Her geçen gün sayıları artarak farklı sektörlerde kullanılmaya başlayan IoT cihazları, barındırdıkları güvenlik zafiyetlerinden dolayı siber saldırganların gözde hedefleri arasında yer alıyor. IoT Analytics’in verilerine göre 2025’e kadar sayısı 27 milyara ulaşması beklenen IoT cihazları çeşitli siber güvenlik endişelerine yol açıyor.
Günümüzde IoT cihazları veriyi görüntüleme, hızlı operasyon, otomasyon, kontrol, zamanın verimli kullanımı ve maliyet avantajı gibi birçok fayda sunuyor. Ancak zayıf şifreleme, yetersiz yama güncellemesi, güvensiz arayüzler, cihaz yönetimindeki zafiyetler gibi sebeplerden ötürü bu cihazlar yeterince korunamıyor ve bu da siber saldırganların ilgisini çekiyor. Öyle ki Epidemiology Lab of Orange Cyberdefense’in araştırması, IoT cihazlarının 2021’de günde ortalama 2814 kere saldırıya uğradığını açığa çıkardı.
Her geçen gün yeni bir açık keşfediliyor ve bu açık herhangi bir cihazda yer alabilir. Bu yüzden cihazların siber güvenliğinin yeterli seviyede olması için düzenli olarak denetlenmesi ve keşfedilen açıkların en kısa sürede yamalarla güncellenerek giderilmesi gerekiyor. Aksi takdirde bulunan zafiyeti sömürebilecek birçok siber saldırgan, şirketlerin ve bu cihazları kullanan bireylerin büyük kayıplar vermesine neden olabiliyor.
Konuyla ilgili konuşan BugBounter.com Kurucu Ortağı Murat Lostar : “Kısa zaman önce sıkça telaffuz edilen nesnelerin interneti veya kısaca IoT, birçok sektöre önemli avantajlar sunuyor ancak içinde siber saldırganların kullanabileceği birçok güvenlik zafiyetini barındırıyor. Bu zafiyetlerin başlıca sebebi ise IoT cihazlarının kullandığı yazılımlarda bulunan açıkların fark edilmemesi ve bu açıkların zamanında kapatılmaması oluyor. Günümüzün dinamik siber güvenlik dünyasında birkaç ayda bir yapılan testler yeterince etkili ve hızlı olmuyor. Bu yüzden şirketlerin ürettiği cihazların yazılımlarını düzenli olarak denetletmesi ve farkında olunmayan açıklarını keşfetmesi hayati önem taşıyor.” ifadelerini kullandı.
Bilgi teknolojilerinin sosyal, ticari ve kurumsal her alanda artan önemi ve beraberinde getirdiği siber tehditler, ülkeleri kişi hak ve özgürlüklerini korumaya yönelik yasal düzenlemeler yapmaya zorluyor.
Türkiye’de bu alanda atılan en önemli yasal adımlardan biri yaklaşık iki yıl önce yürürlüğe giren Kişisel Verileri Koruma Kanunu (KVKK) olmuştu.
KVKK sonrası uyum sürecini kolaylaştırmak için geçtiğimiz aylarda Kişisel Verileri Koruma Kurumu tarafından “veri sorumlularının alması gereken teknik ve idari tedbirlere” ilişkin ‘Kişisel Veri Güvenliği Rehberi’ yayımlandı.
Rehberi ve beraberinde getirdiklerini Siber Bülten’e değerlendiren Lostar Bilgi Güvenliği’nin Kurucu Genel Müdürü Murat Lostar’a göre, kurul tarafından yayınlanan bu dokümanın ve ilgili maddelerinin en önemli özelliği yasal bir yaptırım gücünün olmaması.
“Bu rehber, bizim tavsiye niteliğinde diyebileceğimiz, herhangi bir yaptırımı olmayan, tek tek her satırı yapmak zorunda olmadığımız ama ‘acaba biz bu işi nasıl yaparız’ diye düşündüğümüzde bize yanıt veren dokümanlardan bir tanesi,” diyor Lostar.
