Kişisel Verileri Koruma Kurulu Veri Güvenliği İhlali Üzerine Mevzuata Aykırı Davrandığı Tespit Edilen Sigorta Sektöründe Faaliyet Gösteren Şirkete Para Cezası Verdi

Kişisel Verileri Koruma Kurumu’nun (Kurum) internet sitesinde 24.11.2020 tarih ve 2020/905 sayılı karar özeti yayınlandı. Kararda, sigorta sektöründe faaliyet gösteren veri sorumlusu nezdinde gerçekleştirilen bir veri ihlali neticesinde veri sorumlusunun gerekli teknik ve idari tedbirleri almaması ve veri ihlalini Kişisel Verileri Koruma Kurulu’na (Kurul) ve ilgili kişilere mevzuatta öngörülen şekilde bildirmemesi gerekçe olarak gösterilmiştir. Bu nedenle veri sorumlusuna toplam 330.000 Türk Lirası idari para cezası verilmiştir.

Kararda dikkat çeken unsurlardan biri ise veri sorumlusunun BT Veri Güvenlik ve Veri İhlali Prosedürü hazırlamasına rağmen Kurul’un bu prosedüre uyulmadığını tespit etmesidir. Zira kişisel verilerin korunmasına ilişkin uyum programının temelinde gerekli dokümanların hazırlanmasının yer aldığı kadar bu dokümanlarda yer alan prosedürlerin uygulanması da bir hayli önem taşımaktadır.

Karara sebep olan veri ihlali, Kurul’un değerlendirmeleri ve karardan çıkarılacak önemli sonuçlara ilişkin değerlendirmelerimizi aşağıda bilgilerinize sunarız.

A. KARARA SEBEP OLAN VERİ İHLALİNE İLİŞKİN AÇIKLAMALAR

Kararda, sigorta sektöründe faaliyet gösteren veri sorumlusu tarafından Kurum’a intikal ettirilen kişisel veri ihlal bildirimi incelenmiştir. İhlal bildiriminde:

• Veri sorumlusunun internet sayfasının bulunduğu test sunucusunun siber saldırıya uğradığı ve bu durumun aynı tarihte veri sorumlusu tarafından tespit edildiği,
• Test sunucusunda bulunan internet sayfasının kullanıcı giriş ekranından birden çok giriş denemesi yapılması sonucunda sisteme giriş sağlanabildiği,
• Gerçekleşen yetkisiz erişim sonucu uygulamanın bulunduğu veri tabanının silindiği ve silinen veri tabanı yerine fidye taleplerinin bulunduğu yeni bir veri tabanının sisteme yüklendiği,
• Veri tabanının silinmesi işleminden önce muhtemelen siber saldırıyı gerçekleştiren kişi/kişiler tarafından kopyalandığının veri sorumlusu tarafından düşünüldüğü,
• Giriş denemeleri belirli aralıklarla yapılmış olduğundan SIEM sistemi tarafından algılanmadığı,
• Yurtdışından çok fazla giriş denemesi gerçekleştiği ancak bunun herhangi bir anomaliye sebep vermediği,
• İhlalden etkilenen kişi sayısının 311 olduğu,
• İhlalden etkilenen kişisel verilerin T.C. kimlik no, isim, soy isim, e-posta, plaka bilgisi olduğu

belirtilmiştir.

B. KİŞİSEL VERİLERİ KORUMA KURULU’NUN DEĞERLENDİRMELERİ

Kurul, kararda söz konusu ihlale ilişkin olarak aşağıdaki tespitlere yer vermiştir:

• İhlale konu test sunucusunun, veri sorumlusu nezdinde yıllık olarak yapılan sızma testleri kapsamına alınmamasının söz konusu test sunucusunda gerekli kontrollerin yapılmadığının göstergesi olduğu ,
• Veri sorumlusuna ait “BT Veri Güvenlik ve Veri İhlali Prosedürü”nde tedbirler kapsamında “Periyodik aralıklarla veya ihtiyaç duyulduğunda sızma testi hizmeti alarak sistem açıklarının kontrolü sağlanmalıdır.” ifadesinin bulunmasına rağmen test sunucularının prosedürdeki tedbirlere uygun bir şekilde kontrol edilmediği, söz konusu kontrollerin uygun bir şekilde yapılmadığı,
• Test sayfasının tüm dünyaya açık olarak ulaşılabilir olduğu, saldırganın 7 kez giriş denemesi sonucunda sisteme başarılı bir şekilde giriş yapmış olduğu, veri sorumlusu nezdinde kullanılan parolaların yeteri kadar karmaşık ve güçlü olmadığı ,
• Veri ihlali öncesinde test aşamasında kullanılan kişisel verilerin test sunucusundaki veri tabanına kaydedildiği, veri ihlali sonrasında ise mevcut teknolojinin değiştirilerek test sunucusunda kişisel verilerin kaydedilmeden test işlemlerinin yapılabildiği dikkate alındığında veri sorumlusunun kişisel verileri veri tabanına kaydetmeden test işlemlerini yapmış olması durumunda gerçekleşen siber saldırı vakasında kişisel veri ihlalinin söz konusu olmayacağının görüldüğü ,
• Veri ihlali öncesinde test sunucusuna yapılan erişimlerde sistemler arasında SSL VPN gibi güvenli iletişim sağlama yöntemlerinin kullanılmadığı , ayrıca ek güvenlik katmanı olarak erişimlerde İki Faktörlü Kimlik Doğrulama (2FA) gibi güçlü kimlik doğrulama yöntemlerinin kullanılmadığı ,
• Veri ihlalinden etkilenen kişisel veriler arasında, C. kimlik numarasının bulunduğu, ilgili kişiler için önem arz eden bir veri olduğundan söz konusu veri grubu işlenirken verilerin şifrelenerek muhafaza edilmesi durumunda verilere yetkisiz olarak erişilse bile veri ihlalinin ilgili kişiler üzerindeki olası olumsuz etkilerinin azaltılabileceği, ancak veri sorumlusunun böyle bir eylemde bulunmadığı dikkate alındığında kişisel verilerin gizlilik derecesine göre muhafaza edilmesi konusunda veri sorumlusu tarafından yeteri kadar özen gösterilmediği

