19 Ara, 2020

Ayın KVKK Teknolojisi: ZTNA

“Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı’nda yer alan 5. Maddesindeki “Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi” ifadesinde VPN teknolojisinin güvenli bir veri aktarım yönetimi olarak belirtilmesini şu şekilde inceleyebiliriz:

VPN kullanımının KVKK’nın yayınladığı Özel Nitelikli Kişisel Verilerin aktarımıyla ilgili duyuruda bu şekilde yer almasının temel sebebi VPN Teknolojisinin güvenilir bir teknoloji olarak kabul edilmesidir. Hatta bu teknolojinin Özel Nitelikli kişisel verilerin aktarımında kullanılması tavsiyesi oldukça şaşırtıcı çünkü kurulun verdiği cezalarla pek de örtüşmüyor. Yaşanan birçok veri ihlalinin nedeninin özellikle uzaktan çalışma döneminde VPN kullanımı olduğunu gördük. Kurul ise veri ihlali sonrası denetlemelerinde bu durumu “Teknik Tedbirlerin” alınmaması olarak değerlendiriyor.

O yüzden aslında duyuruda bahsedilen konu Özel nitelikli verileri aktarırken “güvenli teknolojilerin” kullanılması gerektiğidir. Teknoloji hızla gelişirken siber saldırganlar da aynı hızla gelişen teknolojilerdeki açıkları bulmak için çalışıyorlar. Nitekim buluyorlar da. Son zamanlarda VPN kaynaklı yaşanan hacklenme vakalarının oldukça arttığını gözlemleyebiliyoruz. Bu konu ile ilgili şu şekilde 2 haberi örnek olarak gösterebiliriz:

Kaynak için tıklayın

Kaynak için tıklayın

Peki bu konuda ne yapmamız gerekiyor?

Uzaktan çalışmak zorundayız ve mutlaka iş sürekliliğinin sağlanması için uzaktan güvenli bağlantı yapmamız şart özellikle bu dönemde. Teknolojileri yakından takip ettiğimizde aslında VPN teknolojisinin yerini alabilecek ve hem kurulun hem de şirketlerin beklediği güvenli veri iletiminin sağlanabileceği bir teknoloji hali hazırda mevcut ama tam tanınmıyor. Bu teknoloji “ZTNA” olarak bilinen Sıfır Güven Ağ Teknolojisidir.

Sıfır Güven Ağ Erişimi, kullanıcıların hiçbir zaman ağ erişimi sağlamadan veya uygulamaları internete maruz bırakmadan kurum içinde kullanılan uygulamalara kesintisiz ve güvenli şekilde bağlanmasını sağlar. VPN’ler ve güvenlik duvarları gibi ağ merkezli çözümlerin aksine, Sıfır Güven Ağ Erişimi temelde farklı bir yaklaşımla kurum içindeki uygulamalara erişimi güvenli hale getirir. Genellikle VPN gibi geleneksel teknolojilerin yerini alırlar ve kurumsal uygulamalara erişen kullanıcıların kimliğini ve bağlamını korumak için çeşitli kimlik doğrulama yöntemleri sunarlar.

Kişisel Verileri Koruma Kanunu’na uyumlu olmak için mutlaka mevcutta işlediğimiz ve sakladığımız kişisel verilere erişen 3. Tarafların yetkilendirilmesinin düzgün gerçekleştirilmesi ve kontrolünün sağlanması gerekir.

Çoğu üçüncü taraf kullanıcı, kullanılan uygulamalarla beraber, kurum için bir güvenlik açığı oluşturan aşırı ayrıcalıklı erişim sahibidir (SAP ve benzeri yazılım danışmanlarını örnek olarak verebiliriz). Sıfır Güven Ağ Erişimi, harici kullanıcıların kurum ağına asla erişmemesini ve yalnızca yetkili kullanıcıların izin verilen uygulamalara erişmesini sağlayarak üçüncü taraf riskini önemli ölçüde azaltır.

Örneğin; üçüncü taraflar ya da iş ortaklarıyla paylaştığınız veriler ve bu verilerin iletimi için kullandığınız birçok uygulama bulunuyor. Kurum bünyesinde gerekli siber güvenlik önlemlerinin tamamını almış olsanız bile, karşı taraftan bu iletimin yapıldığı ağı ve cihazları kontrol etmeniz mümkün değil. Sıfır Güven Ağ Erişimi teknolojileri, bu iletişimi tamamen izole bir ortamda oluşturduğu için; bu tarz zafiyetlerden zarar görmemenizi, olabilecek saldırılardan korunmanızı ve veri ihlali yaşama ihtimalinizi en aza indirmeyi mümkün kılar.

ZTNA yani Sıfır Güven Ağ Erişimi teknolojileri ile ilgili daha fazla bilgi almak için:

Siber Güvenlikte Kuralları Değiştiren Mimari : Sıfır Güven Ağ Erişimi

Sıfır Güven Ağ Erişimi (Zero-Trust Network Access)

ZTNA SSH Kaynaklı Güvenlik Zafiyetlerine Kökten Çözüm Getiriyor

KVKK, ISO 270001, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram