Veri sorumlusu sıfatına haiz Güreli Yeminli Mali Müşavirlik ve Bağımsız Denetim Hizmetleri Anonim Şirketi tarafından Kişisel Verileri Koruma Kurumu’na (“Kurum”) bildirilen ve 17 Ağustos 2022 tarihinde Kurumun internet sitesinden paylaşılan veri ihlal bildirimde özetle;
- “Veri ihlalinin, veri sorumlusu dosya sunucularına yapılan fidye yazılımı saldırısı sonucu gerçekleştiği,
- İhlalin 16.07.2022 tarihinde başladığı ve dosyaların çalındığı ile fidye istendiğine ilişkin metin dosyalarının bilgi sistemleri sorumlusu tarafından fark edilmesi üzerine 09.08.2022 tarihinde tespit edildiği,
- İhlalden etkilenen ilgili kişi gruplarının müşteriler ve potansiyel müşteriler olduğu,
- İhlalden yeminli mali müşavirlik ve bağımsız denetim faaliyetleri kapsamında tüzel kişi müşterilerden elde edinilen ticari veriler içinde bulunan kimlik (ad, soyad), iletişim (e-posta adresi, telefon numarası) ve finans (fatura, ticari kayıtlar) kategorilerinde yer alan kişisel verilerin etkilenmiş olabileceğinin düşünüldüğü,
- İhlalden etkilenen kişi ve kayıt sayısının henüz tespit edilemediği, tespit ile ilgili çalışmaların devam ettiği
- İhlale ilişkin olarak ilgili kişilerin [email protected] e-posta adresi ile 444 9 475 – (0212) 285 01 50 telefon numaralarından bilgi alabileceği” şeklinde bilgilere yer verilmiştir.
Sonuç:
Kurumun internet sitesinden paylaşılan mezkûr veri ihlal bildirimde görüldüğü üzere; veri ihlal bildirimi yapan veri sorumlusunun iş organizasyonu gereği tüzel kişilerin kimlik, iletişim, finansal kayıtları gibi önemli verilerini işlediği açıktır. Bu işleme faaliyeti gereği işlenen ve muhafaza edilen verilerin doğrudan kişisel veri olarak nitelendirilmese dahi tüzel kişilerin yöneticileri için büyük mağduriyetler yaratacağından ötürü KVKK ve ikinci mevzuat gereği uygun tedbirlerin alınması gerektir.
Bu kapsamda veri sorumlusu, işlediği verilerin doğrudan özel nitelikli olmasa da önemli nitelikli veriler olduğundan dolayı Kurulun 31.01.2018 tarihli, 2018/10 sayılı Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli önlemleri saydığı kararının faaliyetiyle uygun düştüğü ölçüde;
- “Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
- Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
- Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
- Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
- Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
- Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması” tedbirlerini alması işlediği önemli verilerin kötü niyetli üçüncü şahıslar tarafından ele geçirilse dahi onlar adına bir anlam ifade etmemesini ve hem kendisi adına hem de veri işlenenler adına yaşanabilecek mağduriyetin en aza indirilmesi konusunda büyük önem taşımaktadır.
Yukarıda sayılan özel nitelikli verilerin işlenmesi ilişkin öngörülmüş olan tedbirlere ek olarak KVKK Veri Güvenliği Rehberi’nde düzenlenen beher teknik ve idari tedbiri alarak periyodik aralıklarla kontrol edilerek zafiyetleri önceden fark edip gidererek yaşanabilecek potansiyel veri ihlallerinde oluşabilecek bilançonun en aza indirilebilmesi konusunda elzemdir.
Veri işlenirken dikkat edilmesi gereken temel ilkelerden biri işlenen verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması gerekmektedir. Bu ilke çerçevesinde veri sorumluları/işleyenler işledikleri verilerde minimize etmeleri gerekmektedir.
Veri İhlal Bildirimi Kararına bu link üzerinden ulaşabilirsiniz:
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.