Yukarıda belirtilen gerekçeler sebebiyle, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında 300.000 TL idari para cezası uygulanmasına karar verilmiştir.

Ek olarak,

• İhlalin 28.02.2020 tarihinde tespit edildiği ve 04.03.2020 tarihinde Kurula bildirildiği dikkate alındığında Kurul’un 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde veri sorumlusunun Kurula bildirimde bulunmadığı ,
• Geç bildirimde bulunulmasına sebep olarak ilgili teknik çalışmaların (sunucu ve firewall log kayıtlarının incelenmesi işlemleri) gecikmesinin gösterildiği ,
• Veri sorumlusu tarafından veri ihlaline ilişkin veri sorumlusunun internet sitesinde duyuru yapılmış olmasının, ilgili kişilerin tespit edilmiş olması nedeniyle ilgili kişilere bildirim şeklinde kabul edilemeyeceği ,
• Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararına uygun olarak ilgili kişilere bildirim yapılmadığı

gerekçeleri ile “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırı hareket etmesi ve 18.09.2019 tarih ve 2019/271 sayılı Kurul Kararına uygun şekilde ilgili kişilere bildirimde bulunmamış olması sebebiyle veri sorumlusu hakkında 30.000 TL idari para cezası uygulanmasına karar verilmiştir.

C. KARARDAN ÇIKARILACAK ÖNEMLİ SONUÇLAR

• Veri güvenliğine ilişkin periyodik olarak yapılması öngörülen denetimler mutlaka belirtilen zaman aralıklarında yapılmalı ve gerekli kontroller sağlanmalıdır.
• Özellikle Veri Güvenliği ve İhlal Prosedürü başta olmak üzere hazırlanan bütün dokümanlara Şirket nezdinde uyulması sağlanmalıdır.
• Şirket bünyesinde kullanılan parolaların güçlü ve karmaşık olmasına özen gösterilmelidir. Nitekim Kurum’un yayımladığı Kişisel Veri Güvenliği Rehberi’nde de güçlü parola kullanımı ile kişisel veri içeren ortamların güvenliğinin sağlanması gerektiği belirtilmiştir.
• Veri minimizasyonu ilkesi çerçevesinde kişisel veri işleme faaliyetinin mümkün olduğunca azaltılmasına özen gösterilmelidir. Zira söz konusu kararda Kurul, kişisel verilerin test sunucusuna kaydedilmemiş olma ihtimalinde siber saldırı sonucunda kişisel veri ihlalinin söz konusu olmayacağını belirtmiştir.
• Test sunucularına erişim sağlarken SSL VPN gibi güvenli iletişim sağlama yöntemleri kullanılmalıdır. Ayrıca kişisel verilerin gizlilik derecesine göre ek olarak iki faktörlü kimlik doğrulama gibi güçlü kimlik doğrulama yöntemleri de kullanılmalıdır.
• Kurul tarafından “T.C. Kimlik Numarası” kişiler için önem arz eden bir veri olarak nitelendirilmiştir. Bunun yanı sıra kişisel verilerin gizlilik derecesine göre tedbirler alınarak muhafaza edilmesi gerektiği vurgulanmıştır. Bu nedenle işleme faaliyetinin gerektirdiği ölçüde T.C. kimlik numaraları da şifrelenerek muhafaza edilmelidir.
• Herhangi bir veri güvenliği ihlali olduğunu öğrendikten itibaren 72 saat içinde Kurul’a bildirim yapılması gerektiği unutulmamalıdır.
• Veri ihlal bildiriminde ilgili kişilerin tespit edilmesi halinde, bu kişilere ayrıca doğrudan bildirim yapılmalıdır. İnternet sitesinden genel olarak yapılan bildirimler her durumda yeterli kabul edilmemelidir.

Bilgi ve değerlendirmelerinize sunarız.