Etiket arşivi: Murat Lostar

Lostar

Murat Lostar: IoT hayatımızın gerçeği o halde güvenlik kaçınılmaz

Yorum yapın

Nesnelerin interneti (‪Internet of Things) ya da kısa adıyla ‪IoT günlük hayatımızda ciddi değişikliklere sebep olacak büyük bir dijital endüstriyel dönüşüm olarak nitelendiriliyor.

IoT, genel olarak, fiziksel nesnelerin internet bağlantısı için bir IP adresine sahip olup diğer internet erişimli cihazlar ve sitemler ile haberleşme halinde olması şeklinde tanımlanıyor.

Tanımlanan bu devrim çerçevesinde nesnelerin dünya üzerinde farklı lokasyonlarda olmaları kendi aralarında belirli bir protokol üzerinden iletişim kurmasına engel değil.

Gelişen IoT teknolojisi ile otomobiller arası iletişim sistemleri, hasta takip sistemleri, akıllı evler ve şehirler gibi uygulamaların yaygınlaşması öngörülüyor. Fakat Lostar CEO’su Murat Lostar’a göre bu dönüşüm önemli güvenlik tehditlerini de beraberinde getiriyor.

İLGİLİ LOG YAZISI >> CIA VAULT 7 BELGELERİ ÜZERİNE

Geçtiğimiz hafta Nesnelerin İnterneti Topluluğu (IoTxTR) etkinliği çerçevesinde konuşan Lostar, gelişmiş IoT teknolojisinin anlamanın yolunun büyük resme bakmaktan geçtiğini söyledi.

“Bugüne nasıl geldik ve neden buradayız, bu iki kavramı anlamak hem bugünü kavramamıza hem de bundan sonra ne olacağını anlamamıza yardımcı oluyor.” diyor Lostar.

1784 yılında buhar gücüne dayalı üretimle gerçekleşen Birinci Sanayi Devrimi ve 1870 yılında elektrik enerjisinin kullanımıyla başlayan İkinci Sanayi Devrimi’ni hatırlatan Lostar, 1969 yılında bilgisayar ve  otomasyon ile Üçüncü Sanayi Devrimi’nin başladığını ve sanayinin son yıllarda Endüstri 4.0 ya da Sanayi 4.0 adıyla dördüncü evresine girdiğini aktardı.

Dördüncü sanayi döneminde geleneksel sanayinin dijitalleşme yönünde evrilip her biri farklı bilgisayar tarafından yönlendirilen makinelerin bir bütün olarak ana bilgisayarların kontrolüne gireceği ve bu şekilde fabrikaları makinaların yöneteceği öngörülüyor.

“Bu devrim hem temelde robotların artık kendi başına hareket edebilmesi otonom olması, hem de  fiziksel dünya ile siber dünyanın birbirine yaklaşması durumu.”

IoT ile bilgi güvenliğinin yeni formülü ‘CIA-S’ olacak      

Lostar’a göre IoT’nin hayatımıza girmesi bizleri yanına bir harf daha eklemek zorunda bıraktı .“S harfi ekledik yani safety (güvenlik).”

Tecrübeli CEO, gelişen IoT teknolojisinin güvenlikte de çok önemli değişiklilere sebep olduğunun altını çiziyor.

“Temelde veriyi konuştuğumuz için verinin üç önemli güvenlik özelliğinden bahsetmek zorundayız. Gizlilik, bütünlük,  kullanılabilirlik, yani GBK, İngilizcesi ise CIA (confidentiality, integrity, and availability). Bunlar olmadan verinin güvenliğinden bahsedemeyiz.”

“IoT hayatımızın gerçeği ve gittikçe artacak” diyen Lostar’a göre bu IoT’yi tanımak ve anlamak için kabullenilmesi gereken ilk nokta.

Amerikalı teknoloji araştırma şirketi Gartner’ın dörde böldüğü IoT domainlerinden örnek veren Lostar’a göre,  her IoT çözümü birbirinin aynı olmadığı gibi domainler de beklenti açısından birbirinden çok farklı.