KVKK’ya göre, verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan veri sorumlusu, kişisel verilerin erişilemez ve tekrar kullanılamaz olması için gerekli her türlü “teknik ve idari” tedbirleri almakla yükümlüdür.
“Peki ama ‘kurum bu verilerin güvenliğini sağlarken neler yapabilir, nedir bu teknik ve idari adımlar?’ sorusunu cevabını bu dokümanda buluyoruz,” şeklinde konuşuyor Lostar.
CEO’ya göre, banka, sigorta şirketi ya da sağlık kuruluşlarının bilgi işlem altyapılarındaki kişisel verileri korumak için neler yapılabileceklerine ilişkin idari ve teknik adımlar bu rehber doküman sayesinde daha net olarak belirtiliyor.
“Aslında bu rehber, şirketlerin yüzde 99’unu çok güzel bir şekilde kapsıyor ve çok güzel yol gösteriyor. Kurumlar ne yapacağını anlamak için bu rehbere bakıyor olacak.”
-Mağduriyetleri giderebilecek bir rehber
Lostar’a göre Verileri Koruma Rehberi’nin şöyle bir yararı daha var.
“Biz güvenlik camiasında biliriz, yüzde yüz güvenlik olmaz diye. Mükemmel güvenli önlemleri altında bile saldırıya uğrayabilirsiniz. Bu durumda Kişisel Verileri Koruma Kurulu’nun sizlerin bu konuda bir kusurunuz olup olmadığını değerlendirme durumu söz konusu olacaktır,” diye belirtiyor Lostar ve ekliyor:
“Böyle bir mağduriyet durumunda, eğer siz bu rehber dâhilindeki maddeleri uygulamış olduğunuzu ve gerekli önlemleri aldığınız gösterebilirseniz, yaşamış olduğunuz veri çalınması olayının aslında sizin kusurunuzdan değil de karşı taraftan kaynakladığını ispatlama olasılığınız artıyor.”
Lostar’a göre raporda siber saldırılara karşı kişisel veri güvenliğini sağlamak için çalışan eğitiminin önemi de ciddi şekilde vurgulanıyor.
Rehberin dokümanın “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” adlı maddesinde, kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin, çalışanların sınırlı bilgileri olsa dahi ilk müdahaleyi yapmalarının, kişisel veri güvenliğinin sağlanması için hayati önem taşıdığı özellikle belirtiliyor.
-Siber güvenlik şirketleri için yeni rehberlik hizmeti
KVKK yayınlandığından beri kurumlar kanunla uyumlu hale gelebilmek için birçok çalışma yapıyor.
Lostar’a göre bu çalışma farklı yollardan geçerek mümkün ve bu yollardan bir tanesi içeride tutulan verileri daha güvenli hale getirmek.
“Bizim için bu doküman son derece değerli. Resmi bir kurum tarafından yayınlanmış olmasının da çok ciddi bir anlamı var,” diyor tecrübeli CEO.
Murat Lostar’a göre yayınlanan rehber, kurumların veri güvenliği ile ilgili yapmış oldukları çalışmaları inceleyip, idari ve teknik anlamda almaları gereken başka ne gibi veri güvenliği önlemleri olduğunu ve bunların nasıl gerçekleştirebileceklerini ayrıntılı ve düzgün bir raporla sunabilecekleri bir hizmet de başlattı: “Bu veri güvenliğini yeterince sağlıyor muyum sorusunun cevabını veren bir hizmet.”
Lostar’a göre bu hizmet kapsamında güvenlik şirketi, hizmet alan kurumun bilgi güvenliği ile ilgili almış olduğu farklı idari ve teknik önlemleri değerlendiriyor ve rehber doküman ile kıyaslıyor.
“Bu alınan önlemlerin bu rehber dokümanın hangi maddelerine nasıl uyduğunu ya da uymayan yerlerin neler olduğunu ortaya koyuyoruz.”
