Dünyada ve Türkiye’de gittikçe artan üçüncü taraftan kaynaklı siber güvenlik olayları kurumlara ciddi maliyetlere sebep olmaya devam ediyor. Ponemon Enstitüsü’nün konuyla ilgili yaptığı araştırmaya göre, kurumların yüzde 53’ü bir veya birden çok kez üçüncü taraf kaynaklı veri sızıntısı yaşamış durumda. Üstelik bu sızıntıların maliyetinin 7.5 milyon doların üzerinde olduğu tahmin ediliyor.
Amazon, e-Bay, T-Mobile, British Airways, Ticketmaster ve General Electric gibi dünya devi şirketler dahi üçüncü taraf kaynaklı sızıntıları engellemekte tıpkı Türkiye’de bazı örneklerde olduğu gibi güçlük yaşıyor.
Üçüncü taraftan kaynaklanan veri ihlallerini önlemek için hangi adımların atılabileceğini, Kişisel Verileri Koruma Kanununun ilgili olaylarda kimi muhatap kabul ettiğini ve böyle bir olay yaşandığından izlenen hukuki süreci Kavlak Avukatlık Bürosu’ndan Mina Küpana ile konuştuk.
ŞİRKETLER ÜÇÜNCÜ TARAFI SÜREKLİ DENETLEMELİ
Dünyadaki tüm büyük şirketler, belirli hizmetleri kullanıcılarına sunmak, site güvenliğini sağlamak veya çeşitli hedeflerle kurdukları stratejiler doğrultusunda işbirlikleri geliştirmek amacıyla üçüncü taraflarla çalışıyor. Fakat son zamanlarda üçüncü taraflarla kurulan ilişki bu şirketlerin başını ağrıtmaya başladı. Dünyadaki ve ülkemizdeki veri ihlallerinin ciddi bir bölümü göz önünde bulundurulduğunda, sızıntılar genellikle üçüncü taraf kurumlar veya kişilerden kaynaklı oluyor.
Şirketlerin üçüncü taraflarla işbirliği yapmadan önce kılı kırk yaran bir süreçten geçirmesi gerektiğini söyleyen Küpana, “Bu durum artık alt işverenin denetimi düzeyinde yaygınlık kazanmalı ve üzerinde titizlikle durulmalı. Bir şirket, bu tip veri ihlallerini önlemek adına işin başında ve devamında sürekli ve düzenli bir denetim mekanizması kurmalı. Üçüncü tarafın çalışanlarının gerekli eğitimlerden geçip geçmediği, idari ve teknik tedbirlerin alınıp alınmadığı, kurumun güvenlik stratejisinin ne kadar etkili olup olmadığı, doğabilecek riskler ve bunların nasıl önlenebileceği üzerine hazırlıklı olunduğunu kontrol etmeli. Nasıl ki çalıştığımız şirkete, ‘Çalıştırdığın işçilerin sigortasını yapıyor musun?’ sorusunu sormak ne kadar elzemse, güvenlik konusundaki önlemleri alıp almadığını sormak da bir o kadar önemli” dedi.
SEKTÖRDE BAŞARI KADAR GÜVENLİK DE KISTAS OLMALI
Şirketlerin üçüncü taraf hizmet sağlayıcılarla iş yaparken kârlılık hesabı yaparak güvenlik konusunu geri planda bıraktığını vurgulayan Küpana, “Çalışılması düşünülen üçüncü taraf hizmet sağlayıcının sektörde ne düzeyde iyi olduğu doğal olarak belirleyici oluyor. Fakat bu şirketin güvenlik konusunda ne düzeyde hassas olduğu, gerekli önlemleri alıp almadığı çok araştırılmıyor. En baştan bir eleme sürecine tabi tutulmalılar. Sektöründe iyi olabilir. Ama daha önce yapılan işlerde bir güvenlik açığı yaşanmış mı? Şirket güvenlik açıklarını engellemek adına ne gibi bir sisteme sahip? Bu sorular işin başında sorulduğunda ve gerekli denetimlerden ve eleme süreçlerinden geçirildiğinde yapılan işbirliği iki taraf için de sağlıklı olur. Öteki türlü, anlaşmayı imzaladıktan sonra yaşanan bir güvenlik açığı ile görülecek zarar düşünüldüğünde üçüncü taraf ile imzaladığınız sözleşmenin çok da bir getirisi olmuyor. Hukuki sürecin uzun dehlizlerinde kaybolup gidiyorsunuz. Kaldı ki bu ihlalleri önlemek adına yapılacak her titiz çalışma sadece maddi olarak şirketinizi kurtarmıyor. Siber güvenliğin itibar açısından ne kadar önemli olduğu su götürmez bir gerçek. Fakat güvenlik ihlâllleri ve veri sızıntılarının maddi boyutu da oldukça önemli. Gerçekleşen veri ihlalleri her yıl şirketlere büyük kayıplara mal oluyor.” ifadelerini kullandı.
