Veri güvenliğinde aksaklık cironun yüzde 4'üne mal olabilir

İSTANBUL (AA) - MUSAB TURAN - Avrupa Birliği (AB), vatandaşlarının kişisel verilerini korumak için sert tedbirler aldı. 25 Mayıs 2018'de yürürlüğe girecek yönetmelikle veri güvenliğinde standartları yerine getiremeyen firmalar, yıllık cirolarının yüzde 4'üne kadar para cezası ödemek zorunda kalacak.

Avrupa Birliği Veri Koruma Yönergesi (EU General Data Protection Regulation-GDPR), sadece AB üyesi ülkelerdeki şirketleri değil, AB üyesi ülkelerden mal alan, bu ülkelere mal satan ve AB vatandaşı personeli veya müşterisi bulunan tüm işletmeleri ilgilendiriyor.

Veri güvenliği şirketleri, düzenlemenin neler getireceğini, dünyada ve Türkiye'de GDPR konusunda yapılan hazırlıkları AA muhabirine anlattı.

Kaspersky Lab Orta Doğu, Türkiye ve Afrika Genel Müdürü Maxim Frolov, GDPR'nin, kamu ve özel sektörün sakladığı ve işlediği kişisel veri miktarının giderek arttığı bu dönemde AB vatandaşları için bir grup yeni dijital hak sunduğunu ifade etti.

Frolov, günümüzde kişisel veri miktarının daha önce hiç olmadığı kadar fazla ve hırsızlığa karşı da savunmasız olduğunu belirterek, şunları kaydetti:

"Saklanan veriler, yanlış ellere geçtiğinde çok tehlikeli hale gelebiliyor. Duyduğumuz her yüksek profilli veri hırsızlığında bu durum daha da göze çarpıyor. GDPR, sadece AB vatandaşları için geçerli olsa da AB vatandaşlarına ait kişisel verileri işleyen ve saklayan tüm kurumlar bu yönetmeliklere uymak durumunda. Örneğin, Avrupalı olsun ya da olmasın bir şirket AB vatandaşlarına ürün veya hizmet satıyorsa, AB vatandaşı olan çalışanları varsa ya da AB'de tedarikçileri varsa GDPR'ye uymak zorunda. Bu nedenle bu yönetmelik tüm dünyayı ilgilendiriyor. Birçok kişi GDPR'yi tüm dünyada benzer yönetmeliklerin yolunu açacak yeni global standart olarak görüyor. Kaspersky Lab'te biz bu gelişmelere olumlu bakıyoruz."

- "Tüm kişisel bilgilerin silinmesini isteyebiliyorsunuz"

Maxim Frolov, GDPR ile bireylerin kendi verileri üzerinde daha fazla kontrol sahibi ve bu verileri kullanan şirketlerin de onlara karşı daha sorumlu olacağını ifade etti.

Frolov, şöyle devam etti:

"Daha açık ifade etmek gerekirse, örneğin Netflix veya Uber gibi bir servisten faydalanmak için üye olduğunuzda bu kurumlar, sizden çok fazla kişisel bilgi talep edemeyecek. GDPR sayesinde bu tür kurumlar, sizden aldıkları bilgilerin, bahsi geçen hizmeti sunmak için gerçekten gerekli olduğunu ispatlamak zorunda. Bunun da ötesinde, hizmetten daha fazla faydalanmak istemediğinizde vermiş olduğunuz tüm kişisel bilgilerin silinmesini isteyebiliyorsunuz. Bu durum, hizmet sağlayıcının bilgilerinizi paylaşmasına izin verdiğiniz diğer kurumlar için de geçerli. Aslında tüm bunlar Avrupa vatandaşlarının unutulma hakkına sahip olacağı anlamına geliyor."

- "Kurumlar kendi ağlarında kişisel bilgileri saklamaya ve işlemeye devam edecek"

Kaspersky Lab Orta Doğu, Türkiye ve Afrika Genel Müdürü Frolov, GDPR'nin sadece AB vatandaşlarının kişisel verileri için geçerli olduğunu vurgulayarak, "Bir şirketin, AB'de müşterileri, çalışanları, tedarikçileri veya AB vatandaşlarıyla kişisel bilgilerinin toplanmasını gerektiren herhangi başka bir ilişkisi varsa bu yönetmeliklere uyduklarından emin olmaları gerekiyor." dedi.

GDPR'nin, sadece Avrupa vatandaşlarına kişisel verileri üzerinde daha fazla kontrol veren, bu verilerin istismar edilme veya amacının dışında kullanılma riskini azaltan bir yönetmelik olduğunu vurgulayan Frolov, kurumların kendi ağlarında kişisel bilgileri saklamaya ve işlemeye devam edeceğini bildirdi.

Frolov, "Bu bilgiler, GDPR öncesinde olduğu gibi saldırılara açık olacak. GDPR olsun ya da olmasın tüm kurumların, veri hırsızlığını engellemek için ağlarında çok katmanlı güvenlik önlemleri kullanmaları gerekiyor. GDPR ile her şey daha derli toplu hale geliyor ve şirketler daha sorumlu tutulabiliyor. Ancak bunlar siber saldırganlara engel değil.. GDPR'nin daha fazla siber saldırıya yol açması pek olası değil. Kişisel bilgilerin düzgün yönetilmemesi ve korunamaması nedeniyle verilebilecek yüklü para cezalarından kaçınmak amacıyla siber güvenlik konusunun üzerinde çok daha fazla durulabilir." şeklinde konuştu.