Ayrıca, bu değerlendirme sonucunda kurumun hangi maddelerle ilgili hiç çalışma yapmamış olduğu ortaya çıkıyor.
“Ve bu eksilerin tamamlanması için neler yapması gerektiğini bir rapor haline getirip, bir yol haritasıyla beraber müşterimize teslim ediyoruz,” diye ekliyor Lostar.
Lostar Bilgi Güvenliği’nin kurumlar için hazırlamış olduğu “Güvenlik Rehberi” yazısına aşağıdaki link üzerinden ulaşabilirsiniz:
Türkiye’nin öncü bilgi güvenliği danışmanlığı şirketlerinden Lostar 1 Ocak’ta 20. yaşını doldurdu. Bilgi güvenliği kavramının olmadığı’ yıllarda kurulmuş olan şirketin kurucusu Murat Lostar ile geçmişi, gelecek planlarını, Londra’da açılan Lostar ofisini ve küresel bir şirket olma hedefini konuştuk.
1986’da daha üniversite öğrencisiyken çalıştığı yazılım şirketi için bir muhasebe programı yazan Murat Lostar, daha sonra kurduğu şirkette Türkiye’nin ilk sigorta yazılımları başta olmak üzere birçok farklı alanda yazılım geliştirmiş. Network ve veri tabanları alanında da çalıştıktan sonra kendi şirketini kurmaya karar vermiş ve 1 Ocak 1998 günü Lostar doğmuş.
Sektörün bugünkü haline geleceğine kimsenin ihtimal vermediği 90’lı yılların ortalarında bilgi güvenliği alanında bir şirket kurmak fikrinin nasıl doğduğunu sorduğumuz Murat Bey şirketin bir hobi sebebiyle doğduğunu açıkladı: “Bilgi güvenliği ile uğraşmak onunla ilgili konularda çalışmak benim için bir hobi olduğundan Bilgi Teknolojileri alanında nereye yöneleceğim diye kendime sorduğumda güvenlik doğal olarak yönlendiğim alan oldu.”
“İlk kurulduğumuz yıllarda bir banka CIO’suna firewall’u anlatmak zorunda kaldım.”
Lostar’ın sektörde geçirdiği deneyimler Türkiye’nin bilgi güvenliği alanında geçirdiği evriminde bir göstergesi. Murat Lostar’dan dinleyelim:
“Bir banka CIO’suna – tabi o zamanlar bilgi işlem yöneticisi diyorduk- firewall’un güvenlik açısından gerekli bir ürün olduğunu uzun bir süre anlattım. Yönetici sessizce dinledikten sonra sunucuların önüne yeni bir şey koymanın gerek olmadığını söyleyiverdi. Başkalarına da anlatmaya çalıştım ancak başarılı olamadım. Üstelik bunu yaparken bir ürün satıcısı olarak da yapmadım. Ama yine de ikna edemedim.”
Türkiye’deki bilgi güvenliği seviyesinin henüz istenen seviyeye ulaşmamış olmasından ötürü Lostar’ın ilk müşterileri yurtdışından olmuş:
“İlk 2-3 yıl daha çok yurtdışında projeler oldu. Compaq diye bir şirket vardı. Compaq’a güvenlik ile ilgili bir kitap yazdım ve bu kitabın kursunu oluşturdum. Şirketin bütün Avrupa’daki bayilerinin eğitimi gibi projeler aldım.”
Bugüne geldiğimizde Türkiye’deki farkındalık seviyesini sorduğumuz tecrübeli yöneticiden, 20 yıl önceki gibi yine firewall’un gerekli bir ürün olduğunu anlatmak zorunda kaldıkları durumlar olduğunu öğreniyoruz.
