. Fıkrası (b) bendinde ilgili kullanıcı “verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler” olarak tanımlanıyor.

Lostar, bu iki maddenin birbirini tamamlayıcı nitelikte olduğunu söylüyor ve ekliyor:

“Biz verileri silerken, verileri aslında işleyen ve o verilerin işlenmesinden bir fayda sağlayan kişilere karşı kullanılamaz hale getiriyor olmamız gerekiyor. Burada bazılarımızın aklına şu gelebilir ‘ben bunu silerim daha sonra günün birinde ihtiyacım olursa da o zaman bilgi teknolojilerine bu bilgiyi yedeklerden vermesini söylerim.’

İşte orada da Madde 8, 2. fıkrası karşımıza çıkıyor:

“Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.”

-Kişisel verilerin yok edilmesi

Yönetmeliğin sunduğu yöntemlerden ikincisi ise Kişisel Verilerin Yok Edilmesi. İlgili maddeye göre:

MADDE 9 – (1) Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

(2) Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Bu maddeyi yorumlayan Lostar, maddede en çok dikkat edilmesi gerekenin ‘bilgilerin hiçbir şekilde erişilemez ve geri getirilemez’ kısmı olduğunu söyledi.

“Bilgi Teknolojileri açısından düşünürsek bizim ana sistemlerimizde sadece veriyi sildim demek yeterli değil, aynı zamanda bu verinin yedeklerden ve kopyalardan silinerek geri döndürülemez şekilde imha edilmesi anlamına geliyor. Son olarak da bütün eski ve yeni arşivlerimizden bu bilgilerin imha edilmesi anlamına geliyor. Buradaki düzenleme sadece elektronik ortamı kapsamıyor tüm fiziksel kopyalar için de geçerli,” diyor Lostar ve uyarıyor:

“Eğer kurumunuz herhangi bir veriyi geri getirmek isterse bu geri getirme işleminin sadece ve sadece ilgili kullanıcılar dışında yapılabilmesini garanti ediyor olmak gerekiyor.”

-Kişisel verilerin anonimleştirilmesi

Yönetmeliğin sunduğu üçüncü yöntem ise Kişisel Verilerin Anonim Hale Getirilmesi.

MADDE 10 – (1) Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Lostar’a göre, anonimleştirme kişisel veri ile kişi arasındaki bağın kesilmesi anlamına geliyor.

“Yani veriler bir yerde mevcut ama o verileri gerçek kişiyle ilişkilendirmek geri dönülmez bir şekilde mümkün değil demek.”

Anonimleştirmenin yararları ama aynı zamanda zorlukları da var. Bu yöntemin en önemli yararı eldeki bilginin hala katma değer sağlamaya devam ediyor olması.

Fakat, Lostar, her kurum anonimleştirme yaparken kendine ‘Ben bu anonimleştirdiğim veriyi bir başka yerde sahip olduğum bir veriyle birleştirerek tekrar kişiselleştirebilir miyim ya da teknik değimiyle de-anonimleştirmek mümkün mü?’ sorusunun cevabını veriyor olması gerektiğini söylüyor.

“Her anonimleştirmenin öncelikle o sisteme özgü yapılıyor olması gerekiyor ve bunu yaparken kurumdaki farklı bir bilgi ile tekrar birleşerek de-anonimleştirmenin mümkün olmadığını garanti etmek gerekiyor.” şeklinde açıklıyor Lostar.

-Veri silme, yok etme ve anonimleştirme kayıtları

Yönetmelikte geçen önemli konulardan bir diğeri ise  bu verilerin silinmesi, yok edilmesi ve anonimleştirilmesi kayıtları üzerine.

‘Ben kaydın içine kimin verisini sildiğimi, yok ettiğimi ya da anonimleştirdiğimi yazarsam aslında bir kişisel veri yok ederken yeni bir kişisel veri yaratmış olmuyor muyum’ sorusuyla çok fazla karşılaştığını söyleyen Lostar, bunun sorunun veri imha politikası yoluyla çözülebileceğini ifade ediyor.

Veri imha politikası gereği, kurumların, tuttukları farklı kişisel veri türleri için her birinin ne sıklıkta ve ne kadar yaştan sonra hangi yöntemle ortadan kaldırılacağına ilişkin bir kayıt listesi olmalı.

Bu kayıtların üç yıl saklanması gerekiyor. Lostar’a göre kanunun üç yıl kuralının arkasındaki temel motivasyon, kurumların tabi tutulacakları denetimler aracılığıyla kanuna uygunluk açısından sorumluluklarını düzenli ve dönemsel olarak yerine getirmelerini sağlamak.

https://www.youtube.com/watch?v=3kjKr5NSWv4

Siber Bülten abone listesine kaydolmak için formu doldurunuz