Kurum İçi Veri Sızıntısı

Bilişim sistemlerinin kullanımı her geçen gün artıyor ve buna bağlı olarak üretilen, kopyalanan ve tüketilen veri hacmi de katlanarak artıyor. Dünya nüfusunun %50’den fazlası internete bağlı ve bu sayıya her gün yarım milyondan fazla yeni internet kullanıcısı ekleniyor. Araştırmalar 2030 yılına kadar tüm insanların %75’inin çevrimiçi olacağını gösteriyor. İnsanların ürettiği verilerle birlikte cihazların ürettiği verilerde eklenince ortaya çok büyük rakamlar çıkıyor. Bununla ilgili bazı veriler ise şu şekilde: (kurum içi veri)

  1. Google her gün 3.5 milyardan fazla arama alıyor.
    Arama motoru pazarında %91,66 [1] ile tartışmasız lider olan Google arama motorunda her gün en az 3.5 milyar arama yapılıyor [2]. Bu yılda 1,2 trilyon arama ve saniyede 40.000’den fazla arama sorgusu anlamına geliyor.
  2. WhatsApp kullanıcıları günde 65 milyar mesaj alışverişi yapıyor.
    Dünya çapında en popüler ve en çok indirilen mesajlaşma uygulaması olan WhatsApp 180 ülkede 60 farklı dilde kullanılabiliyor. 5 milyondan fazla işletme müşterileriyle bağlantı kurmak için aktif olarak WhatsApp Business uygulamasını kullanıyor. WhatsApp grup sayısı ise 1 milyarı aştı ve WhatsApp kullanıcıları günde 65 milyar mesaj alışverişi yapıyor. Ayrıca günde 100 milyondan fazla sesli arama ve 55 milyondan fazla görüntülü arama yapılıyor. [3]
  3. 2020 yılında her kullanıcı saniyede 1,7 megabayt üretti.
    Facebook, Instagram, Fortnite, TikTok, Netflix, IoT ve diğer birçok büyük dijital platform veri üretimi ve tüketiminin merkezinde yer almakta. Bunun sonucu ortaya çıkan bir diğer istatistik ise, 2020 yılında 40 trilyon gigabaytlık veri üretilmiş olması. Çevrimiçi uygulamalar ortalama bir kullanıcının saniyede 1,7 megabayt yeni veri oluşturmasına yardımcı oluyor. Oluşturulan tüm verilerin sadece yüzde 15’i orijinal geri kalan yüzde 85 ise bu verilerin bir kopyası. [4]
  4. Forbes araştırmasına göre veri etkileşimi (oluşturma, kopyalama, tüketme vb) 2010 ile 2020 arasında % 5000 gibi büyük bir oranda arttı. Başka bir deyişle veri kullanımı 1,2 trilyon gigabayttan neredeyse 60 trilyon gigabayta yükseldi. [5] Bu artışın ardında Covid 19’dan kaynaklanan uzaktan çalışmanın da büyük bir payı var.
  5. IDC, 2025 yılına kadar dünya çapındaki verilerin %61 oranında artarak 175 zettabayta ulaşacağını söylüyor. [6] Böyle bir durumda veri hiç artmasa bile 100 Mbps hıza sahip bir kullanıcının tüm bu verileri indirmesi 500 milyon yıldan daha uzun zaman alıyor.

Tüm bunlara bakıldığında hem kişisel hem de kurumsal verilerin katlanarak büyüdüğü çok daha net olarak gözükmektedir.

Veriler bilişim sistemlerinde depolanabilir, işlenebilir veya transfer edilebilir. Depolanmış veriye örnek telefonumuzdaki fotoğrafları, mesajları veya bilgisayarımızda yer alan dosyaları örnek olarak gösterebiliriz. Veri ilk oluştuktan sonra üzerinde yapılan tüm değişiklikleri, silme dahil veri işleme olarak düşünebiliriz. Örnek olarak bir fotoğrafa filtre uygulanması, bir muhasebe kaydının değiştirilmesi verilebilir. Veri transferine örnek olarak ise bir mesajı, bir dosyayı veya bir fotoğrafı bir ortamdan başka bir ortama göndermek verilebilir.

Veri hangi durumda olursa olsun (depolama, işleme, transfer) güvende olmalıdır. Veri güvenliği dendiğinde ilk akla gelen gizlilik, bütünlük ve erişilebilirlik kavramlarıdır.

  • Gizlilik: Veriye yetkisiz erişimi engellemeyi amaçlamaktadır. Yalnızca yetkili kullanıcılar ve süreçler verilere erişebilmelidir.
  • Bütünlük: Verinin bozulmasını, değiştirilmesi, veriye ek yapılmasını, verinin bir kısmının veya tamamının silinmesini engellemeyi amaçlamaktadır. Veri olması gerektiği gibi tutulmalıdır.
  • Kullanılabilirlik: Yetkili kullanıcılar, ihtiyaç duyduklarında verilere erişebilmelidir.

Bu kavramlara ek olarak, hesap verilebilirliğin, inkâr edilemezliğin, kimlik doğrulamasının ve güvenilirliğin de sağlanması gerekir.

Kurumsal veri

Kurum tarafından üretilen ve/veya kurum tarafından işlenen veriler kurumsal veri olarak adlandırılır. Hassas, gizli veya başka bir şekilde korunan verilere yetkisiz bir şekilde erişildiğinde ve/veya ifşa edildiğinde veri ihlali oluşur. Veri ihlalleri, küçük işletmelerden büyük şirketlere kadar her büyüklükteki kurumda meydana gelebilir. İhlal edilen bilgiler kişisel bilgileri, ticari sırları veya diğer gizli bilgileri içerebilir.

Yaygın veri ihlalleri, müşteri listeleri, satış/satınalma bilgileri, finansal bilgiler, proje bilgileri, kaynak kodları gibi kurumsal bilgilerin yanı sıra kimlik bilgileri, sosyal güvenlik numaraları, ehliyet numaraları ve sağlık geçmişi gibi kişisel bilgileri de içerir.

Kurum içinden veya kurum dışından yetkisi olmayan herhangi biri kurumda işlenen veya üretilen verileri görüntüler veya çalarsa, bunları korumakla görevli kuruluşun bir veri ihlaline maruz kaldığı söylenir. Veri ihlaline karışan kişi/kişiler hukuki yaptırımlara maruz kalabileceği gibi veri ihlali yaşayan kurumlar da oluşan veri ihlaline göre para cezaları, davalar, itibar kaybı vb ile karşı karşıya kalabilmektedir.

Veri ihlalinin olası nedenleri

Veri ihlallerinin türleri oldukça çeşitli olmakla birlikte, bunlar çoğunlukla siber suçluların kuruluşun sistemlerine veya protokollerine erişmek için kullandıkları bir güvenlik açığı veya boşlukla ilişkilendirilebilir. Veri ihlalinin olası nedenleri arasında şunlar yer alır:

  • Zayıf parola kullanımı
  • Sosyal mühendislik dolandırıcılığı
  • Kötü amaçlı yazılım veya fidye yazılımı
  • Kaybolan veya çalınan donanım (dizüstü bilgisayarlar, sabit sürücüler, mobil cihazlar)
  • Erişim kontrollerinin olmaması
  • Arka kapılar
  • İç tehditler
  • Kullanıcı hataları
  • Güvenlik açıklıkları

İç tehdit nedir?

İç tehdit, kuruluşun bilgi ve varlıklarına yasal erişimi olan herhangi birinden gelen bir güvenlik riskidir. Tehditler, dolandırıcılık, gizli veya ticari olarak değerli bilgilerin çalınması, fikri mülkiyet ve ticari sırların çalınması, güvenlik önlemlerinin sabote edilmesi veya veri sızıntılarına yol açan yanlış yapılandırmalar olabilir. Bu, mevcut çalışanlar, eski çalışanlar, iş ortakları, yükleniciler gibi bir şirkette çalışan veya bağlantılı olan herkesi içerir. İç tehditler kasıtlı tehdit ve kasıtsız tehdit olarak 2 farklı türde oluşabilir.