“Bilgi güvenliği farkındalığı seviyesini değerlendirirken kurumlar ve bireyler olarak iki grup oluşturmamız gerek. Kurumları büyüklüklerine göre, hatta büyük kurumları da sektörlerine göre ayırmamız lazım. Regüle sektörler yani, bankacılık, enerji, telekom, hem regülasyonları gereği hem de geçmiş yıllarda yaşadıkları musibetleri gereği, bu konuda oldukça yüksek farkındalığa sahipler ve git gide bu farkındalık seviyeleri artıyor. Çok iyi bütçeler ayırıyorlar ama yeterince eleman bulamadıkları için taşıma su ile devam etmek zorunda kalıyorlar. Regüle olmayan sektörlerde ise, kurumun başındaki insanların vizyonları doğrultusunda bir bilgi güvenliği olgunluğundan bahsedebiliriz. Bu farkındalık seviyesine 100 üzerinden 60 dersek, bunlar dışındaki sektörlerde ne yazık ki hızla sıfıra doğru gerilediğini görüyoruz. “
“Akıllı telefonları aptal telefonlar gibi kullanıyoruz.”
“Bireyler açısından bakarsak, bilgisayar okuryazarlığımız Avrupa ve ABD ile yarışacak seviyede. Ancak bilgi güvenliği okur yazarlık seviyesini karşılaştıracak olursak standardın altında kaldığınız görürüz. Bir teknolojiyi kullanıyorsanız o teknolojinin getirdiği risklere karşı almanız gereken önlemleri bilmeniz lazım. Ütüyü yangınlardan, arabayı hırsızlıklardan öğrendik ama akıllı telefonları bilgisayarları bilmiyoruz. Güvenlik okur yazarlığımızın seviyesi sahip olma seviyemizin de oldukça altında. Akıllı telefon alıyoruz ama bunu bir aptal telefon gibi kullanıyoruz. SMS yerine WhatsApp’ı kullanıyoruz. Güvenlik açısından bakarsak zaten daha el freni ve frenin yerini bilmiyoruz.” diye ekliyor Murat Lostar.
Lostar 2038’de nerede olacak?
Geçmiş ile ilgili düşüncelerini sorduğumuz Murat Lostar’dan bir de gelecek planlarını dinlemek istiyoruz. Lostar 2018’in şirket için bir milat olduğunu söylüyor ve bunun nedenini şöyle açıklıyor:
“Bende ve diğer mesai arkadaşlarımın heyecanında bir kayıp yok. Bununla beraber 20. yılı biz bir milat kabul ederek başlıyoruz. 20. yıl bizim için sıfırıncı yıl. Çünkü ilk kez yurt dışında, Londra’da, bir ofis açtık. Bir taraftan Türkiye’deki işlerimize devam ederken, diğer taraftan da Londra merkezli yurtdışı işlerimi genişleterek devam edeceğiz. Geçtiğimiz 20 yıl ile önümüzdeki 20 yıla karşılaştırmak için bakarsak sadece ticari faaliyetlerimizde büyüme değil aynı zamanda işletme biçimimizde de değişiklikler olacağını görüyoruz. Mesela ilk 20 yılda çok ürün geliştirmedik, danışmanlık hizmeti verdik. Önümüzdeki yıllarda ürün vermeye ağırlık vereceğiz.” diyen Murat Lostar, şirketin bilgi güvenliği farkındalığı konusundaki birikimini kullanıcıların davranış değişikliklerini dönüştürmek için kullanacaklarını ve bunu bir ürünle yapacaklarını açıkladı.
“Ülkemizde bilgi güvenliği farkındalığını artırmak için yıllardır çeşitli çalışmalar yaptık. Bu faaliyetlerimizin bazı şirketlerde neden çalıştığını bazılarında neden çalışmadığını gözlemledik. O gözlemlerimiz sonucunda yeni bir bakış açısı geliştirdik: Güvenlik Farkındalık Metodolojisi (Employee Security Awareness Methodology-ESAM). Şimdi ESAM’ı alt tarafta destekleyecek ürünler geliştiriyoruz. Ürünler ve metodoloji ile bilgi güvenliği konusunda sadece farkındalığın artmasını değil bununla beraber davranış değişikliği konusunda ilerleme kaydetmeyi hedefliyoruz. Bilgisayarın başından kalkarken, bilgisayarın kilitlenmesi gerektiğini kime sorsanız gerekli der. Ama bilgisayarın başından kalktığında bilgisayarı kilitlemek başka bir iştir. Biz şimdi bu başka iş üzerine odaklanacağız.”
