Etiket arşivi: veri

2019’da dikkat edilmesi gereken 5 siber tehdit

7 Ocak 2019 Ergün Varlık Yorum yapın

Küresel antivirüs yazılım kuruluşu ESET, merakla beklenen 2019 Siber Tehdit Öngörüleri’ni duyurdu. “Küresel köyde gizlilik ve ihlal” adını taşıyan raporda, kripto paraların değer kaybetmesine rağmen, geniş çaplı üretim hedefleyen yasa dışı kripto madencilik çiftliklerinin artmaya devam edeceği bildiriliyor. Siber suçlular, bu amaçla akıllı ev cihazlarına yönelecek.

Dünya çapında görev yapan ESET güvenlik araştırmacılarının hazırladığı “ESET Cybersecurity Trends 2018 – Privacy and intrusion in the global village” raporuna, göre siber güvenlik ve siber tehditlerle ilgili 2019’da şu başlıklar öne çıkacak:

Trend #1: Kripto para madenciliği yükselişini sürdürüyor.

ESET Kıdemli Güvenlik Araştırmacısı David Harley’e göre, bir cihazın yasa dışı yollarla ele geçirildiği ve ‘cryptojacking’ olarak tanımlanan kripto para madenciliği, hiçbir yavaşlama belirtisi göstermiyor.

Harley, “İşleme pastasından daha yüksek kalorili pay elde etmek için rakip kripto para madencilerinin, ele geçirilmiş sistemlerde yer alan diğer kripto para madenciliği yazılımlarını kaldırmaya çalıştığını göreceğiz” tespitini yaptı.

Trend #2: Siber saldırganlar, kripto para üretimi için akıllı ev cihazlarını kullanarak kripto madencilik çiftlikleri oluşturacak.

Kripto paralar, oluşturulmaları için yüksek işlem gücüne ve yoğun enerjiye ihtiyaç duyuyor. Siber saldırganlar, zararlı yazılımlarla başkalarının sistemlerine yasa dışı şekilde girerek bu ihtiyacı gidermeye odaklanıyor. Bu amaçla oluşturulan büyük boyutlu ağlar, kripto maden çiftlikleri (cryptomining farms) olarak tanımlanıyor.

Kripto paraların genişleyen kullanım alanları ve internete bağlı cihazların sayısındaki artış, akıllı ev aletlerinin 2019’da kripto madencilik çiftlikleri inşa etmeleri için saldırganların giriş noktası halini alacağı anlamına gelebilir. Siber saldırganlar, akıllı ev cihazlarının güvenlik açıklarını tespit ederek bunları ayrıca dolandırıcılık faaliyetleri ve fidye yazılımları için de kullanmaya devam edeceklerdir.

Trend #3: Siber saldırılarda otomasyon daha üst seviyeye çıkacak.

ESET uzmanları, 2019’da gerçekleşecek veri toplama girişimlerinde siber suçluların otomasyon ve makine öğrenimi kullanımında artış görüleceğini, böylece daha kişiselleştirilmiş ve sofistike kimlik avı kampanyalarının ortaya çıkacağını öngörüyor.

Siber suçlular, insanların düzenli alışveriş alışkanlıkları gibi üreticiler tarafından depolanan zengin verilere erişemeyecek olsalar da, web siteleri arasında kurbanları takip eden web izleyicileri kullanabilir veya profil oluşturmak için veri aracılarından bilgi toplayabilirler.

ESET Kıdemli Güvenlik Araştırmacısı Lysa Myers’e göre “makine öğrenimi bu alandaki etkinliğin artmasına yardımcı olabilir.”

Trend #4: Veri gizliliği, şirketleri oluşturacak veya dağılmalarına neden olacak.

2018’de veri gizliliği ve korumasıyla ilgili sorunlar tüm dikkatlerin odağı haline geldi.