  • İhmalkâr veya dikkatsiz kişiler tarafından yapılan kasıtsız tehdit
  • Kötü niyetli kişiler tarafından yapılan kasıtlı tehdit

Kasıtsız tehdide sebep olan iç aktör kötü niyetle hareket etmez, ancak yine de kuruluşu riske atar. Kasıtsız tehditle ilgili örnekler:

  • Hassas veri içeren şifrelenmemiş bir mobil cihazı veya dizüstü bilgisayarın gözetimsiz bırakılması nedeniyle çalınması
  • Kimlik bilgilerinin korunamaması nedeniyle çalınması
  • Veri hassasiyeti düzeylerinin bilinmemesi veya dikkate alınmaması nedeniyle gizli bilgilerin paylaşılması
  • Veri güvenliğini tehlikeye atacak uygulamaların kullanılması
  • Kuruma ait verilerin kişisel bilgisayara, kişisel buluta kopyalanması ve böylece veri denetiminin ve veri güvenliğinin tehlikeye atılması
  • Hassas verilerin şifrelenmemiş şekilde taşınabilir belleklere kopyalanması ve bunların kaybedilmesi veya çaldırılması

Kasıtlı tehdide sebep olan kötü niyetli kişiler, bir kişiye veya kuruma zarar vermek amacı ile veya kendi çıkarı için bilerek verilere erişir ve/veya paylaşır. İçerideki kötü niyetli kişi, verileri kullanmak için meşru yetkiye sahip olabilir, ancak amaç, bilgileri kötü niyetli şekilde kullanmaktır. Kasıtlı tehditle ilgili örnekler:

  • Kurumda çalışmayı istemeyen gönülsüz çalışanlar ve ayrılmayı bekleyenlerin kurum verilerini çalması
  • Kuruma karşı şikâyeti olan ve buna göre hareket etmeyi seçen birinin hassas verileri sızdırması, değiştirmesi veya silmesi
  • İçeriden birinin bir veri ihlali veya başka bir saldırı gerçekleştirmek için harici bir grup adına eylemlerde bulunması

İç tehditlerden biri olan veri ihlali ile ilgili yakın zamanda yapılan bir araştırmaya göre veri ihlallerinin yüzde 60’ının birincil nedeni içeriden gelen tehditler. [7] Yine yapılan bir araştırma içeriden öğrenilen güvenlik olaylarının sayısının 2018’den bu yana yüzde 47 arttığını ortaya koyuyor.

Kurumlar kendi çalışanları da dahil kurumsal verilere sadece veriye erişimi yetkili kılınanların erişmesini ister. Herhangi bir kurumsal veriye kasten veya kasıtsız olarak erişmek, içeriğini değiştirmek, bozmak, silmek, kopyalamak, başkaları ile paylaşmak suçtur.

Suç nedir?

Toplumsal düzenin devamı açısından korunması gereken hukuki değerlerin bilerek ve istenerek ihlalini (kast) veya bu değerleri korumaya yönelik kurallara karşı özensizliği (taksir) ifade eden insan davranışı ise “suç” tur. Suç ancak kanunla düzenlenir. Suç, Türk Ceza Kanunu’nda veya ceza hükmü içeren özel kanunlarda düzenlenen hukuka aykırı ve cezai yaptırıma bağlanmış eylemlerdir. [8]

Türk hukukuna göre bir eylemin suç olabilmesi için 4 unsura bakılır. Bu unsurlar şunlardır: [9]

  1. Tipiklik (Kanunilik)
  2. Maddi unsur (Eylem, sonuç ve illiyet bağı)
  3. Manevi unsur (İsnat edilebilirlik, kusur)
  4. Hukuka aykırılık