Lostar CEO’su şirketin Londra yolculuğunda devletin çeşitli kurumlarından destek aldıklarını da ifade etti: “Ürün satmayan ve mühendislik yapan bizim gibi kurumların çok da uzun ömürlü olamadığını gördük. Bir birikimin oluşabilmesi için bir sektörde uzun yıllar çalışmak gerekiyor. Yurtdışındaki bir ürünün Türkiye’deki versiyonunu satmaktan bahsetmiyoruz. Yeni bir fikri yaratmaktan bahsediyoruz. ESAM’ın geliştirilmesi sürecinde TÜBİTAK’tan farklı projelere destekler aldık. İngiltere yolculuğumuzda Ekonomi Bakanlığının destekleri bize fayda sağladı ve sağlamaya devam edecek.”
Lostar Londra’yı seçmelerinin arkasında 4 yıllık bir çalışma olduğunu da sözlerine ekledi. İlk olarak yurtdışı ofisi için hazırladıkları listede 10 ülke bulunduğunu aktaran Murat Lostar, daha sonra bunu 3’e indirdiklerini Brexit sürecine rağmen Londra’da karar kıldıklarını söyledi.
“Geleceğin iş insanları bugünkünden çok farklı olacak.”
Murat Lostar’ın gelecekte siber güvenliğin nasıl bir hal alacağına dair öngörüleri hayli dikkate değer. Lostar, asansörün ilk kullanılmaya başladığı zamanlarda asansör kabininde bulunan ve insanların gitmek istediği katlara basan ‘asansör görevlisine’ benzettiği BT uzmanlarının gelecekte yaptıkları işlerin büyük bir kısmını devredeceklerini ve buna paralel olarak güvenlik anlayışının değişeceğini düşünüyor:
“BT’ciler görevlerinin önemli bir kısmını işi BT olmayan insanlara devredecek. Şu andaki avukatlar bilgisayarla sonradan tanıştılar. Ama avukat adayları bilgisayarla doğdular. Onlar avukat olduklarında bugünkü bilgi işlemcinin yaptığı işleri tıpkı müşteriye giderken asansörde çıkacakları kata kendi bastıkları gibi kendileri halledebilecek. Bilgi işlemcilik farklı bir boyut kazanacak. Davranış biçimlerinde de farklılıklar olacak. Biz bugün güvenliği çalışanların yetkisini elinden alarak sağlama içgüdüsüyle ilerliyoruz. Çünkü o insanların bilgisayarı nasıl kullanacağını sınırlandırarak güvenliği sağlıyoruz. Ama önümüzdeki dönemde hayat bu şekilde yürüyemeyecek. O insanlar buna razı olmayacaklar. Buna bağlı olarak da güvenlik de değişecek. İstediğiniz programı indirme, local admin yetkisi verirseniz bugünkü güvenlik anlayışı yerini başka bir anlayışa bırakacak. Güvenlik ihtiyacı da değişecek. Ben normalde sadece BT’nin içindekilere verdiğim eğitimi diğer departmanlara da vermek durumunda kalacağız.”
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Lostar, son zamanlarda ekonomi ve teknoloji gündeminin önemli bir parçası haline gelen Bitcoin’in ana mantığı olan blok zincir veya daha çok bilinen adıyla “blockchain” sistemi için geçtiğimiz günlerde bir webinar düzenledi.
Youtube’dan canlı olarak gerçekleştirilen yayında Lostar CEO’su Murat Lostar, dijital para birimi Bitcoin’in temelini oluşturan blok zincir teknolojisiyle ilgili merak edilenleri bir demo üzerinde anlattı.