Gartner, IoT domainlerini dikey pazarlar(endüstri, üretim perakende eğlence sağlık vb.), bina otomasyonu (akıllı binalar akıllı şehirler akıllı altyapı vb.), M2M (makinalar arası iletişim teknolojisi) bağlı ulaşım araçları ve bireysel üretim tüketim IoTler olarak ayırıyor.

Geçtiğimiz yıllarda yaşanan Mirai Botnet DDoS saldırısını ve TrendNet web cam saldırılarını örnek gösteren Lostar’a göre güvenlik zafiyetleri dört  ana sebepten kaynaklanıyor.

“Sürat felakettir, ucuzluk, x-KISS ve standartlar.” diyor Lostar.

“2016 sonu  itibariye 2.8 milyar tane cihaz olduğu öngörülüyor ve yine tahminlere göre 2020 sonunda birbiriyle bağlantılı 50 milyar cihaz olacak. Saatte bir milyon tane cihazın üretilmesi, kurulması ve devreye alınması gerekiyor. IoT ile ilgili bir fikri üretmek için bir saat kaybetmek bile size çok fazla pazar payı kaybettirebilir. Dolayısıyla  çok hızlı olmak gerekiyor, ama hızlı olmak bir şeylerden feragat etmek anlamına geliyor. Bu da güvenlik oluyor maalesef.”

CEO’ya göre, güvenlik zafiyetlerinin  diğer sebepleri ticari baskı ve karmaşık mimari yapı.

“KISS, yani Keep It Simple Secure, Basit ve kullanışlı ama güvenli olması gerekiyor.”

Güvenli ile ilgili en önemli sıkıntılardan bir diğeri ise çok fazla sayıdaki standartlar.

“Bir sürü standart görüyorsunuz. Bir sürü çözüm oyuncusu kendi standardını ortaya koymaya çalışıyor. Bu standartlara baktığımda iki problem görüyorum. Bir, çok sayıdalar, iki hiçbir tek standart bütün resmi kaplamayı başaramıyor. Bu da ne demek herhangi bir IoT çözümü yaratan ve IoT sistemi kullanmak isteyen kişinin bir çok standardı aynı anda değerlendirmesi gerekiyor.”

-Yöntem basit : Hızlı ve daha güvenli

Bütün bunların sonunda güvenliği nasıl sağlayacağız sorununa Lostar, iki temel çözüm öneriyor: hızlı ve daha güvenli.

“Hızlı olmak istiyorsak yöntem basit. Çözümü anlayın. Ben ne alıyorum, ne satıyorum. Saldırgan gibi düşünün. Ben saldırgan olsam ne yaparım. Bir güvenlik yaşam döngüsü hayata geçiriyor olmak gerekiyor.” diyor Lostar.

Detaylara dikkat edilmesi gerektiğini ve en zayıf halka insan faktörünün asla unutulmaması gerektiğine değinen Lostar, 7 tane çözüm maddesi öneriyor.

Lostar’a göre, bunlar IoT edinmeden önce ve aslında yeri gelince piyasaya sunmadan önce kendimize sormamız gereken 7 madde:

  1. Ürünün güvenli olması, kullandığımız ilgili iletişim katmanının güvenli olması ya da teknolojinin güvenli olması IoT çözümünün güvenli olması anlamına gelmez. Bütünün güvenliğini sağlamış olmam gerekiyor.
  1. Güvenlik bir yaşam döngüsüdür. Güvenliği öncelik haline getirin.
  1. Risk değerlendirmesi yapmak önemli ve bunu yapmak sadece güvenlik değil sosyal ticari teknik olarak da ürünü almadan önce son derece önemli.
  1. Esneklik çok önemli, çünkü bir şey olduğu anda hareket edebiliyor olmak lazım her zaman bir B planınız olsun. Özellikle hayatınızı IoT üzerinden yönetiyorsanız.
  1. Değişikliği IoT mimarinin bir parçası olarak düşünün ve çalışın. Bu son derece önemli. Teknolojiyi ‘aldık kullandık, çok iyiyiz’ demeyin. Ürünü düzenli olarak değerlendirin. Hala bu ürün ve teknolojiyle devam etmeliyim sorusunu sorgulamak çok önemli.
  1. Girmeden önce nasıl çıkacağınızı bilin.
  1. Uzaktan destek ve güncelleme becerisi var mı? Otomatik ve uzaktan yapılabiliyor olması gerekiyor, ve hackerın bunu yapamıyor olması lazım.