Bilişim sistemlerinin ortaya çıkması ve yaygınlaşması sonucu yeni suçlar ve düzenlemeler ortaya çıkmıştır. Bilgi ve teknolojinin kötüye kullanımını ile insanlara zarar verilmesini önlemek amacıyla ortaya çıkmış olan hukuk dalı bilişim hukuku olarak isimlendirilir. Bilişim Suçları ise bilgileri otomatik işleme tabi tutan veya verilerin nakline yarayan bir sistemde gayri kanuni, gayri ahlaki veya yetki dışı gerçekleştirilen her türlü davranış olarak tanımlanabilir. Ya da, bilgisayar ve iletişim teknolojileri kullanılarak işlenen suçlar şekliyle de tanımlanabilir. [10]

Kurumsal veri sızıntısına sebep olabilecek iç tehditlerle ilgili örnek olaylar ve hukuk

  • İşten ayrılacağı kesinleşen bir kurum çalışanı kurumun müşterilerine ait bilgileri içeren listenin bir kopyasını kişisel olarak kullandığı taşınabilir belleğe kaydetmiştir. İlgili kişi işten ayrıldıktan sonra önceki çalıştığı yere rakip olan başka bir kurumda çalışmaya başlamış ve müşteri listesini yeni kurumun bilgisayarına kopyalamıştır. Böyle bir durumda eski çalışan hakkında TCK Madde 244 “Sistemi engelleme, bozma, verileri yok etme veya değiştirme” iddiasıyla cezalandırılması talebiyle dava açılabilir.
  • Çalıştığı kuruma zarar vermek isteyen bir çalışan sistemlerde yer alan bir açıklığı kullanarak yetkisinin olmadığı verilere erişmiş ve eriştiği verilerin fotoğrafını çekerek mesajlaşma uygulaması ile rakip firma çalışanına göndermiştir. Böyle bir durumda ilgili kişi hakkında TCK Madde 243 “Bilişim sistemine girme” ve TCK Madde 244 “Sistemi engelleme, bozma, verileri yok etme veya değiştirme” iddiasıyla cezalandırılması talebiyle dava açılabilir.
  • Sızma testi yapılması için bir kurumla anlaşma yapan kötü niyetli biri sızma testi yaptığı kurum bilgisayarına arka kapı uygulaması bırakmıştır. Daha sonra bu uygulamayı kullanarak kurum sistemlerine sızmış ve kuruma ait verileri çalarak verileri ifşa etmiştir. Böyle bir durumda ilgili kişi hakkında TCK Madde 245/A “Yasak cihaz veya programlar” ve TCK Madde 243 “Bilişim sistemine girme” ve TCK Madde 244 “Sistemi engelleme, bozma, verileri yok etme veya değiştirme” iddiasıyla cezalandırılması talebiyle dava açılabilir.
  • Bir iş uygulamasına destek olması için anlaşma yapılan bir kurumda çalışan kötü niyetli kişi iş uygulamasının kullandığı veri tabanının bir kopyasını kendisine almış ve daha sonra bu verileri internetten satışa çıkararak ifşa etmiştir. Böyle bir durumda ilgili kişi hakkında TCK Madde 244 “Sistemi engelleme, bozma, verileri yok etme veya değiştirme” iddiasıyla cezalandırılması talebiyle dava açılabilir.
  • Bir kurum çalışanı parola kırma yöntemlerinden birini kullanarak personel bölümü yöneticisinin e-posta kutusuna ulaşmış ve ilgili yöneticinin başkaları ile yazıştığı e-postaları okumuştur. Yazışmalardan birini kendine ait kurum dışı e-posta adresine göndermiş ve başkaları ile paylaşmıştır. Böyle bir durumda ilgili kişi hakkında TCK Madde 245/A “Yasak cihaz veya programlar” ve TCK Madde 243 “Bilişim sistemine girme” ve TCK Madde 244 “Sistemi engelleme, bozma, verileri yok etme veya değiştirme” ve TCK Madde 132 “Haberleşmenin gizliliğini ihlal” iddiasıyla cezalandırılması talebiyle dava açılabilir.
  • Çalıştığı kuruma zarar vermek isteyen bir çalışan önemli bir projeye dair detaylar içeren verilere erişimi olan başka bir çalışanın bilgisayarına klavyedeki tuş basımlarını kaydeden bir cihaz takarak o kişinin parolalarından bazılarını elde etmiştir. Elde ettiği parolalar ile kurum sistemlerine uzaktan bağlanıp kritik verileri kopyalamış ve bu verileri ifşa etmiştir. Böyle bir durumda ilgili kişi hakkında TCK Madde 245/A “Yasak cihaz veya programlar” ve TCK Madde 243 “Bilişim sistemine girme” ve TCK Madde 244 “Sistemi engelleme, bozma, verileri yok etme veya değiştirme” iddiasıyla cezalandırılması talebiyle dava açılabilir.