Esasen kripto para Bitcoin için geliştirilmiş olsa da, bilişim camiası bu teknolojinin kullanılabileceği bir çok potansiyel alan bulma yarışı içinde. “Blockchain’in kullanılabilme potansiyeli inanılmaz, aklıma her gün farklı çözümler geliyor,” diyor Lostar.
Nedir bu blok zincir?
2008’de icat edilen ve her türlü elektronik işlemlerde kullanılabilen bu teknolojinin en büyük faydalarından biri, tek bir kurum ya da kuruluş tarafından kontrol edilemiyor olması, yani “şeffaf” bir yapı olması.
Girdi herhangi bir boyutta olabilir. Çıktı hep aynı kalır.
Aynı girdi hep aynı çıktıyı üretir.
Girdideki küçük tek bir değişiklik, çıktıda büyük değişiklik yapar.
İstenen çıktıyı üretmek matematiksel olarak mümkün değildir. Tek çözüm deneme/yanılma şanstır.
Bu yapı içinde geçmişte yapılan işlemler asla değiştirilemeyecek şekilde saklanır.
“Blok zincir ile ilgili önemli noktalardan bir tanesi de; nasıl ki internet temel olarak bizim veriyi paylaşmamızı sağladıysa blok zincir de değer alışverişini imkanlı hale getirdi.”
“İnternette blok zincirin ortaya çıkmasında önce imkansız olan bir problem vardı, İngilizce ismiyle ‘double spending problem’. Bu aslında bir kripto problemidir. Diyelim ki aynı anda benim cebimde elli lira var, ben elli liranın bir kopyasını başkasına verdiğimde artık cebimde o elli liranın kalmaması gerekiyor. Blok zincir bunu ortadan kaldırdı,” diyor Lostar.
Kurumsal dünyada Blok zincir
Tecrübeli siber güvenlik uzmanı Murat Lostar’a göre, kurumsal dünyada blok zincirin kullanım alanı oldukça geniş. Lakin kurumların bu sisteme geçmeden önce aşağıdaki iki kategoriden hangisi içerisinde olduklarını öğrenmek için bazı sorulara cevap vermesi gerekiyor.
Eğer ‘Veri tabanı ihtiyacı var mı?’, ‘Farklı taraflar (kişi kurum) veri tabanında güncelleme yapmak zorunda mı?’, ‘Yazılan verilere ilişkin bir güven sorunu olabilir mi?’ gibi sorulara hayır cevabı veriyorsanız Blok zincire kurumsal anlamda ihtiyacınız yok demektir.
“Bu durumlar yok şirketinizde blok zincirini kullanarak emek, zaman ve işletim parası harcamamıza gerek yok,” diyor Lostar.
Fakat eğer iş ortamınızda ‘Herkesin güveneceği ortak bir otorite bulmak zor, hatta imkansız mı?’, ‘Verilerin bir tarafça saklanması sakıncalı mı?’, Farklı tarafları bu yeni uygulamayı kullanmaya ikna edebilecek durumda mısınız?’ gibi soruların cevabı evet ise o zaman Blok zinciri değerlendirmeniz gerekiyor demektir.
“Herkesin güveneceği ortak bir otorite bulmak zor hatta imkansız mı? işte önemli sorulardan biri bu,” diye belirtiyor tecrübeli CEO.
“Ben eğer merkezi bir otoriteye güveniyorsam benim sektörümün bir tane güvenilir ağabeyi var ise ve sektördeki bütün ekipler bu ağabeyin söylediğine güveniyorsa o zaman Blok zincir yapmak çok da şart değil. Ama böyle birisi yoksa özellikle Blok zincir normalden daha iyi bir çözüm olarak karşımıza çıkıyor olabilir.” diye ekliyor Lostar.
Fakat Lostar’a göre eğer kurumlar kendi ekosistemlerini tedarikçilerini ve müşterilerini ya da aracılarını böyle bir yapıyı kullanmaya ikna edebilecek durumda ise işte o zaman Blok zincir kullanmak anlamlı olabiliyor.