Siber Bülten abone listesine kaydolmak için doldurunuz!

 

 

Lostar, Şirket Haberleri

Siber dünyanın yetişmiş eleman sorununa çözüm Lostar’dan: ‘Bırakın açığı stajyerler kapatsın’

Yorum yapın

Siber güvenlik pazarı, bilişim sektörüyle aynı ivmede büyümeye devam ederken bu büyümeyi aynı hızla karşılayacak yetişmiş eleman açığı, Türkiye dahil bir çok ülkenin sorunu olmaya devam ediyor.

Sektörün yetişmiş kalifiye çalışan açığını gidermek amacıyla geçtiğimiz yıl Lostar ve Bilgi Üniversitesi işbirliği ile başlatılan Bilgi Güvenliği Teknolojisi Ön Lisans Programı’nda yeni akademik yıl yeni öğrencilerle başladı.

Program, teorik bilgi ile sektör tecrübesini aynı çatı altında buluşturarak sektörün ihtiyacı olan iş gücünü yetiştirme motivasyonu ile oluşturulmuş.

Siber Bülten’e konuşan Lostar’ın CEO’su Murat Lostar’a göre asıl heyecan verici olan projenin ikinci yılında sektöre kazandırılmayı bekleyen bir çok stajyerin olması.

“Dönem başladı, yeni arkadaşlar aramıza katıldı, daha önemlisi şimdi ikinci sınıfların artık stajyer olarak çalışabilme imkanı var.” diyor Lostar.

İlgili haber >> Siber Güvenlik alanında istihdam sıkıntısı sürüyor

Yetişmiş eleman ihtiyacı ve bir yöntem olarak stajyer alımı

Eğitim süresi iki yıl olan program, standart ön lisans programlarından farklı olarak daha fazla staj yapma fırsatı sunuyor.

Program dahilinde, eğitimin ikinci yılı boyunca öğrencilerin staj yapma zorunluluğu var. İlk dönem haftada iki güne karşılık gelen staj süresi, ikinci dönem haftada üç gün olarak belirlenmiş.

Lostar’a göre staj ağırlıklı program, “ağaç yaşken eğilir” mantığı ile hazırlanmış.

“Ağaç yaşken eğilir modelinin bir parçası olarak şirketler çalışanlarını henüz stajyerken alıp yetiştirecekler. Piyasada yetişmiş eleman sıkıntısı çok ve kurumlar bu konuda farklı alternatifler yaratmak zorunda.”

“Artık insanlar birbirlerine ‘senin güvenlik ekibin kaç kişi?’ demiyor, ‘senin güvenlik ekibin bugün kaç kişi?’ diyor. Eğitim programı bu sorunu çözmeye yönelik.” diye ifade ediyor tecrübeli CEO.

Lostar aracı şirket konumunda

Lostar’ın programa en büyük katkısı staj süreci ve mezuniyet sonrasında öğrencilerin doğru kurum ve kuruluşlarla çalışmasını sağlayan aracı şirket konumunda olması.

Şirket bunu program kapsamında staj için oluşturulan lostar.com.tr/stajyer sayfası üzerinden yapıyor.

Sayfa üzerinden stajyer arayan kurumlar bu web sayfasını ziyaret edip, gerekli formları doldurabiliyorlar.

“Lostar’ın burada amacı sektöre eğitimli ve deneyimli eleman kazandırmak.” şeklinde konuşan CEO Lostar’a göre öğrenciler yoğun eğitim ve staj programı sonrasında siber güvenlik endüstrisini çok iyi öğrenmiş bir şekilde sektörde çalışmaya hazır hale gelmiş olacak.