Yıl içinde pek çok yüksek profilli veri ihlali meydana geldi. ESET, veri gizliliğini doğru şekilde yönetme yeteneğinin 2019’da hangi şirketlerin iş dünyasında hayatta kalacağını belirleyeceğini düşünüyor.

ESET Araştırmacıları Stephen Cobb ve Lysa Myers, Cambridge Analytica gibi olayların ışığında, şu anda hakim olan Facebook gibi platformlara alternatif arayışlarını göreceğimizi söylüyor.

Trend #5: Küresel gizlilik yasasına doğru bir adım mı?

Avrupa Birliği bünyesinde Genel Veri Koruma Regülasyonu (GDPR), 2018’de yürürlüğe girdi. ESET, özellikle Kaliforniya, Brezilya ve Japonya’da da benzer modellerin ortaya çıkmasının ardından, AB uygulamasının küresel bir gizlilik yasasına geçişin ilk adımı olup olmadığını sorguluyor. Müşterilerin verilerini koruma ve hassas bilgilerin gizliliğini sağlama baskısının küresel bir sorun olduğuna dikkat çeken ESET, GDPR’ın dünya çapında gizliliğe yönelik bir hamleyi kesinlikle teşvik edeceğini öngörüyor.

haber

Her dört kişiden üçü veri yedeklemiyor

3 Ocak 2019 Ergün Varlık 1 Yorum

Son bir araştırmaya göre, her dört kişiden üçü muhtemel bir olumsuz senaryoya karşı veri yedeklemiyor. Yeterli önlem alınmaması yüzünden de veri kayıpları oldukça sık yaşanmaya devam ediyor.

Veri Kurtarma Hizmetleri Genel Müdürü Serap Günal, veri kaybının herkesin ya da her şirketin başına gelebilecek bir durum olduğunu vurguladı. Olası bir sorun öncesinde yedekleme yapmanın öneminin altını çizdi.

Verilerinin daima güvende kalacağı düşüncesiyle önlem almayan kullanıcılar, kayıplara hazırlıksız yakalanarak şok yaşıyor. Bu kayıpların yüzde 29’unun kazayla gerçekleştiğini ortaya çıktı. Serap Günal, her kullanıcının diske kahve dökmek, bir dosyayı yanlışlıkla silmek, bilgisayarı çaldırmak ya da tuvalete telefon düşürmek gibi basit hatalara bile er ya da geç düşeceğini dile getirdi. “Bu felaket benim başıma gelmez” yanılgısına kapınılmaması gerektiğini belirtti. Günal, birkaç depolama aygıtında yedekleme yaparak çok ciddi veri kayıplarından bile korunabileceğinin altını çizdi.

YÜZDE 30’U HİÇ YEDEKLEME YAPMIYOR

Bu arada, yeni bir araştırma, insan hatalarının dışında teknik sorunlar, kötü niyetli yazılımlar ya da virüsler gibi pek çok sebepten kaynaklanabilen veri kaybı vakalarına karşın her 4 kişiden sadece 1’inin düzenli olarak yedekleme yaptığını gösteriyor. Aynı araştırma, kullanıcıların yüzde 30’unun şimdiye kadar hiçbir zaman yedek almadığını da ortaya çıkartıyor.

VERİLERİN YEDEĞİNİ ALMAK, VERİ KAYBINA KARŞI RAHATLATIYOR

Veri kayıpları ile ilgili en kötü senaryolar bile veriler üzerinde yapılan değişiklik, kayıt ve depolama işlemlerinin modern, organize ve günlük gerçekleştirilmesiyle önlenebiliyor.

Ancak şanslarına güvenmek yerine bir plan oluşturarak veri kaybı ihtimaline karşı hazırlık yapan kullanıcılar bir veri kaybı anında kendilerini rahat hissedebiliyor. Yedeklemede iki ana yöntem olarak kullanıcıların karşısına harici disk ve bulut tabanlı depolama çıkıyor.

“VERİLERİNİZİ 3 FARKLI MEDYADA TUTUN”

İki yedeğin bulundurulmasının en doğru replikasyon sayısı olduğunu dile getiren Günal, verilerin ana medya dışında iki cihazda daha yedeklenerek veri kaybına karşı üç bağımsız veri tabanı yaratılmasını öneriyor.

Makale & Analiz

BDDK’nın siber güvenlik ve yeni teknolojilere karşı yeni duruşu

1 Ocak 2019 Ceylan Necipoğlu Yorum yapın

Bankacılık Düzenleme ve Denetleme Kurulu (BDDK) 25 Aralık 2018’de resmi sitesinde Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik Taslağı (“Taslak Yönetmelik”) yayınladı.

İlgili yönetmelikte ilgi çekici üç husus bulunuyordu; sırasıyla inceleyelim.

Öncelikle siber güvenlik konusu yıllardır odağımızda olmasına rağmen bu kez eğitimler zorunlu hale geldi; siber güvenlik ile ilgili firmaların bir temsilci atanması gerektiği düzenleme altına alındı. Bu da banka sektörünün siber güvenlik anlamında yatırımlarına bir kalem daha eklemesi olarak yorumlandı.

Ancak pratiğe bakıldığında bankalar bunu zaten yapıyordu; yalnızca artık iş sağlığı ve güvenliği ya da kişisel verilerin korunması gibi belirli periyotlarda çalışanlara uyarıcı ya da bilgilendirici mailler de iletilmesi gerekecek. Tabi bunu yapanlar da mevcuttu.

Tüm bunlara ek olarak siber güvenliği desteklemek adına bankaların sızma testi gerçekleştirmesi; bir takım teknik tedbirleri özellikle kriptoloji anlamında alması da hüküm altına alınmış oldu. Sevindirici olan ilgili Taslak Yönetmelik bilfiil Kişisel Verilerin Korunması Korunması Kanunu (KVKK) ve ikincil mevzuatı BDDK’nın ne kadar desteklediğini gösterir şekilde kaleme alınmış olması.

İkinci mühim konu ise açık bankacılık. Herkesin bildiği ve bu aralar sıklıkla duyduğu açık bankacılık Taslak Yönetmelikte de tanımlandığı üzere “müşterilerin ya da müşteriler adına hareket eden tarafların API, web servis, FTP gibi yöntemlerle bankanın sunduğu bir takım finansal servislere uzaktan erişerek bankacılık işlemlerini gerçekleştirebildikleri veya gerçekleştirilmesi için bankaya talimat verebildikleri elektronik dağıtım kanallarını” ifade etmektedir.

Biraz bu sistemi inceleyecek olursak başta İngiltere olmak üzere pek çok ülke tarafından gerek efor azaltması ve gelir sağlanmasına destek olması gerek ise şeffaf bir şekilde işlemesi sebebi ile desteklenmektedir. Hatta Avrupa’da bu sayede yalnızca dijital şekilde faaliyet gösteren banka örnekleri bile mevcuttur.

Avrupa Birliği’nin ikinci nesil diye addedilen ödeme sistemleri düzenlemesini getirmesi ile ( Payment System Directive Two “PSD2”) 2000 yıllardan beni değişim içerisinde olan bankacılıkta dijitalleşme en üst seviyeye taşınmış oldu. PSD2’ya göre de açık bankacılık ekosistemi veri paylaşımı temelli olması gerekçesi ile müşterinin açık rızasını aramaktadır.

VERİ PAYLAŞIMI ANCAK MÜŞTERİ RIZASI İLE MÜMKÜN

Taslak yönetmelik incelendiğinde de aynı ön şart göze çarpmaktadır. Yine KVKK ile paralel kaleme alınmış maddelerden biri olarak açık bankacılık faaliyetleri için veri paylaşımının söz konusu olacağı noktada müşterinin açık rızası mevcut değil ise bu paylaşımın yapılamayacağı düzenlenmiştir; hatta açık rızanın müşteriye sunulacak hizmetlere ön şart olarak düzenlenemeyeceğinin ilgili Taslak Yönetmenlik ile altı çizilmiştir.