Webinarın tamamına bu link üzerinden izleyebilirsiniz
Siber Bülten abone listesine kaydolmak için doldurunuz
Uzun yıllardır devam eden bekleyişin ardından geçen yıl Mart ayında TBMM’de kabul edilen Kişisel Verileri Koruma Kanunu (KVKK), 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak, 6 ay sonra 7 Ekim 2016’da yürürlüğe girmişti.
KVKK ile ilgili beklenen önemli Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliği ise 28 Ekim 2017 tarihinde Resmi Gazete’de yayımlandı.
Lostar Bilgi Güvenliği’nin Kurucu Genel Müdürü Murat Lostar, Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi konulu webinarda ilgili yönetmelik hakkında bilgi verdi.
Lostar’a göre, son çıkan yönetmelik bir buçuk yıldan fazla bir süredir hayatımızda olan KVKK’ya uyum sürecinde rehber niteliği taşıyor.
Yönetmelik maddelerini Bilgi Teknolojileri alanında neler yapılması gerektiğini açısından değerlendiren Lostar: “Bu yönetmelik aslında çok uzun bir yönetmelik olmamakla beraber hemen birinci maddesinin kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlediğini görüyoruz.” şeklinde konuştu.
Kurumların, KVKK’ya uyumlu hale gelmesini gereken bir yönetmelikle karşı karşıya olduklarının altını çizen Lostar, yönetmeliğin, veri saklama ve imha politikasına sahip olma ve veri saklama süreleri esaslarına dayandığını söyledi.
Kişisel verileri silme, yok etme veya anonim hale getirme sürelerini detaylandıran yönetmeliğe göre:
MADDE 11- (1) –Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.”
(2) Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez.
(3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.
Lostar’a göre Madde 11 bizlere şunu söylemek istiyor; kurumların artık kişisel veri temizliği yapma günleri olacak.
Kurumlar ilk etapta periyodik imha işlemi denilen bir gün belirleyecekler. Regülasyon, imha işleminin her altı ayda bir yapılması gerektiğini söylüyor.
Lostar’a göre bu durum, kurumların yılda en az iki kere bahar temizliği yapar gibi kişisel verileri temizleme gününün olacağı anlamına geliyor.
-Kişisel verilerin silinmesi
Kurumlar açısından kanun kapsamında bahsedilen, müşterilere ait toplanan kişisel veriler, çalışanlara ait kişisel veriler, kuruma özgeçmini yollamış ama beraber çalışmadığı kişilere ait veriler gibi çok farklı veri türleri var.
Lostar’a göre, bütün bu kişisel verilerin her biri için yani her bir kategori için öncelikle bir politika belirleyip ve bu politikada hukukçularla beraber çalışarak bir iş bitirme süreci işletiyor olmak gerekiyor.
Bu işlem için de yönetmeliğin sunduğu 3 yöntemden bahsediyor tecrübeli CEO. Bunlardan ilki Kişisel Verilerin Silinmesi.
Yönetmeliğin 8. Maddesi 1. Fıkrasına göre:
“Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.”
Lostar’a göre bu madde içinde anahtar kelime aslında ilgili kullanıcılar denilen yer.
Yönetmeliğin 4. Madde 1. Fıkrası (b) bendinde ilgili kullanıcı “verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler” olarak tanımlanıyor.
Lostar, bu iki maddenin birbirini tamamlayıcı nitelikte olduğunu söylüyor ve ekliyor:
“Biz verileri silerken, verileri aslında işleyen ve o verilerin işlenmesinden bir fayda sağlayan kişilere karşı kullanılamaz hale getiriyor olmamız gerekiyor. Burada bazılarımızın aklına şu gelebilir ‘ben bunu silerim daha sonra günün birinde ihtiyacım olursa da o zaman bilgi teknolojilerine bu bilgiyi yedeklerden vermesini söylerim.’
İşte orada da Madde 8, 2. fıkrası karşımıza çıkıyor:
“Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.”