 

 

Lostar, Şirket Haberleri

Küresel Siber Güvenlik Endeksi açıklandı, Türkiye ilk 10’a giremedi

Yorum yapın

Birleşmiş Milletler bilgi ve iletişim teknolojileri ajansı International Telecommunication Union (ITU) ya da Türkçe adıyla Uluslararası Telekomünikasyon Birliği geçtiğimiz günlerde ikinci Siber Güvenlik Endeksi’ni yayınladı. İlki 2014 yılında yayınlanan rapor, devletlerin siber saldırılara karşı ne kadar hazır olduklarının ve savunma kapasitelerinin detaylı bir incelemesini sunuyor. Türkiye’nin 43. sırada yer aldığı raporu Siber Bülten’e değerlendiren Lostar CEO’su Murat Lostar, endeksin uluslararası işbirliği ve devletlerin farkındalığı açısından önemli ve objektif bir belge niteliğinde olduğunu söyledi.

Küresel toplumun, Bilgi İletişim Teknolojilerini sosyal ve ekonomik kalkınma için kilit unsur olarak gördüğünü belirten rapora göre, hükümetler, bu dijital dönüşüm çerçevesinde siber güvenliği teknolojik ilerlemenin ayrılmaz ve bölünmez bir parçası olarak kabul etmek zorunda.

Murat Lostar

“Siber güvenlik konusunda hazırlanan çok önemli bir rapor” diyen Lostar’a göre raporu önemli kılan ise devletlerin siber saldırılara karşı hazırlık seviyesini mukayese ediyor olması ve bunu herhangi bir ticari amaç doğrultusunda yapmıyor olması.

“Ürün ya da hizmet satmak üzerinden değil bağımsız araştırma yetkinliği olan bir kurum tarafından hazırlanmış bir belge.”

ITU’nun dünyanın değişik yerlerinde temsilciliklere sahip olduğunu aktaran Lostar’a göre, rapor hazırlık esnasında sağlanan bilgiler ilgili ülkelerin kendi içinde yapılan araştırma sonuçlarıyla elde ediliyor.

“İnternetten bakıp, iki arama yaparak bulunan veriyi değerlendirip, ‘bu ülke hazır ya da değil’ demiyor. Bu nedenle sonuçların gerçeği büyük oranda yansıttığını düşünüyoruz,” diyor CEO Lostar.

Türkiye 43. sırada

193 ülkenin değerlendirildiği raporda Singapur, siber saldırılara karşı en hazırlıklı ülke olarak listenin başında yer aldı. Singapur’u Amerika Birleşik Devletleri ve Malezya izliyor.

Bu üç ülke dışında ilk 10’a giren diğer devletler; Umman, Estonya, Mauritius, Avustralya, Gürcistan, Fransa ve Kanada.

Türkiye ise 43’üncü sırada yer alıyor.

2014 yılında ilki yayınlanan raporda siber güvenlik önlemleri en yüksek seviyede olan ülkeler listesinde birinci sırada ABD’ye yer verilirken, ikincilik Kanada’da kalmıştı. Listedeki üçüncü sırayı Avustralya, Malezya ve Umman Sultanlığı paylaşmış, Türkiye küresel listede 7. sırayı alırken bölgesel sıralamada 4. olmuştu.

2014 ITU sonuçlarıyla haber için tıklayınız

Ülkelerin, bilgi güvenliği alanında uluslararası katılım, ulusal siber güvenlik stratejileri ve bu alandaki eğitimler gibi ölçütler üzerinden derecelendirildiği raporda Singapur ve Malezya’nın bir çok ülkeyi geride bırakmasının örnek teşkil ettiğini aktaran Lostar, sözlerini şöyle sürdürdü:

“ABD dünyanın bu konuya en fazla yatırım yapan en hazırlıklı ülkelerinden bir tanesi olduğunu kabul ediyoruz.

Singapur’un avantajı ise küçük bir ülke olması. Merkezi alınan kararların hem devlet kurumları hem de ticari işletmeler tarafından takip edilmesi çok daha kolay oluyor.”