TÜRKİYE’DEKİ ŞİRKETLERE MALİYETİ 12 MİLYONUN ÜZERİNDE
IBM Güvenlik İş Birimi ve Ponemon Institute tarafından geçtiğimiz yıl veri ihlali yaşamış kuruluşlarda çalışan 3200’den fazla güvenlik uzmanıyla yapılan kapsamlı mülakatlara dayanan 2020 Veri İhlali Maliyeti Raporuna göre, Türkiye’de yaşanan her bir veri ihlalinin maliyeti 12,7 milyon TL’ye mal oluyor. Türkiye’deki veri ihlalleri bir önceki yıla göre yüzde 10,3 düzeyinde artış göstererek bu seviyeye geldi. Rapora göre Türkiye’de meydana gelen veri ihlallerinin yüzde 50’sinin temel nedeninin kötü amaçlı saldırılar olduğu ortaya çıktı. Kötücül saldırıların insan hatası ve sistemsel hatalardan kaynaklandığı belirtilen raporda, firmalar için ortalama toplam maliyeti 12,98 milyon TL olan kötücül saldırılardan kaynaklanan veri ihlallerinin yalnızca en yaygın değil, aynı zamanda da en maliyetli sorun olduğu söylendi.
ASIL SORUMLU HER ZAMAN VERİ SORUMLUSU ŞİRKET
Yaşanan veri ihlallerinde Kanunun üçüncü tarafı değil veri sorumlusu firmayı işaret ettiğini belirten Küpana, “Veri sorumlusu şirket istediği kadar üzerine düşeni yapsın, ihlal üçüncü taraftan da kaynaklansa kanun asli sorumlu olarak veri sorumlusu firmayı muhatap alıyor. Sorumluluk çalışılan üçüncü şirkette değil veri kayıt sisteminin kurulduğu ana şirkette. Veri sorumlusu şirket ancak ilerleyen süreçte üçüncü tarafın hata ve eksiklerinden ötürü yasal yollara başvurabiliyor.” dedi.
SÜREÇ NASIL İŞLİYOR?
Kişisel Verileri Koruma Kurumu tarafından yürütülecek soruşturmaya ve verilebilecek cezaya dair de konuşan Küpana, “Sızıntının büyüklüğüne, görülen zararın derecesine göre soruşturmanın boyutu ve verilecek cezanın miktarı değişiyor.
Avrupa ve dünyada pek çok veri koruma otoritesi para cezalarına ilişkin politikalar belirlerken ülkemizde henüz böyle bir standart mevcut değil. KVKK uyarınca yaşanan veri ihlallerini öğrendiğimiz andan itibaren belirli sürelerde Kişisel Verileri Koruma Kurumuna bildirmek durumundayız, Kurum da kamuoyunun menfaati olan hallerde bu ihlalleri kamu ile paylaşıyor.
Bir veri sızıntısı yaşandığında sonraki süreçte yapılacak denetimin sonuçlarına göre verilecek ceza belli olacaktır. Süreçlerde hukuki metinler hazırlanmış mı? Teknik önlemler alınmış mı? Periyodik olarak eğitimler yapılmış mı? Güvenlik açısından gerekli önlemler alınmış mı? Bunlar üzerinden veri sorumlusunun yapması gerekenleri yapıp yapmadığı saptanacak” ifadelerini kullandı.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