  • Bir kurum çalışanı yeni değiştirdiği e-posta parolasını kurum politika/prosedürlerine aykırı olmasına rağmen unutmamak için bir kâğıda yazarak çalışma masasının üzerine bırakmıştır. Yazıcı sorunlarını çözmek için kuruma gelen kötü niyetli bir iş ortağı çalışanı parolanın fotoğrafını çekmiş ve oradan ayrıldıktan sonra kurbanın e-posta hesabına giriş yaparak kuruma özel bilgileri edinerek ifşa etmiştir. Böyle bir durumda işyeri disiplin yönetmeliği kapsamında ilgili çalışan işten çıkarma cezası alabilir. Kötü niyetli iş ortağı çalışanı hakkında TCK Madde 243 “Bilişim sistemine girme” ve TCK Madde 244 “Sistemi engelleme, bozma, verileri yok etme veya değiştirme” iddiasıyla cezalandırılması talebiyle dava açılabilir.
  • Kötü niyetli bir kurum çalışanı aynı ofiste çalıştığı başka bir çalışanın yetkisinde olan kuruma ait bir kredi kartı bilgilerini kendisine almış ve bu bilgileri kullanarak online bir uygulama üzerinden başka birinin hesabına bağış yapmıştır. Böyle bir durumda ilgili kişi hakkında TCK Madde 245 “Banka veya kredi kartlarının kötüye kullanılması” iddiasıyla cezalandırılması talebiyle dava açılabilir.
  • Bir kurum çalışanı kuruma ait ticari sır içeren bir veriyi e-posta aracılığı ile bu sırrı almasında sakınca olmayan birine göndermek istemektedir. E-postayı gönderen kişi dikkatsiz davranıp alıcı kısmına yanlışlıkla bu e-postayı almaması gereken rakip firmadan birini yazmış ve e-postayı göndermiştir. Böyle bir durumda e-postayı gönderen kişi hakkında Türk Ceza Kanunu Madde 239 “Ticarî sır, bankacılık sırrı veya müşteri sırrı niteliğindeki bilgi veya belgelerin açıklanması” iddiasıyla cezalandırılması talebiyle dava açılabilir.
  • Bir kurum çalışanı kurum politika/prosedürlerinde kuruma ait veri içeren cihazlar gözetimsiz bırakılmamalıdır yazmasına rağmen kurumsal veri içeren taşınabilir bilgisayarını gözetimsiz bırakması sonucu taşınabilir bilgisayar çalınmıştır. Bilgisayarı çalan kişi kurumsal verilerin bir kısmını internette paylaşarak ifşa etmiş ve verinin tamamını satışa çıkarmıştır. Böyle bir durumda işyeri disiplin yönetmeliği kapsamında ilgili kişi işten çıkarma cezası alabilir.
  • Bir kurum çalışanı yetkisi olmadığı halde ticari sır içeren kurumsal verileri evde çalışmak üzere kişisel bilgisayarına aktarmıştır. Kişisel bilgisayarındaki güvenlik açıklığı sebebi ile kurumsal veriler saldırganlar tarafından ele geçirilmiş ve veriler ifşa edilmiştir. Böyle bir durumda işyeri disiplin yönetmeliği kapsamında ilgili kişi işten çıkarma cezası alabilir. Ayrıca TCK Madde 244 “Sistemi engelleme, bozma, verileri yok etme veya değiştirme” iddiasıyla cezalandırılması talebiyle dava açılabilir.
  • Kötü niyetli bir kurum çalışanı kişisel bilgiler içeren müşteri veri tabanının bir kopyasını kişisel bulut alanına kopyalamış ve daha sonra internetten satışa çıkarmıştır. Böyle bir durumda ilgili kişi hakkında TCK Madde 136 “Verileri hukuka aykırı olarak verme veya ele geçirme” iddiasıyla cezalandırılması talebiyle dava açılabilir. Ayrıca kurum 6698 sayılı Kişisel Verilerin Korunması Kanununa göre ilgili durumu en kısa sürede ilgilisine ve Kurula bildirmelidir. Yapılacak inceleme sonrasında kurum para cezası alabilir.