Raporun, Singapur ve Malezya gibi ülkelerin siber güvenliğe çok önceden özen göstermeye başladıklarının kanıtı niteliğinde olduğuna değinen Lostar:

“Tabi unutulmaması gereken bir konu daha var o da aynı kitap okur yazarlığı gibi bir de siber güvenlik ya da bilgi güvenliği okur yazarlığı.”

Siber güvenlik okur yazarlığının uzun vadede ülkelerin eğitim politikalarından beslenen bir konu olduğunu söyleyen tecrübeli CEO, Türkiye’nin listeye 43. sıradan girmesini ülke açısından iki şekilde değerlendirilmesi gerektiğini dile getirdi.

Global listede 43. sırada yer alan ülke, olgunlaşan devletler kategorisinde yer alıyor.

“Bunun anlamı, birincisi Türkiye’nin bugüne kadar yaptığı çalışmaların olumlu yönde olduğu ve Türkiye’nin bu yönde gelişen bir ülke olduğunu gözlemliyoruz. Bu iyi bir haber,” diyor Lostar ve uyarıyor:

“Fakat diğer bir açıdan da bakmak gerek. Siber saldırlar ve siber savaş bugünün ve geleceğin en öncelikli konusu olarak karşımıza çıkıyor ve ne yazık ki bu alana daha çok önem vermeliyiz gerçekten eksiksiz olmamız lazım.”

Türkiye’nin iyi bir ilerleme kaydettiğini fakat hala yapacak çok işin olduğunun bir mesajı bu rapor, diyor ve ekliyor Lostar:

“Türkiye’nin bulunduğu jeopolitik konum, ekonomik güç ve sosyo-politik durumunda dolayı saldırılara çok açık bir ülke. Bunu geçmişte de gördük. Bundan sonrada görmeye devam edeceğiz. Bu nedenle yapılan çalışmalar iyi ama yeterli değil.”

Siber Bülten abone listesine kaydolmak için formu doldurunuz

 

Lostar, Şirket Haberleri

Endüstri 4.0 ile ‘Siber saldırı yaşamayacağız’ dönemi geride kaldı

Yorum yapın

Sabancı Üniversitesi, çağımızın yeni endüstriyel vizyonu olarak görülen sanayide dijitalleşme ve Endüstri 4.0’ı tüm yönleriyle iki gün süren bir çalıştayda inceledi.

Sanayi, teknoloji ve bilgi güvenliği gibi sektörlerden konuşmacıları ağırlayan Sanayide Dijitalleşme Stratejileri Çalıştayı, Türk sanayisinde dijitalleşme stratejilerinin belirlenmesini, “dijitalleşme sürecine nereden, nasıl başlayacağız?” sorusuna bir cevap bulmayı amaçlıyor.

Çalıştayın açılış konuşmasını yapan Sabancı Üniversitesi Mühendislik ve Doğa Bilimleri Öğretim Üyesi Prof. Dr. Gündüz Ulusoy, iki gün süren etkinlik boyunca özellikle sanayide dijitalleşme sürecinden azami fayda için firmaların operasyonel yönetim süreçlerinde yapmaları gereken iyileştirmelerin inceleneceğini söyledi.

Gündüz ulusoyToplantının ana teması olan Endüstri 4.0 ya da diğer adıyla ‘Dördüncü Sanayi Devrimi’, ilk kez 2011 yılında Almanya’nın Hannover

Sanayi Fuarı’nda ortaya atılmış ve sonrasında da Alman hükümeti tarafından geçen yıllar içerisinde geliştirilmeye başlanmıştır.

Türkiye dijital sanayi dönüşümünün dışında kaldı

Dördüncü sanayi döneminde geleneksel sanayi dijitalleşme yönünde evirilip her biri farklı bilgisayar tarafından yönlendirilen makinelerin bir bütün olarak ana bilgisayarların kontrolüne gireceği ve bu şekilde fabrikaları makinaların yöneteceği öngörülüyor.

“Son yıllar içerisinde rekabet oranına baktığımız zaman, Türkiye’nin sürekli aşağıya doğru kaydığını ve endişeye yola açabilecek bazı sonuçlar görüyoruz,” diyen Ulusoy’a göre Türkiye şimdiye kadarki dijital sanayi yapılanmasının ve dönüşümünün dışında kalmış durumda.” Tecrübeli akademisyen düzenledikleri yuvarlak masa çalışmalarıyla dinleyici modundan katılımcı moduna geçilerek herkesin katkı sunmasını amaçladıklarını belirtti.