Tüm bunların yanı sıra, bankaların API’ler vasıtası ile müşterilere açık bankacılık hizmeti sunabilecek olmasına dair bir düzenleme getirilmiş oldu. Bu husus Fintech şirketleri için 2019 hediyesi mahiyetindedir. Ancak önemle hatırlatmak isterim ki Taslak Yönetmelik Resmi Gazete ’de henüz yayınlanmadığı için yürürlükte bulunmamaktadır.

BULUT BİLİŞİMİN ÖNÜ AÇILDI

Üçüncü mühim konu Taslak Yönetmelik ile banka sektörünün de belirli şartlar çerçevesinde bulut bilişim sistemi kullanmasının önün açılmış olmasıdır. Bir başka deyişle ilgili Taslak Yönetmelik ile bir güzel haber de bulut bilişim hizmeti sunan şirketlere geldi.

Bankalar bir dış hizmet olarak bulut bilişim hizmetlerinden ancak birincil veya ikincil sistemler kapsamına giren bir hizmetin bulut bilişim yöntemiyle alınması, bu dış hizmetin sadece bankalara hizmet vermek üzere tesis edilmiş ve bankaların tabi olduğu mevzuat hükümlerine uygun olan ülke sınırları içerisinde yer alan bulut hizmet modelleriyle alması halinde yararlanabilecektir.

Ancak ana bankacılık uygulaması, kredi ve kredi kartı uygulamaları ile ödeme hizmeti gibi faaliyet konularında topluluk bulutu hizmet modeliyle dış hizmet alınabilmesini Bankacılık Kanunu müşteri sırrı prensibi gerekçesi ile BDDK iznine tabi olacaktır.

Bu iznin kişisel veri transferi içermesi gerekçesi Kişisel Verilerin Korunması Kurulu (“Kurul”) tarafından da değerlendirilmesi gerektiği düşüncesindeyim; ancak BDDK bunun bir gereksinim olduğuna kanaat getiri ise bu noktada Kurul da veri setini inceleyerek amaç dışında veri aktarımı olup olmadığını tespit edebilir. Böylelikle ile veri küçültmesi yapılarak bankanın daha sınırlı bir veri desenini paylaşması, bir başka deyişle daha az risk alıyor olması da sağlanabilir.

TASLAK YÖNETMELİK: BANKALARIN DİJİTALLEŞMESİNDE GÜZEL BİR ADIM

Son olarak ise, Taslak Yönetmelik’e rağmen başta da söylemiş olduğum gibi bulut kullanımı için belirli bir çerçeve olması gerekçesi ile yurtdışı paylaşımları bir başka deyiş ile yurtdışı bulut kullanımı yolunun açık olduğunu söylemek mümkün olmayacaktır. Bankacılık Kanunu müşteri sırrı, Taslak Yönetmelikte de yer alan hassas veri kategorisi ile veri mahremiyeti düzenlemeleri ve KVKK nedeni ile yurt dışı aktarımı hususunda KVKK’da düzenlenmiş olan herhangi bir yasal dayanak mevcut değil ise açık rıza aranacaktır.

Ek olarak, müşterinin açık rızası alınmış olsa dahi müşteri bilgilerinin yurt dışıyla paylaşılması veya yurt dışına aktarılması hususunda BDDK izni ön şart olarak düzenlenmektedir. Bunu ikili bir koruma olarak yorumlamak mümkündür; zira KVKK izni olsa dahi ki çoğu zaman bu izinler doğru kaleme alınmadığı için aktarılan veri seti ile karşılaştırıldığında örtüşmeyen açıkta kalan hususlar mevcut olabiliyor. BDDK’nın tekrar denetliyor olması müşterilerin veri sağlığı bakımından önem arz edecektir. Yurt dışında kurulu bankalar ise ödeme veya mesajlaşma sistemleri ile etkileşimin gerekli olduğu bankacılık işlemleri için BDDK izni aranmaksızın KVKK şartlarını sağlaması halinde paylaşım gerçekleştirebileceklerdir.