Sonuç

Birçok şeyin değiştiği gibi kurumların iş yapış şekilleri artık eskisi gibi değil. Uzaktan çalışma, hibrit çalışma gibi kavramlar günümüzde daha çok duyulmakta ve kullanılmaktadır. Ayrıca veri boyutu çok daha hızlı artmaktadır. Verilerin saklandığı işlendiği ve transfer edildiği ortamlar da değişmiş durumda. Artık birçok şirket kurumsal verileri tek bir yerde tutmuyor, hibrit sistemler kullanıyor. Karmaşıklığın artması veri yönetimini de zorlaştırmaktadır.

Türkiye’de yapılan araştırmalar, veri hırsızlığı saldırılarını ve güvenlik açıklarını önlemek için bilgi güvenliği unsurlarının öğrenilmesi gerektiğini göstermektedir. Bu nedenle, tüzel kişi verilerinin güvenliğinin sağlanması için öncelikle verilerin gizliliği, bütünlüğü, kimlik doğrulaması, reddedilemezliği, hesap verebilirliği, erişim kontrolü, güvenilirliği ve güvenliğinin sağlanması gerekmektedir. [10]

Hesap verilebilirliğin, inkâr edilemezliğin en önemli unsuru delil sunabilmektir. Delil, adaletin tecelli etmesinin esasını oluşturur. Uyuşmazlık konusunun gerçekleşip gerçekleşmediği konusunda hâkimin karar vermesinde kuvvetli bir rol oynayan delilin tespiti, güvenilirliği ve hukuka uygunluğu çok önemlidir. [11]

Kurumlar bir veri ihlali yaşamamak için gerekli idari ve teknik tedbirleri almalıdır. Ayrıca bir veri ihlali oluşması ihtimaline karşılık veri ihlali ile ilgili hukuka uygun olacak şekilde delilleri toplamak için gerekli altyapıyı oluşturmalıdır.

Yazar: Öner Ziya BAŞ / Bilgi ve Teknoloji Uzmanı

Kişisel Verilerin Korunması kategorisindeki tüm Blog yazılarımıza bağlantımızdan ulaşabilirsiniz

Hukuk ve Bilişim Dergisi 9. Sayısı’na da bağlantıdan ulaşabilirsiniz.

Kaynaklar

  1. https://gs.statcounter.com/search-engine-market-share
  2. https://www.internetlivestats.com/
  3. https://www.mybasis.com/whatsapp-facts-stats-2020/
  4. https://www.ibm.com/blogs/journey-to-ai/2020/06/netezza-and-ibm-cloud-pak-a-knockout-combo-for-tough-data/
  5. https://www.malaysiakini.com/announcement/598008
  6. https://www.networkworld.com/article/3325397/idc-expect-175-zettabytes-of-data-worldwide-by-2025.html
  7. https://www.idwatchdog.com/insider-threats-and-data-breaches/
  8. https://magdurbilgi.adalet.gov.tr/298/Suc-Nedir?
  9. Av. Ceren Küpeli Marmara Üniversitesi Bilişim Hukuku Siber Güvenlik Hukuku ders notu
  10. https://internet.btk.gov.tr/bilisim-hukuku-ve-bilisim-sucu
  11. https://turkishlawblog.com/read/article/149/legal-dimension-of-corporate-data-security
  12. https://kupeli.av.tr/blog/f/hukuka-uygun-di%CC%87ji%CC%87tal-deli%CC%87l
  13. https://www.mevzuat.gov.tr/MevzuatMetin/1.5.5237.pdf