Sanayi üretiminde dijital bağımlılık artarken, siber saldırılarla mücadele de giderek önem kazanıyor. Çalıştayın ilk gününde konuşan Lostar’ın CEO’su Murat Lostar, dijital dönüşümle birlikte sanayi sektöründe yer alan kontrol sistemlerini hedefleyen siber saldırılarda büyük bir artış olduğunu söyledi.

Şu anda sanayinin dijitalleşmesi denilen süreci, bilgi teknolojilerinin de kendi içinde farklı şekillerde geçmişte yaşadığını belirten Lostar,

Haziran 2010’da fark edilen siber silah Stuxnet’i hatırlattı.

Dış dünyaya kapalı sistemler de hedef alınabiliyor

İran’ın uranyum zenginleştirme santrifüjlerini hedef alan Stuxxnet, sistemlere girip, santrifüjler normal olarak çalışıyor mesajı verirken, tüm kontrol sistemlerinde arka tarafta santrifüjlerin olması gerekenden çok daha hızlı çalıştırıp, İran’ın nükleer çalışmalarının yavaşlamasına sebep olmuştu.

Virüsün, tesiste çalışan mühendislerin arabalarını park ettiği otoparklarda yere bırakılan USB disklerin mühendisler tarafından bulunup,  bilgisayarlarına takılması yoluyla bulaştığını söyleyen Lostar’a göre Stuxnet olayı Endüstri 4.0’dan çok önce gerçekleşmiş aslında ilk Endüstri 4.0 siber saldırısı.

2015 ve 2016 yıllarında yaşanan Ukrayna elektrik kesintilerini de endüstriyel kontrol sistemlerine yapılan büyük çaplı siber saldırı örneklerinden biri olarak gösteren Lostar “Bu siber saldırılar, endüstriyel kontrol sistemlerinin ve dış dünyaya kapalı sistemlerin de hedef olabileceğini göstermesi açısından önemli.” ifadelerini kullandı.

Hollanda’da yapılan bir araştırmayı referans gösteren Lostar,  bir üretim şirketinin ortalama siber olaylardan uğrayacağı zararın yıllık yaklaşık yarım milyon dolara ulaştığını aktardı.

Bu kaybı azaltmak için endüstrinin “problemler nereden kaynaklanıyor?” sorunsalı üzerine düşünmesi gerektiğini Lostar CEO’suna göre, doğrulanmamış protokoller, desteği kesilmiş ve yaması ortadan kalkan donatım kullanımı, zayıf kullanıcı kimlik doğrulama sistemleri, zayıf dosya bütünlüğü denetimleri, zafiyetli işletim sistemleri ve kayıt dışı 3. parti bileşenleri temel sorunların başında geliyor.

Sanayi 4.0 için temel 10 madde sayan Lostar, işletmelerin öncelikle “siber saldırı karşısında ne yapacağız” (incident management) sorusunu kendilerine yöneltmelerini gerektiğini söyledi.

“Siber saldırı yaşamayacağız diye bir kavram geride kaldı. Siber saldırı yaşayacağız. Bizlerin artık zararı nasıl azaltacağız sorularının cevabını veriyor olmamız lazım.”

İş ortaklarının, tedarikçilerin güvenlik süreçlerine entegre edilmesi ve en zayıf halkanın (çalışan/insan) eğitilmesi maddelerinin de Endüstri 4.0 devriminde güvenliği sağlamak için önemli olduğunu söyleyen Lostar:

“Endüstri 4.0 risklerinin izlenmesi/yönetilmesi ve güvenlik bakım, onarım, destek süreçleri/erişimi de son derece önemli,” diyor.

Bilgilerin sadece hak eden insanlarda olması ve başkalarının görememesi prensibi olan bilgi güvenliğinin üç unsuru, gizlilik, bütünlük, kullanılabilirlik (CIA triad) Endüstri 4.0 siber güvenliği açısından hayati diyen Lostar çalıştayda, “Sanayi 4.0 güvenliği için uyulması gereken 10 kural” hakkında bilgi verdi.