İlgili Taslak Yönetmelik’in bankaların dijitalleşmesi adına güzel bir adım olduğunu söylemek mümkün olup ilgili dijitalleşme adımlarının MASAK tarafında da atılması beklenmektedir.

Türkiye

“Vatandaşlar işlenen verisini, VERBİS üzerinden görecek”

1 Ekim 2018 Ergün Varlık Yorum yapın

Kişisel Verileri Koruma Kurumu (KVKK) Başkanı Prof. Dr. Faruk Bilir, kişisel verileri işleyen gerçek ve tüzel kişilerin, veri işlemeye başlamadan önce kısa adı “VERBİS” olan Veri Sorumluları Sicil Bilgi Sistemi’ne kaydolmak zorunda olduğunu, uygulamanın yarından itibaren kademeli olarak hayata geçirileceğini bildirdi.

Bilir, 7 Nisan 2016’da yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile kurulan kurumun, 12 Ocak 2017’den itibaren görevine başladığını anımsattı. Bilir, kişisel verilerin korunması ile ilgili olarak toplumdaki bilincin her geçen gün daha da arttığının gözlemlendiğini bildirdi.

Bilir, kurumun faaliyete başladığı tarihten itibaren de tüm sektörlerde kanuna uyuma ilişkin çalışmalara başlandığını anlattı. Kurumun tanıtımına yönelik programlar düzenlendiğini aktaran Bilir, bugüne kadar 12 ilde farkındalık toplantılarının düzenlendiğini, bu toplantıların 2019’da da süreceğini belirtti.

“Kamu kurumları da kayıt yaptıracak”

Kişisel verileri işleyen, aralarında şirketlerin de bulunduğu gerçek ve tüzel kişilerle ilgili kanun hükmü gereğince oluşturulan Veri Sorumluları Sicil Bilgi Sistemi’nin (VERBİS) faaliyete geçirileceğini dile getiren Bilir, sistemle ilgili şu bilgileri verdi:

“Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce kısa adı VERBİS olan Veri Sorumluları Sicil Bilgi Sistemi’ne kaydolmak zorundadır. VERBİS’e kayıt için belli kriterler çerçevesinde veri sorumluları sınıflandırılmış ve kademeli bir kayıt başlangıç tarihi belirlenmiştir. Bu kapsamda VERBİS’e kayıt yükümlülüğünden istisna olmayanlar için yıllık çalışan sayısı ve mali bilanço toplamı, Kurulca belirlenmiş olan rakamın üstünde olan veri sorumluları ile yurt dışında yerleşik veri sorumluları 1 Ekim 2018, bu rakamların altında kalan veri sorumluları 1 Ocak 2019, kamu kurumları da 1 Nisan 2019 tarihinde VERBİS’e kayıt olmaya başlayacaktır.”

İLGİLİ HABER>> KVKK’ya uyum süreci hukuk şirketleri/BT işbirliğinden geçiyor

“VERBİS’te kesinlikle kişilere ait veriler olmayacak”

Sisteme veri sorumlularının kişisel verileri hangi kategorilerde işlediklerine, hangi amaçlarla bu bilgileri kullandıklarına, aktarım yapıp yapmadıklarına yönelik bilgilerin de girileceğini anlatan Bilir, verilerin hangi sürelerle saklandığına, veri güvenliğini sağlamak amacıyla ne tür tedbirlerin alındığına yönelik de bilgi girişinin yapılacağını kaydetti.

Sisteme girilecek bilgilerin kamuya açık olacağına değinen Bilir, aktarılacak bilgilerin kesinlikle gerçek kişilere ait bilgiler olmayacağına işaret etti.