-Kişisel verilerin yok edilmesi
Yönetmeliğin sunduğu yöntemlerden ikincisi ise Kişisel Verilerin Yok Edilmesi. İlgili maddeye göre:
MADDE 9 – (1) Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
(2) Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Bu maddeyi yorumlayan Lostar, maddede en çok dikkat edilmesi gerekenin ‘bilgilerin hiçbir şekilde erişilemez ve geri getirilemez’ kısmı olduğunu söyledi.
“Bilgi Teknolojileri açısından düşünürsek bizim ana sistemlerimizde sadece veriyi sildim demek yeterli değil, aynı zamanda bu verinin yedeklerden ve kopyalardan silinerek geri döndürülemez şekilde imha edilmesi anlamına geliyor. Son olarak da bütün eski ve yeni arşivlerimizden bu bilgilerin imha edilmesi anlamına geliyor. Buradaki düzenleme sadece elektronik ortamı kapsamıyor tüm fiziksel kopyalar için de geçerli,” diyor Lostar ve uyarıyor:
“Eğer kurumunuz herhangi bir veriyi geri getirmek isterse bu geri getirme işleminin sadece ve sadece ilgili kullanıcılar dışında yapılabilmesini garanti ediyor olmak gerekiyor.”
-Kişisel verilerin anonimleştirilmesi
Yönetmeliğin sunduğu üçüncü yöntem ise Kişisel Verilerin Anonim Hale Getirilmesi.
MADDE 10 – (1) Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Lostar’a göre, anonimleştirme kişisel veri ile kişi arasındaki bağın kesilmesi anlamına geliyor.
“Yani veriler bir yerde mevcut ama o verileri gerçek kişiyle ilişkilendirmek geri dönülmez bir şekilde mümkün değil demek.”
Anonimleştirmenin yararları ama aynı zamanda zorlukları da var. Bu yöntemin en önemli yararı eldeki bilginin hala katma değer sağlamaya devam ediyor olması.
Fakat, Lostar, her kurum anonimleştirme yaparken kendine ‘Ben bu anonimleştirdiğim veriyi bir başka yerde sahip olduğum bir veriyle birleştirerek tekrar kişiselleştirebilir miyim ya da teknik değimiyle de-anonimleştirmek mümkün mü?’ sorusunun cevabını veriyor olması gerektiğini söylüyor.
“Her anonimleştirmenin öncelikle o sisteme özgü yapılıyor olması gerekiyor ve bunu yaparken kurumdaki farklı bir bilgi ile tekrar birleşerek de-anonimleştirmenin mümkün olmadığını garanti etmek gerekiyor.” şeklinde açıklıyor Lostar.
-Veri silme, yok etme ve anonimleştirme kayıtları
Yönetmelikte geçen önemli konulardan bir diğeri ise bu verilerin silinmesi, yok edilmesi ve anonimleştirilmesi kayıtları üzerine.
‘Ben kaydın içine kimin verisini sildiğimi, yok ettiğimi ya da anonimleştirdiğimi yazarsam aslında bir kişisel veri yok ederken yeni bir kişisel veri yaratmış olmuyor muyum’ sorusuyla çok fazla karşılaştığını söyleyen Lostar, bunun sorunun veri imha politikası yoluyla çözülebileceğini ifade ediyor.
Veri imha politikası gereği, kurumların, tuttukları farklı kişisel veri türleri için her birinin ne sıklıkta ve ne kadar yaştan sonra hangi yöntemle ortadan kaldırılacağına ilişkin bir kayıt listesi olmalı.
Bu kayıtların üç yıl saklanması gerekiyor. Lostar’a göre kanunun üç yıl kuralının arkasındaki temel motivasyon, kurumların tabi tutulacakları denetimler aracılığıyla kanuna uygunluk açısından sorumluluklarını düzenli ve dönemsel olarak yerine getirmelerini sağlamak.
https://www.youtube.com/watch?v=3kjKr5NSWv4
Siber Bülten abone listesine kaydolmak için formu doldurunuz