Lostar, Şirket Haberleri

KVKK’ya uyum süreci hukuk şirketleri/BT işbirliğinden geçiyor

Yorum yapın

Uzun yıllardır devam eden bekleyişin ardından geçen yıl Mart ayında TBMM’de kabul edilen Kişisel Verileri Koruma Kanunu (KVKK), 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak, 6 ay sonra 7 Ekim 2016’da yürürlüğe girmişti.

Bununla beraber, 7 Nisan 2016 tarihinden önce işlenmiş olan kişisel verilerin KVKK’ya uyum süreci devam ediyor ve son tarih 7 Nisan 2018.

Avrupa Birliği ve Amerika gibi ülkelerde on yıllardır gündemde olan kanun, “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek” olarak tanımlanıyor devlet tarafından.

LOSTAR BLOG >> Kişisel Verilerin Korunması ve Veri Küçültme (Data Minimisation)

Peki bir yılı aşkın süredir hayatımızda olan, sade vatandaştan şirketlere kadar herkesi ilgilendiren bu kanuna uyum süreci nasıl olmalı?

Kanun ve uyum süreciyle alakalı Siber Bülten’e özel bir röportaj veren Lostar’ın CEO’su Murat Lostar,  kanuna uyumun genellikle bu konuda çalışan hukuk firmalarıyla başladığını söylüyor.

İlgili haber>> Sisteminizi Abome’ye emanet edin gözünüz arkada kalmasın

“Türkiye’deki kişisel veri barındıran her bir özel ve tüzel şirketin bu kanuna uyumlu hale gelmesi gerekiyor,” diyen Lostar’a göre kanuna sağlıklı uyum süreci ise hukuk şirketleri ve BT şirketlerinin ortak danışmanlığından geçiyor.

“Hukuk firmaları, kurumları kanunun hukuksal gereksinimleri hakkında bilgilendiriyorlar. Fakat günümüzde verilerin çok büyük bir kısmının elektronik ortamda olduğunu düşünürsek, bu kanuna uyumun sadece hukuk firmasıyla olması mümkün değil. Mutlaka işin bir de BT konusunda hem kanuna hem bilgi teknolojilerine hakim bir kurum tarafından da destekleniyor olması gerekiyor,” diyor Lostar.

Hukuk şirketi/BT işbirliği uyum sürecini kolaylaştırıyor

Türkiye’nin önde gelen hukuk firmalarıyla ortak hareket ettiklerini söyleyen CEO Lostar, şirketin kanun çerçevesinde kurumların yapacağı teknik uyumlulukların anlaşılması ve bunu uygulayacak BT ekiplerine rehberlik hizmeti verdiğinin altını çiziyor.

İlgili haber >> Sektörün yetişmiş eleman ihtiyacını karşılayacak yeni bir eğitim programı

Yürürlüğe giren kanunun getirdiği birtakım yeni gereksinimleri hakkında bilgi veren Murat Lostar şirketin, kurumlara danışmanlığın yanı sıra kişisel verilerin kurumun içinde nerelerde olduğunun envanterinin çıkartılması gibi birtakım hizmetler de sağladığını söylüyor.

LOSTAR BLOG>> Flash Tabanlı Katı Hal Sürücülerinden Güvenli Veri Silme

“Biz de bu konuda yapmış olduğumuz birtakım Ar-Ge’lerde ‘Veri Avcısı’ dediğimiz bir yazılım sayesinde kurumun içindeki disklerde, dosyalarda e-postalarda, Word ve Excel dosyalarında hangi kişisel veriler bulunduğunu çıkartıp envanter oluşturulması konusunda yardımcı oluyoruz. Bunlar danışmanlığın yanı sıra yapılması gereken bir iş. Bu işlerle alakalı destekler de veriyoruz,” diye belirtiyor CEO Lostar.