Faruk Bilir, işlenen kişisel verilerle ilgili “kimlik”, “iletişim” gibi kategorilerde veri işlendiğine yönelik bilgilendirmelerin sisteme kaydedileceğini söyledi.

Bilir, sistemin bir denetim mekanizmasını da sağlayacağına dikkati çekerek, vatandaşların VERBİS üzerinden veri sorumlularının girdiği bilgileri denetleyebileceğini hatırlattı.

Vatandaşların, kişisel verilerin kanunda belirtilen şartlar dışında işlendiğini düşündüğünde VERBİS üzerinden sorgulama yaparak verileri işleyenlerin yaptığı işlemleri, hangi amaçlarla, hangi kategorilerde verileri işlediğini görebileceğini dile getiren Bilir, amaç dışında hareket edildiğinin tespiti halinde de kuruma şikâyet başvurusu yapılabileceğine değindi.

Kaynak: Anadolu Ajansı

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Siber Güvenlik

Veri ihlalleri azaldı, gizliliği ihlal edilmiş kayıtlar hâlâ yüksek

24 Mayıs 2018 Ergün Varlık Yorum yapın

Veri ihlalleri sayısının yıldan yıla artması üzerine Risk Based Security (Riske Dayalı Güvenlik), 2018’in ilk çeyreğine dair veri ihlali raporunun sonuçlarını açıkladı. Raporda yılın ilk üç ayında açıklanan ihlallerin sayısının 2017’nin birinci çeyreğinde bildirilen bin 444 ihlale kıyasla 686’ya düştüğü görüldü. İlk çeyrekte gizliliği ihlal edilmiş kayıt sayısı ise 1,4 milyarın üstünde gerçekleşerek yüksekliğini korudu.

Risk Based Security Başkan Yardımcısı Inga Goddjin, “Önceki çeyreğe kıyasla daha az veri ihlali vakası ile karşılaştığımızı biliyorduk, ancak son rakamla yine de şaşırdık” yorumunu yaptı.

Hiçbir zaman beklendiği gibi gerçekleşmeyen vergi dosyalama verilerini hedef alan bir faaliyet dalgası için hazırlıklı olduklarını belirten Goddjin, “2017’nin ilk çeyreğinde 200’ün üzerinde W2 verileri üzerinde e-dolandırıcılık faaliyetine rastlanmıştı. W2, ABD’de işverenlerin çalışanları için doldurduğu vergi formu. 2018 Nisan ayının sonunda bu rakam 30’a kadar düştü” şeklinde konuştu.

Değişim taktikleri de düşüşte rol oynamış gibi görünüyor. Kötü amaçlı yazılım ve şifreleme, 2017’nin başından bu yana tehdit ortamının bir parçası olmakta. Ancak, Ocak ayında kripto para değerlerinin artması, bilgi işlem kaynaklarının çalınmasını hızlandırdı. Goddijn şöyle devam ediyor: “Kripto madencilerdeki artışın veri ihlali aktivitelerinde bir düşüşe sebep olduğuna dair doğrudan bir veri olmamakla birlikte, bir düzeyde ilişki olduğuna inanmamıza neden olan deliller var.”

Veri ihlallerinde 2017 yılı boyunca gözlemlenen eğilimlerin çoğu 2018’in ilk üç ayında da devam etti. Örneğin, son raporlarda baskın olan hackleme, skimming, bilginin istemsizce açığa çıkması (inadvertent disclosure), kimlik avı (phishing) ve kötü amaçlı yazılım (malware) gibi ilk 5 ihlal türü, 2018’de de en baskın ihlal türleri olmayı sürdürdü.

Aynı şekilde, ihlallerin büyük çoğunluğu hâlâ kuruluşun dışından geliyor ve olayların çoğu dışarıdan birileri tarafından fark ediliyor. Ayrıca hedeflenen veri türleri ve ele geçirilen kayıtların ortalama sayısı 2017’den çok az değişiklik gösteriyor.