- "Firmanın AB sınırları içerisinde yer alıp almaması önemli değil"

ESET Türkiye Teknik Müdürü Erkan Tuğral da düzenlemeyle şeffaflığın hedeflendiğini vurgulayarak, şunları kaydetti:

"Kişisel verinin ne şekilde işleneceği belirtilerek kişinin rızasının alınması gerekiyor. Sloganı 'It’s all about consent'. Yani bir firma, herhangi bir vatandaştan kişisel bilgilerini isterken bu bilgilerin hangi amaçla, nerede, ne şekilde kullanılacağını açıkça ifade ederek o kişinin yazılı onayını almak zorunda. Benzer şekilde, vatandaş da, yeri geldiğinde bu bilgilerin sistemden silinmesini ya da verinin ne şekilde kullanıldığının geçmiş kayıtlar yoluyla ortaya konmasını talep edebilir hale geliyor. Tüm bunlar firmalara veri güvenliği konusunda pek çok sorumluluk yüklerken, vatandaşlara da birtakım yeni haklar tanınmış oluyor."

Düzenlemenin, AB vatandaşlarına doğrudan ya da dolaylı olarak ürün ve hizmet sunan tüm firmaları kapsadığını bildiren Tuğral, "Firmanın AB sınırları içerisinde yer alıp almaması önemli değil. Bu doğrultuda Avrupa merkezli şirketlerle ticari ilişkileri olan, AB vatandaşlarının kişisel verilerini bulunduran tüm firmalar bu yasal düzenlemeye uymak zorunda. Türkiye’de ise yakın zamanda Kişisel Verileri Koruma Kanunu (KVKK) ile bu düzenlemenin Türk vatandaşlarını kapsayan bir benzeri aslında yürürlüğe girdi." ifadelerini kullandı.

- "En geç 72 saat içerisinde bilgi vermeli"

Erkan Tuğral, GDPR'nin firmaları dolaylı yoldan veri güvenliği konusunda önlemler almaya ittiğini belirterek, "Avrupa’da Ulusal Veri Güvenliği Otoriteleri (NDPA)" adı verilen kurullar bulunduğunu, GDPR ile birlikte bu kurulların tek bir çatı altında birleştirilerek yetkilerinin artırıldığını, ulusal değişkenler ortadan kaldırılarak tek bir veri güvenliği standardı üzerinden tek bir yönetim merkeziyle denetim sağlanmasının amaçlandığını, Türkiye’de de benzer şekilde KVKK kapsamında 200 kişilik bir kurul oluşturulduğunu anlattı.

GDPR'nin ağır cezalar öngördüğünü ifade eden Tuğral, "Söz gelimi, bir firmanın bu düzenlemeyi ihlal ettiği düşünüldüğünde merkezi kurul, yıllık cironun yüzde 4'üne kadar para cezası verebilir, firmayı denetlemeye tabi tutabilir, firmadan bilgi talep edebilir, firmanın bilgi sistemlerine doğrudan erişim hakkı talep edebilir." dedi.

Tuğral, firmaların başlıca sorumluluklarını da şöyle sıraladı:

"Kişisel bilgilerin ne şekilde kullanılacağı açıkça ifade edilerek kişinin yazılı onayı alınmalı. Verinin ne şekilde işlendiği yönünde geçmişe dönük kayıtlar tutulmalı. Talep edildiğinde bu kayıtlar içerisinde yer alan kişisel bilgiler bulunarak sistemden tamamen silinebilmeli. Firma, bir ay içerisinde bilgi vermek zorunda. Herhangi bir veri sızıntısı olduğunda, firma bağlı bulunduğu kurula (NDPA) en geç 72 saat içerisinde bilgi vermeli. Firma tam anlamıyla veri güvenliği ve şeffaflık sağlayabilmeli. Bu doğrultuda uç nokta güvenliği (AV), yedekleme, iş sürekliliği (replikasyon), veri sınıflandırma, veri sızıntısı önleme (DLP), ağ güvenliği, şifreleme ve benzeri tüm güvenlik ürünlerinin kullanılması gerekebilir. Büyük ölçekli bir firma tüm bu ürünlerle kapsamlı bir güvenlik sağlayabilirken, küçük bir işletme ise sadece yedekleme veya şifreleme yoluyla basit ve kısa yoldan veri güvenliği yükümlülüklerini yerine getirdiğini düşünebilir. Elbette bir data center bu konuyu çok daha ciddiye alacaktır. Fakat iki firma da esas olarak aynı sorumluluğu üstlenmektedir."

Dolaşımdaki veri miktarının her geçen gün artması sebebiyle siber saldırıların etki alanının da genişlediğini ifade eden Tuğral, "Siber tehditler artarak sürecektir. GDPR ve KVKK ise firmaları bu tehditlere yönelik önlemler almak zorunda bırakan, ayrıca vatandaşlara yeni haklar tanıyan düzenlemelerdir. Soyguncuların birleşmesinden öte, saldırıların artarak devam edeceği gerçeğinden hareket etmek daha yerinde olacaktır." dedi.