Bütün kurumların er ya da geç kanuna uyum sürecinden geçmek zorunda kalacakları bir dönemde, bir kurumun KVK doğrultusunda bir hukuk bir de BT şirketiyle çalışması sürecin kolay, hızlı ve eksiksiz tamamlamasının en kolay yolu olarak gözüküyor. Uluslararası kurumlar uyum çalışmalarına büyük bir hızla devam ederken yerli birçok şirketin henüz adım atmamış olması dikkat çekici.

İlgili haber >> Türkiye’nin en geniş sızma testi ekibi: İşi otomasyona bırakmayız son sözü biz söyleriz

“Kanun gereği herhangi bir şekilde ister çalışan, ister ziyaretçi, ister müşteri olsun kişileri tanımlayabilecek verileri toplayan, işleyen, kaydeden, üzerinde bir çalışma yapan her kurumun bu kanuna uyumlu hale gelmesi gerekiyor.”

Lostar, kendi hukuk departmanları olan büyük ölçekli şirketlerin de kanunun BT ayağında desteğe ihtiyaçları olduğunu belirtiyor ve sürdürüyor:

“Şirketler hukuk konusunu halletseler de BT konusunda bir desteğe ihtiyaçları var. Hukuki uyum çalışmaları birkaç ay sürüyor ama BT çalışmaları çok daha uzun zaman alabiliyor. Bunun farkına baştan varmıyor olabiliyorlar ama sonrasında çok zorlanıyorlar. Başlangıç anından itibaren işin ehli bir BT kurumuyla çalışılması gerekiyor.”

Kanunun getirdikleri

Kanun kişisel verileri ikiye ayırıyor; normal kişisel veriler ve özel nitelikli kişisel veriler.

Normal kişisel veriler bir kişiyi tanımlayan ad, soyad, TC kimlik no, ayakkabı numarası, saç rengi gibi verilere deniliyor.

Bir de kanunun tanımladığı, tek tek saydığı daha hassas korunması gereken özel nitelikli veriler var. Kanun; sağlık verileri, kan grubu, hastalık verileri, dernek, vakıf, sendika ve siyasi parti üyelikleri, dini, mezhebi veya diğer inançları, kılık kıyafeti gibi bilgiler, kişisel ses, parmak izi gibi verilere özel nitelikli kişisel veriler diyor ve bunları daha sıkı koruyor.

Kişisel verilerin ve özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi kanunca yasak olmakla birlikte bu kurala, sadece kanunda belirtilen sınırlı haller dahilinde istisna getirilmiştir.

Konuyla ilgili kanunun çeşitli ceza maddeleri var. Kanun kapsamında kurum ve yöneticileri 1 ila 4 yıl arasında değişen hapis cezaları ile ihlal başına 1 milyon TL’ye kadar varabilen idari para cezaları gibi yaptırımlarla karşı karşıya kalabilirler.

Cezai yaptırımlar nedeniyle konunun farkında olan çok uluslu ve büyük kurumların kanuna uyumlu hale gelmek için çok çaba sarf ettiklerini söyleyen Lostar, kurumları uyarmayı da ihmal etmiyor:

“Son derece detaylı ve eksiksiz bir kişisel veriler envanteri çıkarmak gerek. Hangi kişisel veri bilgisayar sistemlerinde nerelerde duruyor , nerelere kopyalanıyor, nerelere gidiyor. Hangi kişisel veriler kimlerle paylaşılıyor. Bu bilgilerin çok detaylı bir şekilde envanterinin tutuluyor olması lazım,” diyor Lostar.

Tecrübeli CEO ayrıca bir kişisel verinin yurt içinde ya da yurt dışında bir başkasına gönderilmesi söz konusu ise bu kişisel verinin çok iyi bir şekilde korunarak gönderiliyor olması gerektiğini ya da kriptolanarak aktarılması gerektiğini söylüyor ve uyarıyor:

Verilerin aleni olarak, kamuya açık bir şekilde paylaşılması durumları -mesela korumalı olmayan, herkese açık Twitter, Instagram hesabında paylaşılan bilgiler- bu kanun kapsamının dışına çıkıyor. Bireylerin buna dikkat etmesi gerekiyor.